Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > DSGVO nach zehn Jahren: Das KI-Zeitalter wird zeigen, ob die Regeln bestehen

DSGVO nach zehn Jahren: Das KI-Zeitalter wird zeigen, ob die Regeln bestehen

von Danielle Barbour updated Mai 26, 2026 DSGVO-Compliance
Lesezeit: 9 Minuten

5 Wichtige Erkenntnisse

  1. Das erste Jahrzehnt der DSGVO war ein Jahrzehnt der ruhenden Daten. Verzeichnisse, Verarbeitungsverzeichnisse (RoPAs), Meldungen von Datenschutzverstößen, Datenschutz-Folgenabschätzungen (DPIAs). Das nächste Jahrzehnt wird ein Jahrzehnt der Daten in Bewegung sein – Prompts, Trainingsdaten, Modellgewichte, Agentenaktionen.
  2. Die Durchsetzung im ersten Quartal 2026 war bereits vor den KI-Fällen aggressiv. Bußgelder in Höhe von insgesamt 68,18 Mio. € allein in den ersten drei Monaten des Jahres, mit Frankreich und Großbritannien an der Spitze. Der Trend ist steigend, nicht gleichbleibend.
  3. Free Mobile ist das Warnsignal. 27 Mio. € CNIL-Bußgeld im Januar 2026 wegen schwacher VPN-Authentifizierung, fehlender Anomalie-Erkennung und übermäßiger Speicherung ehemaliger Kundendaten. Operative Versäumnisse, keine Richtlinienfehler.
  4. Der EDSA hat das KI-Problem bereits benannt. KI-Modelle, die mit personenbezogenen Daten trainiert wurden, können nicht in jedem Fall als anonym gelten. Dieser eine Satz verschiebt die Beweislast für jedes Modell, das EU-Daten verarbeitet.
  5. Die architektonische Antwort liegt in der Datenschicht. Verträge und Richtlinien können Souveränität, Aufbewahrung oder KI-Verarbeitungsgrenzen nicht durchsetzen. Nur die Architektur kann das – und nur sie wird der nächsten Durchsetzungsdekade standhalten.

Das Jubiläum, das noch niemand feiern sollte

In diesem Jahr jährt sich die Verabschiedung der Datenschutzgrundverordnung (DSGVO) der Europäischen Union zum zehnten Mal. Sie ist seit dem 25. Mai 2018 in der gesamten EU anwendbar und hat seither jedes Datenschutzprogramm auf dem Kontinent und die meisten außerhalb davon grundlegend verändert. Laut Berichten in CSO Online fällt das Fazit gemischt aus – die Verordnung hat die Regeln vereinheitlicht, das Datenschutzniveau angehoben und ein globales Vorbild geschaffen, aber sie hat die von den Verfassern versprochene individuelle Kontrolle über personenbezogene Daten bislang nicht erreicht.

Das größere Problem: Die Welt, für die die DSGVO geschrieben wurde, existiert nicht mehr. Die Verfasser dachten 2016 an Cookie-Banner, Drittanbieter-Tracker und Verbraucherprofile. Sie dachten nicht an Retrieval-Augmented Generation, autonome KI-Agenten, Foundation-Modelle, die mit offenen Webdaten trainiert werden, und Prompts, die drei Jurisdiktionen durchlaufen, bevor sie eine Antwort liefern.

Die nächsten zehn Jahre der DSGVO-Durchsetzung werden davon geprägt sein, wie Aufsichtsbehörden ein Regelwerk von 2016 auf Technologien von 2026 anwenden. Die ersten Signale sind nicht ermutigend für Unternehmen, die Datenschutz-Compliance als reine Dokumentationsaufgabe betrachten.

Das erste Quartal 2026 zeigt bereits, wohin die Durchsetzung geht

Die ersten drei Monate des Jahres 2026 führten laut Daten der Finanzplattform Finbold zu kumulierten DSGVO-Bußgeldern von 68,18 Mio. €. Frankreich und das Vereinigte Königreich führten die Liste an. Das entspricht etwa 757.600 € pro Tag allein im ersten Quartal.

