Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Drei Gesetze, eine Frist: Chiles KI-Regulierung kommt 2026

Drei Gesetze, eine Frist: Chiles KI-Regulierung kommt 2026

von Camilo Silva updated Mai 20, 2026 Cybersecurity-Risikomanagement
Lesezeit: 11 Minuten

Wichtige Erkenntnisse

  1. Kumulative Fristen bis 2026. Gesetze zu Cybersecurity, Datenschutz und KI schaffen gleichzeitig Verpflichtungen für chilenische Betreiber – ohne aufeinanderfolgende Compliance-Phasen.
  2. 732 OIVs bereits benannt. Die ANCI hat Betreiber aus den Bereichen Energie, Telekommunikation, Gesundheitswesen und digitale Dienste benannt, die mit direkten Bußgeldern bis zu 2,6 Mrd. CLP rechnen müssen.
  3. DSGVO-Plus-Datenschutzregeln. Ley 21.719 sieht Bußgelder von 4 % des weltweiten Umsatzes und ein ausdrückliches Recht auf Erklärung automatisierter Entscheidungen vor – und geht damit über die DSGVO hinaus.
  4. Gerichte setzen KI-Regeln bereits durch. Urteile des Obersten Gerichts zu biometrischen Daten zeigen, dass der verfassungsrechtliche Schutz sofort gilt – unabhängig vom Inkrafttreten des KI-Gesetzes.

Am 17. Dezember 2025 veröffentlichte die Nationale Cybersecurity-Agentur Chiles die Namen von 732 Betreibern von lebenswichtigen Diensten (OIV) im Diario Oficial. Die Liste umfasst Stromversorger (147 Betreiber), Telekommunikation (29), digitale Dienste (413), Banken und Zahlungsdienste (34), Gesundheitswesen (114), Staatsunternehmen (20) und etwa 175 Regierungsbehörden. Wenn Ihr Unternehmen auf dieser Liste steht, sind die Pflichten nach Ley 21.663 – Chiles grundlegender Cybersecurity-Rahmen – nicht mehr optional.

Artikel 5 stellt zwei Prüfungen auf. Erstens: Ist die Dienstleistung von Netzwerken und Informationssystemen abhängig? Zweitens: Besteht erheblicher Einfluss – gemessen an der Anzahl betroffener Nutzer, alternativen Anbietern, Monopolstellung, Kaskadeneffekten und strategischer Bedeutung für die Wirtschaft? Treffen beide zu, gilt man als OIV. Nach der Benennung muss der Betreiber ein Informationssicherheits-Managementsystem implementieren, einen CISO ernennen und Vorfälle unter strengen Fristen an das nationale CSIRT der ANCI melden.

Die Sanktionen sind verwaltungsrechtlich – die ANCI verhängt sie direkt, ohne Gerichtsverfahren. Sehr schwere Verstöße werden mit bis zu 40.000 UTM (ca. 2,6 Mrd. CLP) geahndet. Die zweite Bewertungsrunde für Isapres, Transport, Wasser, Gas und angrenzende Sektoren läuft bereits. Die Liste wird vor Ablauf der Frist weiter wachsen.

5 Wichtige Erkenntnisse

1. Dezember 2026 ist keine weiche Frist.

Drei Gesetze – Cybersecurity, Datenschutz und KI – betreffen im selben Jahr dieselben chilenischen Betreiber. Die Compliance-Fristen laufen parallel, nicht nacheinander. Ley 21.663 ist bereits durchsetzbar. DSGVO-ähnliche Datenschutzpflichten nach Ley 21.719 gelten ab dem 1. Dezember 2026. Das KI-Gesetz wurde im Oktober 2025 von der Abgeordnetenkammer verabschiedet und wartet auf die Zustimmung des Senats. Wer Governance linear aufbaut, verpasst alle drei Vorgaben.

2. 732 Organisationen sind bereits benannt.

