rohdata
AI · BUSINESS · KLARTEXT
KW 02 / 2026 — Das Muster dieser Woche: KI braucht Daten. Daten brauchen Recht. Und das Recht fängt gerade erst an, beides zusammenzudenken.
Während CES in Las Vegas Schlagzeilen mit Chips und Robotern produziert, sitzt der deutsche Mittelstand mit einer anderen Frage am Tisch: Wie komme ich überhaupt rechtssicher an die Daten, die ich für KI brauche? Die aktuelle Woche gibt darauf keine beruhigenden Antworten — aber immerhin ehrliche. Eine neue Bitkom-Studie macht das Ausmaß sichtbar: Fast zwei Drittel der deutschen Unternehmen übertragen heute personenbezogene Daten ins Ausland, die meisten wegen Cloud-Diensten, KI-Tools und SaaS-Lösungen, die schlicht nicht in der EU betrieben werden. Gleichzeitig versuchen die Hamburger Datenschützer als erste deutsche Behörde, einen praktischen Brückenschlag zwischen DSGVO und KI-Verordnung zu skizzieren — und wählen dabei den Ansatz Kooperation statt Strafverfolgung. Das ist kein Zufall. Es ist das Signal, dass die Regulierung verstanden hat: Ohne Umsetzbarkeit keine Compliance.
62 Prozent der deutschen Unternehmen übertragen Daten ins Ausland — und 78 Prozent wollen endlich Rechtssicherheit.
Am 9. Januar veröffentlicht Bitkom eine repräsentative Studie zu internationalen Datentransfers in deutschen Unternehmen. Ergebnis: 62 Prozent übertragen personenbezogene Daten in Länder außerhalb der EU. Die drei häufigsten Gründe sind Cloud-Dienste, Kommunikations- und Videokonferenztools sowie Security- und Supportleistungen — also genau die Infrastruktur, ohne die digitales Arbeiten heute kaum funktioniert. 78 Prozent der betroffenen Unternehmen fordern mehr Rechtssicherheit bei diesen Transfers. Als Rechtsgrundlagen kommen Standardvertragsklauseln, Angemessenheitsbeschlüsse wie das EU-US Data Privacy Framework und im Einzelfall Ausnahmetatbestände zum Einsatz. Gleichzeitig bleibt die Rechtslage fragil: Das EU-US Data Privacy Framework steht unter politischem Druck, und jeder neue KI-Anbieter aus den USA oder Asien stellt Datenschutzverantwortliche vor dieselbe Grundfrage neu.
Warum es zählt: Wer 2026 KI einführt, führt in den meisten Fällen auch internationale Datentransfers ein — ob bewusst oder nicht. Das gilt für die KI-Plattform selbst, für die Trainingsdaten, für die APIs, für den Hyperscaler darunter. Die Bitkom-Studie macht sichtbar, was viele Führungskräfte noch nicht auf dem Schirm haben: Die KI-Strategie und die Datentransfer-Strategie sind dasselbe Dokument. Wer das getrennt plant, plant an der Realität vorbei. Für DACH-Mittelständler bedeutet das konkret: Bevor die KI-Roadmap steht, sollte eine Transfer-Impact-Bewertung für die geplante Toollandschaft stehen. Das ist kein Juristenthema — es ist ein Architekturentscheidung.
Hamburg schlägt die Brücke zwischen DSGVO und KI-Verordnung — und startet 2026 mit Beratung statt Bußgeldern.
Am 7. Januar erscheint im Anwaltsblatt der Beitrag zum „Bridge Blueprint“ der Hamburger Datenschutzbehörde (HmbBfDI), verfasst von Datenschutzbeauftragtem Thomas Fuchs und seinem Team gemeinsam mit dem ULD Schleswig-Holstein. Das Diskussionspapier vertritt eine Kernthese, die in der deutschen Datenschutzdebatte bisher selten so klar formuliert wurde: Wer die Anforderungen der KI-Verordnung ordentlich umsetzt — Transparenz, Risikoklassifizierung, menschliche Aufsicht, technische Robustheit — ist damit überwiegend auch DSGVO-konform. DSGVO und KI-VO sind kein Widerspruch, wenn man sie von Anfang an zusammendenkt. Parallel dazu startet die HmbBfDI eine Beratungsoffensive: vollständig ausgebuchte Datenschutzsprechstunden, proaktive Governance-Unterstützung für Unternehmen, Fokus auf KI-Verordnung und Data Act. Allein in den ersten drei Quartalen 2025 hatte die Behörde rund 775.000 Euro Bußgelder verhängt — vorrangig gegen Unternehmen mit intransparenten Scoring-Algorithmen und mangelhafter Governance.
Warum es zählt: Der Bridge Blueprint ist das erste praxisorientierte Interpretationspapier einer deutschen Aufsichtsbehörde, das konkret beschreibt, wie DSGVO und KI-Verordnung zusammenwirken — nicht als abstrakte Rechtsfrage, sondern als operative Orientierung für Unternehmen. Die Botschaft dahinter ist relevant: Datenschutz-Compliance und KI-Compliance sind keine parallelen Prozesse, sondern sollten von Anfang an als ein System geplant werden. Für Mittelständler, die gerade KI-Systeme evaluieren oder einführen, ist das ein konkreter Orientierungspunkt: Wer KI-VO-Anforderungen als Designprinzip nimmt — Transparenz, Nachvollziehbarkeit, Risikobewertung — baut damit gleichzeitig seine DSGVO-Architektur. Die Hamburger Initiative ist kein Freifahrtschein. Aber sie ist das Klarste, was bisher aus einer deutschen Behörde zu dieser Frage kam.
Die zweite Kalenderwoche 2026 ist keine Woche der großen Durchbrüche. Sie ist die Woche, in der sichtbar wird, was hinter der KI-Euphorie auf den Tisch kommt: Datentransfers, Rechtsunsicherheit, Compliance-Aufwand und die Frage, wie DSGVO und KI-Verordnung in der Praxis zusammenpassen. Die Bitkom-Studie benennt das Problem. Der Bridge Blueprint der Hamburger Datenschutzbehörde macht einen ersten Schritt zur Lösung. Beides zusammen ergibt die eigentliche Botschaft dieser Woche: Wer KI ernsthaft einführen will, muss die Datenstrategie und die Datenschutzarchitektur gleichzeitig denken — nicht nacheinander.
Nicht als Newsletter-Empfehlung, sondern weil das Gespräch stattfinden sollte.
rohdata erscheint wöchentlich. Kein Hype. Keine Werbung. Nur das, was zählt.