1. Zwei Regelwerke, ein KI-System
Seit dem vollständigen Inkrafttreten des EU AI Act im August 2026 stehen europäische Unternehmen vor einer Aufgabe, die in dieser Form bisher nicht existierte: Sie müssen zwei umfassende Regulierungsrahmen gleichzeitig einhalten — und zwar für dieselben Systeme. Ein KI-gestütztes HR-Tool verarbeitet personenbezogene Daten (DSGVO-Pflicht) und trifft gleichzeitig Entscheidungen, die den EU AI Act berühren.
Das Problem ist nicht, dass die Regelwerke sich widersprechen. Das Problem ist, dass sie unterschiedliche Organisationseinheiten ansprechen: Die DSGVO liegt typischerweise beim Datenschutzbeauftragten, der AI Act eher beim CTO oder der Rechtsabteilung. In KMUs, wo diese Rollen oft in einer Person gebündelt sind, entsteht so schnell ein Informationsdefizit.
Eine strukturierte Herangehensweise spart nicht nur Zeit, sondern vermeidet auch die häufigste Falle: doppelte Arbeit. Viele Maßnahmen, die für DSGVO-Konformität bereits umgesetzt wurden — Datenverzeichnisse, Datenschutz-Folgeabschätzungen, technische Sicherheitsmaßnahmen — sind direkte Bausteine für die KI-Act-Compliance.
2. KI-Act 2026: Was Unternehmen jetzt wissen müssen
Die vier Risikokategorien
Der EU AI Act klassifiziert KI-Systeme nicht pauschal, sondern nach ihrem Risikopotenzial für Grundrechte und Sicherheit. Die Einstufung bestimmt, welche Pflichten gelten:
| Risikostufe | Beispiele | Pflichten | Gültig ab |
|---|---|---|---|
| Verboten | Social Scoring, manipulative KI, Echtzeit-Biometrie in der Öffentlichkeit | Vollständiges Verbot | Feb. 2025 |
| Hochriskant | KI in HR, Kredit-Scoring, Bildung, kritische Infrastruktur | Registrierung, Konformitätsbewertung, Audit-Trail, menschliche Aufsicht | Aug. 2026 |
| Begrenzt riskant | Chatbots, Deepfakes, Emotionserkennung | Transparenzpflicht gegenüber Nutzern | Aug. 2026 |
| Minimal riskant | Spam-Filter, Empfehlungsalgorithmen, KI-Spiele | Keine spezifischen Pflichten (freiwillige Verhaltenskodizes) | – |
Welche KI-Systeme in KMUs typischerweise betroffen sind
Viele Unternehmer unterschätzen, wie weit verbreitet hochriskante KI bereits in ihrem Betrieb eingesetzt wird. KI-gestützte Bewerberauswahl, automatisierte Kreditentscheidungen oder KI-Systeme in der Produktsicherheitsüberwachung fallen in die Hochrisiko-Kategorie — unabhängig davon, ob sie selbst entwickelt oder als SaaS-Lösung zugekauft wurden.
Wichtig für SaaS-Nutzer: Wer ein hochriskantes KI-System als SaaS-Dienst nutzt, ist als „Betreiber" (Deployer) mitverantwortlich für die Einhaltung des AI Acts. Es reicht nicht, darauf zu verweisen, dass der Anbieter compliant ist — Sie müssen eigene Maßnahmen wie menschliche Aufsicht und Mitarbeiterschulung nachweisen können.
3. DSGVO im KI-Kontext: Was sich verändert hat
Rechtliche Grundlagen für KI-Datenverarbeitung
Die DSGVO verlangt für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage — das gilt auch für das Training und den Betrieb von KI-Modellen. Für KI-Systeme, die automatisierte Entscheidungen treffen (Art. 22 DSGVO), kommt das Verbot automatisierter Einzelentscheidungen hinzu: Betroffene haben das Recht, eine menschliche Überprüfung zu verlangen.
