Leitfaden — Stand Q3 2026

KI-Compliance: Der vollständige Überblick

Wer KI-Systeme im Unternehmen einsetzt, unterliegt seit 2024 einem komplexen Regelwerk aus EU AI Act, DSGVO und technischen Anforderungen — kombiniert mit persönlicher Haftung der Unternehmensleitung.

Kostenloser Compliance-Schnellcheck KI-Audit anfragen

Suchen Sie den spezifischen EU AI Act Zeitplan und die Risikoklassen? EU AI Act Überblick →

Was ist KI-Compliance?

KI-Compliance bezeichnet die Gesamtheit der rechtlichen, technischen und organisatorischen Anforderungen, die ein Unternehmen beim Einsatz von KI-Systemen erfüllen muss. Sie umfasst nicht nur die Einhaltung von Gesetzen, sondern auch die Implementierung von Kontrollmechanismen, Dokumentationspflichten und internen Prozessen, die sicherstellen, dass KI-gestützte Entscheidungen nachvollziehbar, überprüfbar und korrigierbar bleiben.

Das EU-Recht unterscheidet grundlegend zwischen Anbietern (den Herstellern eines KI-Systems) und Deployern (Unternehmen, die ein KI-System im Betrieb einsetzen). Beide Rollen tragen Compliance-Pflichten — aber unterschiedliche. Ein Unternehmen, das ein Drittanbieter-Tool wie einen KI-Chatbot oder ein Scoring-Modell einsetzt, gilt als Deployer und haftet für den konkreten Einsatzkontext, auch wenn es das Modell nicht selbst entwickelt hat.

Die Dringlichkeit steigt 2026 konkret: Ab August 2026 gelten die vollständigen Pflichten für Hochrisiko-KI-Systeme nach Annex III des EU AI Act. Bußgelder bis 35 Millionen Euro oder 7 % des globalen Jahresumsatzes sind ab diesem Zeitpunkt nicht mehr theoretisch, sondern praktisch durchsetzbar. Unternehmen, die jetzt noch keine Bestandsaufnahme ihrer KI-Systeme vorgenommen haben, handeln fahrlässig.

Die drei Regelwerke, die KI-Compliance bestimmen

KI-Compliance ist kein einzelnes Gesetz, sondern das Zusammenspiel mehrerer Regelwerke — die teilweise kumulativ gelten und sich gegenseitig verstärken.

EU AI Act

Verordnung 2024/1689

Risikobasierter Ansatz in vier Stufen: verboten, hochriskant, begrenzt riskant, minimales Risiko. Verbotene Praktiken gelten seit Februar 2025. Hochrisiko-Pflichten greifen vollständig ab August 2026.

  • ! Bußgelder bis 35 Mio. € / 7 % Umsatz
  • Gilt für alle Unternehmen in der EU
EU AI Act Überblick

DSGVO

Art. 22 und Art. 35

Art. 22 schützt Betroffene vor rein automatisierten Entscheidungen mit rechtlicher Wirkung — und verlangt ein Recht auf menschliche Überprüfung. Art. 35 verpflichtet zu einer Datenschutz-Folgenabschätzung bei hohem Risiko.

  • ! Bis 20 Mio. € / 4 % Umsatz (kumulativ)
  • Gilt parallel zum EU AI Act
Regelwerk bereits in Kraft

AI Liability Directive

Geplant — EU-Gesetzgebungsverfahren

Regelt die zivilrechtliche Haftung für Schäden durch KI-Entscheidungen. Unternehmen könnten für Schäden haften, die ihre KI-Systeme Dritten zufügen — auch wenn kein Verschulden nachweisbar ist.

  • ~ Noch nicht in Kraft, aber vorzubereiten
  • Relevant für risikoreiche KI-Anwendungen
Zeitplan: voraussichtlich 2026/2027

Was gilt für Unternehmen, die KI einsetzen?

