PageTracker
PageTracker
DrKPI FaktenCheck: Wie handlungsrelevante KPIs effektive für Datenschutz und KI genutzt werden.
Picture of Urs E. Gattiker

Urs E. Gattiker

ChatGPT Datenschutz 2026
Faktencheck:– Vom Grundrecht zur Illusion

ChatGPT Datenschutz 2026 wird zur Illusion. OpenAI verarbeitet Milliarden von Prompts ohne echte Transparenz. Microsoft 365 Copilot speichert Unternehmensdaten in der Cloud. DeepSeek leitet Daten nach China. Mistral AI kämpft mit CNIL-Beschwerden.

Die DSGVO verhängte €4 Milliarden Bussgelder – doch fast nichts wurde bezahlt. Der EU AI Act tritt 2026 in Kraft, aber wird er dasselbe Schicksal erleiden? Dieser Beitrag analysiert die ChatGPT Datenschutz 2026 Realität für KMU: Was funktioniert nicht, was können Sie tun, und warum bestehende Konzepte an ihre Grenzen stossen.

ChatGPT Datenschutz 2026: DSGVO-Realität – Erfolge und Schwächen

Nach Einführung der DSGVO 2018 sind Milliarden an Bussgeldern gegen Tech-Konzerne verhängt worden. Die höchste Strafe aller Zeiten: €1,2 Milliarden gegen Meta (2023, Irland) wegen Datenübertragung in die USA ohne DSGVO-Schutz.

Doch die Realität zeigt: Durchsetzung scheitert. Die Irish Times recherchierte auf Basis der Enforcement Tracker Daten: Über €4 Milliarden DSGVO-Bussgelder wurden verhängt, aber nicht bezahlt.

Top 10 DSGVO-Bussgelder aller Zeiten

Rang Firma Land Bussgeld (€) Verstoss Datum
1 Meta Platforms Ireland Irland 1,2 Mrd. Unzureichende Rechts­grundlage Daten­übertragung USA 2023-05-12
2 Amazon Europe Core Luxemburg 746 Mio. Cookies ohne Consent, „Legitimate Interest“ nicht ausreichend 2021-07-16
3 TikTok Technology Irland 530 Mio. Daten nach China ohne DSGVO-Schutz (Art. 46, 13) 2025-05-02
4 Meta Platforms Inc. Irland 405 Mio. Verletzung Daten­verarbeitungs­grundsätze 2022-09-05
5 Meta Platforms Ireland Irland 390 Mio. Verletzung Daten­verarbeitungs­grundsätze 2023-01-04
6 TikTok Limited Irland 345 Mio. Verletzung Daten­verarbeitungs­grundsätze 2023-09-01
7 LinkedIn Irland 310 Mio. Unzureichende Rechts­grundlage 2024-10-24
8 Uber Technologies Niederlande 290 Mio. Verletzung Daten­verarbeitungs­grundsätze 2024-07-22
9 Meta Platforms Ireland Irland 265 Mio. Unzureichende Sicherheits­massnahmen 2022-11-25
10 Meta Platforms Ireland Irland 251 Mio. Unzureichende Sicherheits­massnahmen 2024-12-17

Top 10 DSGVO-Bussgelder aller Zeiten: Meta führt mit €1,2 Milliarden (2023), Amazon €746 Millionen (2021, durch Gericht März 2025 bestätigt), TikTok €530 Millionen (2025). Quelle: GDPR Enforcement Tracker – Statistics. Auffällig: 2025 nur 1 Top-10-Bussgeld (TikTok) – Bussgelder werden kleiner.

Amazon-Fall: 2021 verhängt, 2025 durch Gericht bestätigt

Am 16. Juli 2021 verhängte Luxemburgs Datenschutzbehörde gegen Amazon eine Rekordstrafe von €746 Millionen. Der Vorwurf: Cookies ohne explizite Zustimmung, „Legitimate Interest“ als Rechtsgrundlage reicht nicht aus.

Amazon kämpfte juristisch dagegen. März 2025: Luxemburger Verwaltungsgericht weist die Berufung von Amazon zurück und bestätigt die ursprüngliche Entscheidung der CNPD.

Das Durchsetzungsproblem: €4 Milliarden unbezahlt

Die Irish Times recherchierte auf Basis der Enforcement Tracker Daten: Irlands Datenschutzbehörde (DPC) hat über €4 Milliarden an DSGVO-Bussgeldern verhängt, aber fast nichts davon erhalten.

Beispiel TikTok 2025:
Bussgeld verhängt: €530 Millionen
Tatsächlich gezahlt: €125.000 (0,02%)

Tech-Konzerne verzögern Zahlungen über Jahre durch juristische Mittel. Die Behörden sind machtlos. Wie Cybernews (auf Basis der Irish Times) berichtet: „Tech companies owe Ireland €4 billion in fines – and simply ignore them.“

Trend: Bussgelder werden kleiner

Die Statistiken des GDPR Enforcement Trackers zeigen: Top-Bussgelder werden seltener.

2025: Nur 1 Bussgeld in den Top 10 (TikTok €530 Mio.)
2023: 4 Bussgelder in den Top 10 (Meta dominiert)
2021: Amazon €746 Mio. (Platz 2 aller Zeiten)

Wie wir in unserer DSGVO-Bussgelder-Analyse zeigten: Behörden haben Kapazitätsgrenzen erreicht. Die Country Statistics des Enforcement Trackers belegen: Irland verhängt 60% aller grossen Bussgelder – kann aber fast nichts eintreiben.

