EU AI Act + DSGVO: Was C-Level bis August 2026 wirklich vorbereiten muss
AI-Literacy-Pflicht gilt seit Februar 2025. Marktaufsicht ab August 2026. Bußgelder bis 7 % Umsatz. Was DACH-C-Level jetzt vorbereiten muss.
Zwei Termine, die kaum ein deutscher Vorstand auf dem Schirm hat
In den letzten Monaten haben wir mit über drei Dutzend Geschäftsführungen in DACH über KI-Compliance gesprochen. Eine Frage taucht in jedem Gespräch auf: Welche regulatorischen Pflichten kommen denn jetzt eigentlich genau auf uns zu? In etwa der Hälfte dieser Gespräche stellt sich heraus, dass die zentralen Stichtage nicht bekannt sind. Hier sind sie.
Der 2. Februar 2025 markiert den Beginn der AI-Literacy-Pflicht aus Artikel 4 des EU AI Act. Sie gilt seit diesem Tag in vollem Umfang. Wer KI-Systeme im Unternehmen einsetzt, muss sicherstellen, dass die damit befassten Personen über ausreichende KI-Kompetenz verfügen. Diese Pflicht ist seit über einem Jahr in Kraft, und die wenigsten haben sie umgesetzt.
Der 3. August 2026 ist der Tag, an dem die nationalen Marktaufsichtsbehörden beginnen, die Einhaltung zu kontrollieren. Bußgelder bis 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes sind möglich, je nachdem welcher Betrag höher ist.
Zwischen diesen beiden Daten liegt noch genau ein Quartal Vorlauf. Das ist nicht viel.
Was „AI Literacy" in der Praxis tatsächlich heißt
Die Versuchung ist groß, das Thema in die Personalabteilung zu schieben und alle in ein einstündiges E-Learning zu schicken. Das ist nicht, was die EU-Kommission mit Artikel 4 gemeint hat.
„Ausreichende KI-Kompetenz" muss sich orientieren an mehreren Faktoren: an der technischen Vorbildung der Mitarbeitenden, am konkreten KI-System, das sie nutzen, an der Risikoklasse des Anwendungsfalls und an der Kundengruppe oder den Betroffenen, auf die das KI-System wirkt.
Ein Beispiel aus der Praxis. Eine Sachbearbeiterin, die ChatGPT für E-Mail-Entwürfe nutzt, braucht eine andere Schulung als ein Personalreferent, der KI-gestützte Bewerber-Vorauswahl betreibt. Letzterer arbeitet in einer Hochrisiko-Anwendung im Sinne des EU AI Act und fällt unter strengere Anforderungen, auch wenn er bisher noch nie ChatGPT geöffnet hat.
Wichtig: Sie müssen die Maßnahmen dokumentieren. Wer wann was geschult bekommen hat. Bei einer Inspektion liegt die Beweislast beim Unternehmen, nicht bei der Behörde. Ein gut geführtes KI-Champions-Programm erfüllt nebenbei viele dieser Literacy-Anforderungen und liefert die Dokumentation gleich mit.
Drei alltägliche Use Cases, die schnell zur Hochrisiko-Anwendung werden
Die meisten Unternehmen, die wir beraten, unterschätzen, wie schnell ein scheinbar harmloser Use Case in die Hochrisiko-Kategorie des EU AI Act rutscht. Drei typische Beispiele.
Recruiting. Jedes KI-Tool, das Bewerbungen vorsortiert oder Lebensläufe scort, ist hochriskant. Auch dann, wenn am Ende immer ein Mensch entscheidet. Auch dann, wenn das Tool nur einen Ranking-Score liefert.
Kreditbewertung. Jede KI-Komponente, die Kreditwürdigkeit beeinflusst, fällt unter Hochrisiko. Sowohl bei Endkunden als auch bei Geschäftskunden mit Konsumkredit-Charakter.
Mitarbeiterbewertung. Tools, die Leistung, Verhalten oder Zugang zu Arbeit beeinflussen, gehören in die strengste Kategorie. Dazu zählen auch viele „neutrale" Produktivitäts-Dashboards, sobald sie zur Beurteilung herangezogen werden.
Wenn einer dieser Use Cases in Ihrem Unternehmen läuft, brauchen Sie nicht nur Schulungen. Sie brauchen ein Risikomanagement-System, technische Dokumentation, Konzepte für menschliche Aufsicht und in vielen Fällen eine Konformitätsbewertung.
Wie EU AI Act und DSGVO zusammenspielen
Die DSGVO ist nicht abgelöst worden. Sie gilt weiter, und sie greift immer dann, wenn personenbezogene Daten betroffen sind.
Was sich geändert hat: es gibt jetzt eine zweite Compliance-Ebene, die sich nicht an Datenkategorien orientiert, sondern an Risikoklassen von KI-Systemen. In der Praxis bedeutet das:
Sie brauchen weiterhin Ihr DSGVO-Verzeichnis, Ihre AVV-Verträge, Ihre TOM-Dokumentation. Sie brauchen zusätzlich eine Bestandsaufnahme aller KI-Systeme inklusive Risikoklassifizierung. Bei einer Verletzung, die beide Regelwerke betrifft, wird die jeweils höhere Strafe verhängt, Doppelbestrafung ist ausgeschlossen.
Die gute Nachricht: wer ein sauber geführtes DSGVO-Verzeichnis hat, hat 60 % der Arbeit für den EU AI Act bereits erledigt. Es ist eine Erweiterung, kein Neustart.
Die unsichtbare Lücke: Shadow AI
Die meisten Vorstände denken bei „KI-Compliance" zuerst an offizielle Systeme. Die teuersten Vorfälle entstehen aber regelmäßig dort, wo Mitarbeitende auf eigene Faust private Chatbots nutzen. Das Shadow-AI-Risiko mit 670.000 Euro durchschnittlichem Zusatzschaden pro Vorfall ist messbar und gut dokumentiert. Eine ehrliche Bestandsaufnahme bis August 2026 muss diese inoffiziellen Tools zwingend einschließen, sonst dokumentiert sie nur das, was die IT-Abteilung sehen kann.
Eine pragmatische Checkliste bis August 2026
Was bis zum Stichtag stehen sollte, möglichst nüchtern und ohne juristische Watte.
Erstens: eine Bestandsaufnahme aller eingesetzten KI-Systeme. Inklusive der inoffiziell genutzten. Inklusive der in Software eingebauten KI-Funktionen (Outlook, CRM, ERP, Vertriebs-Plugins).
Zweitens: Risikoklassifizierung pro System. Welche fallen unter „verboten", welche unter „hochriskant", welche unter „begrenztes Risiko"?
Drittens: eine Acceptable-Use-Policy für den Umgang mit nicht-freigegebenen Tools. Klar, kurz, durchsetzbar.
Viertens: ein AI-Literacy-Programm mit rollenbasierter Schulung. Nicht ein Kurs für alle.
Fünftens: Dokumentation der Maßnahmen. Wer wurde wann geschult, welche Tools werden eingesetzt, welche Risikoklasse hat jeder Anwendungsfall.
Sechstens: ein klarer Eskalationsweg für Vorfälle. Wer entscheidet, wenn ein KI-System einen Fehler macht oder ein Mitarbeiter ein nicht-freigegebenes Tool verwendet hat?
Jetzt starten
Die Compliance-Pflicht ist real, der Zeitrahmen ist eng, die Lösung ist aber machbar. Wir begleiten DACH-Unternehmen durch Bestandsaufnahme, Risikoklassifizierung und das Aufsetzen der Literacy-Strukturen. Ein typisches Projekt dauert sechs bis zehn Wochen. Wenn das bei Ihnen gerade ansteht, melden Sie sich.
Quellen
Häufig gestellte Fragen
Gilt der EU AI Act auch für mein KMU?
Ja. Der EU AI Act gilt grundsätzlich für jedes Unternehmen, das KI-Systeme im EU-Markt entwickelt, vertreibt oder einsetzt, unabhängig von der Größe. Für KMU gibt es Erleichterungen bei der Bußgeldbemessung (es gilt der jeweils niedrigere Betrag), aber die Grundpflichten, insbesondere die AI-Literacy-Pflicht, gelten in vollem Umfang. Auch wer KI ‚nur einsetzt' (ChatGPT Enterprise, Microsoft Copilot) gilt als Deployer und unterliegt den Pflichten.
Was ist der Unterschied zwischen DSGVO und EU AI Act?
Die DSGVO regelt den Schutz personenbezogener Daten, unabhängig davon ob KI im Spiel ist. Der EU AI Act regelt KI-Systeme, unabhängig davon ob personenbezogene Daten betroffen sind. In der Praxis greifen beide häufig ineinander, etwa wenn ein KI-Tool Kundendaten verarbeitet. Bei einer Verletzung, die unter beide Regelwerke fällt, wird die jeweils höhere Strafe verhängt. Doppelbestrafung ist ausgeschlossen, unterschiedliche Verstöße können sich aber summieren.
Reicht es, ChatGPT-Schulungen anzubieten?
Nein, und das ist eines der häufigsten Missverständnisse. Artikel 4 des EU AI Act verlangt eine ‚ausreichende KI-Kompetenz' bei allen Personen, die KI-Systeme im Auftrag des Unternehmens nutzen, auch externe Dienstleister. Was ‚ausreichend' bedeutet, hängt vom Kontext ab: technische Vorbildung, Einsatzfeld, Risikoklasse. Eine 45-minütige Online-Schulung reicht in den meisten Fällen nicht. Dokumentation der Maßnahmen ist Pflicht, die Beweislast liegt beim Unternehmen.