In der ersten Bewertungsrunde hat die ANCI Betreiber lebenswichtiger Dienste in sieben Branchen benannt – Energie, Telekommunikation, digitale Dienste, Banken, Gesundheitswesen, Staatsunternehmen und Regierung. Die zweite Runde für Isapres, Transport, Wasser und Gas läuft bereits. Nach der Benennung kann die ANCI mit sechs Monaten Vorlauf eine Prüfung durchführen und Bußgelder bis zu 40.000 UTM – ca. 2,6 Mrd. CLP – direkt verhängen, ohne Gerichtsverfahren.

3. Das Datenschutzgesetz hat DSGVO-Charakter – und geht darüber hinaus.

Ley 21.719 sieht Bußgelder bis zu 4 % des jährlichen weltweiten Umsatzes vor, verlangt DPIAs für KI-Prozesse und führt Artikel 8 bis ein – ein ausdrückliches Recht auf Erklärung automatisierter Entscheidungen, das bewusst über Artikel 22 der DSGVO hinausgeht. Dieses Recht erfordert Nachweise in Echtzeit – Audit-Trails, Zugriffsprotokolle, Klassifizierungs-Metadaten – die die meisten Unternehmen noch nicht in ausreichender Qualität erzeugen.

4. Das KI-Gesetz wartet nicht auf den Senat – Gerichte setzen es bereits durch.

Das Oberste Gericht Chiles entschied im Januar 2025 gegen Worldcoin und wendete den verfassungsrechtlichen Schutz auf biometrische Daten an – neun Monate bevor das KI-Gesetz die Kammer passierte. Die Gerichte ordneten die Löschung aller biometrischen Datensätze innerhalb von 30 Tagen an und lehnten die Löschbescheinigung des Unternehmens als unzureichend ab. Die Vorlaufzeit ist kürzer als der Gesetzgebungsprozess vermuten lässt.

5. Der Architekturtest ist entscheidend.

Die meisten Unternehmen können Vertraulichkeit, Integrität oder Verfügbarkeit der Daten, die ihre KI-Systeme verarbeiten, nicht nachweisen. Der Kiteworks 2026 Forecast ergab: 63 % können keine Zweckbindung für KI-Agents durchsetzen, 61 % haben fragmentierte Protokolle ohne sinnvolle Benachrichtigungen und Alarme. Fehlt diese eine Fähigkeit – Audit-Trails in Beweisqualität – scheitert man an allen drei Rahmenwerken gleichzeitig.

Sie vertrauen auf die Sicherheit Ihres Unternehmens. Doch können Sie es auch nachweisen?

Jetzt lesen

Warum ein Cybersecurity-Gesetz bereits ein KI-Gesetz ist

Das KI-Gesetz ist noch nicht vom Senat verabschiedet. Dennoch reguliert Ley 21.663 bereits heute KI-Systeme. Jedes KI-System, das in einem kritischen Dienst eingebettet ist, übernimmt die Pflichten des Betreibers zu Vertraulichkeit, Integrität und Verfügbarkeit gemäß Artikel 5. Es gibt keine KI-Ausnahme, weil sie nicht nötig ist.

Ein hochkomplexes Krankenhaus mit KI-gestützter Diagnostik ist ein OIV. Das Modell ist Teil der Dienstleistung. Kommt es zu Ausfällen, Manipulationen oder Datenabfluss von Gesundheitsdaten durch Prompt Injection, liegt ein meldepflichtiger Vorfall vor – unabhängig davon, wie das KI-Gesetz „hohes Risiko“ letztlich definiert. Eine Bank mit KI-basierter Betrugserkennung an ihrem Zahlungsumschalter ist gleichermaßen betroffen. 413 der 732 OIVs sind Anbieter digitaler Dienste – das heißt, Cloud- und KI-Anbieter dieser Unternehmen sind durch ihre Kunden in den Cybersecurity-Perimeter einbezogen.

