Was ändert der EU AI Act für mein Unternehmen?

Der AI Act unterteilt KI-Systeme in vier Risikoklassen: verboten, Hochrisiko, begrenztes Risiko, minimales Risiko. Die meisten generativen KI-Anwendungen im Unternehmensalltag (Korrespondenz, Recherche, Zusammenfassungen) fallen in 'begrenztes Risiko' (Transparenzpflicht). Hochrisiko-Systeme (z.B. KI in Personalentscheidungen oder kritischer Infrastruktur) brauchen Conformity Assessment, Logbuch und Risikomanagement.

Welche Branchen haben spezielle KI-Auflagen?

Finanzbranche (BaFin-Erwartungen an Modell-Risikomanagement), Gesundheitswesen (MDR/IVDR bei medizinischen KI-Produkten), KRITIS (BSI-Anforderungen an Verfügbarkeit und Integrität), öffentliche Verwaltung (Auflagen aus IT-Sicherheitsrecht). Wir kennen die Anforderungen und entwerfen Architekturen, die Querschnitts- und Sektor-Vorgaben gleichzeitig erfüllen.

Wie führe ich eine Datenschutz-Folgenabschätzung für KI durch?

Wir nutzen die WP248-Methodik der Art.-29-Gruppe, ergänzt um KI-spezifische Aspekte: Datenherkunft, Modell-Trainingsdaten, Erklärbarkeit, Bias, Re-Identifikationsrisiko. Die DSFA wird mit dem DSB abgestimmt, dokumentiert und revisionierbar abgelegt.

Brauche ich für KI ein eigenes Compliance-Management-System?

Wenn Sie ein bestehendes Compliance- oder ISMS haben (ISO 27001, BSI IT-Grundschutz, TISAX), reicht eine KI-spezifische Erweiterung in der Regel aus. Ohne bestehendes CMS empfehlen wir, KI-Compliance gleich richtig aufzubauen — die Strukturen tragen Sie auch für andere IT-Sicherheits- und Datenschutzthemen.

Wie oft muss ich die KI-Compliance prüfen?

Mindestens jährlich, plus anlassbezogen bei Modell-Updates, neuen Use-Cases oder regulatorischen Änderungen. Wir bauen ein Audit-Trail, das in der Regelprüfung automatisch Berichte liefert — der manuelle Aufwand bleibt gering.

KI-Beratung · Pillar

KI-Compliance in Deutschland – DSGVO, EU AI Act, Branche

KI-Compliance ist 2026 kein Nischenthema mehr. DSGVO und EU AI Act greifen parallel, branchenspezifische Auflagen kommen oben drauf. Dieser Leitfaden zeigt, wie sich die Regelwerke ineinanderfügen lassen — und wie Sie ein Compliance-Setup bauen, das im Audit hält und im Alltag funktioniert.

Kurz und ehrlich

Drei Regime greifen parallel: DSGVO (querschnittlich), EU AI Act (KI-spezifisch) und sektor-spezifisches Recht (BaFin, BSI, Berufsrecht).
Der EU AI Act unterteilt KI in vier Risikoklassen — die meisten Mittelstand-Use-Cases liegen in „begrenztes Risiko“ mit Transparenzpflicht.
Bestehende Compliance-Strukturen (ISO 27001, BSI IT-Grundschutz, TISAX) lassen sich um KI-Module erweitern — kein Parallel-System nötig.
Audit-Vorbereitung: 6–10 Wochen, Ergebnis ist ein vollständiger Dokumentations-Stack mit Verzeichnis, AVV, DSFA, TOMs, Logbuch.

Welche Regelwerke wirklich greifen

Wer KI in einem deutschen Unternehmen einsetzt, bewegt sich seit 2024 in einem Mehr-Schichten-System aus überlappenden Regelwerken. Die wichtigsten:

Regelwerk	Geltungsbereich	Wer prüft
DSGVO	Personenbezogene Daten, querschnittlich	Aufsichtsbehörden der Länder
EU AI Act	KI-Systeme nach Risikoklasse	Marktüberwachungsbehörden, in DE aktuell BNetzA-Diskussion
BSI-Gesetz / KRITIS	Betreiber kritischer Infrastruktur	BSI
Sektor-Recht (BaFin, BAFA, Bundesanstalt für Arzneimittel)	Finanzwesen, Gesundheit, Sicherheit	Sektor-Behörden
Berufsrecht (StGB, BRAO, StBerG, MBO-Ä)	Berufsgeheimnisträger	Berufskammern
Arbeitsrecht / Mitbestimmung (BetrVG)	KI mit Auswirkung auf Beschäftigte	Betriebsrat, Arbeitsgerichte

Die gute Nachricht: Sie brauchen kein eigenes „KI-Compliance-Team“ und kein paralleles Managementsystem. Ein bestehendes ISMS oder Datenschutz-Managementsystem lässt sich um KI-Module erweitern. Wir entwerfen die Erweiterung so, dass sich die Pflichten aller drei Schichten (Querschnitt, KI, Sektor) aus einem Dokumentations-Set bedienen lassen.

EU AI Act: vier Risikoklassen, vier Pflichten

Der AI Act unterteilt KI-Systeme in vier Risikoklassen. Die Einordnung Ihres Use-Cases bestimmt, was zu tun ist:

Risikoklasse	Beispiel	Pflichten
Verboten	Social Scoring, manipulative Verhaltenssteuerung, Echtzeit-Biometrie im öffentlichen Raum	Einsatz nicht zulässig
Hochrisiko	KI in Personalentscheidungen, kritischer Infrastruktur, Strafverfolgung, Medizinprodukten	Risikomanagement, Daten-Governance, Logbuch, Conformity Assessment, Registrierung
Begrenztes Risiko	Generative KI (ChatGPT, Bild-/Text-Generierung), Chatbots	Transparenzpflicht: Nutzer:innen müssen wissen, dass sie mit KI interagieren bzw. KI-Output sehen
Minimales Risiko	Spam-Filter, Standard-Empfehlungen	Keine spezifischen Pflichten

Was das für typische Mittelstands-Use-Cases bedeutet

Die meisten Anwendungen, die wir in Mittelstands-Projekten begleiten, liegen in „begrenztes Risiko“. Ein Vertriebs-Mitarbeiter, der Angebotstexte mit KI entwirft? Begrenztes Risiko, Transparenzpflicht. Eine HR-Abteilung, die Bewerbungen mit KI vorsortiert? Hochrisiko — Conformity Assessment und Risikomanagement-System pflichtig. Wir zeigen Ihnen pro Use-Case, wo die Linie liegt, und gestalten Workflows so, dass Hochrisiko-Klassifikationen nur dort auftauchen, wo sie unvermeidbar sind.

DSGVO: alte Pflichten, neuer Kontext

Die DSGVO selbst hat sich nicht geändert, aber die Aufsichtsbehörden haben begonnen, KI-spezifische Erwartungen zu formulieren. Beispiele:

Hamburgischer Beauftragter für Datenschutz: Diskussionspapier zu LLMs (Stand 2024) mit klaren Empfehlungen zur Datenminimierung und Pseudonymisierung.
Datenschutzkonferenz (DSK): Orientierungshilfe „KI und Datenschutz“ – als Querschnitts-Empfehlung der Aufsichtsbehörden.
EDSA (European Data Protection Board): Aktive Stellungnahmen zu Trainingsdaten, Personenbezug in Modellen, Recht auf Löschung.

Konkret heißt das: Eine bestehende Datenschutz-Folgenabschätzung reicht oft nicht. Wir erweitern bestehende DSFA um KI-Aspekte (Modell-Wahl, Trainingsdaten, Re-Identifikationsrisiko, Erklärbarkeit, Bias-Risiken) und verzahnen sie mit der AI-Act-Klassifikation.

Branchenspezifische Auflagen

Finanzwesen (BaFin)

Die BaFin erwartet bei KI-Einsatz in Banken und Versicherungen Modell-Risikomanagement nach MaRisk-Logik: Validierung, laufende Überwachung, klare Verantwortlichkeiten. Generative KI für interne Korrespondenz ist meist unkritisch, sobald sie kreditwirtschaftliche Entscheidungen berührt, wird es Hochrisiko.

Gesundheitswesen (MDR/IVDR)

Wenn KI als Medizinprodukt zum Einsatz kommt (z.B. Bildanalyse-Software für die Diagnose), greift die Medizinprodukteverordnung mit eigener Konformitätsbewertung. KI für administrative Aufgaben in der Praxis (Anamnese-Vorbereitung, Korrespondenz) ist davon nicht betroffen.

Berufsgeheimnisträger (StGB §203, StBerG §57, BRAO)

Hier kommt die berufsrechtliche Verschwiegenheit als zusätzliche Schicht oben drauf. Standard-AVV reicht nicht, der Auftragsverarbeiter muss sich berufsrechtsanalog zur Verschwiegenheit verpflichten. Microsoft Deutschland leistet das in der Regel — andere Anbieter selten.

KRITIS / IT-Sicherheit

BSI-Anforderungen an Verfügbarkeit und Integrität gelten auch für KI-Systeme. Wer einen Versorger oder ein Rechenzentrum betreibt, muss seine KI-Systeme in das ISMS und die Notfall-Vorsorge einbeziehen. Wir bauen die Architektur so, dass BSI-Audit-fähige Logs und Notfall-Konzepte mitgeliefert werden.

Audit-Vorbereitung – wie wir Sie aufstellen

Eine Aufsichts- oder Branchen-Prüfung ist kein Schreckgespenst, wenn die Hausaufgaben gemacht sind. Wir bereiten Ihre KI-Architektur so vor, dass folgende Dokumente in einem zentralen Compliance-Ordner liegen:

AI-Act-Klassifikation pro Use-Case mit Begründung.
Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO).
Auftragsverarbeitungsvertrag inklusive Subprocessor-Liste.
Datenschutz-Folgenabschätzung mit DSB-Freigabe.
Technisch-organisatorische Maßnahmen (Art. 32 DSGVO).
Logbuch über Modell-Aufrufe und Audit-Events (manipulationssicher).
Mitarbeiter-Leitfaden mit Schulungs-Nachweisen.
Risikomanagement-System (für Hochrisiko-Use-Cases).
Notfall-Konzept und Eskalationswege.
Lösch-Konzept (Mappings, Logs, Caches).

Compliance-Fahrplan in fünf Schritten

Bestandsaufnahme: welche KI-Systeme sind im Einsatz, geplant, in Schatten-IT? Use-Case-Inventar mit Klassifikation.
Lücken-Analyse: was fehlt im Vergleich zu DSGVO, AI Act und Sektor-Recht? Schriftliches Gap-Assessment.
Architektur-Anpassung: technische Maßnahmen, die mehrere Pflichten gleichzeitig adressieren (Pseudonymisierung, Identity, Logging).
Dokumentations-Stack: AVV, DSFA, TOMs, Leitfäden — wir liefern Vorlagen und arbeiten mit DSB und Compliance.
Betrieb und laufende Reviews: jährliche Überprüfung, anlassbezogene Updates bei Modell-Wechsel oder neuen Use-Cases.

Bereit für ein Erstgespräch?

30 Minuten, kostenlos, unverbindlich. Wir hören uns Ihren Fall an und sagen ehrlich, ob und wie wir helfen können.

Termin auswählen Schriftlich anfragen