Data Act ab heute: Keine KI erfüllt DSGVO-Anforderungen

Seit heute gilt das Data Act Implementation Act – und mit ihm verschärfte Auflagen für den Umgang mit Daten und Künstlicher Intelligenz. Die neue Regulierung trifft auf eine Branche, die noch weit von der Compliance entfernt ist.

Ab dem 30. Mai 2026 ist das Data-Act-Durchführungsgesetz offiziell in Kraft. Es legt den rechtlichen Rahmen für Datenaustausch und -zugriff fest. Die Aufsicht teilen sich künftig mehrere Behörden: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) überwacht öffentliche Stellen, während die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für den privaten Sektor zuständig sind.

KI-Modelle fallen durch Compliance-Test

Anzeige: Kein KI-Modell erfüllt die DSGVO – das belegt eine aktuelle Studie mit über 3.000 Bewertungen. Wer jetzt nicht handelt, riskiert Strafen bis 35 Mio. Euro und persönliche Haftung nach NIS2. Unser Report liefert die Checkliste für DSGVO-konformen KI-Einsatz und ein Schritt-für-Schritt-Compliance-Audit. Jetzt kostenlosen Compliance-Report anfordern

Die Industrie steht vor enormen Herausforderungen. Eine Studie des Unternehmens Aithos, veröffentlicht am 28. Mai 2026, hat mit dem Testwerkzeug LARA über 3.000 Bewertungen aktueller KI-Modelle durchgeführt. Das ernüchternde Ergebnis: Kein einziges getestetes Modell erfüllt die Anforderungen der Datenschutz-Grundverordnung (DSGVO) vollständig.

Anthropics Claude Opus 4.7 schnitt mit rund 54 Prozent noch am besten ab. Googles Gemini 3.1 Pro hingegen zeigte eklatante Mängel – eine Verstoßrate von 90 Prozent. Besonders brisant: Bei 80 Prozent der Tests wurden Verstöße gegen Artikel 5 des AI Acts festgestellt. Diese Vorschrift verbietet bestimmte Formen der Manipulation und des Social Scorings. Bei Verstößen drohen Strafen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.

Sicherheitslücken verschärfen die Lage zusätzlich. Eine Cisco-Studie belegt, dass iterative Angriffe die Erfolgsquote von Exploits drastisch erhöhen können. Bei Gemini 3 Pro etwa stieg die Erfolgsrate von 18,10 auf über 73 Prozent.

Frankreich geht voran: Beweislastumkehr bei Urheberrechten

Während die Regulierungsbehälter enger werden, ziehen nationale Parlamente nach. Der französische Senat verabschiedete am 8. April 2026 einen Gesetzesentwurf, der eine widerlegbare Vermutung der Urheberrechtsverletzung einführt. Künftig müssen KI-Anbieter nachweisen, dass ihre Systeme keine geschützten Werke verwendet haben – die Beweislast liegt nicht mehr bei den Kreativen. Dieser Schritt folgt auf das Scheitern der EU-KI-Haftungsrichtlinie 2025 und zwingt Unternehmen zu einer lückenlosen Dokumentation ihrer Trainingsdaten.

Nur vier Prozent der Firmen integrieren KI vollständig

Die praktische Umsetzung bleibt für viele Unternehmen eine Herkulesaufgabe. Eine Tieto-Studie unter 100 Führungskräften in Österreich (April/Mai 2026) ergab: Gerade einmal vier Prozent der Unternehmen haben KI vollständig in ihre Kernprozesse integriert. Die Hälfte der Befragten nennt rechtliche und datenschutzrechtliche Bedenken als größtes Hindernis.

Es gibt aber auch Lichtblicke: Das Unternehmen Greiner berichtet, dass KI-Automatisierung inzwischen 50 Prozent der jährlich 240.000 manuellen Bestellungen abwickelt.

Neue Lösungen für Datensouveränität

Forscher des Fraunhofer ISST und von Fujitsu Research stellten am heutigen Freitag das Konzept des Federated Unlearning vor. Diese Methode erlaubt es Unternehmen, bestimmte Unternehmensdaten aus dezentralen KI-Modellen zu entfernen – ohne das gesamte System neu trainieren zu müssen. Ein wichtiger Schritt für DSGVO-konforme Datensouveränität.

Auch die Dokumentationsarbeit wird einfacher. Branchenberichten zufolge können KI-Assistenten mittlerweile 60 bis 75 Prozent der Arbeiten für Verarbeitungsverzeichnisse (VVT) und Datenschutz-Folgenabschätzungen (DSFA) übernehmen. Sie ersetzen zwar keine juristische Prüfung, entlasten Datenschutzbeauftragte aber spürbar.

Für höchste Privatsphäre-Anforderungen setzen Unternehmen zunehmend auf lokale Infrastruktur. Die Integration des Open-Source-Modells Whisper in lokale Server ermöglicht Spracherkennung, bei der Audiodaten das interne Netzwerk nie verlassen – volle Kontrolle über Logging und Berechtigungen inklusive.

Anzeige: Frankreich führt eine Beweislastumkehr bei Urheberrechten ein – KI-Anbieter müssen künftig nachweisen, dass keine geschützten Werke verwendet wurden. Unternehmen brauchen jetzt eine lückenlose Dokumentation ihrer Trainingsdaten. Unser Report zeigt, wie Sie mit Federated Unlearning und lokaler Infrastruktur DSGVO-konform bleiben. DSGVO-KI-Report jetzt sichern

NIS2: Persönliche Haftung für Vorstände

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG), seit 6. Dezember 2025 in Kraft, verschärft die Lage zusätzlich. Die Zahl der regulierten Unternehmen in Deutschland stieg auf rund 30.000, weitere 200.000 Firmen sind indirekt über Lieferketten betroffen.

Die Geschäftsführung haftet nun persönlich für Cybersicherheitsversäumnisse und muss sich mindestens alle drei Jahre fortbilden. Angesichts drohender KI-Act-Strafen ab August 2026 und der Registrierungsfrist für Kritische Infrastrukturen (KRITIS) am 17. Juli 2026 suchen Unternehmen händeringend nach Struktur. Der EC-Council hat daher am 29. Mai 2026 sein ADG AI Framework vorgestellt – ein Governance-Modell, das mit internationalen Standards wie ISO 42001 und dem NIST AI Risk Management Framework harmoniert.

de | wirtschaft | 69450369 |