Als Deployer — also als Nutzer eines fremden KI-Systems — tragen Sie weniger Pflichten als der Anbieter. Aber signifikante Pflichten dennoch.

Pflicht Wann Regelwerk
DSFA durchführen
Bei KI mit Personendaten und hohem Risiko DSGVO Art. 35
Transparenz gegenüber Betroffenen
Bei automatisierten Entscheidungen DSGVO Art. 22 + EU AI Act Art. 50
Human-Oversight sicherstellen
Bei Hochrisiko-KI-Systemen EU AI Act Art. 26
Registrierung in EU-Datenbank
Bei bestimmten Hochrisiko-Systemen EU AI Act Art. 49
KI-Verantwortlichen benennen
Best Practice; für große Deployer verpflichtend EU AI Act Art. 26

Verpflichtend bei Zutreffen   Situationsabhängig   Best Practice / teilweise verpflichtend

KI und DSGVO: Wo die Regelwerke sich überschneiden

Der EU AI Act und die DSGVO sind keine Alternativregelungen — sie greifen kumulativ. Wer beide ignoriert, riskiert doppelte Bußgelder aus zwei Rechtsbereichen.

Art. 22 DSGVO — Automatisierte Entscheidungen

Betroffenenrechte bei KI-gestützten Entscheidungen

Wenn ein KI-System automatisiert Entscheidungen trifft, die Personen rechtlich oder erheblich beeinflussen — etwa bei der Kreditvergabe, bei Personalentscheidungen oder bei der Berechnung von Versicherungsprämien — haben Betroffene ein Recht auf menschliche Überprüfung. Das KI-System muss erklärbar und overrideübersteuerbar sein. "Black Box"-Entscheidungen ohne Nachvollziehbarkeit sind damit rechtlich nicht mehr vertretbar, sobald sie in Bereichen mit rechtlicher Wirkung eingesetzt werden.

Art. 35 DSGVO — Datenschutz-Folgenabschätzung

Dokumentationspflicht vor dem Betrieb

Wer KI-Systeme mit personenbezogenen Daten betreibt und dabei ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen schafft, muss vor dem Betrieb eine Datenschutz-Folgenabschätzung (DSFA) durchführen und dokumentieren. Der EU AI Act verlangt für Hochrisiko-KI gleichzeitig eine technische Dokumentation und Risikobewertung. Treffen beide Anforderungen zu, entstehen parallele Dokumentationspflichten — mit teilweise überlappenden, aber nicht identischen Anforderungen.

US Cloud Act — das unsichtbare Risiko

Datentransfer zu US-KI-Anbietern und DSGVO-Konflikt

Wer KI-APIs von US-Anbietern wie OpenAI, Google oder Microsoft nutzt und dabei personenbezogene Daten überträgt, riskiert einen DSGVO-Verstoß, der oft unterschätzt wird: US-Behörden können auf Basis des CLOUD Acts Zugriff auf Daten fordern, die US-Unternehmen speichern — unabhängig davon, ob der Server physisch in Europa steht. Das Hosting-Land allein schützt nicht. Europäische Anbieter, die ausschließlich europäischem Recht unterliegen, sind von dieser Problematik ausgenommen.

Der Weg zur KI-Compliance — Schritt für Schritt

KI-Compliance ist kein einmaliges Projekt, sondern ein strukturierter Prozess. Die vier Schritte unten gelten unabhängig von Unternehmensgröße und Branche.

1

Inventar erstellen

Alle KI-Systeme und KI-Integrationen im Unternehmen erfassen. Welche Tools werden eingesetzt? Welche APIs werden aufgerufen? Welche Automatisierungen greifen auf externe Modelle zurück? Typischerweise werden bei dieser Bestandsaufnahme deutlich mehr KI-Berührungspunkte identifiziert als anfangs erwartet — insbesondere in Marketing, HR und Kundenkommunikation.

2

Risikoklasse bestimmen

Fallen Ihre Systeme unter Annex III des EU AI Acts? Verarbeiten sie personenbezogene Daten? Treffen automatisierte Entscheidungen mit rechtlicher oder erheblicher Wirkung? Die Risikoklasse bestimmt den Umfang der Pflichten — und damit den Aufwand für die Compliance-Umsetzung.

3

Lücken analysieren

Wo fehlt Dokumentation? Wo gibt es keine Human-Oversight für Hochrisiko-Entscheidungen? Wo verlassen personenbezogene Daten die EU? Wo werden automatisierte Entscheidungen getroffen, ohne dass Betroffene davon wissen? Die Lückenanalyse liefert die Grundlage für die Priorisierung.

4

Maßnahmen umsetzen

Priorisiert nach Dringlichkeit und Risiko: zuerst verbotene Praktiken prüfen und abstellen, dann Hochrisiko-Pflichten angehen, dann Transparenzanforderungen und Dokumentation schließen. Ein realistischer Zeitplan mit klaren Verantwortlichkeiten ist Voraussetzung dafür, dass die Maßnahmen vor August 2026 umgesetzt sind.

Sie wissen nicht, wo Sie stehen?

Der kostenlose Schnellcheck schätzt Ihr Risiko in rund 3 Minuten ein — auf Basis Ihrer konkreten KI-Nutzung.

Jetzt Compliance-Schnellcheck starten

Häufige Fragen zur KI-Compliance

Was bedeutet KI-Compliance?

KI-Compliance bezeichnet die Gesamtheit der rechtlichen, technischen und organisatorischen Anforderungen, die beim Einsatz von KI-Systemen im Unternehmen zu erfüllen sind — insbesondere nach EU AI Act und DSGVO. Sie schließt Dokumentationspflichten, technische Schutzmaßnahmen und interne Governance-Prozesse ein.

Welche Gesetze sind für KI-Compliance relevant?

Zentral sind der EU AI Act (Verordnung 2024/1689) und die DSGVO. Hinzu kommen branchenspezifische Regularien — etwa im Finanz- oder Gesundheitsbereich — sowie die geplante AI Liability Directive, die die zivilrechtliche Haftung für KI-Schäden regeln wird.

Was kostet KI-Compliance nicht einzuhalten?

Bei Verstößen gegen den EU AI Act drohen Bußgelder bis 35 Millionen Euro oder 7 % des globalen Jahresumsatzes — je nachdem, welcher Betrag höher ist. DSGVO-Verstöße können zusätzlich bis 20 Millionen Euro oder 4 % des Umsatzes kosten. Beide Regelwerke können kumulativ angewendet werden.

Müssen KMU KI-Compliance umsetzen?

Ja. Der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen — unabhängig von Größe oder Unternehmenssitz (Marktortprinzip). KMU haben für bestimmte Risikostufen vereinfachte Dokumentationspflichten, sind aber nicht grundsätzlich ausgenommen. Insbesondere bei Hochrisiko-Systemen gelten die gleichen Anforderungen wie für Großunternehmen.

Wie unterscheidet sich KI-Compliance von DSGVO-Compliance?

Die DSGVO regelt den Schutz personenbezogener Daten. KI-Compliance nach EU AI Act regelt zusätzlich die Sicherheit, Transparenz und Dokumentation der KI-Systeme selbst — unabhängig davon, ob sie Personendaten verarbeiten. Ein KI-System, das keine Personendaten berührt, kann trotzdem EU AI Act-pflichtig sein. Umgekehrt greift die DSGVO auch bei Verarbeitungen ohne KI-Beteiligung.

KI-Compliance professionell prüfen lassen

Unser KI-Compliance Audit analysiert Ihre gesamte KI-Landschaft gegen EU AI Act und DSGVO. Schriftlicher Bericht mit konkreten Handlungsempfehlungen. Festpreis 1.990 €.

Kostenloser Schnellcheck Audit anfragen — 1.990 €

Kein unverbindliches Erstgespräch — der Schnellcheck liefert sofort verwertbare Einschätzung.