17. Februar 2026·7 min read

EU AI Act und DSGVO: Was sich 2026 für Unternehmen ändert

Ab August 2026 gilt der EU AI Act vollständig. Zusammen mit der DSGVO entsteht ein doppelter Compliance-Rahmen. Was das für dein Unternehmen bedeutet.

AI ActDSGVOComplianceRegulierung

Warum 2026 das Jahr der KI-Regulierung ist

Künstliche Intelligenz ist in deutschen Unternehmen angekommen. 36 Prozent nutzen sie bereits, Tendenz stark steigend. Gleichzeitig zieht die Regulierung nach, und zwar massiv.

Ab August 2026 gilt der EU AI Act vollständig. Die Hochrisiko-Pflichten greifen, die Marktaufsicht wird aktiv, Bußgelder werden verhängt. Parallel dazu verschärft sich die DSGVO-Durchsetzung: Allein 2024 wurden in Europa Bußgelder in Höhe von 2,1 Milliarden Euro verhängt, ein Plus von über 30 Prozent gegenüber dem Vorjahr.

Für Unternehmen bedeutet das: Wer KI einsetzt, steht ab 2026 vor einem doppelten Compliance-Rahmen. Und wer KI noch nicht einsetzt, muss trotzdem verstehen, was auf ihn zukommt. Denn die Pflichten gelten nicht erst beim Einsatz eigener KI-Systeme. Sie betreffen auch eingekaufte Tools, Cloud-Dienste und die Nutzung durch Mitarbeiter.

Der EU AI Act im Überblick

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Er reguliert nicht die Technologie selbst, sondern ihren Einsatz, abgestuft nach Risiko.

Februar 2025: Verbote und KI-Kompetenzpflicht

Seit Februar 2025 sind bestimmte KI-Praktiken verboten. Dazu gehören Social Scoring, manipulative Techniken und, mit Ausnahmen für Strafverfolgung, biometrische Echtzeit-Identifizierung im öffentlichen Raum. Gleichzeitig müssen Unternehmen sicherstellen, dass Mitarbeiter, die KI-Systeme bedienen oder überwachen, über ausreichende KI-Kompetenz verfügen (Artikel 4). Das betrifft nicht nur IT-Abteilungen, sondern alle, die mit KI arbeiten, vom Vertrieb bis zur Buchhaltung.

August 2025: GPAI-Regeln

Ab August 2025 gelten Transparenzpflichten für Anbieter von General-Purpose AI (GPAI), also Basismodelle wie GPT, Llama oder Mistral. Wer solche Modelle in der EU anbietet, muss technische Dokumentation bereitstellen, Urheberrechtsrichtlinien einhalten und bei Modellen mit systemischem Risiko zusätzliche Sicherheitsbewertungen durchführen.

August 2026: Hochrisiko-Pflichten und volle Durchsetzung

Der große Stichtag. Ab August 2026 gelten die vollständigen Pflichten für Hochrisiko-KI-Systeme. Das betrifft KI in Bereichen wie Personalwesen (Bewerberauswahl, Leistungsbewertung), Kreditwürdigkeit, Versicherungstarifierung, kritische Infrastruktur und Bildung. Für diese Systeme gelten strenge Anforderungen an Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht und technische Dokumentation.

Der AI Act sieht abgestufte Bußgelder vor:

Verstoß	Maximales Bußgeld
Verbotene KI-Praktiken	35 Mio. EUR oder 7% des weltweiten Jahresumsatzes
Hochrisiko-Pflichten	15 Mio. EUR oder 3% des Umsatzes
Falsche Angaben an Behörden	7,5 Mio. EUR oder 1,5% des Umsatzes

Für KMU und Startups gelten reduzierte Obergrenzen, aber auch die können existenzbedrohend sein.

DSGVO trifft KI: Der doppelte Compliance-Rahmen

Der AI Act ersetzt die DSGVO nicht, er ergänzt sie. Und genau hier wird es für Unternehmen komplex. Denn fast jedes KI-System, das mit Kunden-, Mitarbeiter- oder Geschäftsdaten arbeitet, fällt unter beide Regelwerke gleichzeitig.

Datenschutz-Folgenabschätzung wird Pflicht

Wer KI-Systeme einsetzt, die personenbezogene Daten verarbeiten, muss in den meisten Fällen eine Datenschutz-Folgenabschätzung (DPIA) durchführen, so verlangt es Artikel 35 der DSGVO. Der AI Act verstärkt diese Pflicht: Für Hochrisiko-Systeme wird die DPIA faktisch zum Standard.

