Die ICO macht KI-Sicherheit zur Pflicht nach Artikel 32 der britischen DSGVO

5 Wichtige Erkenntnisse

1. KI-Sicherheit ist jetzt eine Datenschutzpflicht.
Die neue Leitlinie des ICO stellt KI-gestützte Bedrohungen als aktuelle Verpflichtung gemäß UK DSGVO Artikel 32 dar – nicht als zukünftiges Risiko. Unternehmen, die personenbezogene Daten verarbeiten, müssen jetzt handeln.

2. Sieben Angriffsarten stehen im Fokus der Aufsicht.
KI-unterstütztes Phishing, Deepfake-Social-Engineering, automatisiertes Schwachstellenscanning, KI-basierte Malware, Credential Stuffing, Datenvergiftung und indirekte Prompt Injection werden alle in der Leitlinie genannt.

3. Fünf Schritte bilden die neue Compliance-Basis.
Threat Horizon Scanning, Sicherheitsgrundlagen, Schutz personenbezogener Daten, mehrschichtige KI-Governance sowie Monitoring und Incident Response. Nichts davon ist neu. Die Dringlichkeit ist es.

4. DPIAs sind jetzt für risikoreiche KI-Verarbeitung verpflichtend.
Unternehmen, die KI-Tools zur Verarbeitung risikoreicher personenbezogener Daten einsetzen, müssen eine Datenschutz-Folgenabschätzung durchführen und Schutzmaßnahmen gegen KI-spezifische Angriffe implementieren.

5. Capita ist das Präzedenzfall-Urteil, das jeder kennen sollte.
Das ICO verhängte im Oktober 2025 ein Bußgeld von 14 Mio. GBP gegen Capita wegen „geeigneter technischer und organisatorischer Maßnahmen“ gemäß Artikel 32. Der gleiche Standard gilt nun für KI-Infrastrukturen.

Was das ICO am 13. Mai 2026 tatsächlich sagte

Am 13. Mai 2026 veröffentlichte Ian Hulme, Interim Executive Director for Regulatory Supervision des ICO,
einen Blogbeitrag mit dem Titel „Five steps to protect your organisation from AI-powered cyber threats“ (Hinweis: Die britische Schreibweise im Dokumenttitel bleibt erhalten). Der Beitrag ist kurz, direkt und für jedes Unternehmen, das im Vereinigten Königreich personenbezogene Daten verarbeitet, das bislang deutlichste Signal, dass KI-Sicherheit keine Compliance-Frage der Zukunft mehr ist.

Die Leitlinie beginnt mit einer Liste von Bedrohungen, die der Regulator beobachtet: KI-gestütztes Phishing mit täuschend echten, personalisierten Nachrichten, Deepfake-Audio und -Video zur Imitation von Kollegen, automatisierte Tools für schnelles Schwachstellenscanning und Ausnutzung, KI-basierte Malware, die ihr Verhalten zur Umgehung von Erkennung anpasst, KI-beschleunigtes Credential Stuffing, Datenvergiftung bei Modellen im Produktivbetrieb und indirekte Prompt-Injection-Angriffe, bei denen bösartige Anweisungen in externe Inhalte eingebettet werden, die ein KI-System als legitime Befehle verarbeitet.

Dann folgt der Abschnitt, der die Haltung in jedem CISO- und DPO-Büro verändern sollte: „Ihre Pflichten nach der UK DSGVO verlangen die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten.“ Der Regulator führt kein neues Rahmenwerk ein. Er überträgt KI-Bedrohungen auf das seit 2018 geltende Rahmenwerk und macht klar, dass der Standard ab sofort gilt – mit KI-Tempo, ohne Übergangsfrist.

