Am 10. Mai 2026 setzte der Europäische Datenschutzausschuss（EDPB）die ergänzenden Leitlinien zur GDPR formell in Kraft und verlangt, dass alle auf den EU-Markt ausgerichteten B2B-Independent-Websites（einschließlich der offiziellen Websites chinesischer Lieferanten）in ihrer Datenschutzerklärung oder auf einer separaten KI-Erklärungsseite das geografische Herkunftsland der für generative KI-Inhalte verwendeten Trainingsdaten sowie den Zeitraum der Datenerhebung eindeutig offenlegen. Diese Bestimmung wirkt sich direkt auf die Compliance offizieller Websites chinesischer Außenhandelsunternehmen aus und stellt insbesondere für exportorientierte Unternehmen, die ihr B2B-Geschäft über Online-Independent-Websites betreiben, einen wesentlichen Compliance-Knotenpunkt dar, der von den Bereichen grenzüberschreitender Handel, digitales Marketing, SaaS-Dienste und Supply-Chain-Compliance stark beachtet werden sollte.

Ereignisüberblick

Der Europäische Datenschutzausschuss（EDPB）hat am 10. Mai 2026 die ergänzenden Leitlinien zur GDPR offiziell umgesetzt und die Offenlegungspflicht für die geografische Herkunft von Trainingsdaten für generative KI-Inhalte ausdrücklich in den Regulierungsrahmen aufgenommen. Anwendbar ist dies auf alle B2B-Websites, die Unternehmen innerhalb der EU Waren oder Dienstleistungen anbieten, einschließlich Independent-Websites, die von in China registrierten Rechtsträgern betrieben werden. Die konkreten Anforderungen lauten: Auf der Seite „Datenschutzerklärung“ oder auf einer eigens eingerichteten KI-Erklärungsseite müssen die Herkunftsländer der Trainingsdaten, auf die sich KI-generierte Inhalte stützen（wie die USA, Indien, China usw.）, sowie der entsprechende Zeitraum der Datenerhebung（zum Beispiel „Januar 2021 bis Juni 2024“）klar und lesbar angegeben werden. Diese Anforderung gilt nicht rückwirkend, jedoch müssen neu eingeführte oder aktualisierte KI-Funktionen ab dem Inkrafttreten sofort konform sein.

Welche Teilbranchen betroffen sind

Direkte Handelsunternehmen

Chinesische B2B-Exportunternehmen（wie Hersteller von Industrieanlagen, elektronischen Bauteilen und kundenspezifischen Maschinen）erreichen EU-Einkäufer in der Regel über selbst aufgebaute Independent-Websites. Wenn ihre offiziellen Websites KI-generierte Inhalte wie Produktbeschreibungen, Zusammenfassungen technischer Parameter oder mehrsprachige Kundendienstantworten verwenden und die geografische Herkunft der Trainingsdaten nicht offenlegen, können sie von Aufsichtsbehörden in Mitgliedstaaten wie Deutschland und Frankreich als Compliance-Risikoträger eingestuft werden, was sich wiederum auf die Due-Diligence-Prüfung und den Bestellfreigabeprozess der Einkäufer auswirken kann.

Verarbeitende Herstellungsunternehmen

Für produzierende Unternehmen, die für ausländische Marken als Auftragshersteller（OEM/ODM）tätig sind, gilt dies ebenfalls, wenn ihre offiziellen Websites KI-unterstützt erzeugte Inhalte wie Skripte für Produktionslinienvideos, Zusammenfassungen von ESG-Berichten oder Erläuterungen zu Compliance-Zertifizierungen anzeigen. Die Auswirkungen zeigen sich vor allem im Compliance-Audit der Beschaffungsseite——einige führende EU-Käufer haben Positionen zur GDPR-KI-Offenlegung bereits in die Anhänge des „Verhaltenskodex für Lieferanten“ aufgenommen, und ein Nichterfüllen kann Warnhinweise bei der Bewertung der Vertragserfüllung auslösen.

Unternehmen für Supply-Chain-Dienstleistungen

Drittanbieter von Dienstleistungen wie grenzüberschreitender Logistik, Compliance-Zertifizierung und mehrsprachigem Website-Aufbau bedienen meist kleine und mittlere Außenhandelsunternehmen. Diese Bestimmung erhöht indirekt ihre Standards für die Leistungserbringung: So müssen Website-Dienstleister beispielsweise bestätigen, ob die Herkunftsinformationen der Trainingsdaten für KI-Inhalte ihrer Kunden rückverfolgbar sind; Compliance-Beratungen müssen Felder zur geografischen Herkunft in Vorlagen für GDPR-Selbstprüfungslisten aufnehmen; und Übersetzungsdienstleister, die KI-gestütztes Post-Editing（PEMT）verwenden, müssen ebenfalls die Zuordnung der zugrunde liegenden Modell-Trainingsdaten klären.

Welche Schwerpunkte relevante Unternehmen oder Fachleute beachten sollten und wie sie aktuell reagieren sollten

Offizielle Beispiele und häufig gestellte Fragen（FAQ）beobachten, die vom EDPB nachfolgend veröffentlicht werden

Die EDPB-Leitlinien legen derzeit die Beurteilungsstandards für die „geografische Herkunft von Trainingsdaten“ nicht eindeutig fest（zum Beispiel: Registrierungsort des Modellentwicklers, Standort des Datenannotationsteams oder Land des Servers, auf dem die ursprünglichen Daten gecrawlt wurden）. Unternehmen sollten die auf der offiziellen EDPB-Website ab dem zweiten Quartal 2026 veröffentlichten praktischen Leitfäden kontinuierlich verfolgen, um zu vermeiden, auf Grundlage nicht maßgeblicher Auslegungen eigenständig Angaben zu machen.

Arten von KI-Funktionen auf offiziellen Websites unterscheiden und Inhaltsmodule mit hoher Sichtbarkeit vorrangig prüfen

Es ist nicht erforderlich, alle KI-Anwendungen einheitlich zu überarbeiten. Derzeit verdienen vor allem Module besondere Aufmerksamkeit, mit denen Nutzer häufig in Berührung kommen und die geschäftliche Entscheidungen beeinflussen, zum Beispiel: KI-generierte Produktempfehlungstexte auf der Startseite, KI-generierte technische Vergleichstabellen auf Produktseiten und KI-gesteuerte Echtzeit-Antwortskriptbibliotheken auf Anfrageseiten. Intern im Backend verwendete KI-Tools（wie Modelle zur Bestandsprognose）fallen nicht in den Geltungsbereich dieser Offenlegung.

Datenhoheitsklauseln in bestehenden KI-Dienstleistungsvereinbarungen prüfen

Wenn ein Unternehmen KI-SaaS-Dienste Dritter einkauft（wie Tools zur Texterstellung oder Bildsynthese）, muss es die Vertragsklauseln zur Herkunft der Trainingsdaten anfordern und vom Anbieter eine schriftliche Erklärung verlangen. Einige ausländische KI-Dienstleister legen die geografische Verteilung der Trainingsdaten ihrer Modelle nicht aktiv offen, weshalb Unternehmen dies als eine der Voraussetzungen für die Compliance-Zulassung von Lieferanten festlegen sollten.

Die vollständige Datenschutzerklärung vorerst nicht überhastet ändern, sondern zunächst überprüfbare Datenherkunftsaufzeichnungen aufbauen

Nach der Analyse liegt der Schwerpunkt der Aufsicht darauf, „ob nachgewiesen werden kann, dass die gemachten Angaben wahr und überprüfbar sind“, und nicht lediglich darauf, ob auf der Seite entsprechende Felder vorhanden sind. Für Unternehmen ist es derzeit sinnvoller, dies so zu verstehen: eine interne Bestandsaufnahme der Nutzung von KI-Inhalten zu starten, die in den einzelnen Modulen verwendeten KI-Tools, Versionsnummern, Anbieternamen und verfügbaren Dokumente zur regionalen Herkunft der Trainingsdaten zu erfassen und daraus grundlegende Rückverfolgbarkeitsakten zu bilden, um eine Grundlage für spätere Seitenaktualisierungen zu schaffen.

Redaktionelle Sichtweise / Branchenbeobachtung

Offensichtlich handelt es sich bei dieser Bestimmung nicht um eine Änderung des GDPR-Gesetzestextes, sondern um eine erweiternde Auslegung des „Transparenzprinzips“ durch den EDPB auf Grundlage der bestehenden Artikel 5、13、14 und somit um eine Konkretisierung auf Ebene der Regulierungsdurchsetzung. Sie ist eher als strukturelles Signal zu verstehen——dass die EU die KI-Governance derzeit schrittweise von der Phase der „algorithmischen Rechenschaftspflicht“ auf die Phase der „Transparenz der Datenlieferkette“ ausdehnt. Gegenwärtig gibt es noch keine Sanktionsfälle speziell zu dieser Bestimmung, doch Aufsichtsbehörden in deutschen Bundesländern sowie die französische Commission Nationale de l'Informatique et des Libertés（CNIL）haben „die Compliance von KI-Offenlegungen auf B2B-Websites“ bereits gesondert in ihre Schwerpunkte der Rechtsdurchsetzung für 2026 aufgenommen. Was die Branche weiterhin beobachten muss, ist: ob Aufsichtsbehörden der Mitgliedstaaten diese Offenlegung mit der Einstufung von Hochrisikosystemen nach dem „EU-KI-Gesetz“（AI Act）verknüpfen und ob Einkäufer dies als neue Dimension in ESG-Bewertungen von Lieferanten aufnehmen werden.

Schlusswort: Diese Bestimmung markiert, dass sich der regulatorische Schwerpunkt der EU bei KI-Anwendungen von der Endnutzerseite（B2C）auf die Seite geschäftlicher Transaktionen（B2B）ausdehnt. Ihre branchenbezogene Bedeutung liegt nicht im unmittelbaren Sanktionsdruck, sondern darin, geografische Datenattribute formell in die Compliance-Grundinfrastruktur des grenzüberschreitenden digitalen Handels aufzunehmen. Derzeit ist es angemessener, dies als eine normalisierte Anforderung zu verstehen, die in die jährliche Compliance-Checkliste aufgenommen werden muss, und nicht als plötzlich auftretende Krisensituation. Unternehmen sollten ihre Vorbereitungen nach den Grundsätzen „überprüfbar, rückverfolgbar, szenariobasiert“ vorantreiben, um Überreaktionen zu vermeiden, dürfen aber auch die langfristige Tendenz zur Institutionalisierung nicht ignorieren.

Hinweis zur Informationsquelle：
Hauptquelle：die auf der offiziellen Website des Europäischen Datenschutzausschusses（EDPB）veröffentlichten „Leitlinien 02/2026 zu den Transparenzpflichten der GDPR für generative KI in B2B-Kontexten“, mit Inkrafttreten am 10. Mai 2026.
Weiter zu beobachten：ob der EDPB verbindliche Durchführungsbestimmungen zur Definition der „geografischen Herkunft“ veröffentlicht; ob Aufsichtsbehörden in Mitgliedstaaten wie Deutschland und Frankreich ergänzende Durchsetzungsregeln oder typische Sanktionsfälle einführen.