Der klassische Datenverarbeitungsvertrag war lange ein brauchbarer Fixpunkt. Nicht perfekt, aber ausreichend, um im Einkauf und in der Datenschutzprüfung eine erste Linie zu ziehen: Welche Daten verarbeitet ein Anbieter, wofür, wo, mit welchen Subprozessoren? Bei KI-Produkten wird genau diese Routine brüchig.
DataGrail kommt in seinem Privacy and AI Trends Report 2026 zu einem Befund, der für Unternehmen unangenehm ist: Von 2.400 untersuchten Anbietern populärer Unternehmenssoftware legen 63,6 Prozent der Vendoren, die offensiv mit KI-Funktionen werben, keinen Drittanbieter-KI-Subprozessor in ihren rechtlichen Unterlagen offen. Anders gesagt: Unternehmen können Software einkaufen, deren KI-Funktionen Daten an Modelle oder Verarbeitungsketten weiterreichen, die im Vertrag nicht sichtbar werden.
Das ist kein Randproblem der Rechtsabteilung. Es betrifft die operative Kontrolle über Kundendaten, Beschäftigtendaten, Gesprächsprotokolle, Supportfälle, Produktnutzungsdaten und interne Dokumente. Je stärker KI-Funktionen in Standardsoftware eingebaut werden, desto weniger reicht es, nur das Hauptprodukt zu prüfen.
Der Vertrag bildet den Betrieb nicht mehr zuverlässig ab
Der Data Processing Agreement, kurz DPA, ist in vielen Unternehmen der zentrale Nachweis für die Datenschutzprüfung. Er soll festhalten, wie ein Anbieter personenbezogene Daten verarbeitet und welche weiteren Dienstleister eingebunden sind. In einer stabilen SaaS-Architektur war das schon anspruchsvoll. In einer KI-Architektur mit externen Modellen, Prompt-Routing, Embedding-Diensten, Analyse-Pipelines und wechselnden API-Verbindungen wird es deutlich schwieriger.
DataGrail-Mitgründer und CEO Daniel Barber fasste das Problem gegenüber VentureBeat nüchtern zusammen: Alle Softwareanbieter versuchten, KI-Anbieter zu werden. Das sei nachvollziehbar, aber die Technologien bewegten sich schneller als die KI-Governance. Der DPA solle eigentlich das verlässliche Dokument für die Risikobewertung sein. Auf Basis der gefundenen Zahlen reiche das 2026 nicht mehr.
Die Aussage ist deshalb relevant, weil sie eine Verschiebung beschreibt: Das Risiko liegt nicht nur bei neuen KI-Start-ups, die unklare Datenpraktiken haben. Es liegt auch bei etablierter Unternehmenssoftware, die bestehende Produkte nachträglich mit KI-Funktionen erweitert. Für Kunden sieht das häufig wie ein Feature-Update aus. Für Datenschutz- und Sicherheitsverantwortliche kann es eine neue Datenweitergabe bedeuten.
Wie DataGrail die Lücke untersucht hat
Der Befund beruht laut DataGrail nicht nur auf einer Lektüre der Vertragsunterlagen. Das Unternehmen hat die DPA-Angaben mit weiteren öffentlich zugänglichen und produktnahen Hinweisen abgeglichen: Produktdokumentation, GitHub-Umgebungen, API-Verbindungen und Marketingmaterialien. Ziel war es, zu prüfen, ob die rechtlichen Angaben mit der tatsächlichen technischen und produktseitigen Einbindung von KI-Diensten zusammenpassen.
Genau dieser Abgleich ist der entscheidende Punkt. Ein DPA kann formal korrekt wirken und trotzdem unvollständig sein, wenn neue KI-Komponenten schneller integriert werden als juristische Dokumente aktualisiert werden. Ein Anbieter kann in seiner Produktdokumentation KI-Funktionen beschreiben, in Entwicklerumgebungen externe Dienste referenzieren oder API-Verbindungen erkennen lassen, ohne dass dieselbe Kette sauber in den Subprozessorlisten auftaucht.
Für Kunden entsteht dadurch ein Prüfproblem. Der Einkauf liest den Vertrag. Die Datenschutzabteilung prüft die Anlage. Die Fachabteilung testet die Funktion. Die Security sieht vielleicht nur den SaaS-Endpunkt. Die eigentliche KI-Verarbeitung kann dazwischen liegen, verteilt auf Dienste, die im Beschaffungsprozess nicht als eigenständiges Risiko behandelt wurden.
Shadow AI kommt nicht nur aus der Fachabteilung
Der Begriff Shadow AI wird häufig für Beschäftigte verwendet, die eigenständig KI-Werkzeuge nutzen, ohne Freigabe der IT. Das ist nur ein Teil des Problems. Der DataGrail-Bericht macht deutlich, dass Schattennutzung auch über freigegebene Anbieter entstehen kann. Dann kommt die KI nicht als privater Account ins Unternehmen, sondern als Bestandteil einer bereits genehmigten Plattform.
Diese Form ist schwerer zu erkennen. Ein Unternehmen kann einen CRM-, HR-, Support- oder Kollaborationsanbieter sauber beschafft haben. Monate später kommen KI-Funktionen hinzu: Zusammenfassungen, Klassifizierungen, automatische Antworten, Notizen, Transkriptanalysen oder Suche über interne Inhalte. Die Produktoberfläche ändert sich sichtbar. Die Datenflüsse dahinter sind für Kunden oft nur eingeschränkt prüfbar.
Die finanziellen Risiken sind nicht abstrakt. Im Kontext des Berichts wird auf IBMs Cost of Data Breach Report 2025 verwiesen: Organisationen mit hohem Shadow-AI-Niveau verzeichnen demnach durchschnittliche Kosten von 4,63 Millionen US-Dollar pro Datenschutzvorfall, 670.000 US-Dollar mehr als Organisationen mit wenig oder keiner Shadow AI. Solche Zahlen ersetzen keine Einzelfallprüfung. Sie zeigen aber, dass unkontrollierte KI-Nutzung in Unternehmen nicht nur ein Governance-Thema ist, sondern auch ein Kostenfaktor.
Regulatorischer Druck verschärft die Lage
Parallel steigt der Druck durch Datenschutzbehörden und Bundesstaaten in den USA. Laut den im Bericht genannten Daten verhängten US-Bundesstaaten in einem Jahr privacy-bezogene Strafen in Höhe von 3,425 Milliarden US-Dollar, mehr als in den fünf Jahren zuvor zusammen. Gartner erwartet, dass sich dieser Trend bis 2028 weiter beschleunigt.
Für internationale Unternehmen ist das vor allem deshalb wichtig, weil KI-Datenflüsse selten sauber an Landesgrenzen haltmachen. Ein europäischer Konzern kann US-Anbieter einsetzen, die wiederum globale Subprozessoren nutzen. Ein US-Anbieter kann KI-Funktionen über Modellanbieter, Cloud-Dienste und Analysekomponenten zusammensetzen. Jede zusätzliche Ebene erhöht den Aufwand, Nachweise, Löschkonzepte, Zweckbindung und Betroffenenrechte sauber zu organisieren.
Das heißt nicht, dass jeder nicht offengelegte KI-Subprozessor automatisch einen Rechtsverstoß beweist. Der Bericht zeigt zunächst eine Transparenzlücke. Aber genau diese Lücke ist im Datenschutz relevant. Wer nicht weiß, wohin Daten fließen, kann Risiken nicht belastbar bewerten. Wer Risiken nicht bewertet, kann sie auch nicht wirksam begrenzen.
Was sich im Einkauf ändern muss
Die naheliegende Konsequenz ist unbequem: Unternehmen können KI-Angaben ihrer Anbieter nicht mehr nur über Vertragsdokumente prüfen. Der DPA bleibt notwendig, aber er reicht allein nicht aus. Beschaffung, Datenschutz, Security und Fachbereiche müssen näher zusammenrücken, wenn Software mit KI-Funktionen eingekauft oder bestehende SaaS-Verträge verlängert werden.
Praktisch bedeutet das: Subprozessorlisten sollten mit Produktdokumentation und technischen Integrationshinweisen abgeglichen werden. Anbieter sollten offenlegen, welche Modellanbieter, API-Dienste und Datenpipelines für KI-Funktionen genutzt werden. Ebenso wichtig ist die Frage, ob Kundendaten zum Training verwendet werden, ob Daten in Prompts oder Logs gespeichert werden, wie lange sie aufbewahrt werden und ob Funktionen mandantenübergreifend lernen.
Besonders kritisch sind Freemium- oder niedrigschwellige KI-Funktionen, die schnell in Arbeitsabläufe rutschen. Bei KI-Notizdiensten, Meeting-Transkription, Support-Automation oder Dokumentenanalyse können bereits kurze Tests sensible Inhalte erfassen. Wenn der Anbieter Daten speichert oder weiterverarbeitet, ist das keine Kleinigkeit der Nutzeroberfläche, sondern ein Datenverarbeitungsprozess.
Der DataGrail-Bericht beschreibt damit keine exotische Schwachstelle, sondern eine alltägliche Beschaffungslücke. Die Softwareindustrie baut KI in bestehende Produkte ein. Die Governance der Kunden bleibt häufig auf Dokumente ausgelegt, die für langsamere Produktzyklen geschrieben wurden. Solange diese beiden Geschwindigkeiten auseinanderlaufen, bleibt der DPA ein notwendiges, aber unvollständiges Kontrollinstrument.
Für Unternehmen ist die Lehre schlicht: KI-Risiken entstehen nicht erst beim eigenen Modelltraining. Sie beginnen dort, wo ein genehmigter Anbieter neue Verarbeitungsketten aktiviert und die Vertragslage hinter der technischen Realität zurückbleibt.