Chile steht in Lateinamerika an vierter Stelle bei Ransomware-Risiken. Die Sophos-Studie „State of Ransomware in Chile 2025″ ergab: 52 % der Unternehmen hatten verschlüsselte Daten, die mittlere Lösegeldzahlung lag bei 675.000 USD, die durchschnittlichen Wiederherstellungskosten bei 1,2 Mio. USD. Der CrowdStrike 2026 Global Threat Report dokumentiert einen Anstieg KI-gestützter Angriffe um 89 % im Jahresvergleich. Chilenische Betreiber holen beim Risikomanagement auf – sie regulieren nicht voraus.

Ley 21.719: Datenschutz mit DSGVO-Charakter und einem Artikel, der darüber hinausgeht

Ley 21.719, verabschiedet im Dezember 2024 und ab 1. Dezember 2026 durchsetzbar, ersetzt Chiles Datenschutzgesetz von 1999 durch ein DSGVO-orientiertes Regime. Sie schafft die Agencia de Protección de Datos Personales – Chiles erste eigenständige Datenschutzbehörde – und führt Rechtsgrundlagen für die Verarbeitung, verpflichtende DPIAs für risikoreiche Prozesse, Meldepflichten bei Datenschutzverstößen und Regeln für internationale Datenübermittlungen ein.

Zwei Regelungen sind für KI-Betreiber besonders relevant. Artikel 8 bis verankert ein ausdrückliches Recht auf Erklärung automatisierter Entscheidungen – bewusst über das implizite Recht aus DSGVO-Artikel 22 hinausgehend. Bei KI-gestützten Kredit- oder Personalentscheidungen bedeutet das: Dateninputs, Modellfaktoren, Klassifizierung und Richtlinien müssen nachvollziehbar offengelegt werden. Audit-Trails pro Vorgang sind die einzige praktikable Grundlage. Die zweite Regelung ist das Widerspruchsrecht gegen Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche oder erhebliche Auswirkungen haben – etwa Profiling, Kreditvergabe, Einstellungsalgorithmen, Leistungs- und Versicherungsentscheidungen.

Die Sanktionen sind streng: Wiederholte schwere Verstöße durch größere Unternehmen können Bußgelder von 2 % oder 4 % des jährlichen weltweiten Umsatzes nach sich ziehen. Ein nationales Sanktions- und Compliance-Register veröffentlicht Verstöße für fünf Jahre. Ein Bericht der Ministerialen Beratungskommission vom Juli 2025 wies darauf hin, dass die APDP unterfinanziert und im Rückstand ist, und empfahl einen Start bis Juni 2026 – das Compliance-Fenster ist also enger als der Dezember 2026 vermuten lässt.

Das KI-Gesetz – und der Oberste Gerichtshof, der schneller war

Gesetzentwurf Nr. 16821-19 übernimmt explizit die risikobasierte Architektur des EU-KI-Gesetzes mit vier Stufen. Unzulässiges Risiko – Social Scoring, unterschwellige Manipulation, nicht einvernehmliche biometrische Identifikation im öffentlichen Raum – ist vollständig verboten. Hochrisiko-Systeme unterliegen strengen Dokumentations-, Governance-, Transparenz-, menschlichen Kontroll- und Vorabgenehmigungspflichten. Begrenztes Risiko erfordert Offenlegung der KI-Interaktion und Kennzeichnung synthetischer Inhalte. Kein offensichtliches Risiko bleibt unreguliert.

Der Gesetzentwurf enthält für Lateinamerika ungewöhnliche Regelungen. Artikel 12 verlangt ausdrückliche Einwilligung für Deepfakes mit realen Personen. Artikel 15 verbietet Deepfakes, die die Menschenwürde, demokratische Integrität oder öffentliche Sicherheit gefährden. Artikel 18 sieht eine 24-Stunden-Frist für Plattformen zur Entfernung gemeldeter schädlicher Deepfakes vor. Das Gesetz gilt extraterritorial – ausländische Anbieter, deren KI-Ausgaben in Chile genutzt werden, fallen unter den Anwendungsbereich. Die Höchststrafe beträgt 20.000 UTM (ca. 1,5 Mio. USD).

Chiles Gerichte setzen diese Prinzipien bereits durch – noch bevor der Senat das Gesetz verabschiedet. Im Januar 2025 entschied der Oberste Gerichtshof Chiles gegen die Erhebung biometrischer Daten eines 17-Jährigen durch Worldcoin, ordnete die Löschung aller biometrischen Datensätze innerhalb von 30 Tagen an und lehnte die Löschbescheinigung des Unternehmens als unzureichend ab, sofern sie nicht nach einem Standard wie ISO 27001 überprüft wurde. Dies war das weltweit erste Urteil eines Obersten Gerichts gegen eine KI-basierte biometrische Plattform wie Worldcoin. Gerichte sind bereit, verfassungsrechtliche Schutzmechanismen auf KI-Systeme mit bestehenden Instrumenten anzuwenden – schon heute.

Die Governance-Lücke, die alle drei Gesetze verbindet

Chile führt den lateinamerikanischen KI-Index mit 73,07 Punkten an – vor Brasilien und Uruguay. Regierungsbehörden setzen bereits produktive KI ein: SUSESO nutzt Gradient-Boosting-Modelle für die medizinische Leistungsprüfung und Entscheidungsbäume für Audits zur psychischen Gesundheit am Arbeitsplatz. Stanford und CENIA schätzen, dass rund 4,7 Millionen chilenische Beschäftigte mehr als 30 % ihrer Aufgaben mit generativer KI beschleunigen könnten.

Die Implementierung ist der KI-Governance voraus. Der Kiteworks 2026 Forecast Report beziffert die Lücke genau: 63 % der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen, 60 % können fehlverhaltende Agents nicht beenden, 57 % haben kein zentrales KI-Datengateway, und 7 % verfügen über keinerlei spezifische KI-Kontrollen.

Dies sind Defizite in der Steuerungsebene, keine Versäumnisse bei der Policy. Die schriftliche Policy zur zulässigen KI-Nutzung existiert vielleicht – die Durchsetzung zur Laufzeit fehlt. Genau das werden Auditoren und ANCI-Inspektoren prüfen, wenn sie die dritte Verteidigungslinie eines OIV untersuchen.

Audit-Trails sind die Schlüsselkompetenz. 61 % der Unternehmen haben fragmentierte Protokolle ohne sinnvolle Benachrichtigungen und Alarme. Ohne Audit-Trails in Beweisqualität kann ein chilenischer Betreiber weder die Compliance nach Artikel 5 der Ley 21.663 nachweisen, noch die DPIA-Nachweispflichten nach Ley 21.719 erfüllen oder die Dokumentationspflichten des KI-Gesetzes für Hochrisiko-Systeme erfüllen. Eine fehlende Fähigkeit führt zum Scheitern bei allen drei Rahmenwerken.

Wie sieht Verteidigungsfähigkeit in Chile aus?

Der Weg durch die drei Gesetze führt über fünf architektonische Fähigkeiten, die heute umsetzbar sind.

Entdecken und klassifizieren. Jede Stelle identifizieren, an der sensible Daten gespeichert sind, und jede Schnittstelle, an der KI darauf zugreift. Dies erfüllt die Abhängigkeitsprüfung nach Artikel 5(1), das Mapping der Rechtsgrundlagen nach Ley 21.719 und die Dokumentationspflicht für Hochrisiko-Systeme nach dem KI-Gesetz. Der Thales-Report 2026 ergab: Nur 33 % der Unternehmen wissen genau, wo ihre Daten gespeichert sind – Datenklassifizierung ist die Voraussetzung für alle weiteren Kontrollen.

Jede Anfrage authentifizieren. Identitätsgebundener Zugriff für KI-Agents, keine geteilten API-Schlüssel. Sechs kommerzielle KI-Sicherheitslücken in 18 Monaten entstanden, weil KI einmal authentifiziert wurde und dann weitreichende Zugriffsrechte erbte. Zugriffskontrollen, die an die authentifizierte Identität gebunden sind – nicht an die Session –, sind die strukturelle Lösung.

Richtlinien pro Vorgang durchsetzen. Attributbasierte Zugriffskontrolle in Echtzeit, pro Anfrage, basierend auf Datenklassifizierung und Kontext – unabhängig vom Modell. Das macht Artikel 8 bis umsetzbar: Wer der Aufsicht nicht erklären kann, welche Dateninputs und Policy-Entscheidungen zu einem automatisierten Ergebnis führten, kann keine sinnvolle Erklärung liefern.

Mit FIPS 140-3 und Schlüsselverwaltung verschlüsseln. FIPS 140-3-validierte Verschlüsselung im ruhenden Zustand und während der Übertragung, mit Schlüsselverwaltung im Land – das erfüllt die Anforderungen an Datenhoheit aller drei Gesetze. Das Worldcoin-Urteil zeigt: Chilenische Gerichte verlangen ISO-zertifizierte Löschstandards – keine bloßen Zusicherungen.

Manipulationssicherer Audit-Trail. Jeder Zugriff, jede Aktion, vollständige Attribution, gestreamt an ein SIEM. Der Kiteworks 2026 Forecast zeigt: Die Qualität des Audit-Trails ist der beste Prädiktor für alle anderen KI-Governance-Metriken – mit Vorteilen von 20 bis 32 Punkten in allen Kontrollbereichen.

Der Kiteworks-Ansatz: Ein Control Plane für drei Gesetze

Die Fragmentierung, an der die meisten Compliance-Programme scheitern, ist architektonisch bedingt. E-Mail, Filesharing, SFTP, Managed File Transfer, REST-APIs, Web-Formulare und KI-Integrationen bringen jeweils eigene Zugriffskontrollen, Audit-Logs und Policy-Engines mit. Ein typischer OIV nutzt fünf bis zehn Austausch-Tools. Jedes erzeugt eigene Nachweise. Keines spricht eine gemeinsame Policy-Sprache. Die ANCI interessiert sich nicht für die Fragmentierung – sondern dafür, ob Sie Vertraulichkeit, Integrität und Verfügbarkeit über alle Kanäle hinweg nachweisen können, in denen sensible Daten bewegt werden.

Das Kiteworks Private Data Network stellt eine Policy-Engine, ein Audit-Log und eine Sicherheitsarchitektur über sichere E-Mail, Filesharing, SFTP, Managed File Transfer, REST-APIs, Web-Formulare und KI-Integrationen bereit – über den Secure MCP Server und das AI Data Gateway. Gehärtete virtuelle Appliance. Single-Tenant-Private-Cloud. FIPS 140-3-Kryptomodule. FedRAMP Moderate Authorized.

Wenn Artikel 8 bis eine Erklärung verlangt, liefert der Audit-Trail sie. Wenn die ANCI eine Abhängigkeitsprüfung nach Artikel 5 verlangt, belegen die Zugriffsprotokolle sie. Wenn das KI-Gesetz eine Vorabgenehmigung für ein Hochrisiko-System fordert, sind die Nachweise bereits gesammelt. Eine Architektur, drei Rahmenwerke, keine Fragmentierung.

Was chilenische Betreiber vor Dezember 2026 tun müssen

Erstens: Ihre KI-Datenlandschaft inventarisieren. Alle Systeme, Repositorys und SaaS-Lösungen erfassen, in denen regulierte Daten gespeichert sind, und jeden KI-Agenten, der darauf zugreift. 57 % der Unternehmen haben laut Kiteworks 2026 Forecast kein zentrales KI Data Gateway. Betreiber können Vertraulichkeit, Integrität oder Verfügbarkeit von Daten, die sie nicht kennen, nicht nachweisen.

Zweitens: Geteilte API-Schlüssel durch authentifizierten, ABAC-gesteuerten und manipulationssicher protokollierten Datenzugriff ersetzen. Durchsetzung pro Vorgang – unabhängig von Modell und Prompt – ist die einzige nachhaltige Lösung. Der Kiteworks 2026 Forecast ergab: 63 % der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen.

Drittens: Audit-Trails in Beweisqualität aufbauen, bevor die Aufsicht danach fragt. Compliance-Dashboards für Ley 21.663, Betroffenenrechte nach Ley 21.719 und Risikoklassifikation nach dem KI-Gesetz vorbereiten. Das sechsmonatige Prüfungsfenster der ANCI reicht nicht, um Audit-Trails nachträglich zu erstellen.

Viertens: Ihr KI-Portfolio jetzt anhand der Risikostufen des KI-Gesetzes klassifizieren. Chilenische Gerichte haben bereits gezeigt, dass sie verfassungsrechtlichen Schutz auf KI-Systeme anwenden. Identifizieren Sie, welche Systeme wahrscheinlich unzulässig, Hochrisiko, begrenzt oder ohne offensichtliches Risiko sind – und genehmigen Sie Hochrisiko-Systeme vorab mit Dokumentation, die einer externen Prüfung standhält.

Fünftens: APDP und ANCI als parallele, nicht aufeinanderfolgende Behörden behandeln. Die Datenschutz- und Cybersecurity-Aufsicht werden Informationen austauschen. Ein Vorfall mit personenbezogenen Daten aus einem KI-System löst Pflichten gegenüber beiden aus. Audit-Trails als Single Source of Truth sind die einzige praktikable Lösung – zwei getrennte Nachweisströme scheitern beim ersten echten Vorfall.

Wer mit dem Aufbau der Governance auf das KI-Gesetz wartet, liegt mehrere Quartale hinter den Unternehmen, die bereits mit Ley 21.663 begonnen haben. Die Compliance-Fenster öffnen sich nicht nacheinander – sie schließen gleichzeitig.

Erfahren Sie mehr über KI-Daten-Governance und vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Ja. Wenn Sie Hosting-, SOC-, MSP-, SaaS-, PaaS-, IaaS- oder Cybersecurity-Dienste für einen chilenischen OIV bereitstellen, gelten Ihre Pflichten über Ihre Kunden. Die ANCI hat in der ersten Bewertungsrunde 413 Anbieter digitaler Dienste als OIVs benannt. Anbieter mit Hauptsitz im Ausland unterliegen denselben architektonischen Anforderungen wie inländische – einschließlich ISMS-Implementierung, CISO-Ernennung und Vorfallmeldung an das CSIRT der ANCI. Compliance-Pflichten enden für Anbieter kritischer Infrastruktur nicht an Chiles Grenzen.

Artikel 8 bis verlangt die Offenlegung der Logik, Dateninputs und Entscheidungsfaktoren hinter jeder automatisierten Entscheidung mit rechtlichen oder erheblichen Auswirkungen – und geht damit bewusst über DSGVO-Artikel 22 hinaus. Für Kreditentscheidungen bedeutet das: Dateninputs, Modellfaktoren und Richtlinien müssen in verständlicher Form offengelegt werden. Audit-Trails pro Vorgang sind die einzige praktikable Grundlage – eine schriftliche Policy reicht zur Laufzeit nicht aus.

Nein. Das Worldcoin-Urteil des Obersten Gerichts Chiles im Januar 2025 zeigt: Gerichte wenden verfassungsrechtlichen Schutz auf KI-Systeme mit bestehenden Instrumenten an – schon heute, ohne KI-spezifische Gesetzgebung. Ley 21.663 erfasst bereits KI, die in kritischen Diensten eingebettet ist. Der Kiteworks 2026 Forecast ergab: 63 % der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen. Diese Lücke vor der Verabschiedung im Senat zu schließen, ist die einzige verteidigungsfähige Haltung. Jetzt aufgebaute KI-Daten-Governance erfüllt alle drei Rahmenwerke, sobald sie gelten.

Klinische Entscheidungshilfen sind eine Abhängigkeit nach Artikel 5(1) der Ley 21.663 und eine automatisierte Entscheidung nach Ley 21.719. Ein Verlust der Modellintegrität kann die Patientensicherheit direkt beeinträchtigen und meldepflichtige Vorfälle auslösen. Dasselbe System verarbeitet Gesundheitsdaten, die DPIA, Rechtsgrundlage und Meldepflichten unterliegen. Eine einheitliche Governance-Schicht erfüllt beide Regime gleichzeitig – fragmentierte Governance scheitert an beiden. Das Kiteworks AI Data Gateway und der Secure MCP Server bieten die dafür nötige zentrale Steuerungsebene.

Ja. Das KI-Gesetz 16821-19 gilt ausdrücklich auch für ausländische Anbieter, deren KI-Ausgaben in Chile genutzt werden – einschließlich Kennzeichnung synthetischer Inhalte, Deepfake-Regelungen und Risikoklassifizierung für Hochrisiko-Systeme. Nur 36 % der Unternehmen haben laut Kiteworks 2026 Forecast Transparenz darüber, wo Daten verarbeitet, trainiert oder abgeleitet werden – diese grundlegende Lücke verhindert die Einhaltung der Datensouveränität nach allen drei chilenischen Gesetzen. Schaffen Sie Transparenz zur Datenresidenz, bevor das Gesetz durchgesetzt wird.

Weitere Ressourcen

  • Blogbeitrag
    Zero‑Trust-Strategien für erschwinglichen KI-Datenschutz
  • Blogbeitrag
    Wie 77 % der Unternehmen bei der Sicherheit von KI-Daten scheitern
  • eBook
    KI-Governance-Lücke: Warum 91 % kleiner Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blogbeitrag
    Für Ihre Daten gibt es kein „–dangerously-skip-permissions“
  • Blogbeitrag
    Regulierungsbehörden wollen keine KI-Policy mehr sehen. Sie wollen Beweise, dass sie funktioniert.

Häufig gestellte Fragen

Im Dezember 2026 laufen drei Gesetze zusammen – Cybersecurity nach Ley 21.663, Datenschutz nach Ley 21.719 und das anstehende KI-Gesetz – und schaffen parallele Compliance-Fristen statt aufeinanderfolgender. Ley 21.663 ist bereits durchsetzbar, Ley 21.719 gilt ab 1. Dezember 2026. Unternehmen müssen eine integrierte Governance aufbauen, um nicht alle drei Rahmenwerke zu verpassen.

Die ANCI hat 732 OIVs in Sektoren wie Energie, Telekommunikation, digitale Dienste, Banken, Gesundheitswesen, Staatsunternehmen und Regierungsbehörden benannt. Benannte Betreiber müssen ein Informationssicherheits-Managementsystem implementieren, einen CISO ernennen und Vorfälle unter strengen Fristen an das nationale CSIRT der ANCI melden – mit Bußgeldern bis zu 40.000 UTM bei sehr schweren Verstößen.

Artikel 8 bis verankert ein ausdrückliches Recht auf Erklärung automatisierter Entscheidungen, das über DSGVO-Artikel 22 hinausgeht. Es verlangt die Offenlegung von Dateninputs, Modellfaktoren, Klassifizierung und Richtlinien in verständlicher Form. Dafür sind Audit-Trails in Beweisqualität erforderlich – die meisten Unternehmen verfügen derzeit nicht über die nötigen Nachweise zur Laufzeit.

Das Oberste Gericht Chiles entschied im Januar 2025 gegen Worldcoin, wendete verfassungsrechtlichen Schutz auf biometrische Daten an, ordnete die Löschung aller Datensätze innerhalb von 30 Tagen an und lehnte unzureichende Löschbescheinigungen ab. Das zeigt: Gerichte setzen KI-Governance-Prinzipien bereits heute mit bestehenden Instrumenten durch – und verkürzen so die effektive Frist für Compliance.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks