facebook-pixel

KI und Datenschutz 2026: Was sich für Unternehmen und Nutzer ändert

L
Lunyb Sicherheitsteam
··7 min read

Das Jahr 2026 markiert einen Wendepunkt für den Datenschutz im Zeitalter der Künstlichen Intelligenz. Mit dem vollständigen Inkrafttreten wesentlicher Teile des EU AI Act, verschärften DSGVO-Auslegungen und neuen Vorgaben der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) stehen Unternehmen wie Privatpersonen vor grundlegenden Veränderungen. Dieser Leitfaden erklärt, was sich 2026 konkret ändert, welche Risiken bestehen und wie Sie sich rechtssicher aufstellen.

Was ändert sich 2026 beim Datenschutz im KI-Kontext?

Ab 2026 gelten für den Einsatz von Künstlicher Intelligenz in der EU deutlich strengere Datenschutzregeln. Der EU AI Act verzahnt sich mit der DSGVO und schafft zusätzliche Pflichten für Anbieter und Betreiber von KI-Systemen. Zu den zentralen Neuerungen gehören die Klassifizierung von KI-Systemen nach Risikoklassen, verpflichtende Grundrechte-Folgenabschätzungen (FRIA) sowie strengere Transparenzpflichten gegenüber betroffenen Personen.

Die wichtigsten Änderungen im Überblick:

  1. Verbot bestimmter KI-Praktiken (seit Februar 2025 wirksam) – 2026 verschärfte Durchsetzung.
  2. Pflichten für Hochrisiko-KI-Systeme treten ab August 2026 vollständig in Kraft.
  3. Transparenzpflichten für generative KI (ChatGPT, Gemini, Claude) werden bußgeldbewehrt.
  4. Erweiterte Betroffenenrechte bei automatisierten Entscheidungen nach Art. 22 DSGVO.
  5. Neue BfDI-Leitlinien zum Training von KI-Modellen mit personenbezogenen Daten.

Der EU AI Act und seine Verzahnung mit der DSGVO

Der EU AI Act (Verordnung 2024/1689) ist die weltweit erste umfassende KI-Regulierung. Anders als die DSGVO, die auf personenbezogene Daten fokussiert, adressiert der AI Act das KI-System selbst. In der Praxis überlappen sich beide Regelwerke erheblich – und genau hier entstehen 2026 die größten Compliance-Herausforderungen.

Die vier Risikoklassen des AI Act

  • Inakzeptables Risiko: Verboten (z. B. Social Scoring, biometrische Massenüberwachung).
  • Hohes Risiko: Streng reguliert (z. B. KI in Personalwesen, Kreditvergabe, Bildung).
  • Begrenztes Risiko: Transparenzpflichten (z. B. Chatbots, Deepfakes).
  • Minimales Risiko: Keine besonderen Pflichten (z. B. Spamfilter).

Sanktionen bei Verstößen

Die Bußgelder des AI Act übersteigen sogar die der DSGVO. Bei verbotenen KI-Praktiken drohen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Bei anderen Verstößen bis zu 15 Millionen Euro oder 3 %. Kombiniert mit möglichen DSGVO-Bußgeldern (bis zu 20 Mio. Euro oder 4 %) kann ein einziger Verstoß existenzbedrohend werden.

Neue Transparenzpflichten für generative KI 2026

Generative KI-Systeme wie ChatGPT, Gemini, Claude oder Midjourney unterliegen ab 2026 verschärften Transparenzpflichten. Anbieter müssen offenlegen, dass Inhalte KI-generiert sind, und Trainingsdaten dokumentieren. Für Unternehmen, die solche Tools einsetzen, ergeben sich daraus konkrete Handlungspflichten.

Konkrete Pflichten für Unternehmen

  1. Kennzeichnungspflicht: KI-generierte Inhalte (Texte, Bilder, Audio, Video) müssen als solche erkennbar sein.
  2. Deepfake-Kennzeichnung: Manipulierte Medien müssen deutlich markiert werden.
  3. Chatbot-Hinweise: Nutzer müssen erkennen können, dass sie mit einer KI interagieren.
  4. Trainingsdaten-Zusammenfassung: Anbieter müssen eine öffentliche Übersicht der Trainingsdaten bereitstellen.
  5. Urheberrechts-Compliance: Einhaltung des EU-Urheberrechts inklusive Opt-out-Möglichkeiten.

KI-Training und personenbezogene Daten: Die BfDI-Position

Ein besonders heikles Thema 2026 ist das Training von KI-Modellen mit personenbezogenen Daten. Die BfDI hat in Abstimmung mit dem Europäischen Datenschutzausschuss (EDSA) klare Positionen bezogen, die viele Unternehmen zum Umdenken zwingen.

Rechtsgrundlagen für KI-Training

Die Nutzung personenbezogener Daten zum Training von KI-Modellen erfordert eine gültige Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis kommen infrage:

  • Einwilligung (Art. 6 Abs. 1 lit. a): Goldstandard, aber schwer skalierbar.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Erfordert sorgfältige Interessenabwägung.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Nur in engen Grenzen anwendbar.

Der EDSA hat im Dezember 2024 in seiner Opinion 28/2024 klargestellt, dass berechtigtes Interesse grundsätzlich zulässig sein kann – aber nur unter strengen Voraussetzungen: Notwendigkeit, Verhältnismäßigkeit und angemessene Schutzmaßnahmen müssen nachweisbar sein.

Das Recht auf Löschung bei KI-Modellen

Ein besonders komplexes Problem: Wie setzt man Art. 17 DSGVO (Recht auf Löschung) bei einem bereits trainierten Modell um? Die BfDI erwartet 2026 von Anbietern:

  1. Technische Verfahren zur Datenentfernung aus Trainingsdatensätzen.
  2. Machine Unlearning-Techniken bei bereits trainierten Modellen.
  3. Filterung von Ausgaben, um personenbezogene Daten nicht zu reproduzieren.
  4. Dokumentation aller Löschanfragen und deren Umsetzung.

Automatisierte Entscheidungen und Profiling

Art. 22 DSGVO gewinnt 2026 durch den AI Act erheblich an Bedeutung. Vollständig automatisierte Entscheidungen mit rechtlicher oder erheblicher Wirkung – etwa Kreditscoring, Bewerberauswahl oder Versicherungstarifierung – unterliegen strengsten Anforderungen.

Vergleich: Anforderungen vor und ab 2026

Aspekt Bis 2025 Ab 2026
Transparenzpflicht Aussagekräftige Information Detaillierte Erklärung der Logik + Grundrechte-Folgenabschätzung
Menschliche Überprüfung Auf Antrag Qualifizierte Fachperson, dokumentiert
Risikobewertung DSFA nach Art. 35 DSGVO DSFA + FRIA (Fundamental Rights Impact Assessment)
Bußgeldrahmen Bis 20 Mio. € / 4 % Kombiniert bis 35 Mio. € / 7 %
Beschwerderecht Aufsichtsbehörde Aufsichtsbehörde + AI Office

Was Unternehmen jetzt tun müssen

Die neuen Regeln erfordern konkrete Vorbereitungsmaßnahmen. Unternehmen sollten spätestens im ersten Quartal 2026 folgende Schritte umgesetzt haben:

10-Punkte-Checkliste für KI-Compliance 2026

  1. KI-Inventar erstellen: Alle eingesetzten KI-Systeme dokumentieren und nach AI Act klassifizieren.
  2. Rechtsgrundlagen prüfen: Für jede Datenverarbeitung eine belastbare DSGVO-Grundlage nachweisen.
  3. Datenschutz-Folgenabschätzung (DSFA): Für alle KI-Systeme mit hohem Risiko durchführen.
  4. Grundrechte-Folgenabschätzung (FRIA): Zusätzlich zur DSFA bei Hochrisiko-KI.
  5. Verträge anpassen: AVV mit KI-Anbietern (OpenAI, Microsoft, Google) prüfen und ergänzen.
  6. Mitarbeiterschulungen: AI Literacy nach Art. 4 AI Act ist Pflicht seit Februar 2025.
  7. Governance-Struktur: KI-Beauftragten oder KI-Ausschuss einrichten.
  8. Betroffenenrechte: Prozesse für Auskunft, Löschung und Widerspruch bei KI etablieren.
  9. Meldewege: Vorfälle mit schwerwiegenden Folgen sind meldepflichtig.
  10. Externe Kommunikation: Datenschutzerklärung um KI-Verarbeitungen erweitern.

Datenschutzrisiken für Privatpersonen

Auch für Privatnutzer verändert sich die Landschaft grundlegend. Immer mehr Alltagsdienste – von der Suchmaschine über E-Mail-Programme bis hin zu Social-Media-Plattformen – integrieren KI-Funktionen, die personenbezogene Daten verarbeiten.

Die größten Datenschutzrisiken durch KI

  • Prompt-Leaks: Sensible Informationen, die in Chatbots eingegeben werden, können in Trainingsdaten landen.
  • Modell-Halluzinationen: KI erfindet plausible, aber falsche Aussagen über reale Personen.
  • Profilbildung: KI kombiniert öffentlich zugängliche Daten zu detaillierten Persönlichkeitsprofilen.
  • Deepfakes: Missbrauch von Stimme und Bild für Betrug oder Rufschädigung.
  • Automatisierte Diskriminierung: Bias in Trainingsdaten führt zu benachteiligenden Entscheidungen.

Praktische Schutzmaßnahmen für Nutzer

  1. KI-Einstellungen prüfen: Bei ChatGPT, Gemini und Co. das Training mit eigenen Daten deaktivieren.
  2. Sensible Daten nicht eingeben: Keine Gesundheits-, Finanz- oder Bewerbungsdaten in öffentliche KI-Tools.
  3. Datenspuren minimieren: Regelmäßig prüfen, welche persönlichen Informationen im Netz auffindbar sind. Unser Leitfaden zeigt, wie Sie persönliche Daten von Datenhändlern entfernen.
  4. Datenbroker verstehen: Wer Ihre Daten sammelt, erfahren Sie in unserem Überblick zu Datenbrokern und dem Datenhandel.
  5. Links kürzen mit Datenschutz: Beim Teilen von Inhalten datenschutzfreundliche Dienste wie Lunyb nutzen, die keine Tracking-Profile aufbauen.

Branchen im Fokus: Wer besonders betroffen ist

Nicht alle Branchen sind gleichermaßen betroffen. Der AI Act stuft bestimmte Anwendungsbereiche als Hochrisiko ein – hier gelten die strengsten Regeln.

Hochrisiko-Bereiche nach Anhang III AI Act

Branche Typische KI-Anwendung Hauptrisiko
Personalwesen Bewerber-Screening Diskriminierung
Finanzwesen Kreditscoring Bias, Intransparenz
Bildung Bewertungssysteme Chancenungleichheit
Gesundheitswesen Diagnose-Unterstützung Fehldiagnosen
Strafverfolgung Predictive Policing Grundrechtseingriffe
Kritische Infrastruktur Netzsteuerung Systemausfälle

Grenzüberschreitende Datenübermittlung und KI

Viele KI-Anbieter sitzen in den USA. Das Data Privacy Framework (DPF) bietet zwar eine Rechtsgrundlage für Übermittlungen, doch die Rechtslage bleibt volatil. 2026 werden voraussichtlich weitere Anpassungen nötig, insbesondere nach möglichen politischen Änderungen in den USA. Unternehmen sollten daher:

  1. Zertifizierungsstatus ihrer US-Anbieter regelmäßig prüfen.
  2. Standardvertragsklauseln (SCC) als Backup vorhalten.
  3. Transfer Impact Assessments (TIA) dokumentieren.
  4. Europäische Alternativen (Mistral, Aleph Alpha) evaluieren.

Weitere Informationen zum Sicherheitsumfeld finden Sie in unserem Beitrag zur Cybersicherheit in der Schweiz 2026, die vergleichbare Herausforderungen adressiert.

Ausblick: Was kommt nach 2026?

Die Regulierung endet nicht 2026. Bereits in Vorbereitung sind Ergänzungen zur Haftung bei KI-Schäden (AI Liability Directive), sektorspezifische Leitlinien und internationale Standards. Unternehmen, die jetzt eine solide Compliance-Basis schaffen, sind für kommende Anforderungen gerüstet.

Wer Marketing-Aktivitäten datenschutzfreundlich gestalten möchte, findet in unserem Vergleich der besten Link-Tracking-Tools 2026 DSGVO-konforme Lösungen. Ebenso hilfreich: unser Überblick zu Bitly-Alternativen mit Datenschutzfokus.

Häufig gestellte Fragen (FAQ)

Ab wann gelten die neuen KI-Datenschutzregeln 2026 vollständig?

Der EU AI Act tritt gestaffelt in Kraft. Die Verbote gelten bereits seit Februar 2025, allgemeine KI-Modelle (GPAI) seit August 2025. Die vollständigen Pflichten für Hochrisiko-KI-Systeme werden ab August 2026 wirksam. Die DSGVO gilt parallel weiterhin unverändert – ergänzt durch neue BfDI-Leitlinien speziell zum KI-Einsatz.

Darf ich ChatGPT im Unternehmen DSGVO-konform nutzen?

Ja, aber unter Auflagen. Erforderlich sind ein Auftragsverarbeitungsvertrag (AVV) mit OpenAI, die Deaktivierung des Modelltrainings mit eigenen Daten, klare Richtlinien für Mitarbeiter, welche Daten eingegeben werden dürfen, sowie eine dokumentierte Rechtsgrundlage und ggf. eine Datenschutz-Folgenabschätzung. Für sensible Daten empfiehlt sich eine Enterprise- oder Azure-OpenAI-Lösung mit EU-Hosting.

Was ist eine Grundrechte-Folgenabschätzung (FRIA)?

Die FRIA (Fundamental Rights Impact Assessment) ist eine neue Pflicht des AI Act für Betreiber von Hochrisiko-KI-Systemen. Sie ergänzt die DSGVO-Datenschutz-Folgenabschätzung und bewertet Auswirkungen auf alle Grundrechte – nicht nur Datenschutz, sondern auch Nichtdiskriminierung, Meinungsfreiheit und Menschenwürde. Öffentliche Stellen und bestimmte private Betreiber müssen sie vor Inbetriebnahme durchführen und dokumentieren.

Welche Bußgelder drohen bei Verstößen gegen den AI Act?

Die Bußgelder sind gestaffelt: Bei verbotenen KI-Praktiken bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Bei Verstößen gegen Pflichten für Hochrisiko-KI bis zu 15 Millionen Euro oder 3 %. Bei falschen Angaben gegenüber Behörden bis zu 7,5 Millionen Euro oder 1 %. Zusätzlich können DSGVO-Bußgelder verhängt werden, was die Gesamtsumme drastisch erhöht.

Wie kann ich als Privatperson meine Daten vor KI-Training schützen?

Mehrere Maßnahmen helfen: Deaktivieren Sie in Diensten wie ChatGPT, Gemini oder Claude die Nutzung Ihrer Eingaben zum Training. Verwenden Sie Opt-out-Möglichkeiten großer Anbieter (z. B. bei Meta, LinkedIn, X). Minimieren Sie öffentlich verfügbare Informationen über sich, indem Sie Daten bei Datenhändlern löschen lassen. Nutzen Sie datenschutzfreundliche Suchmaschinen und Browser. Geben Sie keine sensiblen personenbezogenen Daten in öffentliche KI-Tools ein.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles