Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > KI-Datenschutz im Fokus: 61 Aufsichtsbehörden nehmen Risiken generativer KI ins Visier

KI-Datenschutz im Fokus: 61 Aufsichtsbehörden nehmen Risiken generativer KI ins Visier

von Uri Kedem updated Februar 24, 2026 Regulatorische Compliance
Lesezeit: 12 Minuten

Ein Deepfake-Skandal war nötig, um den Damm zu brechen.

Am 23. Februar 2026 veröffentlichten Datenschutzbehörden aus 61 Ländern weltweit eine gemeinsame Erklärung, die ein unmissverständliches Signal an alle Unternehmen sendete, die generative KI entwickeln, einsetzen oder davon profitieren: Hört auf, reale Menschen ohne deren Einwilligung zu replizieren – andernfalls drohen Konsequenzen.

Wichtige Erkenntnisse

  1. 61 Länder stimmen bei der Durchsetzung des Datenschutzes für KI überein – und schaffen damit einen faktischen globalen Standard. Am 23. Februar 2026 veröffentlichten Datenschutzbehörden aus 61 Ländern eine gemeinsame Erklärung zu KI-generierten Bildern im Rahmen der Global Privacy Assembly. Sie warnen Anbieter generativer KI davor, Inhalte zu erstellen oder zu verbreiten, die realistische Abbilder identifizierbarer Personen ohne deren Einwilligung erzeugen. Das ist keine isolierte Maßnahme, sondern eine koordinierte globale Ausrichtung der Erwartungen an den Datenschutz bei KI. Besonders hervorgehoben werden nicht-einvernehmliche intime Bilder, Deepfakes und Risiken für Kinder und schutzbedürftige Gruppen. Für Unternehmen, die sensible Daten in komplexen Partnerökosystemen verwalten, bestätigt dies: KI-Governance ist im Kern eine Data-Governance-Herausforderung. Kiteworks begegnet dieser Herausforderung direkt: Eine einheitliche Plattform steuert die Kommunikation sensibler Inhalte über E-Mail, Filesharing, SFTP, Managed File Transfer, Web-Formulare und APIs hinweg – mit zentraler Richtlinienkontrolle und einem konsolidierten Audit-Trail, der jede Interaktion kanal- und organisationsübergreifend dokumentiert. So können Sie gegenüber Aufsichtsbehörden aus allen 61 Ländern jederzeit den Nachweis der Compliance erbringen.
  2. Bestehende Datenschutzgesetze regeln KI bereits – Regulierungsbehörden warten nicht mehr auf neue Gesetze. Die gemeinsame Erklärung betont: DSGVO, CCPA, das britische Datenschutzgesetz, Brasiliens LGPD und zahlreiche weitere Datenschutzgesetze gelten bereits für Trainingsdaten und KI-generierte Ergebnisse. Regulierungsbehörden schlagen keine neuen Rahmenwerke vor – sie machen geltend, dass sie bereits auf Basis bestehender Gesetze durchgreifen. Das bedeutet: Unternehmen stehen vor unmittelbaren Compliance-Risiken, nicht vor einer ungewissen regulatorischen Zukunft. KI-Unternehmen, die persönliche Bilder ohne Einwilligung verarbeiten, werden schon heute auf Grundlage geltender Gesetze untersucht – mit DSGVO-Strafen von bis zu 4 % des weltweiten Jahresumsatzes. Kiteworks liefert die Compliance-Infrastruktur, die Unternehmen jetzt benötigen: Vorgefertigte Compliance-Templates, die auf NIST, ISO 27001, SOC 2, CMMC, HIPAA, DSGVO, NIS 2 und über 50 weitere Rahmenwerke abbilden – mit kontinuierlicher, Echtzeit-Richtlinienkontrolle statt periodischer, dokumentenbasierter Audits, die Lücken zwischen Richtlinien und tatsächlicher Systemumsetzung lassen.
  3. Biometrische und persönliche Bilddaten stehen nun unter höchster regulatorischer Beobachtung. Die DPA-Erklärung stellt klar: Realistische KI-Replikationen identifizierbarer Personen unterliegen strengen Datenschutzanforderungen – Einwilligung, Datenminimierung, Zweckbindung. Nach DSGVO Artikel 9 gelten Gesichtsaufnahmen und biometrische Merkmale als besondere Kategorien personenbezogener Daten, die eine ausdrückliche Einwilligung und erhöhte Schutzmaßnahmen erfordern. Der Grok-Deepfake-Skandal, der dieser Erklärung vorausging, zeigte, was passiert, wenn diese Schutzmaßnahmen fehlen: Nicht-einvernehmliche sexualisierte Bilder im industriellen Maßstab, Ermittlungen durch die irische DPC, das britische ICO, französische Staatsanwälte und Behörden in ganz Asien. Die Data Policy Engine von Kiteworks erzwingt attributbasierte Zugriffskontrollen, die Datensensitivität, Nutzeridentität und Verwendungszweck vor Freigabe prüfen – und blockiert KI automatisch den Zugriff auf biometrische Daten, Kinderbilder und andere besondere Kategorien, sofern keine strengen Schutzmaßnahmen greifen. Das ist einwilligungsbewusste Data Governance auf Infrastrukturebene – kein Compliance-Checkbox.
  4. Die Haftung erstreckt sich auf jedes Unternehmen, das KI einsetzt – nicht nur auf die Anbieter. Die DPA-Erklärung richtet sich an KI-Anbieter und Unternehmen, die generative KI für Marketing, HR, Produktfunktionen oder Kundeninteraktion einsetzen. Wenn Ihr Unternehmen ein generatives KI-Tool nutzt, das identifizierbare Personen ohne Einwilligung repliziert, tragen Sie Mitverantwortung – unabhängig davon, welcher Anbieter das Modell entwickelt hat. Laut Microsofts Data Security Index 2026 sind bereits 32 % der Datenschutzvorfälle auf generative KI-Tools zurückzuführen. Das Durchsetzungsrisiko steigt: Koordinierte regulatorische Maßnahmen bedeuten, dass KI-Anbieter und deren Unternehmenskunden mit gleichzeitigen Anfragen mehrerer Datenschutzbehörden rechnen müssen. Kiteworks bietet anbieterunabhängige Data Governance – egal ob Sie OpenAI, Anthropic, Google oder interne Modelle nutzen: Kiteworks erzwingt konsistente Einwilligungs-, Zweckbindungs- und Datenminimierungsrichtlinien mit umfassenden Audit-Trails, die nachweisen, auf welche Daten jedes KI-System zugegriffen hat und welche Schutzmaßnahmen bei regulatorischen Anfragen bestanden.
  5. Privacy-by-Design für KI ist jetzt regulatorische Pflicht – kein Wunschdenken mehr. Die gemeinsame Erklärung fordert, dass KI-Anbieter Schutzmechanismen von Anfang an in ihre Systeme integrieren – Einwilligungsmechanismen, Datenminimierung, zugängliche Löschprozesse und Meldewege – und nicht erst nachträglich Compliance aufsetzen. Das entspricht dem regulatorischen Trend: Der EU AI Act wird im August 2026 für Hochrisikosysteme voll durchgesetzt, das Colorado AI Act tritt im Juni 2026 in Kraft, und Kaliforniens Transparenzanforderungen für Trainingsdaten gelten bereits. Der International AI Safety Report 2026 bestätigt: Deepfakes werden immer realistischer und schwerer zu erkennen, personalisierte Deepfake-Inhalte treffen überproportional Frauen und Mädchen. Der beste Schutz vor schädlichen KI-Ergebnissen ist die Kontrolle der KI-Eingaben. Kiteworks setzt dieses Prinzip auf Datenebene um: KI wird der Zugriff auf Bilder, die nicht-einvernehmliche Deepfakes oder Identitätsreplikation ermöglichen könnten, blockiert; für risikoreiche Zugriffe ist eine menschliche Freigabe erforderlich. Die gehärtete virtuelle Appliance-Architektur bietet doppelte Verschlüsselung im ruhenden Zustand, TLS 1.3 während der Übertragung, FIPS 140-3-validierte Verschlüsselung und kundeneigene Verschlüsselungsschlüssel – so wird Privacy-by-Design zur operativen Realität.

Dies ist keine höfliche Empfehlung einer einzelnen Aufsichtsbehörde in einem Policy-Paper. Es ist eine koordinierte Durchsetzungsstrategie von Datenschutzwächtern aus der EU, dem Vereinigten Königreich, Asien, Amerika und darüber hinaus – alle sind sich einig: Bestehende Datenschutzgesetze gelten bereits für KI, und sie warten nicht mehr auf neue Gesetze, um diese durchzusetzen.

Das Timing ist kein Zufall. Diese Erklärung folgt auf einen der bisher schwerwiegendsten KI-Skandale – und die Folgen verändern, wie Regierungen, Unternehmen und Einzelpersonen über den tatsächlichen Einsatz generativer KI denken.

Der Grok-Skandal als Auslöser

Um zu verstehen, warum 61 Aufsichtsbehörden diesen Schritt gemeinsam gegangen sind, muss man zurück in den Dezember 2025 blicken.

Nutzer der X-Plattform entdeckten, dass sie den integrierten Grok-Chatbot dazu bringen konnten, Menschen auf Fotos digital zu entkleiden – Frauen und Mädchen wurden in durchsichtige Bikinis, Dessous oder Schlimmeres gesetzt. Grok erfüllte diese Aufforderungen ohne Zögern. Die Content-Analyse-Firma Copyleaks stellte fest, dass der Chatbot etwa ein nicht-einvernehmliches sexualisiertes Bild pro Minute generierte, das direkt auf X veröffentlicht wurde und viral gehen konnte. Eine Analyse von 20.000 Grok-Bildern ergab, dass etwa 2 % scheinbar Personen unter 18 Jahren zeigten. Die Pariser Non-Profit-Organisation AI Forensics fand Inhalte mit fotorealistischen Darstellungen sehr junger Menschen in sexuellen Situationen.

Die weltweite Reaktion war schnell und heftig. Die irische Datenschutzbehörde leitete eine großangelegte DSGVO-Untersuchung ein. Französische Staatsanwälte durchsuchten die X-Büros in Paris. Das britische Information Commissioner’s Office eröffnete Ermittlungen gegen X und xAI. Malaysia, Indonesien und die Philippinen verboten den Chatbot vollständig. Indien ordnete eine umfassende Überprüfung an. 35 US-Bundesstaaten forderten von xAI, sexuelle Deepfakes zu unterbinden. Es folgten zahlreiche Klagen – darunter eine von der Mutter eines von Musks Kindern, die behauptete, Grok habe weiterhin explizite Bilder von ihr erstellt, obwohl sie dem System ausdrücklich die Einwilligung verweigert hatte.

Das Grok-Debakel hat die regulatorische Dringlichkeit rund um KI-generierte Bilder nicht ausgelöst – aber es lieferte den Aufsichtsbehörden ein greifbares, unbestreitbares Beispiel für die Folgen, wenn Schutzmaßnahmen als optional betrachtet werden. Und es beschleunigte, was sich ohnehin bereits abzeichnete: einen globalen Konsens, dass die Regeln längst existieren – sie müssen nur durchgesetzt werden.

Was die gemeinsame Erklärung tatsächlich aussagt

Die Erklärung vom 23. Februar, koordiniert durch die Global Privacy Assembly, formuliert Grundsätze, die jedes Unternehmen mit generativer KI als Pflichtlektüre betrachten sollte. Die Behörden fordern stärkeren Schutz für Kinder, zugängliche und wirksame Prozesse zur Entfernung schädlicher Inhalte, stärkere Schutzmaßnahmen gegen Missbrauch personenbezogener Daten in KI-Systemen und sinnvolle Transparenz darüber, wie diese Systeme funktionieren und was sie erzeugen können.

Die eigentliche Durchsetzungskraft liegt jedoch im Ungesagten. Es werden keine neuen Gesetze vorgeschlagen. Es werden keine neuen Rahmenwerke zur Diskussion gestellt. Stattdessen wird betont, dass der rechtliche Rahmen zur Steuerung von KI bereits existiert – durch DSGVO, CCPA, das britische Datenschutzgesetz, Brasiliens LGPD und zahlreiche weitere nationale und regionale Datenschutzgesetze. Die Botschaft: Wir brauchen keine neuen Gesetze, um gegen Sie vorzugehen. Wir haben bereits die Befugnis – und wir nutzen sie.

Das ist ein fundamentaler Wandel. Jahrelang dominierten Debatten über die Notwendigkeit KI-spezifischer Regulierung und deren Ausgestaltung die Diskussion. Der EU AI Act, das Colorado AI Act, verschiedene Transparenzgesetze in Kalifornien – all das ist wichtig. Aber die 61 Aufsichtsbehörden haben Klartext gesprochen: Während Parlamente noch über die Zukunft debattieren, handeln Datenschützer bereits im Hier und Jetzt.

Warum das weit über Deepfakes hinausgeht

Man könnte diese Entwicklung als eng gefasste Maßnahme gegen explizite KI-generierte Inhalte missverstehen. Das wäre ein Fehler.

Die von den Aufsichtsbehörden formulierten Prinzipien – Einwilligung, Datenminimierung, Zweckbindung, Transparenz – gelten für jedes KI-System, das personenbezogene Daten verarbeitet. Die gemeinsame Erklärung betrifft also weit mehr als Deepfakes und reicht in nahezu jede unternehmensweite KI-Anwendung von heute hinein: KI-gestützte Recruiting-Tools, die Bewerberfotos oder Social-Media-Profile analysieren; Marketingplattformen, die mit generativer KI personalisierte Inhalte aus Kundenbildern erstellen; Sicherheitssysteme mit Gesichtserkennung für Mitarbeitende oder Besucher; Healthcare-KI, die Patientendaten verarbeitet; Finanzdienstleister, die Fotos zur Identitätsprüfung nutzen. In jedem Fall gilt: Hat die betroffene Person der spezifischen KI-Nutzung ihrer Daten zugestimmt, und war die Verarbeitung auf das notwendige Maß für den angegebenen Zweck beschränkt?

Der International AI Safety Report 2026 bestätigt dieses Gesamtbild: Der Missbrauch generativer KI für Betrug, Erpressung, Nötigung und die Erstellung nicht-einvernehmlicher intimer Bilder nimmt zu. Deepfakes werden immer realistischer und schwerer zu erkennen, personalisierte Deepfake-Inhalte treffen überproportional Frauen und Mädchen. Das ist kein Zukunftsrisiko – es geschieht bereits, branchenübergreifend und im großen Maßstab.

Die Haftungsfalle, in die viele Unternehmen tappen

Hier wird es für Unternehmen unbequem, die glauben, das sei nicht ihr Problem.

Die gemeinsame Erklärung richtet sich nicht nur an KI-Anbieter, sondern auch an Unternehmen, die KI einsetzen. Wenn Sie ein generatives KI-Tool in Ihre Marketingprozesse, HR-Pipelines, Produktfunktionen oder den Kundenservice integrieren und dieses Tool identifizierbare Personen ohne Einwilligung repliziert, tragen Sie Mitverantwortung. Nach DSGVO sind Datenverantwortliche – also Unternehmen, die Zweck und Mittel der Verarbeitung bestimmen – für die Einhaltung der Vorgaben verantwortlich, unabhängig davon, welche Tools sie nutzen. Wenn Ihr Marketingteam eine KI-Plattform nutzt, um Kampagnenbilder zu generieren, und diese Plattform ein realistisches Abbild einer echten Person aus Trainingsdaten erstellt, haftet Ihr Unternehmen – nicht nur der KI-Anbieter.

Das gilt auch nach CCPA und vergleichbaren Gesetzen. Nach DSGVO Artikel 9 gelten Gesichtsaufnahmen und biometrische Merkmale als besondere Kategorien personenbezogener Daten, die eine ausdrückliche Einwilligung und erhöhte Schutzmaßnahmen erfordern. Die Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes betragen. Microsofts Data Security Index 2026 zeigt: Bereits 32 % der Datenschutzvorfälle betreffen generative KI-Tools, und fast die Hälfte der Sicherheitsverantwortlichen implementiert KI-spezifische Kontrollen. Die Lücke zwischen dem aktuellen Stand in Unternehmen und den Erwartungen der Aufsichtsbehörden schließt sich rasant – getrieben von der Durchsetzung.

Was CISOs und DPOs jetzt tun müssen

Wenn Sie generative KI einsetzen, werden die regulatorischen Erwartungen aus der gemeinsamen Erklärung zu konkreten operativen Anforderungen, die keinen Aufschub dulden.

Überprüfen Sie Ihre KI-Trainingsdatenquellen. Aufsichtsbehörden werden künftig verstärkt prüfen, woher KI-Trainingsdaten stammen, ob Einwilligungen vorliegen und ob Datenminimierung angewendet wurde. Nutzen Sie Drittanbieter-KI-Tools, fordern Sie Transparenz über die Herkunft der Trainingsdaten. Trainieren Sie eigene Modelle, dokumentieren Sie alles. Die umfassenden Audit-Trails von Kiteworks protokollieren jede Dateninteraktion und liefern die Nachvollziehbarkeit, die Regulierungsbehörden jetzt für Data-Governance bei KI verlangen.

Implementieren Sie einwilligungsbewussten Datenzugriff. Allgemeine Klauseln wie „Wir dürfen Ihre Daten für KI nutzen“ in Datenschutzerklärungen werden einer regulatorischen Prüfung nicht standhalten. Die Einwilligung muss spezifisch für den jeweiligen KI-Use-Case erfolgen. Eine Einwilligung für Produktempfehlungen berechtigt nicht automatisch zur Generierung von Marketingbildern. Und wenn Personen ihre Einwilligung widerrufen, muss ihr Zugang für KI sofort gesperrt werden. Kiteworks integriert sich mit Consent-Management-Plattformen und erzwingt einwilligungsbewussten Datenzugriff – KI erhält nur Zugriff auf Daten, für die eine explizite Einwilligung zur KI-Verarbeitung für den jeweiligen Zweck vorliegt.

Erzwingen Sie Zweckbindung auf Datenebene. KI-Systeme dürfen nicht auf alle verfügbaren Daten zugreifen, nur weil dies technisch möglich ist. Beschränken Sie KI auf das Minimum an Daten, das für den jeweiligen Zweck erforderlich ist – besonders bei sensiblen Kategorien wie biometrischen Daten, Kinderbildern und Gesundheitsdaten. Kiteworks bindet Zwecke und Datenminimierung auf Infrastrukturebene – KI-Trainingssysteme werden auf bestimmte Datenklassifikationen und Zwecke beschränkt und wahlloses Datenscraping verhindert.

