DataGrail: 60 % der KI-Software verschweigt Datenweitergabe

Laut einem am 1. Juni veröffentlichten Bericht des Datenschutzunternehmens DataGrail geben fast zwei Drittel der Anbieter von Business-Software mit KI-Funktionen nicht bekannt, welche Drittanbieter-KI-Subprozessoren die Nutzerdaten verarbeiten.

Der 2026 Privacy and AI Trends Report analysierte 2.400 Anbieter und stellte fest, dass 63,6 % in ihren Rechtsdokumenten keinerlei Subprozessoren nannten.

Schatten-KI: Daten fließen durch eine unsichtbare Kette

Subprozessoren sind KI-Modelle Dritter, auf die das Tool eines Anbieters angewiesen ist. Ein Unternehmen kauft Software von Anbieter A, der die Daten dann an das große Sprachmodell von Anbieter B weitergibt, der wiederum Anbieter C nutzen könnte. Der Kunde hat nur mit A einen Vertrag geschlossen und weiß nichts vom Rest.

DataGrail nennt dieses Phänomen „Schatten-KI“. Wenn etwas schiefgeht, wissen Unternehmen nicht, wen sie zur Verantwortung ziehen sollen.

Ein weiteres Ergebnis: 32,8 % der KI-Systeme führen mindestens eine risikoreiche Operation aus. In Kombination mit der Undurchsichtigkeit der Subprozessoren tappen Unternehmen im Dunkeln.

Regulierung boomt, Compliance-Teams schrumpfen

Der Bericht zeichnet ein widersprüchliches Bild. 2025 verabschiedeten die US-Bundesstaaten 145 KI-bezogene Gesetze, über 1.000 weitere Gesetzesentwürfe sind in Bearbeitung. Allein die Sammelklagen im Zusammenhang mit Tracking-Pixeln überstiegen 1.400 Fälle pro Jahr.

Doch die Datenschutz-Compliance-Teams werden abgebaut. Einige Teams verzeichneten einen Personalabbau von bis zu 33 %. Mehr Regeln, höhere Strafen, weniger Personal, das sich darum kümmert.

DataGrail-CEO Daniel Barber fasste den Stand des Datenschutzes im Jahr 2026 zusammen:

„Wenn es ein Wort gibt, das den Datenschutz im Jahr 2026 zusammenfasst, dann ist es ‚mehr‘: mehr Regulierung, mehr Risiko, mehr Druck.“

42 % der Unternehmen stoppten KI-Projekte aus Datenschutzgründen

Der Bericht ergab außerdem, dass 42 % der Unternehmen im Jahr 2025 KI-Projekte einstellten, mit der direkten Begründung von Datenschutzbedenken.

Nach zwei Jahren, in denen KI in alles eingebettet wurde, stellten viele Unternehmen fest, dass sie Datenflüsse nicht verfolgen, Subprozessoren nicht identifizieren und mit den immer strengeren Vorschriften nicht Schritt halten konnten. Fast die Hälfte zog den Stecker.

KennzahlenWert
Anbieter, die KI-Subprozessoren nicht offenlegen63,6 %
KI-Systeme mit risikoreichen Operationen32,8 %
2025 aus Datenschutzgründen gestoppte KI-Projekte42 %
2025 verabschiedete KI-Gesetze der Bundesstaaten145
Personalabbau in DatenschutzteamsBis zu 33 %

Die Kernbotschaft des Berichts ist nicht, dass KI vermieden werden sollte, sondern dass Unternehmen verstehen müssen, wohin ihre Daten fließen, bevor sie KI einsetzen. Dieses scheinbar nebensächliche Detail wird zu einer großen versteckten Verbindlichkeit.

Quellen: CocoLoop; 145 AI laws passed in 2025 and privacy teams aren't catching a break (Help Net Security); DataGrail Privacy and AI Trends Report 2026 (DataGrail)