Warum dies Artikel 32 praktisch neu definiert

Artikel 32 der UK DSGVO fordert „geeignete technische und organisatorische Maßnahmen“, abgestimmt auf das Risiko der Verarbeitung. Das ICO hat in den letzten 18 Monaten durch Durchsetzung gezeigt, wie dieser Standard bei fehlenden Kontrollen aussieht. Das klarste Beispiel ist
das Bußgeld von 14 Mio. GBP gegen Capita im Oktober 2025, nachdem ein Cyberangriff 2023 die personenbezogenen Daten von 6,6 Millionen Menschen kompromittierte. Der Regulator stellte fest, dass Capita keine geeigneten technischen und organisatorischen Maßnahmen umgesetzt hatte – darunter fehlende Schutzmaßnahmen für besondere Kategorien von Daten, mangelhafte Kontrollen zur Verhinderung lateraler Bewegungen im Netzwerk und eine unzureichende Reaktion auf frühe Warnungen.

Capita ist kein KI-Fall. Aber der angewandte Rahmen ist identisch mit dem, den Hulme nun auf KI-Bedrohungen ausweitet. Die gleiche Argumentation nach Artikel 32, die zu einem Bußgeld von 14 Mio. GBP wegen langsamer Incident Response und schwacher Zugriffskontrollen führte, wird künftig auch für unzureichende Governance von KI-Systemen gelten, die personenbezogene Daten verarbeiten. Der rechtliche Maßstab ändert sich nicht, weil die Bedrohung KI ist. Die technische Messlatte steigt einfach.

Die Konsequenz für Vorstände ist eindeutig: Beim nächsten größeren KI-bezogenen Datenschutzverstoß im Vereinigten Königreich wird der Regulator nicht fragen, ob das Unternehmen Prompt-Injection-Abwehr implementiert hat. Er wird fragen, ob das Unternehmen Authentifizierung, Zugriffskontrolle, Verschlüsselung, Monitoring, Incident Response und dokumentierte Risikoanalysen für das KI-System nachweisen kann, das mit personenbezogenen Daten arbeitete. Die Liste ist bekannt – es ist die gleiche, an der Capita scheiterte.

Die fünf Schritte aus Sicht personenbezogener Daten

Der erste Schritt ist Horizon Scanning – zu verstehen, wie KI-gestützte Bedrohungen im eigenen Umfeld konkret aussehen. Das ICO nennt sieben Kategorien. Die meisten Sicherheitsteams können drei oder vier benennen. Die Lücke zwischen den Erwartungen des Regulators und dem operativen Bewusstsein ist das erste Risiko.

Der zweite Schritt sind Sicherheitsgrundlagen: die fünf technischen Kontrollen des Cyber Essentials-Schemas, der Cyber Governance Code of Practice, Multi-Faktor-Authentifizierung für alle Remote-Zugänge, Admin-Konten und E-Mails, starke Passwort-Richtlinien und ein solides Patch-Management. Das ist alles nicht neu. Der Punkt des ICO ist: Das ist das Mindestmaß. KI ändert die Anforderung nicht – KI erhöht nur das Tempo, in dem ein Fehler zum Verstoß wird.

Der dritte Schritt ist der Schutz personenbezogener Daten: Datenminimierung, regelmäßige Audits, welche personenbezogenen Daten wo gespeichert sind, und Mitarbeiterschulungen zu KI-gestütztem Social Engineering. Die Datenhygiene-Probleme, die die Hälfte der jüngsten Durchsetzungen ausgelöst haben, liegen genau in diesem Schritt.
Kiteworks Data Security and Compliance Risk: 2026 Forecast Report ergab, dass nur 36 % der Unternehmen Transparenz darüber haben, wie Partner Daten in KI-Systemen handhaben, und 35 % personenbezogene Daten in Prompts als größtes Datenschutzrisiko sehen – die meisten verlassen sich auf Richtlinien und Schulungen statt auf technische Kontrollen. Eine Richtlinie verhindert nicht, dass nachts um 23 Uhr eine Kundenliste in einen öffentlichen KI-Assistenten kopiert wird.

Der vierte Schritt sind mehrschichtige Abwehr und KI-Governance. Das ICO fordert konkret: DPIAs für risikoreiche KI-Verarbeitung, Schutzmaßnahmen gegen KI-spezifische Angriffe, Einhaltung des AI Cyber Security Code of Practice der britischen Regierung sowie Verschlüsselung und Pseudonymisierung zur Reduzierung des Schadens im Fall eines Verstoßes. „Mehrschichtig“ ist das Schlüsselwort. Einzelkontrollen reichen im Cyberbereich seit einem Jahrzehnt nicht mehr aus. KI verkürzt das Zeitfenster bis zum Kontrollversagen.

Der fünfte Schritt ist Monitoring, Supply-Chain-Governance und Incident Response. Die Leitlinie fordert umfassendes Security Monitoring auf verdächtige Aktivitäten wie ungewöhnliche Login-Muster, unerwartete Datenübertragungen und abnormale API-Nutzung. Sie verlangt, dass Unternehmen erfassen, worauf Drittparteien zugreifen können, sie an angemessene Sicherheitsstandards binden und Sicherheitsanforderungen in Verträge aufnehmen. Ein Incident-Response-Plan muss gepflegt und regelmäßig getestet werden.

Wo die Containment-Lücke zum Compliance-Risiko wird

Der Fokus des ICO auf mehrschichtige Abwehr und KI-Governance trifft eine dokumentierte Marktlücke. Der 2026 Forecast Report ergab: 63 % der Unternehmen können keine Zweckbindung bei KI-Agents durchsetzen, 60 % können einen fehlverhaltenden Agenten nicht schnell beenden, 55 % können KI-Systeme nicht vom restlichen Netzwerk isolieren. Das sind die Containment-Kontrollen – die Fähigkeit, KI bei Problemen zu stoppen – und sie sind die größten Lücken in der gesamten
Kiteworks eigenen Umfrage.

Vergleichen Sie diese Lücke mit den Erwartungen des ICO. Der Regulator will menschliche Kontrolle, Incident Response und die Fähigkeit, Schäden zu begrenzen, wenn eine Kontrolle versagt. Ein Unternehmen, dessen KI-Agents nicht schnell beendet oder von sensiblen Systemen isoliert werden können, hat im Verständnis des Regulators keine geeigneten technischen und organisatorischen Maßnahmen. Die Bußgeld-Mathematik von Capita – Ausgangspunkt 58 Mio. GBP, reduziert auf 14 Mio. GBP nach Einigung – zeigt, wie „geeignet“ in der Praxis aussieht, wenn Kontrollen versagen.

KI von Drittanbietern verschärft das Problem. Der 2026 Forecast Report ergab: 30 % der Unternehmen sehen das Datenhandling von Drittanbieter-KI als zentrales Sicherheitsrisiko, aber nur 36 % haben überhaupt Transparenz darüber, wie Partner Daten in KI-Systemen verarbeiten. Die übrigen 64 % verlassen sich auf Verträge und Fragebögen, um sich vor Risiken zu schützen, die sie nicht sehen können. Die ICO-Leitlinie ist hier eindeutig: Unternehmen müssen erfassen, worauf Drittparteien zugreifen können, sie an angemessene Sicherheitsstandards binden und Sicherheitsanforderungen in Verträge aufnehmen. Der
2026 Thales Data Threat Report bestätigt die Transparenzkrise – nur ein Drittel der Unternehmen weiß genau, wo ihre Daten gespeichert sind, und nur 39 % können alle Daten klassifizieren. KI baut auf diesem ohnehin fragilen Fundament auf.

Wie DPIAs und KI-spezifische Abwehrmaßnahmen von optional zu verpflichtend werden

Das ICO ist eindeutig: DPIAs sind für risikoreiche KI-Verarbeitung verpflichtend. Wenn Ihr Unternehmen KI-Tools einsetzt, die risikoreiche personenbezogene Daten verarbeiten, benötigen Sie eine dokumentierte Datenschutz-Folgenabschätzung und angemessene Schutzmaßnahmen gegen KI-spezifische Angriffe. „Optionale Best Practice“ ist nicht mehr der Maßstab. „Dokumentierte Erwartung nach Artikel 35 und 32″ ist es.

Die Daten aus dem 2026 Forecast Report zu dieser Lücke sind ernüchternd: 74 % der Unternehmen außerhalb des Geltungsbereichs des EU AI Act haben keine KI-Folgenabschätzung. 84 % haben kein KI-Red-Teaming durchgeführt. 72 % fehlt die Zweckbindung. Selbst bei Unternehmen im Geltungsbereich des EU AI Act liegen die Vergleichswerte bei 41 %, 61 % und 46 %. Der AI Act und das ICO steuern auf die gleichen Erwartungen zu. Die meisten Unternehmen sind nicht vorbereitet.
DTEX 2026 Insider Threat Report bestätigt die Lücke aus einer anderen Perspektive: 92 % der Unternehmen sagen, generative KI habe die Art und Weise, wie Mitarbeitende Informationen abrufen und teilen, grundlegend verändert – aber nur 13 % haben KI formell in ihre Geschäftsstrategie integriert. Die strategische Lücke ist die Governance-Lücke.

KI-spezifische Angriffe haben eine konkrete Bedeutung, die das ICO jetzt in Artikel 32 verankert: Indirekte Prompt Injection, bei der Angreifer bösartige Anweisungen in Daten einbetten, die das KI-System zur Laufzeit abruft. Datenvergiftung, bei der Trainingsdaten manipuliert oder Ausgaben verfälscht werden. Tool Poisoning, bei dem Anweisungen in Metadaten von Tools versteckt werden, mit denen ein KI-Agent interagiert. Das sind keine generischen Cyberbedrohungen, sondern KI-spezifische Angriffsklassen, die klassische DLP-, EDR- und SIEM-Regeln nicht erkennen. Die Abwehr muss dort greifen, wo der KI-Datenzugriff stattfindet.

Wie Kiteworks die fünf ICO-Schritte für Datenverantwortliche umsetzt

Die ICO-Leitlinie nennt keinen Anbieter. Das ist auch nicht nötig. Die beschriebene Architektur ist klar: Authentifizierter Zugriff, mehrschichtige Abwehr, Verschlüsselung und Pseudonymisierung, Monitoring auf Datenebene, Incident-Response-Bereitschaft und dokumentierte Governance. Kiteworks Compliant AI wurde exakt um dieses Kontrollset herum entwickelt.

Kiteworks Compliant AI
steuert den KI-Agentenzugriff auf der Datenebene – nicht auf Modell- oder Anwendungsebene. Jede KI-Anfrage wird per OAuth 2.0 authentifiziert, Tokens werden im Betriebssystem-Schlüsselbund gespeichert und nie dem Modell offengelegt. Jede Aktion wird in Echtzeit gegen Attribut- und Rollen-basierte Zugriffskontrollen geprüft. Jede Interaktion erzeugt einen manipulationssicheren Audit-Log-Eintrag, der ohne Drosselung an SIEM gestreamt wird. FIPS 140-3-validierte Verschlüsselung schützt Daten während der Übertragung und im ruhenden Zustand. Der Agent übernimmt die Berechtigungen des autorisierenden Nutzers und kann diese nicht überschreiten – unabhängig davon, ob die KI-Framework-Standards korrekt sind, eine Prompt Injection gelingt oder das Modell kompromittiert ist.

So sieht Schritt vier der ICO-Leitlinie in der Praxis aus. Die mehrschichtige Abwehr hält, wenn eine Kontrolle versagt. Der Audit-Trail liefert die Nachweise für die Rechenschaftspflicht nach Artikel 5(2) und die „geeigneten Maßnahmen“ nach Artikel 32. Die DPIA wird erfüllbar, weil die technischen Schutzmaßnahmen dokumentiert, durchsetzbar und revisionssicher sind. Die Supply-Chain-Governance aus Schritt fünf wird möglich, weil die Datenebene jede Interaktion – auch von Drittanbieter-KI-Tools – kontrolliert.

Am wichtigsten: Die Architektur beantwortet die implizite Frage des Regulators: Was hindert einen KI-Agenten daran, bei personenbezogenen Daten seine Berechtigung zu überschreiten? Modellbasierte Guardrails lassen sich umgehen. Application-Layer-Logging kann umgangen werden, wenn die Anwendung auf „fail open“ ausgelegt ist. Datenebenen-Governance nicht – denn die Datenebene vertraut dem Agenten nicht, sondern prüft jede Anfrage gegen die Richtlinie, jedes Mal.

Was CISOs, DPOs und Vorstände dieses Quartal tun sollten

Erstens: Behandeln Sie die ICO-Leitlinie als Compliance-Basis, nicht als Kommentar.
Die fünf Schritte entsprechen direkt den Erwartungen aus Artikel 32 und werden künftig als Nachweis für „geeignete Maßnahmen“ in ICO-Bußgeldbescheiden auftauchen. Dokumentieren Sie die Position Ihres Unternehmens zu jedem Schritt.

Zweitens: Führen Sie DPIAs für jedes KI-System mit risikoreicher Datenverarbeitung durch.
Der Kiteworks 2026 Forecast Report zeigt: 74 % der Unternehmen außerhalb des EU AI Act haben keine KI-Folgenabschätzung. Das ICO macht diese Lücke nun zur UK DSGVO-Risikoquelle. Die Lösung ist eine dokumentierte DPIA pro System, keine allgemeine KI-Richtlinie.

Drittens: Prüfen Sie Ihre Supply Chain auf KI-Exposition.
Laut Kiteworks 2026 Forecast Report haben nur 36 % der Unternehmen Transparenz darüber, wie Partner Daten in KI-Systemen handhaben. Das ICO erwartet, dass Sie erfassen, worauf Drittparteien zugreifen können und Sicherheitsanforderungen in Verträge aufnehmen. Jährliche Fragebögen für Anbieter reichen nicht mehr aus.

Viertens: Schließen Sie die Containment-Lücke.
Daten von Kiteworks 2026 Forecast Report zeigen: 63 % der Unternehmen können keine Zweckbindung bei KI-Agents durchsetzen, 60 % können einen Agenten nicht schnell beenden. Der Fokus des ICO auf menschliche Kontrolle, mehrschichtige Abwehr und Incident Response macht diese Lücken zu Compliance-Lücken. Zweckbindung, Kill Switches und Netzwerkisolation müssen von der Roadmap in den Betrieb überführt werden.

Fünftens: Verlegen Sie die Erkennung auf die Datenebene.
KI-spezifische Angriffe – Prompt Injection, Datenvergiftung, Tool Poisoning – umgehen Application-Layer-Monitoring per Design. Die Monitoring-Erwartung des ICO ist nur realistisch, wenn Telemetrie dort ansetzt, wo der KI-Datenzugriff tatsächlich stattfindet.

Sechstens: Informieren Sie Ihren Vorstand in diesem Quartal.
Der Capita-Präzedenzfall ist ein Bußgeld von 14 Mio. GBP, das bei 58 Mio. GBP startete. Der nächste große KI-bezogene Datenschutzverstoß im Vereinigten Königreich wird nach dem von Ian Hulme veröffentlichten Rahmen bewertet. Vorstandsbewusstsein ist eine Kontrolle. Dokumentieren Sie sie.

Die Einordnung des ICO ist sachlich, nicht alarmistisch. „Nichts davon ist neu“, schreibt Hulme im abschließenden Absatz, „aber KI bringt neue Dringlichkeit und mehr Tempo.“ Das ist die richtige Einordnung. Der Standard hat sich nicht verändert. Die Uhr tickt schneller.