KI-Compliance ist 2026 kein optionales Extra mehr – sie ist Pflicht. Wer KI-Systeme in seinem Unternehmen einsetzt, muss sich gleich mit mehreren Regelwerken auseinandersetzen: der DSGVO, dem EU AI Act, dem Urheberrecht und branchenspezifischen Regularien. Das klingt abschreckend, ist aber strukturierbar.
Dieser Artikel liefert einen praxisnahen Überblick: Was sagen DSGVO und EU AI Act konkret? Wo überschneiden sie sich? Und welche Schritte sollten Unternehmen jetzt gehen?
Beginnen wir mit dem, was die meisten Unternehmen bereits kennen – der DSGVO. Die Datenschutz-Grundverordnung gilt für jede Verarbeitung personenbezogener Daten durch KI-Systeme. Das ist umfassender als viele denken. Ein KI-Chatbot, der Kundendaten verarbeitet – auch nur indirekt durch Gesprächsinhalte – unterliegt der DSGVO. Ein KI-System, das Mitarbeiterleistungen auswertet, ebenfalls.
Konkret bedeutet das: Es braucht eine Rechtsgrundlage für die Datenverarbeitung (Einwilligung, berechtigtes Interesse oder Vertragserfüllung). Es braucht Transparenz – Betroffene müssen wissen, dass KI eingesetzt wird. Und es braucht ein Verarbeitungsverzeichnis, das die KI-Verarbeitung dokumentiert.
Besonders kritisch: vollautomatisierte Entscheidungen. Artikel 22 DSGVO verbietet Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und erhebliche Auswirkungen auf Personen haben – ohne dass ein Mensch involviert ist. Kreditvergabe per KI ohne menschliche Prüfung, automatische Kündigung durch HR-KI, automatische Ablehnung von Bewerbungen – all das ist DSGVO-problematisch.
Jetzt kommt der EU AI Act hinzu. Er ergänzt die DSGVO, ersetzt sie aber nicht. Während die DSGVO den Datenschutz regelt, regelt der AI Act die Sicherheit und Verlässlichkeit von KI-Systemen selbst. Die wichtigste Einordnung: Risikoklassen.
Verbotene KI-Praktiken (Klasse: inakzeptables Risiko) sind seit Februar 2025 vollständig untersagt. Dazu gehören: Social-Scoring-Systeme, manipulative KI, Echtzeit-Gesichtserkennung im öffentlichen Raum (mit engen Ausnahmen) und KI-Systeme, die Schwächen von Personen ausnutzen.
Hochrisiko-KI – und das ist für viele Unternehmen der entscheidende Bereich – umfasst KI in: Beschäftigung und Personalverwaltung, Kreditwürdigkeitsprüfung, Bildung und Berufsausbildung, medizinischen Diagnosen, biometrischer Identifikation und kritischer Infrastruktur. Wer solche Systeme betreibt, muss umfangreiche Pflichten erfüllen.
Diese Pflichten umfassen: technische Dokumentation des Systems, Konformitätsbewertung (in manchen Fällen durch Dritte), Registrierung in der EU-Datenbank für Hochrisiko-KI, menschliche Aufsicht während des Betriebs, Protokollierung von Aktivitäten und regelmäßige Überprüfung der Systemleistung.
Für General-Purpose AI (GPAI) – also Systeme wie große Sprachmodelle, die vielseitig einsetzbar sind – gelten eigene Regeln. Anbieter von GPAI-Modellen mit systemischem Risiko müssen Sicherheitsbewertungen durchführen, adversarielle Tests machen und Vorfälle melden. Das betrifft vor allem große KI-Anbieter, aber indirekt auch Unternehmen, die diese Modelle einbinden.
Die Zusammenführung von DSGVO und AI Act ergibt eine Doppelbelastung, aber auch eine Vereinfachungsmöglichkeit: Viele Maßnahmen zahlen auf beide Regelwerke ein. Eine Datenschutz-Folgenabschätzung (DPIA) nach DSGVO deckt sich teilweise mit der KI-Risikobewertung nach AI Act. Wer beides gemeinsam angeht, spart Zeit und Ressourcen.
Praktischer Handlungsrahmen für Unternehmen: Schritt eins ist das KI-Inventar. Welche KI-Systeme sind im Einsatz? Welche sind zugekauft, welche selbst entwickelt? Schritt zwei ist die Risikoklassifizierung: Fällt das System unter verbotene Praktiken, Hochrisiko oder niedrigeres Risiko?
Schritt drei: Rechtliche Grundlage prüfen. Welche DSGVO-Rechtsgrundlage liegt vor? Gibt es vollautomatisierte Entscheidungen? Schritt vier: Dokumentationspflichten erfüllen. Technische Dokumentation für Hochrisiko-KI, Verarbeitungsverzeichnis für DSGVO. Schritt fünf: Verträge mit KI-Anbietern anpassen – insbesondere Auftragsverarbeitungsverträge (AVV) und Haftungsklauseln.
Ein oft übersehener Bereich: das Urheberrecht. KI-generierte Inhalte können urheberrechtlich problematisch sein, wenn das Training auf geschütztem Material erfolgte. Unternehmen, die KI-generierte Texte, Bilder oder Code kommerziell nutzen, sollten die Trainingsdaten-Transparenz ihrer KI-Anbieter prüfen.
Branchenspezifische Regulierung kommt noch dazu. Im Finanzsektor gelten MaRisk und DORA. Im Gesundheitsbereich die MDR. In regulierten Berufen (Recht, Steuer, Medizin) kommen Standesrecht und Berufsordnungen hinzu. KI-Compliance ist damit kein einheitliches Thema, sondern muss immer branchenspezifisch gedacht werden.
Die Rolle des Datenschutzbeauftragten (DSB) erweitert sich. Ein DSB muss 2026 nicht nur DSGVO-Fragen beantworten, sondern auch KI-Systeme bewerten können. Viele Unternehmen stocken ihre Compliance-Kapazitäten auf – entweder intern durch Weiterbildung oder extern durch spezialisierte Dienstleister.
Aufsichtsbehörden werden aktiver. Die EU hat nationale KI-Marktüberwachungsbehörden verpflichtend gemacht. In Deutschland ist die Bundesnetzagentur als koordinierende Stelle vorgesehen. Stichprobenkontrollen und anlassbasierte Prüfungen werden zunehmen. Unternehmen, die keine Dokumentation vorweisen können, riskieren Bußgelder und Reputationsschäden.
Fazit: KI-Compliance ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. Wer jetzt die Grundlagen legt – KI-Inventar, Risikoklassifizierung, Dokumentation, Vertragsprüfung – ist deutlich besser aufgestellt als Wettbewerber, die das Thema ignorieren. Der Prozessmeister hilft Unternehmen, KI-Compliance strukturiert und pragmatisch umzusetzen.
