Wie (weit) sollte Künstliche Intelligenz (KI) reguliert werden? Diese Frage hat durch den KI-Boom der letzten Monate eine neue Dringlichkeit erhalten. Häufig dreht sich die Diskussion dabei um die Sorge, dass unregulierte KIs schwerwiegende Folgen für die Gesellschaft haben können, zum Beispiel durch die Verbreitung von Desinformationen. Doch auch der Datenschutz spielt eine wichtige Rolle, schließlich werden die Systeme mit riesigen Datenmengen trainiert.
Die Autorin: Adriana Calomfirescu ist Group Head of Data Delivery bei Endava
(Bild: Endava)
OpenAI hat eine wahre Welle losgetreten: Seitdem das Start-up seinen Chatbot ChatGPT und den Bildgenerator DALL-E 2 im vergangenen Jahr für die Öffentlichkeit verfügbar gemacht hat, springen mehr und mehr Unternehmen auf den KI-Trend auf oder werden neu gegründet, um KI-Modelle und ‑Anwendungen zu entwickeln. In Deutschland stufen laut dem aktuellen Emerging Technologies Report von Endava zudem knapp drei Viertel der Organisationen (73 Prozent) KI-basierte Automatisierung als relevant oder sehr relevant ein. Und zwei von fünf (39 Prozent) Befragten haben bereits eine Strategie für die Implementierung umgesetzt.
Unternehmen müssen sich der Gefahren und Chancen bewusst sein
Doch der Hype um KI bringt auch neue Risiken mit sich: So warnten etwa verschiedene KI-Forscher, darunter auch der CEO von OpenAI, in einem gemeinsamen Aufruf, dass KI das Potenzial besäße, die Menschheit auszulöschen. Konkrete Gefahr drohe beispielsweise durch die Entwicklung von Chemiewaffen durch KI-Systeme oder eine Machtergreifung durch mehrere KIs, die kollaborieren.
Wann (und ob) sie dazu in der Lage sein könnten, ist derzeit zwar fraglich, aber schon jetzt ist ernsthaftes Konfliktpotenzial erkennbar. So hat ein von einer KI erstelltes Bild von einer Explosion am Pentagon kürzlich für Aufregung gesorgt. Realistische Fälschungen und sogenannte Deepfakes, nicht nur von Bilder, sondern auch Videos, Stimmen und mehr, können sich schnell verbreiten und zu einem Klima der Desinformation beitragen. Auf persönlicher Ebene sollte sich darüber hinaus jeder Internetnutzer fragen, inwieweit KI-Unternehmen seine Daten verarbeiten, um die ihren Anwendungen zugrundeliegenden Modelle zu trainieren.
Die Thematik des Datenschutzes kam rund um die Veröffentlichung von ChatGPT bereits auf: Da laut der italienischen Datenschutzbehörde unter anderem für die Nutzer nicht ersichtlich war, welche der von ihnen eingegebenen Informationen gespeichert wurden, wurde der Chatbot kurzzeitig in dem Land verboten. Inzwischen ist er zwar wieder verfügbar, doch die Europäische Union drängt angesichts der rasanten Fortschritte inzwischen umso stärker auf die Regulierung von Künstlicher Intelligenz.
Unternehmen, die KI-Anwendungen in der täglichen Arbeit einsetzen oder eigene anbieten wollen, müssen daher umsichtig agieren und brauchen eine Strategie für den (rechts-)sicheren Umgang mit Daten. Diese sollte dabei verschiedene Aspekte umfassen, die auch ineinandergreifen:
Die gesetzlichen Vorgaben
Auch fünf Jahre nach ihrem Inkrafttreten stellt die Datenschutzgrundverordnung (DSGVO) viele Unternehmen noch immer vor Herausforderungen – obwohl zuvor eine zweijährige Übergangsfrist galt. In dieser Zeit sollten sie ihre internen Systeme so aufstellen, dass sie beispielsweise Fragen zur Verarbeitung persönlicher Daten problemlos beantworten können. Doch stattdessen wurden viele Unternehmen von der DSGVO und ihren Implikationen überrascht.
Das sollte sich bei der Regulierung von Künstlicher Intelligenz nicht wiederholen. Noch ist KI ein Spielplatz, an dem man sich weitestgehend frei ausprobieren kann. Doch das wird sich ändern und Organisationen müssen darauf vorbereitet sein. Das bedeutet konkret, dass sie zunächst ihre Kernmärkte definieren sollten: die Märkte, die für ihr Geschäft die größte Bedeutung haben und in denen sie mit hoher Wahrscheinlichkeit KI einsetzen werden. Anschließend können Unternehmen sich auf die KI-Debatten und -Regulierungsvorhaben in diesen Märkten konzentrieren. In der EU ist dies der AI Act. Aber beispielsweise auch in den USA wird zunehmend über dieses Thema diskutiert – auch weil die Anbieter selbst sich dafür einsetzen.
Letzteres passiert sicher nicht (nur) aus dem Gedanken heraus, dass KI einen gesetzlichen Rahmen braucht, sondern auch aus dem Wunsch, diesen mitzugestalten. Durch Partizipation können Organisationen sicherstellen, dass sie in Zukunft genug Freiraum für echte Innovationen haben. Gleichzeitig sind diejenigen, die sich proaktiv an Diskussionen beteiligen, natürlich viel besser auf Gesetze vorbereitet als Unternehmen, die die Entwicklungen nur von der Peripherie aus beobachten.
Die IT-Architektur
Daten sind der Schlüssel für KI, keine Frage – doch wie gehen Unternehmen mit diesen Daten konkret um? Das war schon ein zentraler Punkt bei der DSGVO und wird es nun erneut sein, allerdings in noch größerem Ausmaß. Unternehmen müssen deshalb heute schon entscheiden, wie sie ihr Datenmanagement im KI-Zeitalter aufstellen wollen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Derzeit werden Unternehmensdaten oft in zentralen Repositories wie einem Data Lake oder Data Warehouse gespeichert – zumindest in der Theorie. In der Praxis sind Datensätze oft im gesamten Unternehmen auf verschiedensten Servern und anderen Speicherorten verteilt und nicht miteinander verbunden, sie befinden sich also in Silos. Dies ist in vielerlei Hinsicht ein Problem: Wollen Unternehmen eine eigene KI-Anwendung mit ihren Daten trainieren, müssen sie relevante Datensätze erst suchen und zusammenführen. Das ist mühsam und kostet Zeit. Zudem werden Daten dafür oft kopiert, was wiederum dazu führen kann, dass deren Qualität sinkt – je nachdem wie gut die Daten gepflegt wurden, war sie womöglich schon von vornerein nicht wirklich gut . Aber um KI-Systeme zu trainieren, brauchen Organisationen qualitativ hochwertige, vertrauenswürdige Daten. Ist dies nicht der Fall, könnte dies zu Verzerrungen und falschen Entscheidungen führen. Schließlich verursacht das Kopieren von Daten auch zusätzliche Kosten für die Speicherung und kreiert neue Datensilos.
Unternehmen sollten sich daher überlegen, welche Daten für ihre KI-Anwendungen relevant sind und wie sie ihre IT-Architektur anpassen können, um diese Daten so nahtlos wie möglich für die entsprechenden Zwecke zu nutzen. Womöglich ist ein zentrales Repository der richtige Weg, wenn eine hohe Datenqualität sichergestellt wird. Vielleicht bietet sich aber auch eine Data-Mesh-Lösung an, bei der die Daten dezentral verbleiben und bei Bedarf in einer virtuellen Schicht zusammengeführt werden können.
Eine unternehmensweite Aufgabe
Unabhängig davon, wo und wie KI-relevante Daten gespeichert werden, müssen Unternehmen in der Lage sein, Data-Governance-Richtlinien und ‑Kontrollen umzusetzen. Dies ist entscheidend, damit tatsächlich nur die Daten für das Training von KIs verwendet werden, die dafür verwendet werden dürfen. So möchten manche Kunden vielleicht nicht, dass ihre persönlichen Daten oder Interaktionen zu diesem Zweck eingesetzt werden. Und, wie ein Beispiel von Samsung zeigt, fehlt unter Mitarbeitern manchmal das Bewusstsein, dass unternehmenskritische oder vertrauliche Informationen nicht in öffentlich zugängliche Anwendungen eingefügt werden sollten.
Das heißt: Neben technischen Lösungen, die den Umgang mit Daten regeln und den Datenschutz sicherstellen sollen, müssen Unternehmen auch Aufklärungsarbeit betreiben. KI und Daten sollten als unternehmensweite Aufgabe betrachtet werden. Denn früher oder später werden nahezu alle Mitarbeiter mit KI in Berührung kommen und müssen dann zumindest die Grundregeln für den Umgang kennen. Ist dies nicht der Fall, wird es womöglich – ähnlich wie bei der DSGVO – zu hohen Strafen für Organisationen kommen. Dies gilt es zu verhindern. Zudem sollte es Unternehmen ein Anliegen sein, die Arbeit mit KI intern zu fördern, weil sich dadurch die Produktivität steigern und die innerbetriebliche Effizienz erhöhen lässt, während die Mitarbeiter monotone Aufgaben abgeben können.
Unternehmen brauchen eine ganzheitliche KI-Strategie
Der Hype um KI ist nicht verwunderlich – ChatGPT ist zwar für Nutzer erstmal nur ein Textfeld, doch der Mehrwert erschließt sich vielen sofort, wenn sie sich Informationen zusammenfassen, Texte vorschreiben oder Ideen liefern lassen. Doch stehen wir dabei gerade erst am Anfang und können uns noch nicht vorstellen, wie KI die Welt verändern wird. Unternehmen müssen sich dennoch heute schon darauf vorbereiten und neben den Chancen auch die Risiken in den Blick nehmen. Dafür brauchen sie eine holistische Strategie, die KI in der gesamten Organisation etabliert und dabei Compliance in den Mittelpunkt stellt. Teil dieser Strategie sollte auch „AI-Alignment“ sein – ein Forschungsbereich, der sicherstellen will, dass KI-Systeme zuverlässig das tun, was Menschen von ihnen erwarten. So können Unternehmen KI-Systeme entwickeln, die an menschlichen Werten ausgerichtet sind und so einen gesellschaftlichen Mehrwert bieten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/c8/18/c81861f4adabc30af75e3dad6d3d3881/0123773449v2.jpeg "Konkrete Regelungen des AI Act treten in Kraft. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/cb/97cb0bfe9d8148d7e2f031272a57adee/0124975396v1.jpeg "Die Einführung der KI-Funktionen von Meta im Europäischen Wirtschaftsraum erfolgt unter fragwürdigen rechtlichen und datenschutzrechtlichen Voraussetzungen. (Bild: © Knut - stock.adobe.com)")