Zum Hauptinhalt springen
← Alle Artikel
·Aktualisiert: ·6 Min. Lesezeit

EU AI Act und DSGVO: Was sich 2026 für Unternehmen ändert

Ab August 2026 gilt der EU AI Act vollständig. Zusammen mit der DSGVO entsteht ein doppelter Compliance-Rahmen. Was das für dein Unternehmen bedeutet.

AI ActDSGVOComplianceRegulierung

Was bedeutet der EU AI Act für Unternehmen ab 2026?

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz und tritt im August 2026 vollständig in Kraft. Er reguliert KI-Einsatz nach Risikoklassen -- von verbotenen Praktiken bis hin zu strengen Pflichten für Hochrisiko-Systeme im Personalwesen, bei Kreditprüfungen und in der Bildung. Zusammen mit der DSGVO entsteht ein doppelter Compliance-Rahmen, der fast jedes KI-System betrifft, das mit personenbezogenen Daten arbeitet.

Künstliche Intelligenz ist in deutschen Unternehmen angekommen, 36 Prozent nutzen sie bereits, Tendenz stark steigend. Gleichzeitig zieht die Regulierung nach, und zwar massiv. Ab August 2026 gilt der EU AI Act vollständig: Hochrisiko-Pflichten greifen, die Marktaufsicht wird aktiv, Bußgelder werden verhängt. Parallel verschärft sich die DSGVO-Durchsetzung.

Der AI Act ist das weltweit erste umfassende KI-Gesetz. Er reguliert nicht die Technologie selbst, sondern ihren Einsatz, abgestuft nach Risiko. Die ersten beiden Phasen sind bereits in Kraft: Seit Februar 2025 sind bestimmte KI-Praktiken verboten (Social Scoring, manipulative Techniken, biometrische Echtzeit-Identifizierung). Gleichzeitig müssen Unternehmen sicherstellen, dass alle Mitarbeiter, die KI-Systeme bedienen oder überwachen, über ausreichende KI-Kompetenz verfügen, nicht nur in der IT, sondern vom Vertrieb bis zur Buchhaltung. Seit August 2025 gelten Transparenzpflichten für Anbieter von Basismodellen wie GPT, Llama oder Mistral.

Der große Stichtag ist August 2026. Dann gelten die vollständigen Pflichten für Hochrisiko-KI-Systeme: KI im Personalwesen (Bewerberauswahl, Leistungsbewertung), bei Kreditwürdigkeitsprüfungen, in der Versicherungstarifierung, bei kritischer Infrastruktur und in der Bildung. Für diese Systeme gelten strenge Anforderungen an Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht und technische Dokumentation.

VerstoßMaximales Bußgeld
Verbotene KI-Praktiken35 Mio. EUR oder 7% des weltweiten Jahresumsatzes
Hochrisiko-Pflichten15 Mio. EUR oder 3% des Umsatzes
Falsche Angaben an Behörden7,5 Mio. EUR oder 1,5% des Umsatzes

Für KMU und Startups gelten reduzierte Obergrenzen, aber auch die können existenzbedrohend sein.

Der AI Act ersetzt die DSGVO nicht, er ergänzt sie. Und genau hier wird es komplex: Fast jedes KI-System, das mit Kunden-, Mitarbeiter- oder Geschäftsdaten arbeitet, fällt unter beide Regelwerke gleichzeitig. Wer KI-Systeme einsetzt, die personenbezogene Daten verarbeiten, muss in den meisten Fällen eine Datenschutz-Folgenabschätzung (DPIA) durchführen. Jedes KI-Modell, das mit personenbezogenen Daten gefüttert wird, braucht eine Rechtsgrundlage nach Artikel 6 DSGVO. Besonders heikel: wenn Mitarbeiter Kundendaten in Cloud-KI-Tools eingeben, findet eine Datenübermittlung an Dritte statt, oft ohne Rechtsgrundlage, ohne Dokumentation, ohne Wissen der Betroffenen.

Das Drittland-Problem verschärft die Lage. Cloud-KI-Dienste verarbeiten Daten überwiegend auf US-Servern -- lokale Alternativen umgehen dieses Problem. Das EU-US Data Privacy Framework steht auf wackligen Füßen. Das Privacy and Civil Liberties Oversight Board (PCLOB) wurde Anfang 2025 durch Entlassungen stark geschwächt, und ein „Schrems III"-Urteil gilt unter Datenschutzexperten als Frage des Wann, nicht des Ob. Gleichzeitig bleibt der US CLOUD Act in Kraft. Dass die DSGVO-Durchsetzung keine Theorie ist, zeigt die Entwicklung der Bußgelder.

Von 55 Millionen Euro im Jahr 2019 auf knapp 3 Milliarden im Rekordjahr 2022. Auch wenn die Zahlen zuletzt leicht zurückgegangen sind, das Niveau bleibt hoch, und mit dem AI Act kommt ein zweites Bußgeldregime hinzu, das kumulativ wirken kann.

Was ist Shadow AI und warum ist es ein Compliance-Risiko?

Shadow AI bezeichnet die unautorisierte Nutzung von KI-Tools durch Mitarbeiter -- etwa wenn Kundendaten in ChatGPT eingegeben oder Verträge in Cloud-KI-Dienste hochgeladen werden, ohne Wissen oder Genehmigung des Arbeitgebers. Mehr als die Hälfte aller Mitarbeiter nutzt bereits generative KI am Arbeitsplatz, ein erheblicher Teil davon ohne Freigabe. Jede dieser Aktionen ist potenziell eine DSGVO-Verletzung und macht das vom AI Act geforderte KI-Inventar unmöglich.

Während sich Rechtsabteilungen mit Compliance-Frameworks beschäftigen, hat sich in vielen Unternehmen längst eine Parallelwelt etabliert: Shadow AI. Laut Salesforce nutzen mehr als die Hälfte der Mitarbeiter generative KI-Tools am Arbeitsplatz, ein erheblicher Teil davon ohne Genehmigung oder Wissen des Arbeitgebers. Cyberhaven zeigt, dass der Anteil sensibler Unternehmensdaten in KI-Tools seit 2023 um das Dreifache gestiegen ist.

Nur 29 Prozent der Unternehmen sind sich sicher, dass keine unautorisierte KI-Nutzung stattfindet. 42 Prozent wissen es nicht genau oder vermuten Einzelfälle. Und 8 Prozent berichten von weit verbreiteter Shadow AI. Das ist ein Compliance-Blindflug.

Die Praxis sieht so aus: Mitarbeiter kopieren Kundendaten in ChatGPT, um E-Mails zu formulieren. Sie laden Verträge in Claude hoch, um Klauseln zusammenzufassen. Sie nutzen KI-gesteuerte Browser-Extensions, die Bildschirminhalte analysieren. Nicht aus Bosheit, sondern weil die Produktivitätsvorteile zu groß sind, um sie zu ignorieren.

Jede dieser Aktionen ist potenziell eine DSGVO-Verletzung. Personenbezogene Daten werden an Dritte übermittelt, ohne Rechtsgrundlage, ohne Verarbeitungsverzeichnis, ohne Information der Betroffenen. Laut dem IBM Cost of a Data Breach Report 2024 liegen die durchschnittlichen Kosten einer Datenschutzverletzung in Deutschland bei 4,9 Millionen US-Dollar, der dritthöchste Wert weltweit. Wenn KI-Tools beteiligt sind, steigen die Kosten nochmals signifikant.

Der AI Act verlangt ab 2026 ein KI-Inventar. Unternehmen müssen wissen, welche KI-Systeme sie einsetzen. Shadow AI macht genau das unmöglich.

Wie werden Unternehmen AI-Act- und DSGVO-konform?

Der Weg zur Compliance umfasst fünf Schritte: ein vollständiges KI-Inventar erstellen, jedes System nach den Risikoklassen des AI Acts bewerten, eine KI-Governance-Struktur aufsetzen, Mitarbeiter schulen und eine lückenlose Dokumentation aufbauen. Wer jetzt anfängt, hat genügend Vorlauf bis zum Stichtag im August 2026, und gewinnt dabei nicht nur Compliance, sondern auch Vertrauen bei Kunden und Partnern.

Die Anforderungen sind komplex, aber beherrschbar. Wer jetzt anfängt, hat genügend Vorlauf bis August 2026.

Der erste Schritt ist ein KI-Inventar: Erfasse alle KI-Systeme im Unternehmen: lizenzierte Software mit KI-Funktionen, Cloud-Dienste, Eigenentwicklungen und KI-Features in bestehenden Tools wie automatische Kategorisierung in E-Mail-Programmen. Auch die inoffiziell genutzten Tools gehören dazu.

Dann folgt die Risikobewertung. Klassifiziere jedes System nach den Risikoklassen des AI Acts (unannehmbares Risiko, hohes Risiko, begrenztes Risiko, minimales Risiko) und prüfe gleichzeitig die DSGVO-Konformität: Rechtsgrundlage, Verarbeitungsverzeichnis, DPIA-Bedarf.

Drittens: KI-Governance aufsetzen. Wer entscheidet über den Einsatz neuer KI-Tools? Wer ist für Compliance verantwortlich? Welche Tools sind erlaubt, welche verboten? Eine KI-Richtlinie muss kein 50-seitiges Dokument sein, aber sie muss existieren, kommuniziert werden und durchsetzbar sein.

Viertens: Mitarbeiter schulen. Der AI Act verlangt KI-Kompetenz (Artikel 4): Grundlagenschulungen für alle, spezifische Schulungen für KI-Anwender, klare Kommunikation der erlaubten Tools. 93 Prozent der Unternehmen erwarten laut Bitkom einen hohen Umsetzungsaufwand. Schulungen sind der effizienteste Hebel gegen Shadow AI.

Und fünftens: Dokumentation aufbauen. Verarbeitungsverzeichnis inklusive KI-Systeme, technische Dokumentation für Hochrisiko-Systeme, DPIAs für KI-Anwendungen, Protokolle über Entscheidungen und Vorfälle. Beginne mit dem, was da ist, und baue schrittweise aus. Ein lückenhaftes KI-Inventar ist besser als gar keins.

Fazit

56 Prozent der deutschen Unternehmen sehen den AI Act als Nachteil für die europäische Wirtschaft. Das ist verständlich, die Anforderungen sind real und der Aufwand ist hoch. Aber die Perspektive ist zu eng. Unternehmen, die ihre KI-Nutzung sauber dokumentieren, Risiken bewerten und Mitarbeiter schulen, gewinnen nicht nur Compliance. Sie gewinnen Vertrauen: bei Kunden, bei Partnern, bei Mitarbeitern.

Die Regulierung zwingt Unternehmen, das zu tun, was sie ohnehin tun sollten: bewusst mit KI umgehen. Wer das als Bürokratie betrachtet, verpasst die Chance. Wer es als Qualitätsmerkmal begreift, hat einen Wettbewerbsvorteil.

Das Zeitfenster ist offen. Der AI Act tritt im August 2026 vollständig in Kraft. Wer jetzt anfängt, hat genügend Vorlauf. Wer wartet, wird es eilig haben.

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die Umsetzung der genannten Anforderungen solltest du qualifizierte Rechtsberatung hinzuziehen.

Quellen

  1. Bitkom: Deutsche Wirtschaft kommt bei KI voran (2025)
  2. EU AI Act, Volltext und Erläuterungen
  3. DSGVO Enforcement Tracker
  4. DSGVO Art. 35, Datenschutz-Folgenabschätzung
  5. Europaparlament: EU-US-Datentransfers nach Schrems II
  6. PCLOB, Privacy and Civil Liberties Oversight Board
  7. Salesforce: AI at Work Research
  8. Cyberhaven: Shadow AI Report
  9. IBM Cost of a Data Breach Report 2024
  10. Bitkom: AI Act, Unternehmen sehen hohen Umsetzungsaufwand (2025)

Du möchtest KI in deinem Unternehmen einsetzen, ohne Cloud und ohne Abo? Schreib uns oder erfahre mehr über das Arasul KI-Betriebssystem.