Seit dem AI Act gibt es eine direkte Verknüpfung: Hochriskante KI-Systeme müssen ohnehin eine menschliche Aufsicht gewährleisten — was gleichzeitig die DSGVO-Anforderung aus Art. 22 erfüllt. Diese Synergie ist kein Zufall, sondern Ergebnis der bewussten Abstimmung beider Regelwerke.
Transparenz- und Dokumentationspflichten
Beide Regelwerke verlangen Dokumentation — aber mit unterschiedlichem Fokus. Die DSGVO fordert das Verzeichnis der Verarbeitungstätigkeiten (Art. 30) und bei hochrisikanten Verarbeitungen eine Datenschutz-Folgeabschätzung (DSFA, Art. 35). Der AI Act verlangt zusätzlich technische Dokumentation des KI-Systems selbst: Trainingsdaten, Modellarchitektur, Leistungsmetriken, Risikobewertung.
4. Compliance-Plattformen: Was der Markt bietet
Der Markt für Compliance-Software hat auf den AI Act reagiert. Etablierte DSGVO-Plattformen erweitern ihre Module, spezialisierte Anbieter positionieren sich neu. Für KMUs ist die Frage weniger welche Plattform die umfangreichste ist, sondern welche den besten Einstieg bei realistischem Budget bietet:
| Plattform | Stärken | Geeignet für |
|---|---|---|
| DataGuard | Starke DSGVO-Basis, KI-Act-Modul in Entwicklung, DACH-fokussiert | KMUs mit bestehender DSGVO-Lösung |
| OneTrust | Umfassendstes Produktportfolio, AI Governance Module vorhanden | Mittlere bis große Unternehmen |
| Usercentrics | Einsteigerfreundlich, Consent Management + DSGVO-Dokumentation | KMUs mit Website-Fokus |
| Eigene Dokumentation | Flexibel, günstig, erfordert mehr Eigeninitiative | KMUs mit minimalem KI-Einsatz |
Für Unternehmen, die KI in Eigenentwicklung einsetzen oder entwickeln lassen, ist eine Compliance-Plattform allein nicht ausreichend. Hier braucht es zusätzlich einen technischen Partner, der Audit-Trails, Logging und menschliche Aufsichtsmechanismen direkt in die Softwarearchitektur einbaut. Das ist keine nachträgliche Checkliste — es muss von Anfang an Teil des Designs sein.
5. Ihre 5-Schritte Compliance-Roadmap
Eine praxistaugliche Roadmap muss die Ressourcen eines KMUs berücksichtigen. Diese fünf Schritte sind so sequenziert, dass jeder auf dem vorherigen aufbaut und Quick Wins früh sichtbar werden:
- KI-Bestandsaufnahme: Inventarisieren Sie alle eingesetzten KI-Systeme — inklusive der zugekauften SaaS-Lösungen mit KI-Funktionen. Für jedes System: Welche Daten werden verarbeitet? Welche Entscheidungen trifft das System? Wer ist betroffen?
- Risikokategorisierung: Ordnen Sie jedes System den AI-Act-Kategorien zu. Hochriskante Systeme priorisieren — hier liegt der dringlichste Handlungsbedarf.
- DSFA und technische Dokumentation: Für hochriskante Systeme Datenschutz-Folgeabschätzung (DSGVO Art. 35) und technische Dokumentation nach AI-Act-Anforderungen erstellen.
- Technische Maßnahmen: Audit-Logging aktivieren, menschliche Aufsichtsmechanismen implementieren, Mitarbeiter schulen. Bei zugekauften Systemen: Nachweis vom Anbieter einfordern.
- Laufendes Monitoring: Compliance ist kein Projekt, sondern ein Prozess. Halbjährliche Reviews der KI-Inventarliste, Verfolgung regulatorischer Updates.
Sofortmaßnahme für heute: Erstellen Sie eine einfache Tabelle mit allen KI-Tools, die Ihr Unternehmen nutzt — von ChatGPT über das CRM bis zum Bewerbermanagementsystem. Für jedes Tool: Werden personenbezogene Daten verarbeitet? Trifft das System Entscheidungen, die Personen betreffen? Diese zwei Fragen zeigen Ihnen sofort, wo Compliance-Bedarf besteht.