Sie sollen einen kontrollierten Rahmen für die Entwicklung, das Training, die Validierung und das Testen innovativer KI-Systeme unter behördlicher Aufsicht vor der Markteinführung bieten.

2. August 2026.

KMU (Kleine und mittlere Unternehmen), einschließlich Start-ups.

Eine zuständige Datenschutzbehörde.

Nein, die Teilnahme und der Austritt aus einer Sandbox gewähren keine Konformitätsvermutung.

Ein Sandbox-Plan, der Ziele, Zeitplan, Risikomanagement und weitere Elemente festlegt.

Einen schriftlichen Nachweis und einen Abschlussbericht (Exit Report).

Naturkatastrophen (z.B. Erdbeben ≥ 6.0), Gesundheitskrisen (z.B. WHO-Notfall) und technologische/menschengemachte Notfälle (z.B. großflächige Cyberangriffe).

48 Stunden.

Pseudonymisierte Daten bleiben personenbezogen (DSGVO gilt), während Daten nach der neuen Definition als nicht personenbezogen gelten können (DSGVO gilt nicht).

Die betroffenen Daten müssen aus dem Trainingsdatensatz für den nächsten Re-Training-Zyklus entfernt werden.

Wenn die Einholung einer Einwilligung einen "unverhältnismäßigen Aufwand" darstellt und die Forschung im öffentlichen Interesse liegt.

Global Privacy Control (GPC) 2.0.

ENISA (Agentur der Europäischen Union für Cybersicherheit).

Modelltraining oder Training.

Unüberwachtes Lernen (unsupervised Learning).

Die Qualität der Trainingsdaten beeinflusst direkt die Qualität des Ergebnisses und das Ergebnis ist mit einer Wahrscheinlichkeit behaftet.

Datenlecks/Datenschutzverletzungen, Sicherheitsrisiken durch Integration und die Generierung unangemessener Inhalte.

Eine von einem Mitgliedstaat benannte zuständige Behörde, die die Zusammenarbeit zwischen mehreren nationalen zuständigen Behörden erleichtert.

Sie müssen einen Vertreter in einem der Mitgliedstaaten benennen.

Die für die Überwachung der Anwendung der DSGVO zuständigen Aufsichtsbehörden.