Erstellen Sie Audit-Trails, bevor die Untersuchung beginnt. Wenn eine Datenschutzbehörde anklopft – und die koordinierte Erklärung macht das wahrscheinlicher denn je – müssen Sie nachweisen, auf welche Daten Ihre KI zugegriffen hat, welche Einwilligungen bestanden und welche Schutzmaßnahmen galten. Kiteworks stellt einen konsolidierten Audit-Trail bereit, der jede Dateninteraktion kanalübergreifend dokumentiert, DSGVO-Artikel-30-Verzeichnisse, DPIAs für risikoreiche KI-Anwendungen und automatische Meldungen bei Datenschutzverstößen generiert – damit der Nachweis existiert, bevor er benötigt wird.

Kontrollieren Sie die Eingaben, nicht nur die Ausgaben. Die gemeinsame Erklärung zielt darauf ab, Schäden an der Quelle zu verhindern, nicht erst im Nachhinein problematische Ergebnisse zu filtern. Es ist effektiver, den Datenzugriff der KI von vornherein zu kontrollieren, als jedes Ergebnis nachträglich zu prüfen – wie der Unterschied zwischen einem verschlossenen Medizinschrank und der Hoffnung, dass Kleinkinder verantwortungsvoll damit umgehen. Kiteworks blockiert KI den Zugriff auf Bilder, die nicht-einvernehmliche Deepfakes oder Identitätsreplikation ermöglichen könnten – mit Echtzeit-Richtlinienkontrolle, die KI-Zugriffsanfragen kontinuierlich auf Einwilligung, Zweck und Risiko prüft.

Erweitern Sie die Governance auf alle KI-Anbieter. Egal ob Sie OpenAI, Google, ein Open-Source-Modell oder eine Eigenentwicklung nutzen – Ihre Data-Governance-Richtlinien müssen konsistent gelten. Compliance-Lücken zwischen verschiedenen KI-Tools sind ein Rechtsrisiko. Kiteworks erzwingt anbieterunabhängige Governance mit einheitlichen Richtlinien für jedes KI-System in Ihrem Unternehmen – ohne Compliance-Lücken, ohne Blind Spots.

Die regulatorische Entwicklung: Wie es weitergeht

Die Erklärung vom 23. Februar ist ein Startschuss, kein Ziel. Mehrere Trends deuten darauf hin, dass die Durchsetzung weiter an Fahrt gewinnt.

Grenzüberschreitende Koordination nimmt zu. Dass 61 Länder eine gemeinsame Erklärung abgeben, bedeutet: Unternehmen müssen mit gleichzeitigen Anfragen mehrerer Aufsichtsbehörden rechnen. Ein einzelner Compliance-Verstoß kann Untersuchungen in Dutzenden Ländern auslösen. KI-spezifische Gesetze holen auf: Der EU AI Act wird im August 2026 für Hochrisikosysteme voll durchgesetzt, das Colorado AI Act tritt im Juni 2026 in Kraft, Kaliforniens Transparenzanforderungen für Trainingsdaten gelten bereits. New York hat Transparenzpflichten für KI in der Werbung und erweiterte Schutzrechte für digitale Repliken Verstorbener eingeführt. Diese neuen Gesetze ergänzen die bereits laufende Datenschutzdurchsetzung.

Biometrische Daten stehen überall im Fokus. Die besonderen Schutzvorschriften für Gesichtsaufnahmen nach DSGVO Artikel 9 werden konsequent auf KI-Kontexte angewendet. Ähnliche Regelungen gibt es nach Illinois‘ BIPA, Texas‘ CUBI und anderen US-Bundesstaaten. Wenn Ihre KI Gesichter, Fingerabdrücke oder Stimmprofile verarbeitet, liegt die Compliance-Hürde deutlich höher als bei anderen personenbezogenen Daten. Italien hat OpenAI bereits mit 15 Millionen Euro wegen DSGVO-Verstößen bei der Verarbeitung von Trainingsdaten belegt – ein Präzedenzfall, der Regulierungsbehörden europaweit und darüber hinaus bestärken wird.

KI-Governance ist eine Data-Governance-Herausforderung – und braucht eine Data-Governance-Lösung

Die koordinierte Erklärung von 61 Datenschutzbehörden bestätigt, was die Data-Governance-Community seit Jahren betont: KI lässt sich nicht durch reine Modellkontrolle steuern. KI lässt sich nur steuern, indem man kontrolliert, auf welche Daten sie zugreifen kann.

Die meisten KI-Governance-Tools konzentrieren sich auf das Modellverhalten – Output-Filter, Bias-Erkennung, Halluzinationsüberwachung. Das ist wichtig, adressiert aber nur die Symptome, nicht die Ursache. Die DPA-Erklärung macht es deutlich: Die Verstöße beginnen auf Datenebene – etwa durch Scraping persönlicher Bilder ohne Einwilligung, Training auf biometrischen Daten ohne Rechtsgrundlage, fehlende Datenminimierung oder wahllosen KI-Zugriff auf sensible Inhalte.

Kiteworks setzt Datenschutzprinzipien an der Quelle durch: Einwilligungsbewusster Datenzugriff durch Integration mit Consent-Management-Plattformen, Zweckbindung, die KI auf bestimmte Datenklassifikationen und genehmigte Use Cases beschränkt, Datenminimierung, die KI-Zugriff auf das erforderliche Minimum begrenzt, und umfassende Audit-Trails, die nachweisen, auf welche Daten KI zugegriffen hat, welche Einwilligungen bestanden und welche Schutzmaßnahmen galten. Ob Sie generative KI für Marketing, KI-gestützte HR-Tools, Gesichtserkennung für Sicherheit oder andere KI-Use Cases einsetzen – Kiteworks sorgt dafür, dass Ihre KI-Systeme globale Datenschutzanforderungen erfüllen und Ihr Unternehmen vor den nun gezielten regulatorischen Untersuchungen schützt.

Die Zeit, KI-Governance als Zukunftsproblem zu betrachten, ist vorbei. 61 Datenschutzbehörden haben der Welt mitgeteilt: Die Regeln existieren bereits, die Durchsetzungsinstrumente sind vorhanden und die Untersuchungen laufen. Unternehmen, die KI als Data-Governance-Herausforderung begreifen und von Anfang an Kontrollen für den KI-Zugriff und die Verarbeitung personenbezogener Daten implementieren, können auch bei zunehmender Durchsetzung sicher agieren. Wer das Problem ignoriert, wird schmerzhaft lernen, dass „Wir wussten es nicht“ spätestens seit der Erklärung von 61 Aufsichtsbehörden keine akzeptable Antwort mehr ist.

Die Frage ist nicht, ob Ihre KI-Systeme regulatorisch geprüft werden – sondern, ob Sie darauf vorbereitet sind.

Häufig gestellte Fragen

Am 23. Februar 2026 veröffentlichten Datenschutzbehörden aus 61 Ländern eine gemeinsame Erklärung zu KI-generierten Bildern im Rahmen der Global Privacy Assembly. Die Erklärung warnt Anbieter generativer KI davor, KI-generierte Bilder und Inhalte zu erstellen oder zu verbreiten, die identifizierbare Personen realistisch abbilden – ohne deren Einwilligung. Sie adressiert Risiken wie nicht-einvernehmliche intime Bilder, Deepfakes, Ausbeutung von Kindern und schutzbedürftigen Gruppen und fordert stärkere Schutzmaßnahmen wie Datenminimierung, Einwilligungsmechanismen, zugängliche Prozesse zur Entfernung von Inhalten und Systemtransparenz. Die Erklärung betont, dass bestehende Datenschutzgesetze und Privatsphäreregelungen bereits auf generative KI-Use Cases anwendbar sind.

Ende Dezember 2025 und Anfang Januar 2026 nutzten Anwender der Grok-Chatbot-Plattform die Bildgenerierungsfunktion, um nicht-einvernehmliche sexualisierte Bilder von Frauen und Minderjährigen im industriellen Maßstab zu erstellen. Der Skandal löste Untersuchungen durch die irische Datenschutzbehörde, das britische Information Commissioner’s Office, französische Staatsanwälte und Behörden in Asien aus. Mehrere Länder verboten Grok, und 35 US-Bundesstaaten forderten von xAI Maßnahmen. Während die gemeinsame Erklärung KI-generierte Bilder allgemein adressiert, lieferte der Grok-Skandal den Aufsichtsbehörden ein prominentes, unbestreitbares Beispiel für die Risiken, die sie bekämpfen wollen.

Für beide. Die Erklärung richtet sich an Unternehmen, die KI entwickeln, und an solche, die KI einsetzen. Nach DSGVO sind Datenverantwortliche – also Unternehmen, die Zweck und Mittel der Datenverarbeitung bestimmen – für die Einhaltung der Vorgaben verantwortlich, unabhängig davon, welche Tools sie verwenden. Wenn Ihr Unternehmen generative KI in Marketing, HR, Produktfunktionen oder Kundenservice integriert und diese KI identifizierbare Personen ohne Einwilligung repliziert, trägt Ihr Unternehmen die Mitverantwortung. Das gilt sowohl für Drittanbieter-KI-Services wie OpenAI, Google oder Anthropic als auch für selbst entwickelte und betriebene Modelle.

Mehrere bedeutende KI-Regulierungen erreichen 2026 wichtige Meilensteine. Der EU AI Act wird im August 2026 für Hochrisiko-KI-Systeme voll durchgesetzt. Das Colorado AI Act (SB 24-205) tritt im Juni 2026 in Kraft und verlangt Risikomanagementprogramme für Hochrisiko-KI in den Bereichen Wohnen, Beschäftigung und Kreditvergabe. Kaliforniens AB 2013, gültig ab Januar 2026, schreibt Transparenz über Trainingsdaten für Entwickler generativer KI vor. New York hat Transparenzpflichten für KI in der Werbung mit synthetischen Darstellern und erweiterte Schutzrechte für digitale Repliken Verstorbener eingeführt. Diese KI-spezifischen Gesetze ergänzen die bereits laufende Datenschutzdurchsetzung unter DSGVO, CCPA und anderen Datenschutzgesetzen, die von Regulierungsbehörden bereits auf KI angewendet werden.

Kiteworks begegnet der Data-Governance-Herausforderung bei KI, indem Datenschutzprinzipien bereits an der Quelle durchgesetzt werden – bevor KI überhaupt Zugriff auf personenbezogene Daten erhält. Die Plattform bietet einwilligungsbewussten Datenzugriff durch Integration mit Consent-Management-Plattformen, Zweckbindung, die KI auf bestimmte Datenklassifikationen und genehmigte Use Cases beschränkt, Datenminimierung, die KI-Zugriff auf das erforderliche Minimum begrenzt, und umfassende Audit-Trails, die nachweisen, auf welche Daten KI zugegriffen hat, welche Einwilligungen bestanden und welche Schutzmaßnahmen galten. Kiteworks setzt diese Kontrollen anbieterübergreifend mit einem konsolidierten Audit-Trail um, bietet vorgefertigte Compliance-Templates für über 50 regulatorische Rahmenwerke wie DSGVO-Compliance, CCPA, HIPAA und NIS 2 und eine gehärtete virtuelle Appliance-Architektur mit doppelter Verschlüsselung im ruhenden Zustand, TLS 1.3 während der Übertragung, FIPS 140-3-validierter Verschlüsselung und kundeneigenen Verschlüsselungsschlüsseln. Für Unternehmen, die regulatorisch von einer der 61 unterzeichnenden Behörden geprüft werden, stellt Kiteworks die Governance-Infrastruktur bereit, um die Compliance nachzuweisen.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks