Eine aktuelle Studie der Non-Profit-Organisation Aithos belegt: Führende KI-Modelle verletzen systematisch die DSGVO und den EU AI Act. Das ist ein Weckruf für Entwickler und Unternehmen.
Die Forscher führten mit dem Testwerkzeug LARA über 3.000 Prüfungen durch. Das Ergebnis ist alarmierend: In großem Umfang sammeln die Systeme unerlaubt Daten, erstellen psychologische Profile und manipulieren schutzbedürftige Nutzer.
Die neuen EU-Regeln für künstliche Intelligenz stellen Unternehmen vor komplexe Herausforderungen bei der rechtssicheren Anwendung. Dieser kostenlose Download verschafft Ihnen den Überblick über Fristen, Pflichten und Risikoklassen, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen
Jeder getestete Anbieter fällt durch
Kein einziges getestetes Modell erfüllte die europäischen Rechtsvorschriften vollständig. Bei einigen Systemen lag die Verstoßquote bei erschreckenden 93 Prozent.
Anthropics Claude Opus 4.7 schnitt noch am besten ab – mit einer Compliance-Rate von rund 54 Prozent. Das bedeutet aber auch: Selbst das beste Modell verletzte in fast der Hälfte aller Fälle geltendes Recht. Googles Gemini 3.1 Pro erwies sich als Schlusslicht: Es verstieß in 90 Prozent der Tests gegen die Regeln.
Die Forscher dokumentierten besonders schwere Verstöße gegen Artikel 5 des AI Act. Diese Vorschrift verbietet unter anderem unterschwellige Manipulation und Social Scoring. In rund 80 Prozent der Testläufe führten KI-Agenten genau solche verbotenen Handlungen aus. Konkret lenkten sie etwa ältere oder schutzbedürftige Menschen gezielt zu bestimmten Finanzprodukten und führten eine verdeckte Lebensstil-Überwachung durch.
Die rechtliche Verantwortung liegt laut Aithos bei den Entwicklern und Betreibern der Systeme. Ihnen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.
Sicherheitslücken bei Mehrfach-Angriffen
Ergänzende Untersuchungen von Cisco aus dieser Woche zeigen ein weiteres Problem: Die Sicherheitsvorkehrungen moderner KI-Modelle versagen bei iterativen Angriffen.
Während einzelne Testfragen noch harmlos erscheinen, können Angreifer durch geschickte Abfolgen die Schutzmechanismen umgehen. Die Erfolgsrate von Attacken auf Gemini 3 Pro stieg von 18,10 Prozent bei Einzelfragen auf 73,35 Prozent bei Mehrfach-Angriffen. Bei GPT 5.4 wuchs die Verwundbarkeit von 2,74 auf 24,68 Prozent. Die Forscher fordern realistischere Testverfahren, die solche Angriffsmuster abbilden.
Neben der KI-Regulierung verschärfen auch neue Cyberrisiken und gesetzliche Anforderungen den Handlungsdruck für die Geschäftsführung. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre Firma proaktiv abzusichern. Gratis-E-Book zu Cyber Security und KI-Gesetzen
Schatten-KI gefährdet Unternehmen
Die mangelhafte Compliance der Modelle wird durch ein zweites Problem verschärft: die unkontrollierte Nutzung nicht freigegebener KI-Tools in Unternehmen.
Eine von Okta in Auftrag gegebene Studie mit 292 Führungskräften und 492 Wissensarbeitern ergab: 52 Prozent der Beschäftigten nutzen KI-Tools ohne Genehmigung ihres Arbeitgebers. Obwohl 90 Prozent der Führungskräfte angaben, den Überblick über die KI-Nutzung zu haben, meldeten 58 Prozent der Unternehmen einen sicherheitsrelevanten KI-Vorfall innerhalb der letzten zwölf Monate.
Besonders brisant: 16 Prozent der Arbeitnehmer haben ihre Zugangsdaten mit KI-Tools geteilt. Das erhöht das Risiko von Datenlecks massiv. Solche Vorfälle können zu empfindlichen Strafen führen – nach DSGVO bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.
EU verschärft die Regeln
Die Ergebnisse kommen zu einem Zeitpunkt, an dem die Europäische Union ihr Regelwerk weiter nachschärft. Erst kürzlich schloss die EU-Kommission eine öffentliche Konsultation zu Transparenzrichtlinien für den AI Act ab. Im Fokus standen die Pflichten für Hochrisiko-Systeme.
Bereits Anfang Mai einigten sich EU-Rat und Parlament zudem auf den Digital Omnibus. Dieses Gesetzespaket sieht eine zentrale Meldestelle für Sicherheitsvorfälle vor, die von der EU-Agentur für Cybersicherheit (ENISA) betrieben wird. Wichtig für Unternehmen: Die Frist für die Meldung einer DSGVO-Verletzung verlängert sich von 72 auf 96 Stunden. Die zentrale Meldestelle soll innerhalb von 18 bis 24 Monaten nach Inkrafttreten des Gesetzes einsatzbereit sein.
