Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.
So unterstützen wir Sie
-
Die Experten für Datenschutz & Cyber Response von EY können Ihrem Unternehmen dabei helfen, komplexe Cyberangriffe zu bewältigen. Erfahren Sie mehr.
Mehr erfahren
Wie künstliche Intelligenz das Risiko von Datenlecks vergrößert
Generative KI und Plattformen zur Zusammenarbeit versprechen enorme Produktivitätsgewinne, bringen aber auch spezifische Risiken. Prompt-Lecks entstehen, wenn Mitarbeitende vertrauliche Kunden- oder Personalinformationen in öffentliche oder geteilte KI-Tools eingeben. Ohne Content-Filter oder moderne DLP-Systeme (Data Loss Prevention) können sensible Informationen in Telemetriedaten, Logfiles, Modelloptimierungsprozessen oder Analysepfaden der Anbieter landen – selbst ohne aktives Nachtrainieren. Das ist eine potenzielle Ursache für ungewollte Offenbarungen.
Gleichzeitig stellt sich immer wieder die Frage nach Verantwortlichkeit: Wer haftet, wenn eine KI-Funktion personenbezogene Daten verarbeitet oder weitergibt: der Tool-Anbieter, der interne Nutzer oder das Unternehmen selbst? In Europa nimmt der regulatorische Druck zu. Mit dem AI Act der Europäischen Union (EU) und bestehenden Regelungen der Datenschutz-Grundverordnung (DSGVO)– insbesondere Artikel 26 (gemeinsame Verantwortlichkeit) – verfolgen Aufsichtsbehörden sowohl KI-Nutzer als auch Anbieter zunehmend konsequent.
Regulatorische Anforderungen steigen und mit ihnen der Druck
Mit der Umsetzung der NIS2-Richtlinie und der DSGVO steigen die Anforderungen an Governance, Risiko- und Vorfallmanagement erheblich. Betroffen sind deutlich mehr Unternehmen als zuvor, unter anderem aus den Sektoren Energie, Transport, Banken, Gesundheit, digitale Infrastrukturen, Postdienste, Abfallwirtschaft, Produktion kritischer Güter sowie zahlreiche digitale Dienste. Unternehmen müssen nachweisen, dass sie personenbezogene Daten systematisch schützen und relevante Vorfälle innerhalb von 72 Stunden melden.
NIS2 bringt zudem neue Verpflichtungen für das Management – von klaren Verantwortlichkeiten über Risikobewertungen bis hin zu Dokumentationspflichten. Stille Datenabflüsse sind in diesem Umfeld besonders gefährlich: Sie können auch mit Verzögerungen von mehreren Monaten noch regulatorisch relevant werden und erhebliche Bußgelder nach sich ziehen, nicht nur für die Organisation, sondern auch persönlich für Leitungsorgane.
Zugleich erhöht die Integration von KI das Maß an Rechenschaftspflicht. Wer personenbezogene Daten in KI-Systeme einspeist, muss nachvollziehen können, in welcher Weise sie verarbeitet, gespeichert oder weiterverwendet werden. Gerade bei Drittanbieter-Lösungen ist diese Transparenz in der Praxis oft unzureichend, da Anbieter proprietäre Modelle und intransparente Datenflüsse nutzen. Das macht das KI-Risikomanagement zu einer strategischen Aufgabe, nicht nur zu einer technischen.
Mehr als Geld: Vertrauensverlust durch unbemerkte Datenlecks
Neben regulatorischen Risiken steht ein noch größeres Gut auf dem Spiel: Vertrauen. Kunden, Mitarbeitende und Geschäftspartner erwarten, dass ihre Daten verantwortungsvoll behandelt werden. Ein unbemerkter Abfluss – selbst ohne direkten Missbrauch – kann dieses Vertrauen tief erschüttern.
Unbemerkt abgeflossene persönliche Daten wie Namen, Adressen, Geburtsdaten oder Steuer-ID können zu Identitätsdiebstahl oder finanziellen Verlusten führen. Den Schaden zu beheben, ist für Betroffene oft langwierig und belastend. Kunden erwarten transparente, frühzeitige Information und wirksame Unterstützung, nicht ein monatelanges Schweigen, wie es in manchen Branchen üblich ist.
Unternehmen, die hier konsequent und offen agieren, senden ein klares Signal: Datenschutz und Informationssicherheit sind nicht lästige Compliance-Aufgaben, sondern integraler Bestandteil der Geschäftsstrategie. Diese Haltung wird zunehmend zum Wettbewerbsfaktor. In Branchen mit hoher digitaler Interaktion entscheidet der Umgang mit Daten unmittelbar über Kundentreue und Markenwert.