Die vertragliche Basis zwischen Unternehmen und ihren Softwareanbietern gerät zunehmend unter Druck. Eine aktuelle Untersuchung des Anbieters DataGrail zeigt, dass über 60 Prozent der Anbieter mit KI-Funktionen in ihren Data Processing Agreements (DPAs) keine Drittanbieter von KI-Modellen offenlegen. Die Folge: Unternehmen nutzen oft KI-Systeme, die sie nie genehmigt haben – und setzen sich damit unerkannten Compliance-Risiken und Datenschutzverletzungen aus.
Vertragslücken gefährden Compliance und Datenschutz
Die Analyse von 2.400 gängigen Unternehmenssoftware-Anbietern durch DataGrail offenbart ein systematisches Problem: 63,6 % der KI-fähigen Anbieter listen in ihren DPAs keine externen KI-Unterprozessoren auf – obwohl diese in der Praxis genutzt werden. Das bedeutet, dass viele Unternehmen unwissentlich sensible Kundendaten an nicht überprüfte KI-Modelle weitergeben.
Daniel Barber, Mitgründer und CEO von DataGrail, warnt vor den Konsequenzen: „Alle Anbieter versuchen, sich zu KI-Unternehmen zu entwickeln – doch die Technologie schreitet schneller voran als die Regulierung. DPAs sollten eigentlich das Fundament für Risikobewertungen sein, doch die Realität zeigt: Sie reichen längst nicht mehr aus.“
Die Studie fällt in eine Zeit, in der Unternehmen bereits jetzt mit den Folgen von Shadow AI kämpfen. Laut IBM’s Cost of Data Breach Report 2025 verursachen Unternehmen mit hohem Shadow-AI-Einsatz im Schnitt um 670.000 US-Dollar höhere Kosten bei Datenpannen – insgesamt 4,63 Millionen US-Dollar pro Vorfall. Parallel dazu verhängten US-Bundesstaaten im Jahr 2025 3,425 Milliarden Dollar an Datenschutzstrafen – mehr als in den fünf Jahren zuvor zusammen.
Wie DataGrail die Vertragslücken aufdeckte
Die Forschungsmethode von DataGrail geht über die reine Vertragsprüfung hinaus. Das Team verglich DPAs mit Produktdokumentationen, API-Verbindungen, GitHub-Umgebungen und Marketingmaterialien der analysierten Anbieter. Barber erklärt den Prozess: „Wir haben zunächst die DPAs als Grundlage genommen. Doch dann haben wir uns angeschaut: Welche KI-Modelle werden tatsächlich in den Produkten genutzt? Oft stimmen die Angaben in DPAs nicht mit den tatsächlichen Implementierungen überein.“
Ein konkretes Beispiel: Ein Unternehmen setzt ein KI-gestütztes Bewerbermanagement-System ein, dessen DPA Anthropic’s Claude als Hauptmodell nennt. Doch im Hintergrund nutzt das Tool zusätzlich OpenAI und Google Gemini – Modelle, die nie geprüft wurden. Barber betont: „Wir haben uns nicht nur auf Dokumente verlassen, sondern auch API-Verbindungen und GitHub-Repositories analysiert. Unsere Integration mit diesen Systemen gibt uns direkten Einblick in die Verarbeitung personenbezogener Daten.“
Sensible Daten und automatisierte Entscheidungen: Ein unterschätztes Risiko
Die Studie zeigt, dass 32,8 % der KI-Systeme mit offen gelegten Funktionen gleichzeitig hochriskante Aktivitäten ausführen – etwa die Verarbeitung sensibler Daten oder automatisierte Entscheidungsfindungen. Besonders brisant:
- 47,1 % der Systeme verarbeiten personenbezogene Daten
- 20,7 % können automatisierte Entscheidungen treffen
- 16,5 % verarbeiten sensible Kategorien wie Gesundheits- oder Finanzdaten
- 7,5 % nutzen biometrische Daten
Diese Zahlen sind jedoch nur die Spitze des Eisbergs. Viele Anbieter unterschätzen oder verschweigen die tatsächliche Nutzung ihrer Tools. Barber erklärt: „Selbst wenn ein Anbieter seine KI-Funktionen korrekt angibt, können Kunden das Tool in risikoreichen Szenarien einsetzen – etwa bei der Auswertung von Bewerbungsunterlagen mit sensiblen Daten.“
Regulatorische Fallstricke: Wer haftet bei Verstößen?
Ab Januar 2026 tritt in Kalifornien die CCPA-Risikobewertungsverpflichtung in Kraft. Unternehmen müssen dann Risikoanalysen für Verarbeitungsvorgänge mit hohem Datenschutzrisiko dokumentieren und bis April 2028 bei der CalPrivacy einreichen – inklusive eidesstattlicher Versicherung der Geschäftsführung. Die Nutzung von KI für automatisierte Entscheidungen oder die Verarbeitung sensibler Daten zählt zu den Aktivitäten, die diese Pflicht auslösen.
Experten warnen, dass viele Unternehmen hier unvorbereitet sind. Barber resümiert: „Wenn ein Anbieter unerlaubt Daten an ein KI-Modell weitergibt, das der Kunde nie genehmigt hat, könnte das als Compliance-Verstoß gewertet werden – mit potenziell schweren finanziellen und rechtlichen Konsequenzen.“
Die Studie unterstreicht, wie wichtig es ist, nicht nur die Vertragsdokumentation, sondern auch die tatsächliche Implementierung von KI-Systemen zu prüfen. Unternehmen sollten ihre Lieferantenverträge überarbeiten, unabhängige Audits durchführen und sicherstellen, dass alle KI-Modelle – sichtbar oder unsichtbar – den eigenen Compliance-Standards entsprechen. Nur so lässt sich das Risiko unerwünschter Datenschutzverstöße in der KI-Ära minimieren.
KI-Zusammenfassung
Yeni bir araştırma, şirketlerin %63,6’sının AI özellikli yazılımlarında üçüncü taraf AI alt işlemcilerini belgelememesiyle veri gizliliğinin ciddi bir tehdit altında olduğunu ortaya koyuyor. Gizli AI kullanımı, ihlal maliyetlerini artırırken, şirketleri yasal yaptırımlara da açık hale getiriyor.
