Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > 145 KI-Gesetze wurden 2025 verabschiedet. Datenschutz-Teams kommen nicht zur Ruhe.

145 KI-Gesetze wurden 2025 verabschiedet. Datenschutz-Teams kommen nicht zur Ruhe.

von Patrick Spencer updated Juni 10, 2026 Regulatorische Compliance
Lesezeit: 6 Minuten

Die meisten Unternehmensdiskussionen über Schatten-KI konzentrieren sich darauf, dass Mitarbeitende nicht autorisierte Tools nutzen. Der DataGrail Privacy and AI Trends Report 2026 identifiziert jedoch ein grundlegenderes Problem: Schatten-KI, die in autorisierter Unternehmenssoftware eingebettet ist. Wenn 63,6 % der KI-Anbieter ihre Drittanbieter-Subprozessoren nicht offenlegen, hat jedes Unternehmen, das diese Tools nutzt, Schatten-KI standardmäßig in seiner Umgebung – genehmigt und aktiv.

Die praktische Folge ist, dass Daten-Governance-Rahmenwerke, die davon ausgehen, dass rechtliche Dokumentation Datenflüsse korrekt beschreibt, auf falschen Annahmen beruhen. Eine Datenverarbeitungsvereinbarung, die Subprozessoren nicht benennt, kann keine DSGVO-Analyse, keine Überprüfung der HIPAA-Business Associate Agreement oder eine CMMC-2.0-Bewertung der Systemgrenzen unterstützen. Das Unternehmen glaubt, das Risiko der Datenverarbeitung bewertet zu haben. Das ist jedoch nicht der Fall.

Dies führt zu spezifischen Problemen für regulierte Branchen. Eine Gesundheitseinrichtung, die Patientendaten mit einem KI-Tool verarbeitet, dessen Subprozessoren nicht offengelegte Model-Training-Services umfassen, hat möglicherweise gegen HIPAA verstoßen, ohne dass ein Verstoß erkennbar war. Ein Rüstungsunternehmen, das CUI über ein KI-System mit nicht offengelegten Subprozessoren leitet, könnte CMMC-Grenzen überschritten haben, ohne dass eine Warnung ausgelöst wurde. Das Risiko bleibt unsichtbar, weil der Anbieter sich entschieden hat, es nicht offenzulegen. Die Datenschutz-Due-Diligence muss explizit nach KI-Subprozessoren fragen und vertragliche Zusicherungen verlangen, dass die Angaben vollständig sind.

5 Wichtige Erkenntnisse

1. US-Bundesstaaten haben 2025 insgesamt 145 KI-bezogene Gesetze verabschiedet – über 1.000 Gesetzesentwürfe wurden eingebracht oder überarbeitet.

Datenschutzteams, die mit einem Personalabbau von bis zu 33 % konfrontiert sind, müssen gleichzeitig ein Regulierungstempo bewältigen, für das kein manuelles Compliance-Programm ausgelegt ist. Jedes neue Gesetz schafft neue Betroffenenrechte, neue Dokumentationspflichten und in vielen Fällen ein individuelles Klagerecht, das das Risiko von Rechtsstreitigkeiten unabhängig von der behördlichen Durchsetzung erhöht. Die Compliance-Funktion scheitert nicht daran, Schritt zu halten – sie muss grundsätzlich mehr mit grundsätzlich weniger leisten.

2. 63,6 % der KI-Anbieter verschweigen ihre Drittanbieter-Subprozessoren.

Von 2.400 Business-Software-Anbietern mit KI-Funktionen geben fast zwei Drittel ihre KI-Subprozessoren in der rechtlichen Dokumentation nicht an. Unternehmen, die diese Produkte nutzen, setzen KI-Systeme ein, die Daten über nicht offengelegte Parteien leiten – ohne Transparenz darüber, wohin diese Daten gehen, welche Modelle damit trainiert werden oder welche Aufbewahrungsrichtlinien gelten. Das ist Schatten-KI auf Anbieterebene, aktiv in Tools, die von Rechts- und Einkaufsteams explizit genehmigt wurden. Die Daten-Governance-Due-Diligence muss Anbieter explizit auffordern, jeden KI-Subprozessor aufzulisten.

3. 32,8 % der KI-Systeme führen mindestens eine Hochrisiko-Aktivität durch.

Die Verarbeitung sensibler Daten und automatisierte Entscheidungsfindung lösen erhöhte Anforderungen gemäß dem EU AI Act und aufkommenden US-Bundesstaatengesetzen aus. Ein erheblicher Teil der KI-Einführungen in Unternehmen erfüllt diese Anforderungen bereits unter mehreren aktiven Rahmenwerken – dennoch haben die meisten Unternehmen nicht formell bewertet, in welche Kategorie ihre KI-Einführungen fallen.

4. 42 % der Unternehmen haben 2025 KI-Projekte wegen Datenschutzbedenken aufgegeben.

Unternehmen ohne eine gesteuerte KI-Infrastruktur, die Compliance-Anforderungen auf Datenebene durchsetzt, stehen vor einer binären Entscheidung: ohne Compliance einführen oder nicht einführen. 42 % entschieden sich gegen die Einführung. Ein gesteuerter KI-Kanal – mit Richtlinien durchgesetzte Wege, bei denen jede Datenbewegung protokolliert, jeder Subprozessor bekannt und jede Zugriffsentscheidung nachvollziehbar ist – schafft eine dritte Option: weitermachen und verteidigungsfähig sein.

5. Kaliforniens Attestationspflicht ab 2028 bringt persönliche strafrechtliche Risiken für Führungskräfte.

Datenschutz-Folgenabschätzungen, die unter Strafandrohung eingereicht werden, verlagern die Compliance-Verantwortung von den Budgets des Unternehmens auf die individuelle Karriere. Jede Attestation, die unter diesem Rahmen eingereicht wird, muss die tatsächlichen KI-Datenflüsse korrekt beschreiben – einschließlich der Subprozessoren. Unternehmen, deren KI-Anbieter zu den 63,6 % gehören, die Subprozessoren verschweigen, werden es sehr schwer haben, eine korrekte Attestation zu unterzeichnen. DSGVO-Rahmenwerke arbeiten seit Jahren mit vergleichbarer Verantwortlichkeit durch DPIA-Anforderungen; US-Führungskräfte werden nun an denselben Maßstab gebunden.

Welche Data Compliance Standards sind entscheidend?

Jetzt lesen

Die regulatorische Beschleunigung und ihre Anforderungen

145 Gesetze in einem Kalenderjahr – ein Tempo, für das die meisten Compliance-Programme nicht ausgelegt sind. Jedes neue Gesetz schafft neue Betroffenenrechte, neue Compliance-Pflichten, neue Dokumentationsanforderungen und in vielen Fällen individuelle Klagerechte, die das Risiko von Rechtsstreitigkeiten unabhängig von der behördlichen Durchsetzung erhöhen.

US-Bundesstaaten mit Datenschutzgesetzen sind heute der Haupttreiber für die Komplexität der Compliance außerhalb stark regulierter Bundesbereiche. Kalifornien, Texas, Colorado, Virginia und Connecticut haben umfassende Datenschutzrahmen mit spezifischen Anforderungen an automatisierte Entscheidungsfindung, Verarbeitung sensibler Daten und Verbraucherrechte eingeführt. Die DataGrail-Erkenntnis, dass 32,8 % der KI-Systeme an mindestens einer Hochrisiko-Aktivität beteiligt sind, bedeutet, dass ein erheblicher Teil der KI-Einführungen in Unternehmen bereits erhöhte Anforderungen unter mehreren aktiven Rahmenwerken auslöst.

Kaliforniens Attestationspflicht ab 2028 erhöht den Druck erheblich. Eine Datenschutz-Folgenabschätzung, die mit einer Führungskräfte-Attestation unter Strafandrohung eingereicht wird, muss die tatsächlichen KI-Datenflüsse korrekt abbilden – einschließlich der Subprozessoren, die 63,6 % der Anbieter nicht offenlegen. Die DSGVO hat dieses Modell bereits vor Jahren durch DPIA-Anforderungen etabliert. US-Regulierungsbehörden übernehmen nun dieselbe Logik.

