Italiens Datenschutzbehörde greift durch: Sie hat Anbieter von KI-Bildgeneratoren wie Grok und Clothoff offiziell verwarnt. Der Vorwurf: Ihre Tools ermöglichen die Erstellung nicht einvernehmlicher, sexualisierter Deepfakes. Es ist der jüngste Schritt in einer europaweit beobachteten Regulierungsoffensive.
Scharfe Warnung vor „digitalem Entkleiden“
Die Garante per la protezione dei dati personali richtete ihre Mahnung am 8. Januar explizit an Entwickler von KI-Tools, die realistische Bilder aus Fotos echter Personen erzeugen können. Im Fokus stehen sogenannte „Digital Undressing“-Apps, die ohne Zustimmung betroffener Personen sexualisierte Inhalte produzieren.
Laut Behörde verstoßen solche Dienste gegen EU-Datenschutzrecht und können in Italien sogar strafbar sein. Neben Nischen-Anbietern wie Clothoff, das bereits im Oktober 2025 gesperrt wurde, nennt die Warnung ausdrücklich Grok – den KI-Chatbot von Elon Musks xAI. Die Botschaft ist klar: Auch große, allgemeine KI-Plattformen müssen ihre Sicherheitsvorkehrungen massiv nachbessern.
Seit August 2024 gelten neue EU-Vorgaben für KI-Systeme – viele Anbieter unterschätzen Kennzeichnungspflichten, Risikoklassen und Dokumentationspflichten und riskieren damit empfindliche Sanktionen. Ein kostenloser Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt praxisnah, wie Sie Ihr System richtig klassifizieren, welche Dokumente Auditoren sehen wollen und welche Fristen gelten. Mit klaren Checklisten für Entwickler und Compliance-Teams, damit „Safety by Design“ keine leere Phrase bleibt. Jetzt KI-Umsetzungsleitfaden herunterladen
„Safety by Design“ wird zur Pflicht
Die Aufsicht verlangt von den Unternehmen nun robuste technische Barrieren. Es reicht nicht mehr aus, missbräuchliche Nutzung in den Allgemeinen Geschäftsbedingungen zu verbieten. Stattdessen fordert die Garante „Safety by Design“: Die KI-Modelle müssen technisch so beschränkt werden, dass sie Anfragen zur Verletzung der Privatsphäre gar nicht erst ausführen können.
Diese Forderung steht im Einklang mit dem europäischen Digital Services Act (DSA) und dem kommenden KI-Gesetz (AI Act). Die italienische Behörde kooperiert zudem mit der irischen Data Protection Commission (DPC), die für viele US-Techkonzerne wie X die federführende EU-Aufsicht ist. So soll eine grenzüberschreitende Durchsetzung gewährleistet werden.
Doppelschlag der Aufseher
Die Privacy-Warnung ist Teil einer koordinierten Aktion italienischer Regulierer. Nur drei Tage zuvor, am 5. Januar, schloss die Wettbewerbsbehörde AGCM ihre Untersuchung gegen den chinesischen KI-Anbieter DeepSeek ab. Der Vorwurf dort: Das Modell verbreite ohne ausreichende Warnung falsche Informationen – sogenannte „KI-Halluzinationen“.
DeepSeek einigte sich auf verbindliche Zusagen, darunter transparentere Hinweise auf die Unzuverlässigkeit mancher KI-Antworten. Dieser Doppelschlag aus Datenschutz- und Verbraucherschutzbehörde innerhalb einer Woche zeigt eine neue Entschlossenheit Roms. Beide Risiken der Generativen KI – für die Privatsphäre und für informierte Verbraucher – werden gleichzeitig angegangen.
Hohe Hürden für den EU-Markt
Italien gilt als Vorreiter in der KI-Regulierung. Schon 2023 verhängte die Garante als erste westliche Behörde ein temporäres Verbot gegen ChatGPT. Juristen erwarten, dass die jüngste Warnung tiefe Einschnitte für Bild-KIs in Europa bedeutet.
Unternehmen müssen möglicherweise:
* Das Hochladen von Fotos realer Personen unterbinden.
* Deutlich schärfere Filter gegen Nacktheits- oder Deepfake-Anfragen einsetzen.
* Nachweisbare Einwilligungsmechanismen für die Nutzung von Personenfotos implementieren – eine technisch immense Herausforderung.
Die Compliance-Kosten für KI-Firmen in Europa steigen damit weiter. Marktbeobachter fürchten bereits „Geoblocking“: Konzerne könnten fortgeschrittene KI-Funktionen für europäische Nutzer sperren, um regulatorischen Risiken auszuweichen.
Drohende Millionenstrafen bei Nichtbefolgung
Die Garante behält sich weitere Schritte vor. Bei Nichtbeachtung der Aufforderung drohen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes gemäß der DSGVO. Die kommende volle Anwendung des EU-KI-Gesetzes im Laufe des Jahres 2026 wird viele dieser Forderungen in verbindliches Recht gießen.
Bis dahin bleibt Italien das Experimentierfeld dafür, wie streng bestehende Datenschutzgesetze auf die sich rasant entwickelnde KI-Branche angewendet werden können. „Die Botschaft aus Rom ist eindeutig“, kommentiert ein Tech-Analyst aus Mailand. „Wenn Ihr KI-Tool gegen die Privatsphäre von Menschen eingesetzt werden kann, sind Sie dafür verantwortlich, es zu entschärfen, bevor es auf den Markt kommt.“
PS: Übergangsfristen und Dokumentationspflichten der EU‑KI‑Verordnung laufen – wer jetzt plant, vermeidet späteren Nachbesserungsaufwand und Bußgelder. Der kompakte Compliance‑Report erklärt, wie Sie „Safety by Design“ technisch umsetzen, welche Nachweise Prüfer fordern und welche Schritte Entwickler priorisieren sollten. Ideal für Produkt‑, Legal‑ und Compliance‑Teams, die KI-Produkte in der EU betreiben. Kostenlosen KI-Compliance-Report sichern
