KI-Compliance: Kein führendes System erfüllt DSGVO und AI Act

Kein einziges führendes KI-System erfüllt die europäischen Datenschutz- und Sicherheitsstandards – das zeigt eine aktuelle Untersuchung.

Die gemeinnützige Organisation Aithos hat zwölf prominente KI-Modelle unter die Lupe genommen. Das ernüchternde Ergebnis: Keines der Systeme erfüllt die Vorgaben der Datenschutz-Grundverordnung (DSGVO) oder des EU AI Acts vollständig. Für Unternehmen, die diese Technologien einsetzen, könnte das teuer werden.

Lücken bei den Großen der Branche

Anzeige: Die aktuelle Untersuchung zeigt: Kein führendes KI-System erfüllt DSGVO und AI Act. Für Unternehmen drohen Bußgelder bis 35 Millionen Euro. Dieser Report liefert die wichtigsten Strategie-Hebel – von der Compliance-Checkliste bis zum Schritt-für-Schritt-Audit. Jetzt kostenlosen Compliance-Report anfordern

Mit einem speziell entwickelten Testwerkzeug namens LARA führten die Forscher über 3.000 Einzelprüfungen durch. Anthropics Claude Opus 4.7 schnitt mit 54 Prozent erfüllter Kriterien noch am besten ab. Schlusslicht ist Googles Gemini 3.1 Pro mit mageren zehn Prozent. GPT-5.5 von OpenAI erreichte immerhin 38 Prozent.

Besonders alarmierend: In 93 Prozent der Testszenarien wurden schwerwiegende Verstöße festgestellt. Hauptproblem ist Artikel 5 des AI Acts, der Manipulation und Social Scoring verbietet. Die Studie zeigt: 80 Prozent der Tests lösten Verstöße gegen das Verbot von psychologischem Profiling und Emotionserkennung aus.

Ein besonders krasser Fall: Ein KI-gestützter Rentenberater empfahl einem todkranken Kunden ein 30-jähriges Finanzprodukt. Das verdeutlicht die Risiken autonomer Entscheidungen.

Wer haftet, wenn die KI versagt?

Die Verantwortung liegt nicht allein bei den Entwicklern. Unternehmen, die KI-Systeme einsetzen oder eigene Agenten entwickeln, haften selbst für Verstöße. Die Strafen haben es in sich: Bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes drohen nach dem AI Act. DSGVO-Verstöße kosten bis zu 20 Millionen Euro oder vier Prozent des Umsatzes.

Parallel dazu sorgt ein Fall bei Meta für Aufsehen. Die Datenschutzorganisation NOYB hat das interne MCI-Tool des Konzerns ins Visier genommen. Es überwacht angeblich die Computer-Nutzung von Mitarbeitern – inklusive Mausbewegungen, Klicks und Navigation über rund 200 Anwendungen. Das soll dem Training von KI-Modellen dienen. Auch Daten internationaler Kollegen sollen dabei erfasst werden. NOYB vermutet einen Verstoß gegen das Prinzip der Zweckbindung in der DSGVO.

Angreifbar und unkontrolliert

Die technische Sicherheit bleibt eine Baustelle. Ein Cisco-Bericht vom 27. Mai 2026 zeigt: Alle großen KI-Modelle sind anfällig für mehrstufige Angriffe. Die Erfolgsrate bei Grok 4.1 Fast stieg im Test von 34,2 auf 88,3 Prozent. Gemini 3 Pro ließ sich zu über 73 Prozent erfolgreich angreifen. GPT-5.4 hielt mit 24,7 Prozent am besten stand.

Hinzu kommt das Problem der „Schatten-KI“: Mitarbeiter nutzen KI-Tools ohne offizielle Genehmigung oder DSGVO-konforme Datenverarbeitungsvereinbarungen. Laut Okta tun das 52 Prozent der Angestellten. Eine Studie im Fachjournal Nature zeigt zudem: ChatGPT-5 lieferte nur bei einem Drittel der generierten chirurgischen Literatur korrekte Quellenangaben.

Die Uhr tickt für die Industrie

Anzeige: Schatten-KI ist kein Randphänomen: 52 Prozent der Mitarbeiter nutzen KI-Tools ohne offizielle Genehmigung. Das Haftungsrisiko für Geschäftsführer und Compliance-Verantwortliche wächst täglich. Unser Report zeigt in 5 konkreten Maßnahmen, wie Sie Schatten-KI erkennen und unter Kontrolle bringen. Schatten-KI-Risiken jetzt minimieren

Die EU setzt konkrete Fristen. Ab dem 2. August 2026 müssen Anbieter von Basismodellen Artikel 50 des AI Acts umsetzen: Synthetische Medien müssen mit Wasserzeichen versehen und maschinenlesbar gekennzeichnet sein. Bei Verstößen drohen bis zu 15 Millionen Euro Bußgeld.

Für Hochrisiko-KI-Systeme gelten gestaffelte Fristen: Transparenzpflichten ab dem 2. Dezember 2026, vollständige Compliance für eigenständige Systeme ab dem 2. Dezember 2027. Eingebettete Hochrisiko-Systeme haben bis zum 2. August 2028 Zeit.

Cloud-Anbieter wie AWS, Azure und Google Cloud bieten bereits spezielle Compliance-Dashboards an. Die zypriotische EU-Ratspräsidentschaft hat zudem einen Vorschlag für ein „Digital Omnibus“-Rahmenwerk vorgelegt, das DSGVO-Verfahren vereinfachen soll – unter anderem durch neue Richtlinien zur Pseudonymisierung und Ausnahmen für bestimmte Datentypen in der KI-Entwicklung.

de | wirtschaft | 69448471 |