Sign in Subscribe
GRC

Warum KI-Börsengänge ein Thema für Datenschutzbeauftragte sind

Warum KI-Börsengänge ein Thema für Datenschutzbeauftragte sind
Photo by Jakub Żerdzicki / Unsplash

Mit Beobachtungen und Einordnungen von Karl Schwabel

Karl Schwabel hat aus Venedig eine Diagnose mitgebracht, die sich nicht so schnell abschütteln lässt. Was er bereits vor einigen Tagen unter dem dystopischen Titel „Surveillance Capitalism" zusammengetragen hat ist näher an der Realität als befürchtet:

Nicht nur Daten und digitale Infrastrukturen konzentrieren sich in den Händen weniger Konzerne, sondern zunehmend auch die politische, wirtschaftliche und technologische Entscheidungsmacht über Künstliche Intelligenz. Und nun, so Karl Schwabels Beobachtung, werden auch die Mechanismen des Kapitalmarkts gezielt nach dem Willen einiger weniger Akteure gestaltet.

Anlass für diese Einordnung ist ein Beitrag von Gill Whitehead, Visiting Policy Fellow am Oxford Internet Institute, im Economist vom 23. Mai 2026. Whitehead analysiert die anstehenden Börsengänge von SpaceX, OpenAI und Anthropic und beschreibt, wie diese IPOs eine neue Ära einleiten könnten, in der wenige Gründer und Manager die faktische Kontrolle über zentrale und global relevante Zukunftstechnologien behalten, auch wenn ihre Unternehmen börsennotiert und milliardenschwer werden. Der Economist spricht von einer möglichen Vergöttlichung der KI-Eliten. Schwabel teilt diese Lesart und ergänzt sie um die Surveillance-Capitalism-Perspektive:

Wenn dieselben Akteure, die die Datenökonomie prägen, jetzt auch noch die Governance-Standards des globalen Kapitalmarkts neu schreiben, dann ist das mehr als ein Thema für institutionelle Investoren.

Drei Stellschrauben, an denen gedreht wird

Whitehead und Schwabel sind sich einig, wo die Bruchlinien verlaufen. Klassische Unternehmensführung basiert auf unabhängigen Aufsichtsräten, transparenten Verantwortlichkeiten, Mitspracherechten der Aktionäre und Regeln zur Begrenzung individueller Macht. Die neuen KI-Unternehmen entfernen sich davon mit dem Argument, klassische Governance bremse Innovation und gefährde langfristige Visionen.

  • Erstens etablieren sich Mehrklassen-Aktienstrukturen. Gründer halten Aktien mit vielfachem Stimmrecht, sogenannten super voting shares. Elon Musk soll zukünftig bei SpaceX Anteile mit zehnfachem Stimmgewicht erhalten und damit auch dann die Kontrolle behalten, wenn er nur einen kleinen Teil des Kapitals hält. Andere Investoren verlieren faktisch ihren Einfluss. Schwabel weist auf einen oft übersehenen Mechanismus hin: Die SEC-Regeln für „controlled companies" sehen vor, dass Gesellschaften, in denen mehr als 50 Prozent der Stimmrechte von einer Person gehalten werden, keinen unabhängigen Aufsichtsrat benötigen. Damit wird die Stimmrechtskonzentration durch eine zweite Ausnahmeregel verstärkt.
  • Zweitens betreiben die Unternehmen gezieltes Jurisdiktions-Shopping. US-Bundesstaaten und Börsen konkurrieren um die historischen Börsengänge und lockern dafür ihre Vorschriften. Nachdem ein Delaware-Gericht Musks Tesla-Vergütungspaket beanstandet hatte, verlagerte er SpaceX nach Texas in ein freundlicheres Umfeld. Eine Notierung an der Nasdaq garantiert zudem die Aufnahme in den Nasdaq-100 bereits nach 15 Handelstagen, statt nach drei Monaten wie an anderen Börsen. Die Konsequenz: Indexgekoppelte Fonds müssen die Aktie umgehend kaufen, und der Hebel aktiver Fondsmanager auf Governance-Themen verschwindet, bevor er entstehen kann.
  • Drittens entstehen hybride Unternehmensformen, die formal eine ethische oder gemeinnützige Mission absichern, in der Praxis aber die Gründerkontrolle festschreiben. OpenAI hat sich zur Public Benefit Corporation umstrukturiert. Die ursprüngliche Non-Profit-Organisation hält noch 26 Prozent und kann formal die PBC-Direktoren bestellen, doch die personelle Überlappung beider Gremien sorgt dafür, dass die operative Macht beim CEO konzentriert bleibt. Anthropic setzt auf einen Long-Term Benefit Trust, der über die Zeit eine Mehrheit unabhängiger Direktoren wählen soll. Trustees haben jedoch nur einjährige Amtszeiten, müssen den CEO konsultieren, und eine Supermehrheit der Aktionäre kann den Trust ohne deren Zustimmung auflösen. Die Hauptinvestoren Amazon und Google behalten letztlich die Kontrolle.