Die wichtigste Maßnahme erfolgte am 13. Januar 2026, als die französische CNIL insgesamt 42 Mio. € Bußgelder gegen Free Mobile (27 Mio. €) und deren Muttergesellschaft Free SAS (15 Mio. €) verhängte – wegen eines Datenschutzverstoßes im Oktober 2024, bei dem personenbezogene Daten aus 24 Millionen Kundenverträgen, darunter IBANs, offengelegt wurden. Die CNIL stellte drei konkrete DSGVO-Verstöße fest: schwache VPN-Authentifizierung und unzureichende Anomalie-Erkennung (Artikel 32), unvollständige Meldung des Datenschutzverstoßes (Artikel 34) und übermäßige Speicherung ehemaliger Kundendaten (Artikel 5(1)(e)).

Die Entscheidung zu Free Mobile ist lehrreich, weil die Verstöße nicht außergewöhnlich waren. Das Unternehmen hatte ein VPN mit unzureichender Authentifizierung, Sicherheitstelemetrie, die einen aktiven Verstoß nicht erkannte, und einen Prozess zur Datenaufbewahrung, der mehr als 15 Millionen Verträge, die bereits vor über fünf Jahren gekündigt wurden, weiterhin in den Produktivsystemen hielt – darunter 3 Millionen Verträge, die seit über einem Jahrzehnt beendet waren. Keiner dieser Fehler erforderte neue Angriffsmethoden. Es waren Lücken in der operativen Hygiene, die zu einem Bußgeld von 27 Mio. € führten.

Genau diese Durchsetzungsstrategie sollten Unternehmen im nächsten Jahrzehnt erwarten. Die CNIL hat das Unternehmen nicht dafür bestraft, dass ein Häkchen in einem Richtliniendokument fehlte. Sie hat das Unternehmen für die Lücke zwischen Richtlinie und tatsächlicher technischer Umsetzung bestraft.

Der EDSA hat die KI-Frage bereits neu gestellt

Während die CNIL am Fall Free Mobile arbeitete, beantwortete der Europäische Datenschutzausschuss (EDSA) die Frage, die das zweite Jahrzehnt der DSGVO prägen wird. Am 17. Dezember 2024 verabschiedete der EDSA die Stellungnahme 28/2024 zu KI-Modellen und personenbezogenen Daten als Antwort auf eine Anfrage der irischen Datenschutzbehörde.

Die wichtigste Feststellung der Stellungnahme ist ein Satz: KI-Modelle, die mit personenbezogenen Daten trainiert wurden, können nicht in jedem Fall als anonym gelten. Das ist eine klare Absage an die bequeme Annahme, ein trainiertes Modell sei mathematisch von den Trainingsdaten getrennt. Der EDSA hält fest, dass Anonymität im Einzelfall zu prüfen ist – mit Bewertung direkter und probabilistischer Extraktionsrisiken – und dass die Beweislast beim Verantwortlichen liegt.

Die Folge ist strukturell: Ist ein Modell, das mit EU-Personendaten trainiert wurde, nicht automatisch anonym, verarbeitet jeder Verantwortliche, der dieses Modell einsetzt, personenbezogene Daten nach DSGVO. Das löst die Prinzipien des Artikels 5, die Anforderungen an die Rechtsgrundlage nach Artikel 6, Datenschutz durch Technikgestaltung nach Artikel 25, Sicherheitsanforderungen nach Artikel 32 und DPIA-Pflichten nach Artikel 35 aus – für das Modell selbst und jede nachgelagerte Nutzung.

Für Unternehmen, die ihre KI-Strategie auf der Annahme aufgebaut haben, dass Modellausgaben nicht reguliert sind, hat der EDSA den Geltungsbereich der Regulierung auf jeden Einsatz des Modells ausgeweitet. Dieser Geltungsbereich ist nicht optional. Er ist das Mindestmaß.

Warum Datenschutzprogramme von 2018 das nächste Jahrzehnt nicht tragen können

Die Datenschutzprogramme, die zur Einhaltung der DSGVO im Jahr 2018 entwickelt wurden, waren für eine Welt konzipiert, in der personenbezogene Daten in Datenbanken lagen, durch dokumentierte Verarbeitungsprozesse liefen und durch Zugriffskontrollen auf Systemebene geschützt wurden. Verzeichnisse, Verarbeitungsverzeichnisse, Datenschutz-Folgenabschätzungen, Meldeprozesse für Datenschutzverstöße – das gesamte Compliance-Toolkit ging davon aus, dass personenbezogene Daten einen bekannten Speicherort, einen bekannten Zweck und einen bekannten Nutzerkreis hatten.

