In den letzten Jahren hat die künstliche Intelligenz (KI) beeindruckende Fortschritte gemacht, die die bisherige Vorstellungskraft von Verbrauchern übersteigen. Insbesondere die Entwicklung von Sprachmodellen wie ChatGPT, Google Bard oder Dolly hat zu einer neuen Ära des maschinellen Lernens (ML) geführt. Die Möglichkeiten die sich dadurch eröffnen sind vielfältig und revolutionär.
Die derzeitige Flut von Datenschutz- und KI-Vorschriften bedeutet, dass Unternehmen, die KI einsetzen wollen, sich in den kommenden Monaten in einer immer komplexeren Rechts- und Regulierungslandschaft zurechtfinden müssen.
(Bild: alphaspirit - stock.adobe.com)
Die rasche Verbreitung dieser jungen Technologie hat erhebliche Auswirkungen auf nahezu alle Lebensbereiche: Sie führt zu Diskussionen darüber, ob KI menschliche Arbeitsplätze ersetzen wird, wann und wie der Einsatz von LLM-Werkzeugen ethisch vertretbar ist und wie am besten mit den potenziellen Risiken für die Privatsphäre und die Datensicherheit umzugehen ist, die mit dem Einsatz dieser Werkzeuge verbunden sind.
Jenseits ethischer und philosophischer Debatten müssen Unternehmen, die LLM-gestützte Lösungen zur Rationalisierung und Automatisierung von Prozessen oder zur Aggregation und Generierung von Erkenntnissen aus großen Datenmengen einsetzen wollen, die damit verbundenen Risiken angemessen berücksichtigen. Neben der Erstellung interner Richtlinien und Vorgaben, wie, wann und wofür Mitarbeiter solche Tools nutzen dürfen, ist auch das Bewusstsein für die aktuelle rechtliche und regulatorische Situation für den Einsatz dieser Technologie von entscheidender Bedeutung.
Large Language Models (LLM) – was sie sind und wie sie funktionieren
LLM ist eine Art KI-Algorithmus, der Deep-Learning-Techniken und große Datensätze nutzt, um neue Inhalte zu verstehen, zusammenzufassen, zu generieren und vorherzusagen.
LLM eröffnet damit neue Möglichkeiten in einer Reihe von Bereichen. Die potenziellen Anwendungen von LLM sind nahezu unbegrenzt und reichen von Chatbots für den Kundendienst bis hin zur Erkennung von Anomalien und Betrugsanalysen bei Finanzdienstleistungen. Sie werden auch eingesetzt, um die Softwareentwicklung zu beschleunigen, komplexe juristische Zusammenfassungen zu erstellen, Einblicke in Investitionsentscheidungen zu geben und Modelle zu entwickeln, die neue Erkenntnisse über Moleküle, Proteine und DNA für die pharmazeutische und biowissenschaftliche Forschung liefern.
LLM haben sich bereits in vielen Industriezweigen als bahnbrechend erwiesen und sind für jedes Unternehmen von großem Interesse, das seine Effizienz und Produktivität steigern will. Es gibt jedoch eine Reihe von gut dokumentierten Herausforderungen, die mit dem Einsatz dieser Technologie verbunden sind. Dazu gehören Probleme wie falsche oder ungenaue Antworten, Verzerrungen von Modellen und Ergebnissen, Verletzungen des geistigen Eigentums und des Urheberrechts sowie Datenschutzbedenken.
Abwägen von Risiken
Im Rahmen der Risikobewertung und der Due-Diligence-Prüfungen müssen einige zentrale Fragen zu den Quellen der Daten gestellt werden, die für das Training und den Betrieb von LLM-Modellen verwendet werden. Ebenfalls relevant sind Fragen zu den Lizenzvereinbarungen für diese Daten und zur Art und Weise, wie die Daten beschafft werden.
LLMs können alle Arten von Daten, einschließlich personenbezogener und anderer vertraulicher Daten, in einem noch nie dagewesenen Umfang sammeln, speichern und verarbeiten. Dies stellt Organisationen vor einige große Herausforderungen, die sich aus der Frage ergeben, wer für die Rechtmäßigkeit und Qualität der Daten verantwortlich ist, die für das Training generativer Produkte verwendet werden.
Ohne dies zu wissen, könnten Organisationen mit erheblichen rechtlichen oder behördlichen Sanktionen konfrontiert werden, wenn ihre Modelle personenbezogene Daten verwenden, die nicht mit den entsprechenden Genehmigungen eingeholt wurden. Beispielsweise könnten personenbezogene Daten, die an LLMs weitergegeben werden, später für zusätzliche Zwecke verwendet werden, die den Erwartungen oder Genehmigungen der Personen widersprechen, auf die sich diese Daten ausdrücklich beziehen.
Zweitens: Wie kann eine Organisation verhindern oder sich dagegen absichern, dass problematische Inhalte oder Verhaltensweisen erzeugt werden, beispielsweise Voreingenommenheit, tiefgreifende Fälschungen oder offene Diskriminierung? Die Verantwortlichkeiten von Lösungsanbietern und Organisationen für Prävention, Überwachung und Reaktion müssen klar verstanden und dokumentiert werden.
Wenn es um automatisierte Entscheidungsfindung oder andere Ergebnisse geht stellt sich die Frage, wer oder was Zugang zu den Daten oder Ergebnissen hat, die von maschinellen Lernverfahren erzeugt werden, und welche Auswirkungen diese Systeme auf Cybersicherheitsrisiken haben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Schließlich müssen Organisationen, die den Einsatz von LLMs erwägen, sorgfältig prüfen, wie sie mit Datenschutzverpflichtungen umgehen, z. B. mit Anfragen von betroffenen Personen nach Zugang zu ihren Daten oder deren Löschung.
Die Einhaltung von Rechtsvorschriften
Für maschinelle Lernverfahren wie LLM gelten die gleichen rechtlichen Rahmenbedingungen und Compliance-Anforderungen wie für andere KI-Technologien. Die Geschwindigkeit, mit der sie allgegenwärtig werden, lässt neue Herausforderungen bei der Einhaltung bestehender Datenschutzvorschriften entstehen.
Es ist alternativlos für Unternehmen, einen Überblick über die Rechtsvorschriften zu haben, die sie beachten müssen, um unmittelbar reagieren zu können.
Datenschutz-Grundverordnung (DSGVO)
Die DSGVO fasst die wichtigsten Grundsätze der Datensouveränität zusammen – dass digitale Daten den Gesetzen und Vorschriften des Landes unterliegen, in dem sie sich physisch befinden, dass die Regierung für sie verantwortlich ist und ihre Datenschutzrichtlinien durchsetzen kann - und legt eine Reihe von Kernanforderungen und Grundsätzen für die Verarbeitung personenbezogener Daten fest. Dazu gehören:
Einwilligung – Betroffene haben eine Reihe von Rechten an ihren personenbezogenen Daten, einschließlich des Rechts auf Zugang, Änderung oder Löschung ihrer Daten. Wie die Nutzer diese Rechte in der Praxis wahrnehmen, ist eine schwierige Frage.
Das Recht natürlicher Personen, nicht Entscheidungen unterworfen zu werden, die für sie rechtliche Folgen nach sich ziehen oder sie erheblich beeinträchtigen und die auf einer automatisierten Verarbeitung beruhen. Dies bedeutet, dass bestimmte Entscheidungen zwar durch LLM unterstützt werden können, das letzte Wort jedoch in der Regel ein menschliches Urteilsvermögen erfordert.
Die Datenschutzbehörden in Italien, Frankreich, Deutschland und Irland haben bereits Bedenken zur Vereinbarkeit von LLM mit den Bestimmungen der Datenschutz-Grundverordnung geäußert. Anfang dieses Jahres hat die italienische Datenschutzbehörde Stellung bezogen und ChatGPT daran gehindert, die persönlichen Daten von Millionen Italienern für seine Trainingsdaten zu verwenden (obwohl der Zugang innerhalb eines Monats wiederhergestellt wurde, nachdem OpenAI die Probleme erfolgreich „angesprochen oder gelöst“ hatte).
Künftige Rechtsvorschriften und Trends bei der Anwendung
Die europäischen Datenschutzbehörden bereiten sich bereits darauf vor, Beschwerden über Verstöße gegen die DSGVO aufgrund des Einsatzes von LLM zu bearbeiten.
In Frankreich hat die Datenschutzbehörde CNIL einen Aktionsplan für den Einsatz generativer KI-Systeme erstellt. Ein Schritt, der den Umgang anderer europäischer Aufsichtsbehörden mit diesen Technologien beeinflussen könnte. In ähnlicher Weise hat der Europäische Datenschutzausschuss (European Data Protection Board – EDPB) eine Arbeitsgruppe ins Leben gerufen, die sich darauf konzentriert, das neue KI-Gesetz der EU mit der Datenschutz-Grundverordnung in Einklang zu bringen.
Das KI-Gesetz der EU, das vom Europäischen Parlament im Juni 2023 verabschiedet wurde, soll KI auf der Grundlage ihres Schadenspotenzials regulieren und wird wahrscheinlich strengere Anforderungen an die Grundmodelle stellen, auf denen LLM basieren. Die Verordnung hat bereits ein Verbot bestimmter KI-Anwendungen wie Social Scoring vorgeschlagen und skizziert die Schutzmaßnahmen, die für das sich schnell entwickelnde technologische Umfeld von heute erforderlich sind.
In der Zwischenzeit hat die britische Regierung kürzlich ein eigenes KI-Whitepaper veröffentlicht, das Leitlinien für den Einsatz von KI enthält, um verantwortungsvolle Innovationen zu fördern und gleichzeitig das Vertrauen der Öffentlichkeit in diese Technologie zu erhalten. Es ist wahrscheinlich, dass dies in den kommenden Jahren zu weiteren neuen Gesetzen und Vorschriften führen wird.
Die derzeitige Flut von Datenschutz- und KI-Vorschriften bedeutet, dass Unternehmen, die KI einsetzen wollen, sich in den kommenden Monaten in einer immer komplexeren Rechts- und Regulierungslandschaft zurechtfinden und sicherstellen müssen, dass sie mit den Entwicklungen Schritt halten. Zum jetzigen Zeitpunkt sollte der Schwerpunkt \ darauf liegen, sicherzustellen, dass Compliance-Maßnahmen vorhanden sind, um zu gewährleisten, dass Daten im Einklang mit den aktuellen rechtlichen und regulatorischen Anforderungen erhoben und verarbeitet werden.
Über den Autor: Jakub Lewandowski ist Global Data Governance Officer bei Commvault.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/97/cb/97cb0bfe9d8148d7e2f031272a57adee/0124975396v1.jpeg "Die Einführung der KI-Funktionen von Meta im Europäischen Wirtschaftsraum erfolgt unter fragwürdigen rechtlichen und datenschutzrechtlichen Voraussetzungen. (Bild: © Knut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/bd/81bd5ce4ed478e58f0a4b58c2ca96612/0124967752v2.jpeg "Verbände und Politiker wollen die Datennutzung über den Datenschutz stellen. Dabei soll der Datenschutz die Datennutzung gar nicht verhindern, sondern ihr einen rechtlichen Rahmen vorgeben, der den Menschen die Kontrolle über ihre eigenen Daten verschafft. (Bild: © Sikov - stock.adobe.com)")