Schwabels Pointe: Guardrails außen, Schranken innen entfernt

Karl Schwabel formuliert die Spannung in einem Satz, der die Lektüre des Economist-Artikels zusammenführt:

Während die Gesellschaft und die Industrie auf der einen Seite versuchen, Sicherheitsregeln und Guardrails für KI zu entwickeln, werden auf der anderen Seite die entsprechenden Kontrollmechanismen innerhalb der großen KI-Unternehmen abgebaut.

Der Rechtsstreit zwischen Musk und Sam Altman habe deutlich gemacht, wie stark Vertrauen in einzelne Persönlichkeiten an die Stelle institutioneller Kontrolle tritt. Die eigentliche Hybris liege nicht darin, transformative Technologien entwickeln zu wollen, sondern darin zu glauben, das Urteilsvermögen einzelner Gründer reiche als letzte Schutzinstanz aus. Gerade im Zeitalter des Surveillance Capitalism wäre es fatal, auch die letzten Governance-Schranken in den mächtigsten Unternehmen abzureißen.

Für die datenschutzrechtliche Bewertung ist genau diese Verschiebung der entscheidende Punkt. Datenschutz lebt von institutionellen Kontrollen, von dokumentierten Entscheidungswegen, von der Trennung zwischen operativer und überwachender Verantwortung. Wenn ein Anbieter diese Strukturen bewusst zurückbaut, verändert sich das Risikoprofil unabhängig davon, wie gut die Technik ist.

Was das für die DPO-Praxis bedeutet

  • Rechenschaftspflicht (Art. 5 Abs. 2 und Art. 24 DSGVO). Verantwortliche müssen nicht nur das Produkt bewerten, sondern auch die Governance des Anbieters. Wenn eine einzige Person über Risikoappetit, Sicherheitsstandards und strategische Ausrichtung entscheidet und institutionelle Korrektive systematisch geschwächt sind, ist das in der Risikobewertung der Verarbeitung zu berücksichtigen.
  • Auswahl des Auftragsverarbeiters (Art. 28 Abs. 1 DSGVO). Die Norm verlangt hinreichende Garantien für geeignete technische und organisatorische Maßnahmen. Garantien setzen Kontinuität und Durchsetzbarkeit voraus. Ein Trust, der von einer Aktionärsmehrheit aufgelöst werden kann, und eine PBC, deren Mission-Schutz in der Personalpolitik des CEO mündet, sind belastbare Garantien anderer Art als die Beschlüsse eines unabhängigen Boards mit klaren Eskalationsmechanismen. Diese Differenz gehört in die Bewertung.
  • Drittlandtransfers und Schrems-II-Logik. Bei Datenübermittlungen in die USA gehört die Bewertung des dortigen Rechtsrahmens ohnehin zur Pflicht. Wenn Anbieter zusätzlich aktiv jene Jurisdiktion wählen, in der sie die wenigsten Direktorenpflichten haben, verschiebt sich der Bezugspunkt: Es geht nicht mehr nur um staatliche Zugriffsrechte, sondern auch um die Belastbarkeit privater Governance vor Ort.
  • DSFA nach Art. 35 DSGVO. Bei hochriskanten KI-Verarbeitungen ist die organisatorische Stabilität des Anbieters Teil der Risikoanalyse. Halten Sicherheitsmaßnahmen einem Personalwechsel oder einem Strategieschwenk stand? Wer ist im Ernstfall ansprechbar?

Berührungspunkte zu AI Act, NIS2 und DORA

Die KI-Verordnung legt Anbietern von General-Purpose-AI-Modellen mit systemischem Risiko (Art. 51 ff. AI Act) Pflichten zu Modellbewertung, Risikomanagement und Incident-Meldung auf. Diese Pflichten setzen voraus, dass interne Entscheidungsstrukturen Risiken tatsächlich identifizieren und gegen kommerziellen Druck adressieren können. Wenn ein einzelner Gründer über Modellfreigaben entscheidet und Mission-Schutz-Gremien nur beratend wirken, verlagert sich die Compliance-Last praktisch in eine Person.

Für Verantwortliche unter NIS2 kommt noch die Lieferkettensicherheit (Art. 21 Abs. 2 lit. d NIS2-RL) hinzu. Die Risikobewertung der ICT-Lieferkette schließt die Governance kritischer Anbieter ein.

Bei Finanzunternehmen verschärft DORA diese Logik weiter: Art. 28 ff. der Verordnung (EU) 2022/2554 verlangt eine strukturierte Bewertung von ICT-Drittanbietern und ihrer Konzentrationsrisiken. Wenn die wenigen relevanten Anbieter im KI-Bereich allesamt founder-zentrierte Strukturen aufweisen, ist das ein Konzentrationsrisiko, das im Register of Information abzubilden ist.

Digitale Souveränität neu gedacht

Die hier beschriebene Surveillance-Capitalism-Klammer führt zu einer Frage, die in der europäischen Debatte um digitale Souveränität bislang oft zu kurz kommt.

Souveränität bedeutet nicht nur Datenlokalisierung, Verschlüsselung oder europäische Anbieteralternativen. Sie bedeutet auch, ob die rechtlichen und organisatorischen Strukturen der eingesetzten Anbieter mit den Wertentscheidungen des EU-Rechtsrahmens kompatibel sind. Eine Aufsichtsstruktur, die per Aktionärsbeschluss abgeschafft werden kann, ist mit dieser Anforderung nur eingeschränkt vereinbar.

Das spricht nicht pauschal gegen den Einsatz dieser Anbieter. Es verschiebt aber die Anforderungen an Vertragsgestaltung, Exit-Strategien, Mehrquellen-Strategien und an die Argumentationslast der Verantwortlichen gegenüber Aufsichtsbehörden. Wer einen KI-Anbieter mit konzentrierter Founder-Kontrolle einsetzt, muss erklären können, wie er die fehlenden institutionellen Backstops kompensiert.

Praktische Konsequenzen für die berufliche Praxis

In der Anbieterbewertung gehört die Governance-Struktur des KI-Anbieters dokumentiert: Stimmrechtsverhältnisse, Zusammensetzung und Unabhängigkeit des Boards, Stabilität etwaiger Mission-Schutz-Konstruktionen, Sitzland und dessen Direktorenrecht. Im Auftragsverarbeitungsvertrag verdienen Klauseln zu wesentlichen Änderungen der Gesellschaftsstruktur, der Kontrollverhältnisse und des Sitzlandes besondere Aufmerksamkeit, ergänzt um Informations- und gegebenenfalls Kündigungsrechte. Bei der DSFA sind organisatorische Risiken neben den technischen sauber zu adressieren, einschließlich Szenarien für strategische Schwenks des Anbieters. Im Lieferantenregister nach DORA oder NIS2 sind Konzentrationsrisiken in der KI-Lieferkette explizit zu führen. Bei Beratungsmandaten lohnt sich die Sensibilisierung der Geschäftsführung dafür, dass die Wahl eines KI-Anbieters auch eine governance-politische Entscheidung ist.

Fazit

Whitehead schließt mit dem Satz, dass die eigentliche Hybris nicht im Bau transformativer Technologie liegt, sondern in dem Glauben, das individuelle Urteil einzelner Gründer sei die geeignete letzte Verteidigungslinie. Schwabel verschärft diese Diagnose um die Surveillance-Capitalism-Perspektive: Wenn dieselben Akteure, die die Datenökonomie dominieren, auch die Governance-Standards des Kapitalmarkts neu definieren, dann konzentrieren sich Daten, Infrastruktur, Technologie und institutionelle Kontrolle in einer Hand.

Für die Datenschutzpraxis ist das ein Anlass, die Bewertung von KI-Anbietern um eine governance-orientierte Dimension zu ergänzen. DSGVO, AI Act, NIS2 und DORA liefern den rechtlichen Rahmen. Die Aufgabe von DPOs und CISOs ist es, diesen Rahmen in der täglichen Anbieterbewertung mit Leben zu füllen, bevor die nächste Restrukturierung eines Anbieters die eigene Risikolage stillschweigend verändert.

Quellen: Gill Whitehead, „The IPO wave will enshrine the AI gods' control over the future", The Economist, 23. Mai 2026. Einordnungen und Beobachtungen von Karl Schwabel im Anschluss an die Konferenz „Surveillance Capitalism" in Venedig.

Read next

Souveräne Cloud: Vom Marketing-Begriff zum messbaren Standard

Souveräne Cloud: Vom Marketing-Begriff zum messbaren Standard

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich seinen Kriterienkatalog „Criteria Enabling Cloud Computing Autonomy" (C3A) veröffentlicht. Das klingt zunächst wie ein weiteres technisches Regelwerk aus Deutschland ohne unmittelbare Relevanz für österreichische Datenschutzbeauftragte. Wer genauer hinschaut, erkennt jedoch: Dieser Katalog ist ein erster ernstzunehmender Versuch, die
Michael Mrak