Zwei aktuelle Gesetzesinitiativen – der AI-Act der EU sowie die DORA-Verordnung für den Finanzsektor – stellen Unternehmen vor die Aufgabe, Künstliche Intelligenz (KI) und Cybersicherheit rechtssicher zu gestalten. Wer bereits aus der Umsetzung der Datenschutz-Grundverordnung (DSGVO) gelernt hat, kann diese Erfahrungen nun gewinnbringend einsetzen.
Unternehmen, die aus der DSGVO-Implementierung gelernt haben, können dieses Wissen nun für den AI-Act und DORA nutzen, um die Compliance sicherzustellen.
(Bild: lucadp - stock.adobe.com)
Der neue AI-Act eröffnet Unternehmen die Möglichkeit, intelligente und rechtskonforme KI-Anwendungen zu entwickeln und einzusetzen. Darüber hinaus gibt die DORA-Verordnung (Digital Operational Resilience Act) Finanzunternehmen konkrete Richtlinien hinsichtlich der Cybersicherheit vor. Das Ziel aus EU-Sicht: Die dringendsten Herausforderungen im Digitalmarkt zu adressieren und gleichzeitig die Grundrechte des Einzelnen im digitalen Zeitalter zu bewahren. Trotz der Chancen mag für manche Unternehmen die Umsetzung dieser beiden EU-Gesetzesinitiativen eine lästige Pflichtaufgabe sein. Wer die Erfahrungen aus der DSGVO-Einführung von 2018 nutzt, kann allerdings jede Menge Doppelarbeit sparen. Die folgenden Lektionen beleuchten die vier wichtigsten Erkenntnisse, die Unternehmen für die aktuellen Regularien mitnehmen können.
Lektion 1: Datenbestände verstehen
Die DSGVO zwang Unternehmen, ihre Datenbestände gründlich zu analysieren – von der Herkunft über die Verarbeitung bis zur Speicherung. Nur mit diesem Verständnis konnten sie die gesetzlichen Vorgaben erfüllen. Beim verantwortungsvollen Einsatz von KI und für die Cybersicherheit gemäß DORA ist eine ebensolche Datentransparenz notwendig.
Anbieter müssen die Herkunft und Nutzung der Trainingsdaten für KI-Modelle lückenlos dokumentieren. Finanzunternehmen wiederum benötigen detaillierte Einblicke in ihre Datenverarbeitung, um widerstandsfähig gegen Cyberrisiken zu sein. Haben Organisationen bereits Strukturen für Data Governance und -kartierung aufgebaut, lassen sich diese nun auf den AI-Act und DORA übertragen. Entscheidend dabei ist, dass Anbieter, Lieferanten und Kunden sicherstellen, dass sie über geeignete Risikomanagement-Rahmen verfügen und alle Beteiligten ordnungsgemäß bewertet haben. Damit werden nicht nur die Vorschriften einhalten, sondern auch die finanzielle Stabilität gefestigt, was das Hauptziel von DORA ist. Der EU AI-Act stellt zudem eine Reihe von Verpflichtungen für verschiedene Akteure im Bereich der KI auf, die ebenfalls eine umfassende Dokumentation und Governance erfordern.
Lektion 2: Vertragsbeziehungen überprüfen und aktualisieren
Um die Vorgaben der DSGVO zu erfüllen, mussten viele Unternehmen ihre Kooperationsvereinbarungen mit Geschäftspartnern, Zulieferern und Dienstleistern gründlich überarbeiten. Nur so ließen sich klare Regelungen für den Umgang mit personenbezogenen Daten sowie für Berichtspflichten und Sicherheitsmaßnahmen verankern. Ähnliche Schritte sind nun aufgrund des AI-Acts und DORA erforderlich. Der AI-Act verpflichtet Organisationen, in ihren Vereinbarungen präzise Anweisungen für die Verwendung von Trainingsdaten und KI-Systemen festzulegen. Zudem müssen angemessene Risikoanalysen, technische Schutzmaßnahmen und Meldemechanismen für Zwischenfälle vertraglich geregelt werden. DORA zwingt Finanzunternehmen, ihre Outsourcing-Verträge zu überarbeiten. Hier gilt es, Anforderungen an die Ausfallsicherheit und Cybersicherheit externer Lösungen zu definieren und Berichtspflichten bei Vorfällen zu regeln.
Unternehmen, die diesen Prozess bereits für die DSGVO durchlaufen haben, können jetzt von ihren Erfahrungen profitieren. Sie kennen die notwendigen Vertragsklauseln und Prüfschritte. Wenn sie diese auf den AI-Act und DORA übertragen, lässt sich der Implementierungsaufwand deutlich reduzieren und damit Zeit und Ressourcen sparen.
Lektion 3: Bestehende Sicherheitskonzepte anpassen und erweitern
Die DSGVO zwang viele Organisationen dazu, ihr Sicherheitsniveau bei der Datenverarbeitung zu erhöhen. Insbesondere Cloud-basierte Lösungen mussten häufig aufgerüstet werden, um die strengen Datenschutzauflagen zu erfüllen. Dieser Fokus auf die IT-Sicherheit setzt sich im KI-Gesetz und DORA fort. Der AI-Act schreibt vor, dass Unternehmen ihre KI-Systeme regelmäßigen Stresstests und Risikoanalysen unterziehen müssen. Nur so lässt sich gewährleisten, dass die verwendeten Algorithmen sicher sind und die Grundrechte der Nutzer nicht verletzen. DORA wiederum verpflichtet Finanzunternehmen, ihre kritischen IT-Systeme kontinuierlich auf Schwachstellen zu überprüfen und die Cybersicherheit auf höchstem Niveau zu halten.
Organisationen, die im Rahmen der DSGVO-Umsetzung bereits umfassende Sicherheitsmaßnahmen ergriffen und robuste -Konzepte entwickelt haben, können diese nun zielgerichtet an die neuen Vorgaben anpassen. Vorausgesetzt, die damals eingeführten Prozesse wurden konsequent gepflegt, lassen sich hier wertvolle Synergien nutzen.
Lektion 4: Für KI-Ethik und Cybersicherheit sensibilisieren
Ein entscheidender Faktor für eine erfolgreiche DSGVO-Umsetzung war die Aus- und Weiterbildung der Mitarbeiter. Nur durch gezielte Schulungen konnten die Beschäftigten die komplexen Datenschutzanforderungen verinnerlichen und im Arbeitsalltag umsetzen. Ähnliche Weiterbildungsmaßnahmen sind nun aufgrund des AI-Acts und DORA gefordert. Der AI-Act verlangt, dass Mitarbeiter für die ethischen Implikationen von KI sensibilisiert werden. Sie müssen lernen, KI-Systeme verantwortungsvoll und diskriminierungsfrei einzusetzen. DORA macht es notwendig, die Belegschaft im Bereich Cybersicherheit zu schulen. Nur durch ein ausgeprägtes Risikobewusstsein lässt sich die Resilienz der IT-Systeme langfristig gewährleisten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Viele Organisationen haben im Zuge der DSGVO-Einführung bereits umfangreiche Weiterbildungsprogramme aufgesetzt. Diese lassen sich nun zielgerichtet um Inhalte zu KI-Ethik und Cybersicherheit erweitern.
Fazit: Doppelarbeit ersparen
Unternehmen, die aus der DSGVO-Implementierung gelernt haben, können dieses Wissen nun für den AI-Act und DORA nutzen, um die Compliance sicherzustellen. Die Kernaufgaben bleiben ähnlich: Daten vollständig verstehen, Verträge prüfen, Sicherheit gewährleisten und Mitarbeiter schulen. Wer hier bereits Strukturen und Prozesse aufgebaut hat, spart Zeit und Aufwand. Zudem schützt diese strategische Weitsicht die Interessen von Kunden und Geschäftspartnern bestmöglich. Aus der Compliance-Pflicht wird so ein klarer Wettbewerbsvorteil.
Über den Autor: Mario Tavares Moyron ist Senior Corporate Counsel & EU Data Protection Officer bei Genesys.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/56/eb/56eb26fd706af1e54a5d97a52cd5cd1c/0125831444v1.jpeg "Die EZB bemüht sich, die Bankenlandschaft gegen den Sturm der Cyberbedrohungen abzusichern. Neue Richtlinien zum Umgang mit Cloud-Dienstleistern wie DORA und strenge IT-Standards sollen die Resilienz der Finanzinstitute fördern. (Bild: © Саша Федюк - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/62/8e622dfaa28df750fcf665638019b9ca/0123375724v1.jpeg "Ohne erfahrenen Begleiter kann man im Compliance-Dschungel schnell die Orientierung verlieren. (Bild: Midjourney / KI-generiert)")