Diese Annahme gilt nicht mehr. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt, dass nur 36 % der Unternehmen Transparenz darüber haben, wie Partner Daten in KI-Systemen verarbeiten, und 30 % sehen den Umgang von Drittanbieter-KI-Anbietern als zentrales Sicherheitsrisiko. Nur 43 % verfügen über ein zentrales KI-Datengateway – das bedeutet, 57 % betreiben agentische KI über fragmentierte, ad-hoc oder nur teilweise Kontrollen.

Das gleiche Muster zeigt sich bei den Daten zur Souveränität. Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe fand heraus, dass 32 % der europäischen Befragten in den letzten 12 Monaten einen Vorfall im Zusammenhang mit Datensouveränität erlebt haben und 44 % Bedenken hinsichtlich der Souveränitätsgarantien von Anbietern als Hürde für die Nutzung europäischer Cloud-Lösungen nennen – der höchste Wert aller Regionen. Das regulatorische Bewusstsein in Europa ist hoch; 80 % bezeichnen sich als „gut“ oder „sehr gut“ informiert. Die Vorfallrate zeigt: Bewusstsein ist keine Kontrolle.

Branchendaten zeigen die Lücke zwischen deklarierter Compliance und nachweisbarer Kontrolle. Diese Lücke wird das nächste Jahrzehnt der DSGVO-Durchsetzung schließen – durch Bußgelder, Prüfberichte und Gerichtsverfahren. Unternehmen, die diese Lücke schließen, bevor die Aufsichtsbehörden kommen, werden bestehen. Unternehmen, die weiterhin auf Verträge und Richtlinien setzen, werden es nicht.

Was das KI-Jahrzehnt tatsächlich erfordert

Die Verfasser der DSGVO haben die Verordnung um sechs Prinzipien in Artikel 5 aufgebaut: Rechtmäßigkeit, Fairness, Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit. Artikel 5(2) fügte ein siebtes hinzu – Rechenschaftspflicht – das von Verantwortlichen verlangt, Compliance nachzuweisen, nicht nur zu behaupten.

Jedes dieser Prinzipien ist schwerer zu erfüllen, wenn Daten durch ein KI-System fließen statt in einer Datenbank zu liegen. Zweckbindung bricht, wenn ein Modell für einen Zweck trainiert und für einen anderen genutzt wird. Datenminimierung bricht, wenn Retrieval-Augmented Generation mehr Kontext abruft als der Prompt benötigt. Speicherbegrenzung bricht, wenn Fine-Tuning personenbezogene Daten in Modellgewichten ohne Ablaufdatum speichert. Rechenschaftspflicht bricht, wenn das Modell ersetzt wird und der zugehörige Audit-Trail verloren geht.

Branchendaten zeigen die operative Realität: Die Mehrheit der Unternehmen kann Zweckbindungen bei KI-Agenten nicht durchsetzen. Die meisten können einen fehlverhaltenden Agenten nicht schnell abschalten. Die meisten können KI-Systeme nicht vom restlichen Netzwerk isolieren. Die meisten können KI-Eingaben nicht validieren. Jede dieser Lücken ist ein künftiger Artikel-5-Befund.

Das nächste Jahrzehnt der DSGVO-Durchsetzung wird sich nicht daran messen, ob Unternehmen eine Datenschutzrichtlinie haben. Es wird sich daran messen, ob die Architektur nachweisen kann, dass die Richtlinie umgesetzt wurde. Dieser Nachweis muss unterhalb der Modellebene, unterhalb der Prompt-Ebene, unterhalb des Agenten-Frameworks liegen – denn jede Ebene oberhalb der Daten kann aktualisiert, ersetzt oder kompromittiert werden und so Beweise vernichten.

Die architektonische Antwort ist die Datenschicht

Das Architekturmodell, das das nächste Jahrzehnt der DSGVO-Durchsetzung übersteht, ist Governance auf der Datenschicht – unabhängig vom Modell und unabhängig von der Laufzeit. Jeder Zugriff auf personenbezogene Daten wird gegen den menschlichen Nutzer authentifiziert, in dessen Auftrag der Agent handelt. Jede Autorisierungsentscheidung erfolgt anhand attributbasierter Richtlinien, die Klassifizierung, Jurisdiktion und Einwilligung berücksichtigen. Jede Aktion erzeugt ein manipulationssicheres Audit-Log, das länger existiert als das Modell, das es ausgelöst hat.

Genau dieses Muster setzen Plattformen wie Kiteworks um. Das Kiteworks Private Data Network vereint E-Mail, Filesharing, Managed File Transfer, SFTP und Datenformulare in einer einzigen zero-trust Plattform, auf der jede Datei über ihren gesamten Lebenszyklus kontrolliert, verfolgt und geschützt wird. Zentrale, unveränderliche Audit-Logs und automatisiertes Compliance-Reporting – mit vorkonfigurierten Vorlagen für DSGVO, NIS 2, DORA und weitere – liefern die exportierbaren Nachweise, die Regulierungsbehörden und Kunden zunehmend verlangen. Der Kiteworks Secure MCP Server und Kiteworks Compliant AI erweitern diese Governance auf KI – ermöglichen LLM-Anwendungen und RAG-Pipelines den Zugriff auf Unternehmensdaten über OAuth 2.0-Authentifizierung und die Kiteworks Data Policy Engine, wobei jede KI-Aktion protokolliert wird.

Das architektonische Argument ist nicht, dass eine einzelne Plattform DSGVO-Compliance garantiert. Es ist, dass die von Artikel 5 und Artikel 32 geforderten Kontrollen – nachweisbare Zweckbindung, nachweisbare Datenminimierung, nachweisbare Sicherheit, nachweisbare Rechenschaftspflicht – nur dort durchgesetzt werden können, wo die Daten liegen. Alles darüber ist eine Richtlinienbehauptung. Darunter liegt der Nachweis, der die Aufsichtsbehörde überzeugt.

Die Unternehmen, die die Lücke zwischen deklarierter Compliance und nachweisbarer Kontrolle schließen, werden die nächste Prüfung bestehen. Die anderen werden die Fallstudien für den nächsten Jubiläumsartikel sein.

Was Datenschutzprogramme vor dem nächsten Jubiläum tun müssen

  1. Erstens: Aktualisieren Sie jedes Verarbeitungsverzeichnis (RoPA) und jede Datenschutz-Folgenabschätzung (DPIA), um KI-Verarbeitung als eigenständige Aktivität zu erfassen. Artikel-30-Verarbeitungsverzeichnisse und Artikel-35-DPIAs wurden nicht entwickelt, um Trainingsdaten, Prompt-Protokolle, RAG-Retrievals oder Agentenketten zu erfassen. Das muss jetzt geschehen. Der Grund, warum die meisten Unternehmen Zweckbindungen bei KI-Agenten nicht durchsetzen können, ist, dass KI nie als Verarbeitungstätigkeit richtig inventarisiert wurde.

  2. Zweitens: Prüfen Sie die Aufbewahrung in allen Systemen mit personenbezogenen Daten. Der Fall Free Mobile hat gezeigt, dass die Speicherbegrenzung nach Artikel 5(1)(e) jetzt ein zentrales Durchsetzungsziel ist. Branchendaten zeigen, dass Unternehmen eher in die Überwachung von KI investieren als in deren Kontrolle – kontinuierliches Monitoring übertrifft die Einführung von Abschaltmechanismen um fast 20 Prozentpunkte. Das Aufbewahrungsrisiko ist nicht theoretisch; es liegt in den Produktivsystemen.

  3. Drittens: Behandeln Sie die EDSA-Stellungnahme 28/2024 als verbindliche Grundlage. Jede KI-Implementierung, die EU-Personendaten verarbeitet, benötigt eine dokumentierte Bewertung, ob das Modell als anonym gelten kann, wie die Interessenabwägung aussieht und was passiert, wenn sich herausstellt, dass die Trainingsdaten unrechtmäßig verarbeitet wurden. Die meisten Unternehmen können diese Dokumentation nicht auf Abruf liefern, weil ihnen ein zentrales KI-Datengateway fehlt – die architektonische Basis, die solche Dokumentation ermöglicht.

  4. Viertens: Verlegen Sie die Richtliniendurchsetzung in die Datenschicht. Identitätskontrollen, Laufzeit-Grenzen und Systemprompts sind notwendig, aber nach dem Accountability-Prinzip der DSGVO nicht ausreichend. Die Autorisierung für KI-Zugriffe auf personenbezogene Daten muss dort erfolgen, wo die Daten liegen – mit attributbasierten Kontrollen und manipulationssicherem Audit. Transparenz darüber, wie Partner Daten in KI-Systemen verarbeiten, ist eine anhaltende Branchenschwäche – genau diese Lücke macht die Nachweisbarkeit der Auftragsverarbeiter-Compliance nach Artikel 28 in jeder strengen Prüfung unmöglich.

  5. Fünftens: Bereiten Sie sich auf eine verschärfte Prüfung von grenzüberschreitenden Übermittlungen vor. KI-Anbieter verschärfen dieses Risiko – ein Prompt an einen Cloud-KI-Anbieter kann in einer anderen Jurisdiktion verarbeitet, zur Feinabstimmung von Modellen an anderen Standorten genutzt oder zur Generierung von Ausgaben verwendet werden, die mehrere Grenzen überschreiten, bevor sie zurückkommen. Die Schrems-II-Entscheidung hat die Rechtsfrage geklärt; die Architektur muss die operative Frage klären.

Das erste Jahrzehnt der DSGVO war die Generalprobe für die Regeln. Das nächste Jahrzehnt ist die Aufführung.

Häufig gestellte Fragen

Konzentrieren Sie sich auf die Lücke zwischen deklarierter Compliance und nachweisbarer Kontrolle. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt, dass nur 43 % der Unternehmen über ein zentrales KI-Datengateway verfügen – die architektonische Grundlage, die Prüfer zunehmend erwarten. Aktualisieren Sie RoPAs und DPIAs um KI-Verarbeitung, prüfen Sie die Aufbewahrung gemäß Artikel 5(1)(e) und dokumentieren Sie die Ausrichtung auf die EDSA-Stellungnahme 28/2024 für jedes Modell, das EU-Personendaten verarbeitet.

Ja. Die CNIL hat die DSGVO-Artikel 32, 34 und 5(1)(e) auf konkrete operative Versäumnisse angewendet – schwache VPN-Authentifizierung, fehlende Anomalie-Erkennung, übermäßige Aufbewahrung – die auch bei US-Unternehmen mit EU-Aktivitäten häufig vorkommen. Etwa jeder dritte europäische Befragte hat in den letzten 12 Monaten einen Vorfall im Zusammenhang mit Datensouveränität erlebt, wobei operative Lücken wie diese zu den häufigsten Ursachen zählen. Der Durchsetzungsstandard gilt für jeden Verantwortlichen, der Daten von EU-Bürgern verarbeitet – unabhängig vom Sitz des Headquarters.

Die EDSA-Stellungnahme 28/2024 stellt klar, dass KI-Modelle, die mit personenbezogenen Daten trainiert wurden, nicht in jedem Fall als anonym gelten. Das bedeutet: Jede RAG-Implementierung, die EU-Daten verarbeitet, verarbeitet personenbezogene Daten nach DSGVO. Die meisten Unternehmen können Zweckbindungen bei KI-Agenten heute nicht durchsetzen – eine Kontrolle, die Artikel 5(1)(b) der DSGVO verlangt. Dokumentieren Sie die Rechtsgrundlage nach Artikel 6, führen Sie eine DPIA nach Artikel 35 durch und setzen Sie die Zweckbindung auf der Datenschicht durch.

Standardvertragsklauseln bleiben ein gültiger Übermittlungsmechanismus, sind aber zunehmend allein nicht ausreichend. Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe zeigt, dass 44 % der europäischen Befragten Bedenken hinsichtlich der Souveränitätsgarantien von Anbietern als Hürde nennen – der höchste Wert aller Regionen. Schrems II verlangt ergänzende technische Maßnahmen zu den Verträgen. Architekturkontrollen für Verarbeitungsort, Schlüsselverwaltung und Zugriff sind jetzt Teil einer vertretbaren Strategie.

Drei Prioritäten: Inventarisieren Sie jede KI-Verarbeitung als eigenständigen Eintrag im RoPA – mit dokumentierter Rechtsgrundlage und Ausrichtung auf die EDSA-Stellungnahme 28/2024. Verlegen Sie die Richtliniendurchsetzung in die Datenschicht – die meisten Unternehmen können heute einen fehlverhaltenden KI-Agenten nicht schnell abschalten, genau die Art von Nachweis, die Aufsichtsbehörden zunehmend verlangen. Bereiten Sie prüfungsfertige Nachweispakete für die Verpflichtungen aus Artikel 5, Artikel 32 und Artikel 35 im gesamten KI-Bereich vor.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks