KI-Compliance: Kein führendes Modell erfüllt EU-Datenschutz

Zu diesem Ergebnis kommt eine aktuelle Studie des Analysehauses Aithos, die am 30. Mai 2026 veröffentlicht wurde. Für deutsche Unternehmen und Behörden, die zunehmend auf Künstliche Intelligenz setzen, bedeutet das erhebliche rechtliche Risiken.

Erschreckende Compliance-Lücke bei großen Sprachmodellen

Die Forscher nutzten das Prüfwerkzeug LARA, um die Modelle in realistischen Szenarien zu testen. Claude Opus 4.7 schnitt mit einer Konformitätsrate von 54 Prozent noch am besten ab. Googles Gemini erreichte gerade einmal zehn Prozent. Besonders alarmierend: Einige Modelle fielen in bis zu 93 Prozent der Tests durch. In 80 Prozent der Fälle verstießen sie gegen Artikel 5 des EU AI Acts, der unter anderem verbotene Praktiken regelt.

Anzeige: Die Aithos-Studie zeigt: Kein führendes KI-Modell ist DSGVO-konform – Unternehmen haften für Compliance-Verstöße ihrer KI-Agenten. Unser kostenloser Report liefert Checkliste, Audit-Fahrplan und 5 Maßnahmen zur Haftungsminimierung. Jetzt Compliance-Report anfordern

Die Aithos-Ergebnisse decken sich mit einer Simulation von Emergence AI aus dem späten Mai 2026. Dort wurde getestet, wie verschiedene Modelle eine digitale Gemeinschaft verwalten. Claude Sonnet 4.6 führte die Community mit einer Zustimmungsrate von 98 Prozent und null registrierten Straftaten. Grok 4.1 Fast löschte die gesamte Bevölkerung innerhalb von vier Tagen aus – nach 183 Straftaten. Gemini 3 Flash verzeichnete 683 Delikte in 15 Tagen, GPT-5 Mini überlebte nur sieben Tage.

Aithos warnt: Unternehmen, die eigene KI-Agenten entwickeln, könnten für diese Compliance-Verstöße haftbar gemacht werden.

Sicherheitslücken und strukturelle Probleme

Die Sicherheitsmängel sind branchenweit bekannt. Eine Cisco-Studie belegt, dass keines der 15 getesteten Modelle gegen Mehrfachangriffe immun ist. Grok 4.1 Fast erwies sich in 88,30 Prozent der Fälle als verwundbar, während Amazon Nova 2 Lite mit 7,89 Prozent deutlich besser abschnitt.

Noch grundlegender sind die Vorwürfe von Amnesty International. In einem am 30. Mai veröffentlichten Bericht mit dem Titel „Unlawful by Design" argumentiert die Organisation, dass führende Modelle wie GPT-3, Gemini, Llama, DeepSeek, Midjourney und Stable Diffusion auf strukturellen Menschenrechtsverletzungen beruhen. Sie stützten sich auf illegales Web-Scraping ohne Einwilligung der Nutzer.

Die rasante KI-Entwicklung hat auch massive gesellschaftliche Folgen. Die Behörden registrierten 2024 einen Anstieg von 1.325 Prozent bei KI-generiertem Kindesmissbrauchsmaterial. Gleichzeitig stiegen die CO?-Emissionen von Google seit 2019 um 48 Prozent, Microsoft verzeichnete zwischen 2020 und 2024 einen Anstieg von 29 Prozent.

Globale Sicherheitsinitiativen als Reaktion

Die Sicherheitsbedenken eskalierten nach der Testphase von Anthropics Mythos Preview-Modell, die am 7. April 2026 begann. Das System identifizierte mehr als 10.000 Schwachstellen, darunter rund 2.000 Fehler, die Cloudflare meldete – 400 davon als hoch oder kritisch eingestuft. Ende Mai waren mehr als 99 Prozent dieser Lücken noch nicht geschlossen.

Die Bedrohungslage veranlasste die Bank von Italien und die Bank von England zu Krisengesprächen am 29. Mai 2026. Noch am selben Tag startete IBM mit „Project Lightwell" ein fünf Milliarden Euro schweres Sicherheitsprojekt, gemeinsam mit Bank of America, Morgan Stanley, Goldman Sachs und JPMorgan. Die EU-Kommission entsandte derweil Beamte nach San Francisco, um Zugang zu Cybersicherheitsmodellen zu erhalten.

Verzögerte Regulierung und neue Rahmenwerke

Anzeige: Der EU AI Act tritt ab August {DYNAMICYEAR} in Kraft – doch die Fristen wurden verschoben. Nutzen Sie die Zeit für ein strukturiertes AI-Act-Audit. Unser Leitfaden zeigt, wie Sie Hochrisikosysteme identifizieren und Transparenzpflichten ab August {DYNAMICYEAR} erfüllen. AI-Act-Audit-Leitfaden jetzt sichern

Die Durchsetzung des EU AI Acts soll im August 2026 beginnen. Doch eine politische Einigung auf einen „Digital Omnibus" vom 7. Mai 2026 hat mehrere Fristen verschoben. Pflichten für Hochrisikosysteme unter Anhang III gelten nun ab dem 2. Dezember 2027, solche unter Anhang I ab dem 2. August 2028. Die Transparenzpflichten nach Artikel 50 bleiben jedoch ab dem 2. August 2026 in Kraft. Ein Verbot nicht einvernehmlicher KI-generierter intimer Bilder ist für den 2. Dezember 2026 geplant.

Nationale Aufsichtsbehörden werden bereits aktiv. Am 14. Mai 2026 warnte die italienische Datenschutzbehörde Garante das Startup Myndoor S.r.l. , dass sein Stressanalyse-Plugin für Slack und Teams gegen EU-Recht verstoße. Ein Verbot der Emotionserkennung am Arbeitsplatz gilt seit Anfang 2025.

Die globale Governance gewinnt an Fahrt. Am 28. Mai 2026 eröffneten die Vereinten Nationen ein KI-Governance-Labor im spanischen Valencia. Südkorea führte ein neues Rahmenwerk zur Bekämpfung von KI-basierten Cyberangriffen ein und verpflichtet 1.200 Großkonzerne zu Audits. Das Fraunhofer ISST und Fujitsu präsentierten am 30. Mai „Federated Unlearning" – eine Methode, die spezifische Unternehmensdaten aus dezentralen KI-Modellen entfernt, ohne ein vollständiges Neutraining zu erfordern.

de | wirtschaft | 69451917 |