Datenschutzbehörden fordern Herstellerhaftung und KI-Regeln

Die deutschen Datenschützer wollen die Verantwortung für Datenschutzverstöße neu verteilen – direkt auf die Hersteller von IT-Diensten. Das könnte die Compliance-Landschaft in Europa grundlegend verändern.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hat am Dienstag weitreichende Vorschläge beschlossen. Kern ist die Forderung nach einer Herstellerhaftung. Anbieter von Software, Cloud-Diensten und KI-Systemen sollen künftig direkt für die DSGVO-Konformität ihrer Produkte verantwortlich sein.

Bisher müssen die nutzenden Unternehmen – die „Verantwortlichen“ – mühsam nachweisen, dass eingekaufte IT-Lösungen die Vorgaben einhalten. Oft handelt es sich dabei um komplexe Systeme internationaler Konzerne. „Das ist eine längst überfällige Anpassung“, urteilen Experten. Die Verantwortung würde dorthin verlagert, wo die technische Kontrolle liegt: zum Hersteller.

Die EU regelt KI und Produktverantwortung immer strenger – mangelnde Transparenz und fehlende Dokumentation können für Hersteller und Anbieter schnell teuer werden. Unser kostenloser Umsetzungsleitfaden zur EU-KI-Verordnung erklärt Risikoklassen, Kennzeichnungspflichten, Dokumentationsanforderungen und welche Nachweise Entwickler und Anbieter jetzt bereithalten müssen. Inklusive praktischer Checklisten, Vertragsklausel-Vorlagen und Übergangsfristen zur sofortigen Umsetzung. Jetzt kostenlosen KI-Verordnungs-Leitfaden herunterladen

Für deutsche Firmen, von Mittelständlern bis zu DAX-Konzernen, wäre das eine spürbare Entlastung. Der Aufwand für individuelle Risikoanalysen bei Standardsoftware könnte sinken. Gleichzeitig würde die Verhandlungsmacht gegenüber großen Tech-Anbietern wie Microsoft oder Amazon wachsen.

KI im Fokus: Transparenz wird Pflicht

Ein zweiter Schwerpunkt der Initiative betrifft Künstliche Intelligenz. Die Datenschützer fordern klare gesetzliche Grundlagen für Entwicklung, Training und Betrieb von KI-Modellen. Hintergrund sind die oft intransparenten Datenverarbeitungsprozesse moderner KI.

Für Unternehmen, die KI etwa im Personalwesen oder im Marketing einsetzen, wird die Partnerauswahl damit noch kritischer. Die Frage, mit welchen Daten eine KI trainiert wurde und wie Entscheidungen zustande kommen, rückt ins Zentrum der Compliance. Mangelnde Kontrolle könnte nicht nur zu Bußgeldern führen, sondern die Nutzung des gesamten Systems gefährden.

Auswirkungen auf Datenexport in die USA

Die Debatte um Drittlandtransfers – vor allem in die USA – ist eine der größten praktischen Herausforderungen. Trotz bestehender Abkommen bleiben Unsicherheiten, die aufwändige Prüfungen erfordern.

Die geplante Herstellerhaftung würde hier ansetzen. US-Cloud-Anbieter müssten ihre Systeme von vornherein so gestalten, dass sie europäischen Standards genügen. Für europäische Kunden würde sich der Prüfaufwand verlagern: Statt eigener Risikoanalysen stünde die Kontrolle von Hersteller-Zertifizierungen und vertraglichen Zusicherungen im Vordergrund.

Signal an Brüssel und Handlungsbedarf für Firmen

Die Beschlüsse sind ein klares Signal an die EU-Kommission, die eine mögliche DSGVO-Reform vorbereitet. Die deutschen Aufseher wollen die Verordnung praxistauglicher machen, ohne das Schutzniveau zu senken.

Auch wenn es zunächst nur Vorschläge sind, zeigt die Initiative die Richtung der künftigen Aufsicht. Unternehmen sollten ihre Compliance-Strategien proaktiv anpassen. Das bedeutet: IT-Partner und deren Datenschutznachweise kritisch prüfen, Vertragsklauseln zur Haftung überarbeiten und die Dokumentation der eigenen Sorgfalt intensivieren. Die Ära der reinen „Blackbox“-Nutzung von IT-Diensten neigt sich dem Ende zu.

PS: Seit August 2024 gelten neue Verpflichtungen für KI-Anbieter – viele Entwickler und Hersteller unterschätzen die Dokumentations- und Kennzeichnungspflichten. Der praxisorientierte Guide zur EU-KI-Verordnung unterstützt bei Klassifikation, Nachweispflichten und der Umsetzung technischer sowie vertraglicher Maßnahmen. Mit Checklisten, Vorlagen für die Dokumentation und vorgeschlagenen Vertragsklauseln zur Hersteller-Compliance. Jetzt kostenlosen AI-Act-Umsetzungsleitfaden sichern