Mehr Details: Die vollständige Datenbank mit allen Bussgeldern, filterable nach Land, Jahr und Firma, finden Sie im GDPR Enforcement Tracker.

Datenschutz 2026: Funktioniert es in der täglichen Praxis?

Illusion Realität 2026 Warum es nicht funktioniert
1. „Einwilligung bedeutet Kontrolle“ Nutzer klicken blind auf „Akzeptieren“ Cookie-Banner seit 5 Jahren – niemand liest sie.

KI-Tools sammeln Daten, bevor Nutzer überhaupt verstehen, was sie einwilligen.
2. „Datenschutz-Folgenabschätzungen schützen“ Bürokratische Pflichtübung ohne Konsequenzen Unternehmen füllen Formulare aus, ändern aber nichts.

Behörden können Tausende Datenschutz-Folgenabschätzungen (DSFAs) nicht prüfen.
3. „Privacy by Design funktioniert bei KI“ KI-Modelle sind Black Boxes Selbst Entwickler verstehen nicht vollständig, wie LLMs Daten verarbeiten.

„Privacy by Design“ wird zur Marketing-Phrase.
4. „Nutzer verstehen, was mit ihren Daten passiert“ Transparenz-Pflichten werden zu unlesbaren AGBs OpenAI, Microsoft, Google: 50-seitige Datenschutzerklärungen.

Wer liest das? Wer versteht es?
5. „Behörden können durchsetzen“ Kapazitätsgrenzen und politischer Druck Datenschutzbehörden unterbesetzt.

Grosse Tech-Konzerne verzögern Verfahren über Jahre.

Bussgelder werden nicht gezahlt.

Die 5 grössten Datenschutz-Illusionen 2026: Warum DSGVO-Versprechen in der KI-Realität scheitern. Von blinden Einwilligungen bis zu überforderten Behörden – Datenschutz wird zur bürokratischen Pflichtübung ohne echte Kontrolle.

Das Umsetzungsproblem: KMU im Fokus vergessen

Eine Bitkom-Studie (2024, n=605 Unternehmen mit mind. 20 Mitarbeitenden) zeigt: 63% der Unternehmen berichten von gestiegenem Aufwand für Datenschutz, doch nur 24% haben die DSGVO vollständig umgesetzt.

Das Problem: Die Studie schliesst 82,6% aller deutschen Unternehmen aus – Kleinstunternehmen mit bis zu 9 Vollzeitbeschäftigten und weniger als 2 Mio. Umsatz. Laut Destatis sind das 2,8 Millionen Unternehmen in Deutschland (KMU-Statistik).

Für diese Kleinstunternehmen ist die DSGVO eine noch grössere bürokratische Hürde: Hohe administrative Kosten, keine Rechtsabteilung, kein Budget für Datenschutzbeauftragte. Solange Bussgelder nicht konsequent durchgesetzt werden, bleibt die DSGVO für viele KMU eine Pflichtübung ohne echten Anreiz zur Umsetzung. Mehr zu KMU-Definitionen in DACH (Deutschland, Österreich, Schweiz).

Nichtsdestotrotz: Wir brauchen eine funktionierende DSGVO. Dass wir wegen der Visafreiheit mit den USA denen alle Daten geben, hilft nicht, mein Vertrauen in den Datenschutz zu verbessern.

„Erst rechtskräftig bestätigte und vollständig bezahlte Bussgelder verleihen der DSGVO Wirkung – noch fehlt ein wirklich grosses Exempel. Hoffen wir, dass der EU AI Act nicht dasselbe Schicksal teilt.“
— Urs E. Gattiker, Ph.D., DrKPI®

Datenschutz ist nicht nur wichtig für Unternehmen, auch reisehungrige Bürgerinnen sollten sich mit der DSGVO beschäftigen. Willigt die EU ein und übermittelt biometrische Daten ihrer Bürger in 28 Mitgliedstaaten und Schengen-Mitglieder wie die Schweiz an die USA, sind wir nicht mehr sicher, wie diese Daten genutzt werden (Beispiel Telefonnummern etc. – siehe unten in der Tabelle).

USA: Datenschutz endet an der Grenze – George Orwell meets Silicon Valley

Für einen USA-Urlaub mussten Menschen aus Europa bislang vergleichsweise wenige persönliche Informationen preisgeben. Das könnte sich bald grundlegend ändern, wenn es nach den US-Grenzbehörden geht.

Bereits seit 2025 sind Studierende sowie Antragsteller für Arbeitsvisa verpflichtet, ihre Social-Media-Konten anzugeben und öffentlich zugänglich zu machen. Dabei geht es laut US-Behörden explizit um die Identifikation möglicher Antisemiten und sicherheitsrelevanter Inhalte.

Neu ist, dass diese Praxis künftig auch auf Touristen ausgeweitet werden soll. Die US-Grenzschutzbehörde CBP plant, bei Einreisenden ohne Visum Social-Media-Beiträge rückwirkend zu prüfen. Betroffen sind Staaten, für die die USA bei Aufenthalten bis zu 90 Tagen auf ein Visum verzichten, darunter Deutschland, Österreich und die Schweiz. Bislang war die Angabe von Social-Media-Konten für diese Gruppen freiwillig.

Zusätzlich soll der ESTA-Antrag künftig nur noch über die offizielle App eingereicht werden können. Die Website soll entfallen. Die neuen Regeln könnten ab Februar 2026 gelten.

Neben Social-Media-Profilen kann bei Visa-Anträgen auch ein aktuelles Selfie verlangt werden. Diese Anforderungen gelten bereits heute für Studien- und Arbeitsvisa. Antisemitische Inhalte werden ausdrücklich nicht toleriert.

Die geplanten Änderungen basieren auf einem offiziellen Verfahren der US-Behörden. Am 2025-12-10 veröffentlichte die U.S. Customs and Border Protection (CBP) im Federal Register eine 60-Day Notice zur Überarbeitung des Arrival and Departure Record (Form I-94) sowie des Electronic System for Travel Authorization (ESTA).

Verantwortlich ist das Department of Homeland Security, konkret die U.S. Customs and Border Protection. Das Verfahren läuft unter der OMB Control Number 1651-0111.

Zusätzliche Datenerhebung im ESTA-Verfahren für Touristen und Studierende

English Deutsch
Telephone numbers used in the last five years In den letzten fünf Jahren verwendete Telefonnummern
Email addresses used in the last ten years In den letzten zehn Jahren verwendete E-Mail-Adressen
IP addresses and metadata from electronically submitted photos IP-Adressen und Metadaten aus elektronisch übermittelten Fotos
Family member names (parents, spouse, siblings, children) Namen von Familienmitgliedern (Eltern, Ehepartner, Geschwister, Kinder)
Biometrics: face, fingerprint, DNA, iris Biometrische Daten: Gesicht, Fingerabdruck, DNA, Iris

Zusätzliche Datenerhebung im ESTA-Verfahren: USA verlangen ab Februar 2026 umfassende digitale Spuren von Touristen – von Telefonnummern der letzten 5 Jahre über E-Mail-Adressen der letzten 10 Jahre bis zu biometrischen Daten und Familienmitglieder-Informationen. Datenschutz existiert für Einreisende praktisch nicht mehr.

EU AI Act Implementation: KI als Bedrohung und Lösung

Der EU AI Act tritt 2026 in Kraft – die wichtigsten Stichtage und Anforderungen finden Sie in unserer Analyse zur Anwendung des EU AI Act.

Doch KI ist nicht nur eine Bedrohung – wie der Anthropic-Fall GTG1002 zeigt. KI kann auch analysieren, Muster erkennen und Sicherheitsverletzungen in Echtzeit erkennen. Sie kann automatisch Bedrohungen markieren und darauf reagieren. KI-Sicherheitstools verbessern die Bedrohungserkennung und Incident Response erheblich.

WEF Global Cybersecurity Outlook 2026: KI als grösster Risikofaktor

Der Global Cybersecurity Outlook 2026 des Weltwirtschaftsforums (WEF), diskutiert vom 19.-23. Januar in Davos, identifiziert KI als den einflussreichsten Faktor für Veränderungen im Bereich Cybersicherheit 2026:

  • Cyberbetrug und KI-Schwachstellen sind die grössten Sorgen von CEOs bzw. CISOs
  • Unternehmen verstärken die Bewertung und Steuerung von KI-Tools, um Sicherheitsrisiken zu bewältigen
  • KI-Einsatz in Cybersicherheit verbessert Bedrohungserkennung, erfordert jedoch menschliche Aufsicht und Vertrauen
  • Geopolitische Cyberbedrohungen beeinflussen Sicherheitsstrategien, wobei das Vertrauen in die nationale Widerstandsfähigkeit abnimmt

Die Verbindung zwischen DSGVO und EU AI Act ist entscheidend: Beide regulieren Datenverarbeitung, aber der EU AI Act adressiert zusätzlich KI-spezifische Risiken wie algorithmische Bias, Transparenz und Hochrisiko-Systeme.

Ohne durchgesetzte DSGVO-Bussgelder fehlt jedoch der Präzedenzfall für effektive Regulierung – ein Risiko, das sich beim EU AI Act nicht wiederholen darf.

Palantir CEO Alex Karp: Wenn Überwachungstechnologie auf Datenschutz trifft


Palantir CEO Alex Karp spricht im Investor Call 2026 über den Einsatz von Technologie zur Durchsetzung geopolitischer Interessen. Wenn Rhetorik, Überwachungstechnologie und staatliche Abhängigkeiten kollidieren.

Dieses Video aus einem Palantir-Investor-Call zeigt exemplarisch, warum der EU AI Act nicht nur technische, sondern auch machtpolitische Risiken adressieren muss. Palantir gilt als führender Anbieter von Analyseplattformen wie Gotham, die von Militärs, Geheimdiensten und Strafverfolgungsbehörden eingesetzt werden – inklusive ICE-Einheiten in den USA.

Dass die Schweizer Armee Palantir 2024 als Sicherheitsrisiko einstufte, während andere europäische Behörden weiterhin kooperieren, unterstreicht die regulatorische Brisanz. Zwei investigative Recherchen von Republik dokumentieren detailliert, weshalb Palantir trotz jahrelanger Bemühungen in der Schweiz scheiterte und warum das Unternehmen heute als geopolitisches und datenschutzrechtliches Risiko gilt:

Mit Palantir ungebremst, DSGVO wirkungslos, Datenschutz im Eimer – meine Rechte schwimmen wie Felle davon.

Diese verfeinerte staatliche Datensammlung mit Hilfe privater Firmen ist nur eine Seite der Medaille. Die andere: KI wird zunehmend zur autonomen Waffe in den Händen von Angreifern. Der Anthropic-Fall GTG1002 zeigt, wie schnell KI-Systeme selbst zu Sicherheitsrisiken werden.

KI als autonome Waffe: Anthropic-Fall GTG1002

Neben den Datenschutz-Herausforderungen gibt es auch die Problematik, dass ein KI-System gehackt werden könnte und dabei persönliche Daten aber auch Finanzinformationen verloren gehen könnten.

Ein Beispiel ist der im November 2025 veröffentlichte Anthropic-Bericht über den ersten bekannten Fall eines fast vollautonomen KI-Spionageangriffs.

Die Gruppe GTG1002, mutmasslich mit chinesischen Stellen verbunden, nutzte Claude Code, einen KI-basierten Codierungsagenten für: Aufklärung des Ziels, Schwachstellenanalyse, Ausnutzung der Lücken, Erfassung von Anmeldedaten, Datenanalyse und Datenexfiltration.

80–90% der Schritte liefen autonom. Menschen griffen nur strategisch ein. Geschwindigkeit und Präzision der KI waren beispiellos.

DFG erlaubt KI-Nutzung bei Forschungsanträgen – Vertraulichkeit gefährdet?

Die Deutsche Forschungsgemeinschaft (DFG) erlaubt Gutachtern ab 2025-12-15, KI bei der Begutachtung von Forschungsanträgen einzusetzen (Information für die Wissenschaft Nr. 102).

Doch wie der Vergleich von DeepSeek, Microsoft Copilot, ChatGPT und Mistral oben zeigt: Bei kostenlosen KI-Angeboten wird die DSGVO teils nicht eingehalten. Auch das Hosting bei amerikanischen Cloud-Servern schützt diese nicht vor der Einsicht von öffentlichen US-Stellen – der CLOUD Act verpflichtet US-Unternehmen zur Datenweitergabe.

Damit ist die von der DFG geforderte Vertraulichkeit faktisch nicht gewährleistet.

Reale Präzedenzfälle existieren: OpenAI musste im Rahmen eines Gerichtsverfahrens mit der New York Times Nutzerdaten speichern – auch aus der DACH-Region (OpenAI, 2025-06-05).

Wenn vertrauliche Antragsinhalte in KI-Systeme gelangen, stellen sich erhebliche Fragen zu geistigem Eigentum, Erfindungen und Patenten. Die DFG sollte ihre Rahmenbedingungen kritisch überprüfen.

ChatGPT Datenschutz 2026: KI-Anbieter im Vergleich – Wer hält sich an die DSGVO?

Microsoft, OpenAI, DeepSeek und Mistral AI versprechen Datenschutz. Die Realität 2026 sieht anders aus. Unabhängige Research Papers zeigen: Alle vier verletzen fundamentale DSGVO-Prinzipien.

DeepSeek: Open Source ≠ Datenschutz – China Backdoor entdeckt

Versprechen Realität 2026
„Open Source = Transparent & Sicher“ US House Committee fand: Hardcoded Links zu China Mobile (staatlich kontrolliert).

Model Distillation – DeepSeek stahl OpenAI-Capabilities.

Censorship in 85% politisch sensibler Themen (Taiwan, Tiananmen).

Feroot Security decryptierte Code: Hidden Backdoor zu CMPassport.com (China Mobile Registry).

User erstellen unknowingly Accounts in China, Identitäten sichtbar für staatliche Systeme.

Quelle: US House Committee on CCP Report
„Keine Datensammlung ohne Zustimmung“ Ein Cisco-Forschungsteam erzielte bei DeepSeek R1 eine Jailbreak-Erfolgsquote von 100 %

Prompt Injection ermöglicht volle Daten-Extraktion.
„Open-Weight Model = Privacy“ Training Data durch carefully crafted Prompts extrahierbar.

Open-weight ≠ privacy – Model Weights encodieren Training Data.

Training Data Transparency fehlt komplett.

Lexology Legal Analysis (10+ Jurisdiktionen): Lack of clarity on data collection, inadequate safeguards für cross-border transfers.

Quelle: Lexology Global Regulatory Overview

DeepSeek Datenschutz-Realität 2026: Das US House Committee fand hardcoded China Mobile Backdoor in DeepSeek, während wie oben erwähnt Cisco eine 100% Erfolgsrate bei Jailbreak Versuchen hatte.
Open Source bedeutet nicht Datenschutz, wenn Daten nach China fliessen und staatliche Überwachung eingebaut ist.

Diese Versprechen vs. Realität zeigen: „Open Source“ ist kein Datenschutz-Garant. Die OECD AI Incidents Database listet mehrere DeepSeek-Vorfälle als „National Security Risk“.

Microsoft Copilot: EU Data Residency erfordert manuelle Konfiguration

Versprechen Realität 2026
„EU Data Residency – Daten bleiben in der EU“ Standardmässig 30 Tage Retention für Missbrauchserkennung.

Enterprise-Kunden müssen manuell Real-time Anomaly Processing aktivieren.

Deutschland erst 2026 verfügbar, bis dahin Daten in anderen EU-Ländern.

Private Endpoints, EU Data Boundary und Customer-Owned Storage müssen explizit konfiguriert werden.

Trade-off: 200-500ms höhere Latenz durch Stateless Processing.

Quelle: arXiv 2510.11558 – Zero Data Retention Study
„GDPR Articles 6 & 9 compliant“ Norwegische Datenschutzbehörde Datatilsynet fand bei NTNU-Universität (43.000 Studierende): Copilot kann nicht verhindern, dass besondere Kategorien (DSGVO Artikel 9: Gesundheit, Religion, etc.) in Prompts landen.

Microsoft argumentiert „berechtigtes Interesse“ (DSGVO Artikel 6.1f), Datatilsynet findet: „Nicht ausreichend für sensible Unternehmensdaten“.

Quelle: Datatilsynet Norway – NTNU University Study

Microsoft Copilot Datenschutz-Realität 2026: arXiv-Studie zeigt 30 Tage Standardretention, Datatilsynet Norway findet DSGVO Art. 6 & 9 nicht erfüllt bei 43.000 Studierenden. Enterprise-Kunden müssen komplex konfigurieren (Private Endpoints, EU Boundary, Custom Storage) mit 200-500ms Latenz-Trade-off. „EU Data Residency“ ist kein Standard, sondern Opt-In.

Aber nicht nur Microsoft Copilot macht es für ein KMU schwierig, die DSGVO einzuhalten. Auch Microsoft-Produkte sammeln Daten, welche das Einhalten der DSGVO praktisch verunmöglichen, wie weiter unten beim Outlook-Beispiel erklärt.

OpenAI ChatGPT: „Right to be Forgotten“ strukturell unmöglich

Versprechen Realität 2026
„Privacy by Design – Business-Daten nicht fürs Training“ Free/Plus-User: Alle Prompts fürs Training genutzt (30 Tage Retention).

Enterprise: Opt-Out möglich, ABER Third-Party Sharing bleibt intransparent.

Nightfall AI Studie (Feb 2025): 63% aller Prompts enthalten PII (Personally Identifiable Information), doch nur 22% der Nutzer wissen überhaupt von Opt-Out-Möglichkeiten.

Quellen: Nightfall AI Februar 2025, arXiv 2307.14192
„GDPR Article 17 – Right to be Forgotten“ Reddit-Studie (2,5 Mio. Posts, April 2025): „ChatGPT doesn’t really forget data the same way as erasing under the EU right to be forgotten (DSGVO Art. 17) requires … once a chat is used in machine learning, you can’t ever truly erase it.“

Daten werden ins Trainingsmodell als latent representations eingebettet.

Italien blockierte ChatGPT März 2023 wegen massiver DSGVO-Verstösse.

Samsung Source Code Leak (April 2023): Ingenieure kopierten proprietary code in Prompts, OpenAI speicherte für Training – Geschäftsgeheimnisse landeten im Pool.

Quellen: arXiv 2504.06552, arXiv 2507.03034

OpenAI ChatGPT Datenschutz-Realität 2026: Reddit-Studie (2,5 Mio. Posts) zeigt „Right to be Forgotten“ unmöglich, Italien blockierte März 2023, Samsung verlor Source Code, 63% Prompts enthalten PII. DSGVO Art. 15-17 strukturell nicht erfüllbar – Bussgelder bis 4% Jahresumsatz drohen.

Neben den Datenschutz-Herausforderungen, welche die Nutzung von ChatGPT bringt, ist der Service auch z.B. am 13. und 14. Januar 2026 überlastet oder hat mit anderen Problemen zu kämpfen.

Aber auch andere KI-Systeme wie Claude hatten z.B. am 14.1.2026 einen Leistungsabfall. Das wiederum macht das Arbeiten mit diesen dezentral in Rechenzentren der Tech-Riesen gehosteten Applikationen nicht immer verlässlich.

Diese dezentrale Speicherung von Daten in Europa ist zwar ein Pluspunkt für Mistral Le Chat. Doch die Abhängigkeit von der Cloud-Infrastruktur grosser Technologieunternehmen aus den USA (z.B. Microsoft und Google) führt dazu, dass die Daten dem CLOUD Act (USA) unterliegen. Das macht die Einhaltung der DSGVO nicht einfacher, wie das Beispiel von Mistral AI zeigt.

Mistral AI: EU-Champion mit Schwächen – CNIL-Beschwerde zeigt Lücken

Versprechen Realität 2026
„GDPR-Compliant EU Alternative“ Enkrypt AI Safety Tests (Mai 2025): Pixtral-Modelle 60x wahrscheinlicher CSAM (Child Sexual Abuse Material) zu generieren als GPT-4o/Claude.

40x wahrscheinlicher gefährliche CBRN-Informationen (Chemical, Biological, Radiological, Nuclear).

Sifted-Investigation (Feb 2025): Mistral änderte Privacy Policy „quietly“ nach CNIL-Beschwerde. Keine öffentliche Ankündigung.

CamoCopy Privacy Analysis findet: Relies heavily auf Microsoft & Google Cloud Infrastructure (non-EU).

Quellen: Enkrypt AI Report Mai 2025, CamoCopy Privacy Analysis 2025
„Free Users = gleiche Privacy wie Paid“ LeBigData.fr beschreibt die CNIL-Beschwerde:

Kostenlose Nutzer haben keine Möglichkeit, ihre Daten vom Training auszuschliessen.

Bezahlte Nutzer (Pro) können das Opt-Out direkt im Konto aktivieren.

DSGVO Artikel 12.2 sagt jedoch: Unternehmen müssen die Ausübung von Betroffenenrechten – also das Opt-Out – einfach ermöglichen. Die aktuelle Praxis verletzt diese Vorgabe.

In der OECD AI Incidents Database (Februar 2025) ist diese Klage von Jérémy Roche als „Data-Privacy-Controversy“ eingetragen.

Mistral AI Datenschutz-Realität 2026: CNIL-Beschwerde wurde von Jérémy Roche, einem Anwalt, bei CNIL eingereicht.

Der „EU Privacy Champion“ änderte Policy heimlich nach Beschwerde. Doch gemäss Jérémy Roche müssen kostenlose Nutzer der Firma einen Papierbrief senden, um ihr Recht auf Einspruch auszuüben.

Der Computercode, der es den Nutzern erlaubt, ihr Recht auf Einspruch durch das Entfernen eines einfachen Kästchens auszuüben, existiert jedoch bereits für Nutzer des Pro-Angebots des Dienstes.

Wir haben darauf hingewiesen, dass die Speicherung von Daten in Europa zwar ein Pluspunkt für Mistral Le Chat ist, die Abhängigkeit von der Cloud-Infrastruktur grosser Technologieunternehmen aus den USA (z.B. Microsoft und Google) jedoch dazu führt, dass die Daten dem CLOUD Act (USA) unterliegen.

Diese Versprechen vs. Realität sind nicht nur theoretisch – wie der Eurail-Fall 2026 zeigt, scheitern Datenschutz-Garantien auch in der Praxis.

📡 RSS-Feed abonnieren:
Bleib automatisch auf dem Laufenden – neue Beiträge direkt in deinen Feed-Reader.
Ideal für Feedly, Inoreader oder Apple Podcasts.

Praxisbeispiel: Eurail Datenleck zeigt – Cybersecurity KPIs versagten

Oben haben wir aufgezeigt, inwiefern 4 verschiedene KI-Systeme es schwierig machen, die DSGVO sicherzustellen.

Aber es können auch ganz banale Fälle passieren, wo persönliche Daten von Kunden von Hackern abgezogen werden. Wenn dann die Hacker noch an die Daten gelangen wie Passport-Nummern der Kunden, ohne eine Verschlüsselung knacken zu müssen, kann man nur den Kopf schütteln.

Am 10. Januar 2026 kündigte Eurail B.V., das Unternehmen hinter dem Interrail-Pass für Zugreisen durch Europa, einen Sicherheitsvorfall an. Unberechtigter Zugriff auf Kundendaten wurde entdeckt – darunter Namen, Passnummern, Bank-IBANs aber auch E-Mails und Login-Daten der Kunden. Darunter waren auch Teilnehmer des DiscoverEU (Erasmus+ finanziert) Programmes.

Die Fakten

  • Vorfall bekannt: Sonntag, 10. Januar 2026
  • Kundenbenachrichtigung: Dienstag, 13. Januar 2026 nach 20:15 Uhr
  • Verzögerung: Mindestens 50 Stunden (DSGVO Artikel 33 verlangt Meldung binnen 72 Stunden)
  • Betroffene: Eurail-Kunden, DiscoverEU-Teilnehmer (Europäische Kommission, EACEA)

Was wirklich schief lief

1. Passwort-Daten nicht verschlüsselt
Eurail behauptete am 10. Januar: „Wir haben betroffene Systeme gesichert und Zugangsdaten zurückgesetzt.“ Die Realität drei Tage später: Alte Passwörter funktionierten noch. Password Reset wurde nicht durchgesetzt. Fahrlässigkeit.

2. Role-Based Access Management fehlte
Unter welcher Rolle kam der Hacker rein? Diese Frage blieb unbeantwortet. Ohne granulare Zugriffskontrolle hat jeder Angreifer Vollzugriff auf alle Kundendaten – inklusive Passnummern und Gesundheitsdaten.

3. Die falschen KPIs gemessen
Eurail hatte vermutlich „98% Training Completion“ als Cybersecurity-KPI. Doch wie eine Diskussion auf LinkedIn mit Oxana Iatsyk, J.D., LL.M., AIGP zeigt: Activity ≠ Health.

„Ein globaler Einzelhändler verfolgte stolz 98% Trainingsabschluss als Privacy-KPI – doch Audits zeigten, dass 40% der Mitarbeiter DSGVO-Regeln in realen Situationen nicht anwenden konnten. Die Metrik mass Häkchen, nicht Fähigkeit oder Risiko.“— Oxana Iatsyk, Global Privacy & AI Governance Executive

Persönlicher Case: Proton Mail schützte Privacy

Als Interrail-Kunde nutzte ich dank Proton Mail einen Alias als E-Mail-Adresse. Password Reset um 21:10 Uhr eingeleitet – doch alte Passwörter funktionierten noch drei Tage später, wie andere Kunden feststellten. Eurails Behauptung „Zugangsdaten zurückgesetzt“ war faktisch falsch.

EU-Kommission reagiert

Die Europäische Kommission veröffentlichte ein Statement zu DiscoverEU-Betroffenen: Kompromittierte Daten können Namen, Passdaten, Bank-IBANs und Gesundheitsinformationen umfassen.

Empfehlung: Passwörter ändern, Banktransaktionen überwachen, verdächtige Aktivitäten melden. Diese Informationen sind die gleichen, welche alle Eurail-Kunden erhalten haben. Nichts Neues.

Der Europäische Datenschutzbeauftragte wurde benachrichtigt. Updates sollen während der Untersuchung erfolgen. Als Kunde weiss ich immer noch nicht mehr – eine Woche nachdem der Fall passierte.

ChatGPT Datenschutz 2026 mit zentralem KPI-Highlight und umgebenden Symbolen für Strategie, Analyse, Forschung, Optimierung und Erfolg

DrKPI Faktencheck zeigt warum Regulierung allein nicht reicht und wie messbare KPIs über Vertrauen, Sicherheit und Compliance entscheiden

Die Lehre: KPIs müssen Risiko, nicht Aktivität messen

Eurail mass vermutlich die falschen KPIs. Wie wir in unserer Analyse zu Key Performance Indicators zeigen: Organisationen ertrinken in Metriken, doch Top-Management verliert Signal im Rauschen.

„Die eigentliche Herausforderung ist kein Mangel an Indikatoren, sondern ein Überfluss. Wir fokussieren bewusst auf wenige, entscheidungsrelevante KPIs – zum Beispiel drei für DSGVO und drei für EU AI Act. Darüber hinaus ertrinken Organisationen in Metriken.“— Urs E. Gattiker, Ph.D., DrKPI®

Hätte Eurail die richtigen KPIs genutzt – etwa zu role-based exposure, Verschlüsselungsstatus und Credential-Rotation – wäre der Breach vermutlich vermeidbar gewesen. Mindestens hätte er deutlich früher erkannt und eingedämmt werden können.

Weitere Informationen

Der Eurail-Fall zeigt: Selbst etablierte europäische Unternehmen scheitern an grundlegenden Cybersecurity-Praktiken. Doch nicht nur Zuganbieter haben Probleme – auch alltägliche Tools wie Email-Clients bergen Datenschutzrisiken, wenn sie cloudbasiert werden.

Microsoft Outlook: Von Desktop zu Cloud – Datenschutz adé

Das neue Outlook von Microsoft überträgt Zugangsdaten und E-Mails an Microsofts Server. Anders als die klassische Desktop-Version basiert es vollständig auf Webdiensten. Login-Informationen und Nachrichteninhalte landen in der Microsoft-Cloud, wo sie mit KI-Funktionen verarbeitet werden können.

Unternehmen verlieren die Kontrolle über ihre Daten. Microsoft kann theoretisch auf alle Inhalte zugreifen – ein DSGVO-Problem für sensible Branchen.

Datenschutzfreundliche Alternativen

Mozilla Thunderbird ist kostenlos, Open Source und speichert alle Daten lokal. Version 145.0 unterstützt Exchange nativ für E-Mails. Kalender und Kontakte folgen in Updates 146+.

Proton Mail bietet Ende-zu-Ende-Verschlüsselung standardmässig. Server in der Schweiz, Zero-Access-Prinzip – selbst Proton kann Daten nicht lesen. Die Suite umfasst Mail, Drive, Pass und VPN.

Handlungsempfehlung: Klassisches Outlook bleibt bis mindestens 2029 verfügbar. Cloudbasierte Lösungen wie neues Outlook können DSGVO-Herausforderungen verursachen. Compliance-Anforderungen Ihrer Branche sorgfältig prüfen.

Während Unternehmen wie Microsoft und Eurail technische Schwachstellen haben, zeigen die nächsten Abschnitte: Die EU positioniert sich als normative Führungsmacht gegen Silicon Valley und China.

🌱 Up to date mit DrKPI:
KI, KMU, Strategie und Trends – kompakt erklärt.
Jetzt Newsletter abonnieren und keine Insights mehr verpassen!

EU-Strategie 2026: Normative Führungsmacht vs. Silicon Valley

Die EU will nicht nur ein starker Binnenmarkt bleiben. Zusätzlich strebt sie eine normative Führungsmacht im digitalen Bereich an. Dabei will die EU ihre Vision einer regel- und wertebasierten Digitalpolitik in andere Länder tragen.

Das WZB (Wissenschaftszentrum Berlin) analysiert in einer Studie von Steer, Pohle & Thürer (November 2025): Die EU positioniert sich als Gegenmodell zur USA (Innovation ohne Regulation) und China (staatliche Kontrolle).

EU AI Act, DSGVO und Digital Services Act sollen global als Standards etabliert werden.

Häufig gestellte Fragen: ChatGPT Datenschutz 2026

Ist ChatGPT DSGVO-konform nutzbar?
Nein, nicht ohne Einschränkungen. Free/Plus-User: Alle Prompts werden fürs Training genutzt (30 Tage Retention). Enterprise-Kunden können Opt-Out aktivieren, aber Third-Party Sharing bleibt intransparent. arXiv-Studie 2307.14192 fand: Third-Party Data Sharing ohne vollständige Liste der Partner. Italien blockierte ChatGPT März 2023 wegen massiver DSGVO-Verstösse.

Welche KI ist am DSGVO-konformsten?
Mistral AI (Frankreich) speichert Daten in EU-Rechenzentren, aber CNIL-Beschwerde zeigt: Kostenlose Nutzer können Opt-Out nur per Papierbrief einreichen. Microsoft Copilot erfordert manuelle Konfiguration für EU Data Residency (Private Endpoints, EU Boundary). DeepSeek leitet Daten nach China (US House Committee Report). Fazit: Keine KI ist standardmässig DSGVO-konform – alle erfordern Konfiguration oder Einschränkungen.

Was ist der CLOUD Act und warum gefährdet er die DSGVO?
Der CLOUD Act (2018) erlaubt US-Behörden weltweiten Datenzugriff bei US-Unternehmen – unabhängig vom Speicherort (EU, China, Schweiz). Microsoft, Google, Amazon, OpenAI müssen bei Anfragen von FBI, Homeland Security oder NSA Kundendaten herausgeben. Technische Realität: „EU Data Residency“ bedeutet nur physischer Serverstandort, schützt aber nicht vor US-Behördenzugriff. Verschlüsselung nützt nichts, wenn der Cloud-Provider die Keys hat. Konsequenz für KMU: DSGVO-konforme Cloud-Nutzung bei US-Anbietern ist strukturell unmöglich.

Können KMU ChatGPT rechtssicher nutzen?
Nur mit strikten Vorsichtsmassnahmen. Empfehlungen: (1) Enterprise-Plan mit Opt-Out aktivieren, (2) Keine personenbezogenen Daten in Prompts (Namen, E-Mails, Gesundheitsdaten), (3) Datenschutz-Folgenabschätzung durchführen (IHK München Anleitung), (4) Alternative wie Mistral Le Chat (EU-Server) oder On-Premise-Lösungen prüfen. Risiko: Boston Law Review findet OpenAI als Controller haftbar – Bussgelder bis 4% Jahresumsatz (DSGVO Art. 83) drohen.

📘 Praxiswissen zu KI, Produktivität und Strategie?

🔵 DrKPI: KI-Weiterbildung, Consulting & Engineering
Wir unterstützen Sie dabei, Arbeitsprozesse KI-fit zu machen – von der Kompetenzprüfung über Weiterbildung bis hin zur technischen Umsetzung und Engineering.

Fazit: Datenschutz 2026 – Klar definieren, schneller umsetzen, jährlich überprüfen

Datenschutz ist nicht tot. Aber er scheitert an drei Punkten:

  1. Durchsetzung fehlt: €4 Milliarden DSGVO-Bussgelder unbezahlt. Ohne rechtskräftige Exempel bleibt die DSGVO Theorie.
  2. KMU werden ignoriert: 82,6% deutscher Unternehmen (Kleinstunternehmen) sind von Studien zum Thema DSGVO, AI-Act oder Technologie Management ausgeschlossen, tragen aber die Last der Bürokratie ( Beispiel Bitkom Studie 2024).
  3. Compliance ist kein Mehrwert: Solange Verstösse nicht geahndet werden, bleibt Datenschutz Papierkrieg statt gesellschaftlicher Nutzen.

Was wir brauchen:

  • Klare Definitionen: Kein „neu definieren“, sondern bestehende Regeln konsequent anwenden
  • Schnellere Umsetzung: Eurail zeigt das Problem – tägliche Website-Updates ohne chronologische Übersicht (Eurail Statement, weitere Infos). Aussagen wie „there is currently no evidence that the stolen data has been publicly disclosed or misused“ helfen nicht – Hacker arbeiten im Verborgenen.
  • Jährliche Überprüfung: Wie beim Feuerschutz – sind die Massnahmen umgesetzt? Funktionieren sie noch?

Übrigens: Schon 2018 war klar, dass die Nutzung von Cloud-Diensten amerikanischer Konzerne die DSGVO verletzt. 8 Jahre später nutzen fast alle KMU im DACH weiterhin Microsoft 365, Google Workspace oder AWS – mangels europäischer Alternative. Die EU reguliert mit DSGVO, AI Act und DSA, doch ohne eigene Cloud-Infrastruktur bleibt digitale Souveränität politische Rhetorik.

Gaia-X scheiterte. OVHcloud (Frankreich) und IONOS (Deutschland) bleiben Nischenanbieter. Solange US-Hyperscaler die Cloud-Märkte dominieren, können US-Behörden jederzeit auf europäische Unternehmensdaten zugreifen – egal wo die Server physisch stehen.

„Die eigentliche Frage lautet nicht ‚Ist KI intelligent?‘, sondern: ‚Kann ich eine KI-Fähigkeit nutzen, sie auf ein bestimmtes System anwenden, ein Problem lösen und einen wirtschaftlichen Output erzielen?“— Urs E. Gattiker, Ph.D., DrKPI®

Das gilt auch für Datenschutz: Compliance ist kein Selbstzweck. Erst wenn Verstösse konsequent bestraft werden und Bussgelder eingetrieben werden, entsteht gesellschaftlicher Mehrwert. Bis dahin bleibt Datenschutz 2026 eine Illusion.

📜 DrKPI CyTRAP AI-Verantwortlichkeitserklärung: Beitrag mit KI-Unterstützung verbessert; Inhalte geprüft und verantwortet.

Hashtags: #DrKPI #MetricsThatMatter #AIGovernance #CyberSecurity #AICompliance #DataGovernance #AIsecurity

Beitrag teilen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Überblick

drkpi-Logo-2021-weiss-342px
  • +41 (0)76 200-7778
  • info@drkpi.com
  • CyTRAP Labs GmbH Roentgenstrasse 49
    8005 Zürich
    Switzerland

Kompetenzen

Wiki

Datenschutz + Impressum

AGB

Newsletter

Jetzt abonnieren!
Erhalten Sie jetzt unseren Newsletter!