Das 1,5-Millionen-Dollar-Problem manueller Verarbeitung

Die DataGrail-Erkenntnis, dass mittelständische Unternehmen jährlich 1,5 Millionen US-Dollar für die manuelle Bearbeitung von Betroffenenanfragen ausgeben, beschreibt eine strukturelle Ineffizienz, die mit der Anzahl der geltenden Gesetze zunimmt. Jedes neue Gesetz, das Verbraucherrechte wie Auskunft, Löschung, Berichtigung, Übertragbarkeit oder Opt-out schafft, erhöht das Anfragevolumen, das Unternehmen bearbeiten müssen. Jede neue Gerichtsbarkeit erweitert den Kreis der Verbraucher, die diese Rechte ausüben können.

Gesteuerte KI-Einführungen ändern diese Rechnung. Wenn KI-Interaktionen über einen durch Richtlinien gesteuerten Kanal laufen, wird das Audit-Log, das diese Interaktionen aufzeichnet, zur Infrastruktur für die Beantwortung von Betroffenenanfragen. Ein Unternehmen, das genau nachweisen kann, welche Daten von welchem KI-System, unter welcher Richtlinienautorisierung und zu welchem geschäftlichen Zweck verarbeitet wurden, kann Auskunfts- und Löschanfragen beantworten, ohne alles manuell rekonstruieren zu müssen. Durchsetzbare Datenminimierungsrichtlinien auf der KI-Datenzugriffsebene verringern von vornherein das Volumen personenbezogener Daten in KI-Workflows – und damit den Umfang der Daten, die offengelegt oder gelöscht werden müssen.

Das Kiteworks AI Data Gateway erzwingt sowohl die Richtlinienkontrollen als auch die Protokollierung, die die Compliance-Reaktion von einem arbeitsintensiven manuellen Prozess zu einer operativen Fähigkeit machen.

Aufbau eines KI-Compliance-Programms für 145 Gesetze

Kein Datenschutzteam kann 145 Gesetze plus über 1.000 laufende Gesetzesentwürfe einzeln verfolgen und für jedes manuelle Compliance-Prozesse betreiben. Unternehmen, die in diesem Umfeld bestehen, behandeln KI-Compliance als Infrastrukturthema, nicht als juristisches Rechercheproblem. Die zugrundeliegenden Anforderungen – Datenminimierung, Zugriffskontrolle, Verarbeitungstransparenz, Audit-Logging – sind in nahezu allen Datenschutzrahmenwerken identisch. Eine KI-Governance-Infrastruktur, die diese Anforderungen einheitlich durchsetzt, erfüllt mehrere Gesetze gleichzeitig.

Privacy by Design für KI bedeutet, Governance-Kontrollen bereits in die Bereitstellungsarchitektur einzubauen, bevor sensible Daten ins System gelangen. ABAC-Durchsetzung innerhalb einer KI-Bereitstellung stellt die Zugriffskontrolle sicher – KI-Systeme dürfen nur auf Daten zugreifen, für deren Verarbeitung sie unter regulatorisch konformen Bedingungen autorisiert sind. Für Unternehmen, die der DSGVO unterliegen, ist der KI-Datenzugriff durch Rechtsgrundlage und Datenminimierung begrenzt. Für Unternehmen unter CMMC 2.0 ist der Zugriff durch CUI-Vorgaben begrenzt. Die gleiche ABAC-Infrastruktur erfüllt beide Anforderungen.

Regulatorische Compliance mit der Geschwindigkeit von 145 Gesetzen pro Jahr erfordert Automatisierung, nicht mehr Personal. Unternehmen, die diese Automatisierung jetzt in ihre KI-Governance-Architektur integrieren, sichern sich einen strukturellen Vorteil, wenn das Regulierungstempo weiter steigt.

Erfahren Sie mehr über den Schutz sensibler Daten in einer KI-Welt und vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Mehr als sechs von zehn KI-fähigen Softwareprodukten könnten die Daten Ihres Unternehmens über KI-Dienste von Drittparteien leiten, die in ihren Datenschutzrichtlinien oder Datenverarbeitungsvereinbarungen nicht genannt werden. Nach DSGVO müssen Verarbeitungsverzeichnisse Subprozessoren enthalten und DPA diese an gleichwertige Datenschutzstandards binden. Wenn ein Anbieter einen Subprozessor nicht offenlegt, konnten Sie ihn nicht bewerten. Die Daten-Governance-Due-Diligence muss Anbieter explizit auffordern, jeden KI-Subprozessor aufzulisten und vertragliche Zusicherungen zur Vollständigkeit der Angaben einzuholen.

Die Attestation von Führungskräften unter Strafandrohung verschiebt die Compliance-Verantwortung von der Organisation auf die Einzelperson – und schafft potenziell persönliches strafrechtliches Risiko für Führungskräfte, die ungenaue Attestations unterzeichnen. Jede Bewertung, die unter diesem Rahmen eingereicht wird, muss die tatsächlichen KI-Datenflüsse einschließlich Subprozessoren korrekt beschreiben. Unternehmen, deren KI-Anbieter zu den 63,6 % gehören, die Subprozessoren verschweigen, werden es sehr schwer haben, eine korrekte Attestation zu unterzeichnen. Datenschutz-Folgenabschätzungen sind keine bloßen Verwaltungsformalitäten mehr.

Die Abbruchquote von 42 % spiegelt eine strukturelle Lücke wider: Unternehmen wollten KI-Funktionen einführen, konnten aber die geltenden Compliance-Anforderungen ohne gesteuerte Infrastruktur nicht erfüllen. Unternehmen ohne gesteuerten KI-Kanal stehen vor einer binären Entscheidung – Einführung ohne Compliance oder keine Einführung. Ein gesteuerter Kanal mit Richtliniendurchsetzung, vollständiger Subprozessor-Transparenz und umfassendem Audit-Trail bietet die dritte Option: eine Einführung, die tatsächlich rechtlich verteidigungsfähig ist.

Indem sie es als Infrastrukturthema und nicht als juristisches Rechercheproblem behandeln. Dokumentierte Datenflüsse, durchsetzbare Zugriffskontrollen, Datenminimierung und Audit-Trails sind in praktisch allen modernen Datenschutzrahmenwerken Standard. Eine KI-Governance-Infrastruktur, die diese Anforderungen einheitlich durchsetzt, erfüllt mehrere Gesetze gleichzeitig. Audit-Logs, die jeden KI-Datenzugriff erfassen, liefern die Grundlage für die Beantwortung von Betroffenenanfragen und regulatorische Nachfragen – und senken die Kosten der Einzelbearbeitung nahezu auf null.

Mindestens: ein gesteuerter Datenzugriffskanal, der Richtlinienbedingungen durchsetzt, bevor KI-Systeme auf sensible Daten zugreifen oder diese verarbeiten; umfassendes Audit-Logging jeder KI-Interaktion; Datenminimierungskontrollen, die KI-Zugriffe auf das Notwendige beschränken; ein vollständiges KI-Subprozessor-Inventar mit vertraglichen Datenschutzverpflichtungen; sowie ein Prozess für Betroffenenanfragen, bei dem das Audit-Log als Nachweis dient. Das Kiteworks AI Data Gateway und das Compliant AI Framework bieten dies als integrierte Plattform statt als Einzellösungen, die individuelle Integration erfordern.

Weitere Ressourcen

  • Blogbeitrag
    Zero‑Trust-Strategien für kosteneffizienten KI-Datenschutz
  • Blogbeitrag
    Wie 77 % der Unternehmen bei der KI-Datensicherheit scheitern
  • eBook
    AI Governance Gap: Warum 91 % der kleinen Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blogbeitrag
    Es gibt kein „–dangerously-skip-permissions“ für Ihre Daten
  • Blogbeitrag
    Regulierungsbehörden wollen keinen KI-Policy-Nachweis mehr sehen. Sie wollen Beweise, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks