OpenAI ändert Datenschutz: Werbung rückt in den Fokus

Von neuen Werberegeln bei OpenAI über verschärfte EU-Kontrollen bis hin zu US-Gesetzesinitiativen – die Compliance-Landschaft wird immer komplexer.

Die neuen Anforderungen des EU AI Act stellen Unternehmen vor enorme Herausforderungen bei der Risikodokumentation und Qualitätssicherung. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Fristen und Pflichten, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen

OpenAI führt Cookie-Tracking für Werbung ein

Am 3. Mai 2026 hat OpenAI seine Datenschutzrichtlinien für US-Nutzer aktualisiert. Die neuen Bedingungen erlauben ausdrücklich den Einsatz von Marketingpartnern für Cookies und Datenweitergabe zu Werbezwecken. Für Nutzer der kostenlosen Version ist das Tracking standardmäßig aktiviert – sie können es jedoch deaktivieren. Abonnenten der Bezahlversionen Plus und Enterprise bleiben von der Praxis ausgenommen.

Wichtig: Die Chat-Inhalte selbst werden nicht an Werbepartner weitergegeben. Das Unternehmen hatte bereits Anfang des Jahres angekündigt, verstärkt auf Werbeeinnahmen zu setzen. Ob die neuen Tracking-Maßnahmen auch in der EU eingeführt werden, bleibt fraglich – die Hürden durch DSGVO und Digital Services Act (DSA) sind hier deutlich höher.

EU verschärft Kontrolle von Tech-Konzernen

Die Europäische Kommission erhöht den Druck auf große Technologieunternehmen. Am 2. Mai 2026 veröffentlichte sie vorläufige Ergebnisse zur DSA-Compliance von Meta. Die Untersuchung legt nahe, dass der Schutz Minderjähriger auf Facebook und Instagram weiterhin unzureichend ist.

Die Prüfer kritisierten ein umständliches Meldesystem für Nutzer unter 13 Jahren. Schätzungen zufolge sind zwischen zehn und zwölf Prozent der Kinder dieser Altersgruppe weiterhin auf den Plattformen aktiv. Sollten die Vorwürfe bestätigt werden, droht Meta eine Strafe von bis zu sechs Prozent des weltweiten Jahresumsatzes.

Auch Apple gerät ins Visier der EU. Anfang Mai 2026 äußerten sich Apple-Manager frustriert über einen Zwischenbericht der Kommission zum Digital Markets Act (DMA). Zwar habe die Regulierung die Umsätze des Konzerns bislang nicht negativ beeinflusst, doch bezeichnen die Verantwortlichen den EU-Ansatz als radikal.

Neue Regeln für transatlantische Datentransfers

Der Europäische Datenschutzausschuss (EDPB) hat am 2. Mai 2026 neue Leitlinien zu Artikel 48 der DSGVO veröffentlicht. Demnach ist die Weitergabe personenbezogener Daten an Behörden in Drittländern nur auf Basis gültiger internationaler Abkommen oder spezifischer Ausnahmen zulässig.

Der EU-US Data Privacy Framework (DPF) bleibt das zentrale Instrument für solche Transfers – allerdings nur für zertifizierte US-Unternehmen, die sich jährlich erneuern müssen. Mitte 2024 nahmen mehr als 2.800 Unternehmen am DPF teil. Die nächste formelle Überprüfung ist für 2027 angesetzt.

US-Gesetzgeber wollen Flickenteppich beseitigen

In den USA versuchen Abgeordnete, den aktuellen Flickenteppich aus einzelstaatlichen Regelungen zu vereinheitlichen. Am 1. Mai 2026 brachten die Abgeordneten Joyce und Guthrie den SECURE Data Act ein. Ziel ist ein nationaler Datenschutzstandard.

Wirtschaftsverbände wie die US-Handelskammer unterstützen den Vorstoß – sie bevorzugen einen einheitlichen Bundesrahmen. Datenschutzorganisationen hingegen kritisieren das Fehlen eines privaten Klagerechts und schwächere Standards im Vergleich zu bestehenden Landesgesetzen.

Die Bundesinitiative fällt in eine Zeit verstärkter Aktivität auf Bundesstaatsebene. Indiana, Kentucky und Rhode Island haben bereits Anfang des Jahres umfassende Datenschutzgesetze erlassen. Damit haben nun 20 US-Bundesstaaten entsprechende Regelungen. Im März 2026 unterzeichnete der Gouverneur von Oklahoma das Gesetz SB 546, das im Januar 2027 in Kraft tritt. Es gewährt Verbrauchern Rechte auf Zugang, Berichtigung und Löschung ihrer Daten. Unternehmen, die Daten von mehr als 100.000 Verbrauchern verarbeiten, müssen Opt-out-Möglichkeiten für gezielte Werbung anbieten.

In Connecticut verabschiedete das Repräsentantenhaus am 1. Mai 2026 das KI-Regulierungsgesetz SB 5. Es konzentriert sich auf den Einsatz von KI im Arbeitsumfeld und schafft eine regulatorische Testumgebung für Innovationen.

Sicherheitsrisiken durch KI-gesteuerte Angriffe

Die Schnittstelle von KI und Cybersicherheit schafft neue Risiken. Eine im Mai 2026 veröffentlichte Studie von Okta zeigt, dass KI-Agenten manipuliert werden können, um Sicherheitsvorkehrungen zu umgehen und Authentifizierungstoken zu stehlen. Unternehmen müssen KI-Agenten daher mit derselben Sicherheitsstrenge behandeln wie menschliche Nutzerkonten – inklusive kurzlebiger Zugangsdaten und umfassender Überwachung.

Die Dringlichkeit solcher Maßnahmen unterstreicht ein Bericht von KnowBe4 aus dem Mai 2026: Demnach sind 86 Prozent aller Phishing-Angriffe mittlerweile KI-gesteuert. Die Nutzung von Reverse-Proxys zum Diebstahl von Anmeldedaten ist um 139 Prozent gestiegen. Auch Angriffe über Kollaborationsplattformen wie Microsoft Teams nehmen rasant zu.

Da Phishing-Angriffe zunehmend KI-gesteuert ablaufen, reichen herkömmliche Sicherheitsmaßnahmen oft nicht mehr aus. Dieses kostenlose Anti-Phishing-Paket enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen effektiv schützen. Jetzt kostenlosen Anti-Phishing-Report anfordern

Behörden warnen zudem vor einer kritischen Sicherheitslücke in Windows (CVE-2026-32202), die von staatlich gesteuerten Akteuren ausgenutzt wird. Die US-Cybersicherheitsbehörde CISA hat Bundesbehörden angewiesen, die entsprechenden Patches bis zum 12. Mai 2026 einzuspielen.

Beschwerden über Datenschutzverstöße nehmen zu

Innerhalb der EU steigt die Zahl der Datenschutzstreitigkeiten. Ein Tätigkeitsbericht der nordrhein-westfälischen Datenschutzbehörde vom 17. April 2026 zeigt: Die Zahl der DSGVO-Beschwerden ist im Kalenderjahr 2025 um 67 Prozent gestiegen. Die Behörde kritisierte zudem unzureichende KI-Regelungen in Landespolizei- und Verfassungsschutzgesetzen und warnte vor der uneingeschränkten Nutzung von Daten zu Trainingszwecken.

Haftung und Innovation im Konflikt

Auch Gerichtsentscheidungen prägen die Rechtslandschaft. In einem wegweisenden Urteil vom 2. Dezember 2025 entschied der Europäische Gerichtshof (EuGH), dass Online-Marktplätze als gemeinsame Verantwortliche im Sinne der DSGVO haften können – wenn sie Nutzerinhalte so strukturieren und monetarisieren, dass sie die Datenverarbeitung beeinflussen. Die E-Commerce-Richtlinie befreit Plattformen demnach nicht von ihren DSGVO-Pflichten, insbesondere bei der Identifizierung sensibler Daten in betrügerischen Anzeigen.

Die Umsetzung des EU AI Act steht vor logistischen Herausforderungen. Am 2. Mai 2026 scheiterten die Verhandlungen über den Digital AI Omnibus Deal. Beobachter befürchten, dass die formelle Verabschiedung kritischer Sekundärregeln vor der August-Frist für Hochrisiko-KI-Systeme scheitern könnte.

Betreiber solcher Systeme – etwa im Gesundheitswesen, Finanzsektor oder in kritischer Infrastruktur – müssen strenge Anforderungen an Risikomanagement, technische Dokumentation und menschliche Aufsicht erfüllen. Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder drei Prozent des globalen Umsatzes. Branchenexperten schätzen, dass die Compliance-Kosten für Roboterhersteller zwischen 15 und 20 Prozent ihrer Produktionsbudgets erreichen könnten.

Ausblick: Strengere Regeln ab 2027

Die zweite Jahreshälfte 2026 verspricht noch strengere Regulierung. Die EU-Kommission drängt auf ein einheitliches Altersverifikationssystem bis Ende 2026, um Minderjährige online zu schützen, ohne ihre Identität zu gefährden. Während einige Mitgliedstaaten Open-Source-Lösungen entwickeln, setzt Deutschland auf nationale elektronische ID-Wallet-Lösungen.

In den USA bleibt die Frage, ob der SECURE Data Act genügend überparteiliche Unterstützung findet, um die wachsende Zahl einzelstaatlicher Gesetze zu verdrängen. Global agierende Unternehmen müssen sich auf eine zweigleisige Compliance-Strategie einstellen: die strengen Anforderungen des EU AI Act bis August 2026 erfüllen und gleichzeitig die neuen Datenschutzvorgaben in Oklahoma und anderen Bundesstaaten umsetzen.

Angesichts der zunehmenden KI-gesteuerten Cyberbedrohungen wird die Integration von Privacy-by-Design und proaktiver Risikobewertung vom Best Practice zur rechtlichen Notwendigkeit.

de | wirtschaft | 69274789 |