Zwei Rechtsrahmen, ein Handlungsbedarf
Wer KI im Unternehmen einsetzt, bewegt sich seit 2024 in einem doppelten Rechtsrahmen: Die DSGVO gilt seit 2018 und enthält in Artikel 22 spezifische Regeln für automatisierte Entscheidungen. Der EU AI Act ist seit August 2024 in Kraft und stuft KI-Systeme nach Risiko ein — mit Pflichten, die schrittweise bis 2027 wirksam werden.
Viele Unternehmen behandeln beides als abstraktes Zukunftsproblem. Das ist ein Fehler. Einige Verbote gelten seit Februar 2025. Die Anforderungen für Hochrisiko-KI greifen ab August 2026. Wer jetzt nicht handelt, riskiert Bußgelder — und verliert das Vertrauen seiner Kunden.
Der EU AI Act: Risikoklassen und Timeline
Der AI Act ordnet jedes KI-System einer von vier Kategorien zu. Die Kategorie bestimmt, welche Pflichten gelten.
Verbotene KI-Praktiken (seit Februar 2025)
Systeme, die Menschen durch unterschwellige Techniken manipulieren, soziale Scores vergeben oder biometrische Echtzeit-Überwachung im öffentlichen Raum betreiben, sind verboten. Für den Mittelstand sind diese Verbote in der Regel nicht relevant — aber es lohnt sich, den eigenen KI-Einsatz dagegen zu prüfen.
Hochrisiko-KI (ab August 2026)
Hochrisiko-Systeme unterliegen den strengsten Anforderungen. Die EU hat konkrete Anwendungsgebiete definiert:
- Personalentscheidungen: KI-gestützte Bewerberauswahl, Leistungsbewertung, Beförderungsentscheidungen
- Kreditvergabe: Automatisierte Bonitätsprüfung und Kreditentscheidungen
- Bildung: Systeme, die Zugang zu Bildungsangeboten steuern
- Kritische Infrastruktur: KI in Strom-, Wasser- oder Verkehrssystemen
- Strafverfolgung und Justiz: Risikoeinschätzungen für Personen
Für Hochrisiko-KI gelten Konformitätsbewertungen, technische Dokumentation, menschliche Aufsicht und Registrierung in der EU-Datenbank.
Begrenzte und minimale Risiken
Die meisten KI-Anwendungen im Mittelstand fallen in die Kategorien mit begrenztem oder minimalem Risiko. Chatbots müssen als KI erkennbar sein (Transparenzpflicht). Für Spam-Filter, Empfehlungssysteme oder KI-gestützte Textverarbeitung gelten keine strengen Auflagen — aber die DSGVO greift weiterhin.
AI Act Timeline im Überblick
| Datum | Was gilt |
|---|---|
| August 2024 | AI Act in Kraft getreten |
| Februar 2025 | Verbote wirksam (Titel II) |
| August 2025 | GPAI-Modell-Pflichten, Governance-Regeln |
| August 2026 | Hochrisiko-KI-Pflichten (Anhang III) |
| August 2027 | Alle verbleibenden Pflichten vollständig wirksam |
DSGVO Artikel 22: Automatisierte Entscheidungsfindung
Artikel 22 DSGVO gilt unabhängig vom AI Act und ist bereits heute durchsetzbar. Er verbietet, Personen ausschließlich automatisierten Entscheidungen zu unterwerfen, die ihnen gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen — sofern keine Ausnahme greift.
Wann greift Artikel 22?
Drei Voraussetzungen müssen kumulativ vorliegen:
- Die Entscheidung basiert ausschließlich auf automatisierter Verarbeitung
- Sie hat rechtliche oder ähnlich erhebliche Wirkung auf die betroffene Person
- Es liegt keine gültige Ausnahme vor (Vertrag, Einwilligung, gesetzliche Grundlage)
In der Praxis bedeutet das: Lehnt ein Algorithmus einen Kreditantrag ab, filtert ein System Bewerbungen aus oder sperrt ein automatisiertes System einen Account, greift Artikel 22 regelmäßig. Interne Prozessautomatisierung — etwa ein KI-Agent, der Rechnungen verarbeitet — fällt in der Regel nicht darunter, weil keine direkte Wirkung auf Dritte entsteht.
Was Unternehmen konkret schulden
Wenn Art. 22 greift, haben Betroffene das Recht auf:
- Information: Betroffene müssen wissen, dass eine automatisierte Entscheidung stattgefunden hat und auf welcher Logik sie basiert.
- Menschliche Überprüfung: Betroffene können verlangen, dass die Entscheidung von einem Menschen überprüft wird.
- Widerspruch: Das Recht, der automatisierten Entscheidung zu widersprechen, muss aktiv gewährt werden.
Praxisbeispiel: Ein Online-Händler setzt einen KI-Agenten ein, der Bestellungen automatisch auf Betrugsrisiken prüft und verdächtige Bestellungen sperrt. Greift die Sperre, muss der Kunde informiert werden — inklusive des Rechts auf menschliche Prüfung. Die reine Fehlermeldung "Bestellung nicht möglich" genügt nicht.
Besonderheit: Profiling
Artikel 22 gilt auch für Profiling, sofern daraus Entscheidungen folgen. Wer Kunden nach Kaufverhalten segmentiert und diesen Segmenten automatisch unterschiedliche Preise oder Angebote zeigt, bewegt sich im Graubereich. Entscheidend ist, ob die Segmentierung erhebliche Auswirkungen auf den Einzelnen hat.
Dokumentation und Transparenzpflichten
Sowohl DSGVO als auch AI Act verlangen Dokumentation — aber mit unterschiedlichem Fokus.
DSGVO: Verarbeitungsverzeichnis und DSFA
Jede KI-gestützte Verarbeitung personenbezogener Daten muss im Verarbeitungsverzeichnis (Art. 30 DSGVO) erfasst sein. Zweck, Rechtsgrundlage, betroffene Personengruppen, Empfänger und Löschfristen — alles muss dokumentiert sein.
Bei Hochrisikoverarbeitungen schreibt Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) vor. Automatisierte Entscheidungsfindung mit erheblichen Auswirkungen ist nach der Blacklist der deutschen Datenschutzbehörden regelmäßig DSFA-pflichtig.
AI Act: Technische Dokumentation für Hochrisiko-KI
Für Hochrisiko-Systeme verlangt der AI Act eine umfassende technische Dokumentation:
- Allgemeine Beschreibung des Systems und seines beabsichtigten Zwecks
- Design-Entscheidungen und Trainingsansatz
- Verwendete Datensätze und deren Qualitätssicherung
- Leistungsmetriken und Testprotokolle
- Maßnahmen zur menschlichen Aufsicht
- Protokolle über den Betrieb des Systems (Logging)
Für den Mittelstand, der KI-Systeme nicht selbst entwickelt, sondern einkauft oder konfiguriert, gilt: Auch der Betreiber trägt Verantwortung. Wer ein Hochrisiko-System im Unternehmen einsetzt, muss sicherstellen, dass die Dokumentation des Anbieters vollständig ist — und eigene betriebliche Dokumentation führen.
Auftragsverarbeitungsvertrag (AVV)
Wer einen externen KI-Anbieter nutzt, der personenbezogene Daten verarbeitet, braucht zwingend einen AVV nach Art. 28 DSGVO. Ohne AVV ist die gesamte Verarbeitung rechtswidrig — unabhängig davon, ob tatsächlich ein Datenschutzverstoß vorliegt.
Viele Cloud-KI-Dienste bieten standardisierte AVVs an. Prüfen Sie, ob der Anbieter Daten für Trainingszwecke verwendet — das ist in Standardverträgen oft mit einer simplen Checkbox geregelt, die Sie abwählen müssen.
Bußgelder: Was steht auf dem Spiel?
Beide Rechtsrahmen haben Zähne.
Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor — je nachdem, was höher ist. Auch für KMU sind sechs- oder siebenstellige Bußgelder möglich, wenn Grundprinzipien wie Zweckbindung, Transparenz oder die Rechte Betroffener verletzt werden.
Der AI Act staffelt Bußgelder nach Schwere des Verstoßes:
| Verstoß | Maximales Bußgeld |
|---|---|
| Einsatz verbotener KI-Systeme | 35 Mio. EUR oder 7 % Jahresumsatz |
| Verstöße gegen Hochrisiko-Pflichten | 15 Mio. EUR oder 3 % Jahresumsatz |
| Falsche Angaben gegenüber Behörden | 7,5 Mio. EUR oder 1 % Jahresumsatz |
Hinzu kommen Reputationsschäden: Datenschutzverstöße werden von Behörden veröffentlicht. Für ein KMU, das auf Vertrauen angewiesen ist, kann das schwerwiegender sein als das Bußgeld selbst.
KI-Compliance-Checkliste für Unternehmen
Wo stehen Sie? Diese Checkliste gibt einen ersten Überblick.
Bestandsaufnahme
- Welche KI-Systeme setzt Ihr Unternehmen ein (inkl. eingekaufter Software mit KI-Komponenten)?
- Welche dieser Systeme verarbeiten personenbezogene Daten?
- Treffen KI-Systeme Entscheidungen mit erheblicher Wirkung auf Personen?
- Welche KI-Systeme fallen in die Hochrisiko-Kategorien des AI Act?
DSGVO-Grundlagen
- Alle KI-gestützten Verarbeitungen im Verarbeitungsverzeichnis erfasst?
- Rechtsgrundlage für jede Verarbeitung dokumentiert?
- AVVs mit allen KI-Anbietern abgeschlossen?
- Trainingsoptionen bei Cloud-KI-Diensten deaktiviert, sofern unerwünscht?
- DSFA durchgeführt, wenn Art. 35 greift?
- Transparenzpflichten bei Art. 22-Entscheidungen umgesetzt?
AI Act
- Risikoklasse aller eingesetzten KI-Systeme bestimmt?
- Verbotene Praktiken ausgeschlossen?
- Bei Hochrisiko-KI: Technische Dokumentation des Anbieters vorhanden?
- Bei Hochrisiko-KI: Eigene betriebliche Dokumentation und Logging eingerichtet?
- Menschliche Aufsicht für kritische KI-Entscheidungen sichergestellt?
- Mitarbeitende, die KI beaufsichtigen, ausreichend geschult?
Governance
- Verantwortlichkeit für KI-Compliance intern zugewiesen?
- Prozess für neue KI-Anschaffungen: Compliance-Check vor Einführung?
- Incident-Response-Plan für KI-Fehler und Datenpannen vorhanden?
Wann brauchen Sie externe Unterstützung?
Selbst prüfen können Sie in vielen Fällen — zumindest auf Ebene der Bestandsaufnahme. Für die rechtliche Bewertung einzelner Systeme, die Erstellung einer DSFA oder die Einschätzung, ob ein System als Hochrisiko gilt, empfiehlt sich Unterstützung durch einen Datenschutzbeauftragten oder eine auf KI-Recht spezialisierte Kanzlei.
Auf der technischen Seite hilft ein strukturierter Readiness Check: Welche Datenflüsse bestehen, welche Systeme greifen worauf zu, und wo fehlen Logging und Dokumentation noch? Mit einem KI-Readiness-Check lässt sich dieser Stand schnell erfassen.
Wenn Sie bisher vor allem darüber nachgedacht haben, KI-Agenten zur Prozessautomatisierung einzusetzen, dann ist Compliance kein Hindernis — sondern ein Teil der Umsetzung, den man von Anfang an mitdenkt.
Fazit: Jetzt handeln, nicht abwarten
KI-Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Die gute Nachricht für den Mittelstand: Die meisten internen Automatisierungslösungen — Dokumentenverarbeitung, Reporting, Prozesssteuerung — fallen nicht unter Hochrisiko. Die Pflichten aus der DSGVO gelten aber uneingeschränkt.
Starten Sie mit einer ehrlichen Bestandsaufnahme. Klären Sie für jedes KI-System: Welche Daten fließen wohin? Gibt es einen AVV? Ist das System im Verarbeitungsverzeichnis? Diese drei Fragen lösen den Großteil der Compliance-Arbeit aus — und schaffen die Grundlage für alles Weitere.
Die Unternehmen, die KI-Compliance ernst nehmen, gewinnen dabei einen unerwarteten Vorteil: Sie zwingen sich, ihre KI-Landschaft vollständig zu dokumentieren. Das ist nicht nur für Prüfer wertvoll — es ist die Voraussetzung dafür, KI-Systeme zuverlässig zu betreiben und weiterzuentwickeln.
Das könnte Sie auch interessieren
Rechtssicher automatisieren: DSGVO und KI-Agenten
DSGVO-konform KI-Agenten einsetzen: Auftragsverarbeitungsvertrag, Informationspflichten, Protokollierung, DSFA und die 5-Punkte-Checkliste für rechtssichere KI-Automatisierung.
Weiterlesen KI-AutomatisierungRAG für Unternehmenswissen: Firmen-KI mit eigenem Know-how
ChatGPT kennt Ihr Unternehmen nicht. RAG ändert das — ohne teures Fine-Tuning. Wie Retrieval-Augmented Generation Firmenwissen zugänglich macht, welche Komponenten nötig sind und was es kostet.
Weiterlesen KI-AutomatisierungChatGPT vs Claude vs Gemini: Welches LLM für Unternehmen 2026?
GPT-4o, Claude Sonnet 4.6 oder Gemini 2.5 — welches Sprachmodell eignet sich für Ihr Unternehmen? Wir vergleichen Benchmarks, Preise, DSGVO-Konformität und Integration für deutsche KMU.
Weiterlesen