Und es geht nicht nur um Angriffe. KI verändert die Spielregeln grundlegend. Was bisher immer gut gegangen ist, muss es in Zukunft nicht mehr: Mitarbeiter laden vertrauliche Daten in ChatGPT hoch. KI-Agenten verarbeiten automatisch E-Mails. Bewerber nutzen KI-Tools, um professionell klingende Bewerbungen zu formulieren. Die Risiken sind neu. Die Fehlerquellen auch.

Gleichzeitig flutet die EU den Mittelstand seit Jahren mit immer neuen rechtlichen Anforderungen: DSGVO, KI-Verordnung, Hinweisgeberschutzgesetz, TTDSG, Data Act, um nur einige zu nennen. Und als wäre das nicht genug, werden diese Regelwerke durch das geplante Omnibusgesetz nochmals angepasst. Datenschutzbeauftragte und Datenschutzkoordinatoren verlieren da schnell den Überblick.

Seit vielen Jahren berate ich Unternehmen europaweit zu Datenschutz und Informationssicherheit. In dieser Zeit sind die unterschiedlichsten Fälle zusammengekommen, manche davon durchaus skurril. Dabei habe ich zahlreiche Kommunikationen mit Aufsichtsbehörden geführt, viele Datenpannen begleitet und gemeldet. Manche Situationen sahen am Anfang so aussichtslos aus, dass selbst erfahrene Geschäftsführer das Bußgeld bereits eingeplant hatten. Das Ergebnis? In keinem einzigen dieser Fälle kam es am Ende zu einem Bußgeld.

Zufall? Glück? Nein. Das Rezept ist simpel: vorbereitet sein. Alle Dokumentationen vorweisen können. Ordentlich prüfen und schulen. Und dann, ganz wichtig, offen und ehrlich mit der Aufsichtsbehörde kommunizieren