Rechtsgrundlage für KI-Training

Jedes KI-Modell, das mit personenbezogenen Daten trainiert oder gefüttert wird, braucht eine Rechtsgrundlage nach Artikel 6 DSGVO. Einwilligung, berechtigtes Interesse, Vertragsdurchführung: Die Wahl der Rechtsgrundlage hat weitreichende Konsequenzen. Besonders heikel ist es, wenn Mitarbeiter Kundendaten in Cloud-KI-Tools eingeben. Dann findet eine Datenübermittlung an Dritte statt, oft ohne Rechtsgrundlage, ohne Dokumentation, ohne Wissen der Betroffenen.

Das Drittland-Problem

Cloud-KI-Dienste wie ChatGPT, Google Gemini oder Claude verarbeiten Daten überwiegend auf Servern in den USA. Seit dem Schrems-II-Urteil des EuGH steht die Datenübermittlung in die USA unter verschärfter Beobachtung.

Das EU-US Data Privacy Framework (DPF) von 2023 sollte Abhilfe schaffen. Doch seine Zukunft ist ungewiss: Das Privacy and Civil Liberties Oversight Board (PCLOB), eine Schlüsselkomponente des Frameworks, wurde Anfang 2025 durch Entlassungen stark geschwächt. Datenschutzexperten warnen, dass ein „Schrems III"-Urteil nur eine Frage der Zeit sein könnte.

Gleichzeitig bleibt der US CLOUD Act in Kraft, der US-Behörden Zugriff auf Daten ermöglichen kann, die von US-Unternehmen gespeichert werden, auch wenn die Server in Europa stehen. Für Unternehmen, die mit sensiblen Daten arbeiten, ist das ein reales Risiko.

Regelwerk	Max. Bußgeld	Fokus
DSGVO	20 Mio. EUR oder 4% des Umsatzes	Personenbezogene Daten
AI Act	35 Mio. EUR oder 7% des Umsatzes	KI-Systeme nach Risikoklasse
Beide zusammen	Kumulativ möglich	Datenverarbeitung durch KI

Shadow AI: Das unsichtbare Risiko

Während sich Rechtsabteilungen mit Compliance-Frameworks beschäftigen, hat sich in vielen Unternehmen längst eine Parallelwelt etabliert: Shadow AI.

Die Zahlen sind eindeutig. Laut einer Studie von Salesforce nutzen mehr als die Hälfte der Mitarbeiter generative KI-Tools am Arbeitsplatz, ein erheblicher Teil davon ohne Genehmigung oder Wissen des Arbeitgebers. Untersuchungen von Cyberhaven zeigen, dass der Anteil sensibler Unternehmensdaten, die in KI-Tools eingegeben werden, seit 2023 um das Dreifache gestiegen ist.

Mitarbeiter kopieren Kundendaten in ChatGPT, um E-Mails zu formulieren. Sie laden Verträge in Claude hoch, um Klauseln zusammenzufassen. Sie nutzen KI-gesteuerte Browser-Extensions, die Bildschirminhalte analysieren. Nicht aus Bosheit, sondern weil die Produktivitätsvorteile zu groß sind, um sie zu ignorieren.

Das Problem: Jede dieser Aktionen ist potenziell eine DSGVO-Verletzung. Personenbezogene Daten werden an Dritte übermittelt, ohne Rechtsgrundlage, ohne Verarbeitungsverzeichnis, ohne Information der Betroffenen.

Shadow AI ist nicht nur ein Compliance-Risiko, sondern auch ein finanzielles. Laut dem IBM Cost of a Data Breach Report 2024 liegen die durchschnittlichen Kosten einer Datenschutzverletzung in Deutschland bei 4,9 Millionen US-Dollar, der dritthöchste Wert weltweit. Wenn KI-Tools an der Verletzung beteiligt sind, steigen die Kosten nochmals signifikant, da neben den direkten Schäden auch Bußgelder, Reputationsverlust und Kundenabwanderung hinzukommen.

Dazu kommt: Der AI Act verlangt ab 2026 ein KI-Inventar. Unternehmen müssen wissen, welche KI-Systeme sie einsetzen. Shadow AI macht genau das unmöglich.

Was Unternehmen jetzt tun müssen

Die gute Nachricht: Die Anforderungen sind komplex, aber beherrschbar. Wer jetzt anfängt, hat genügend Vorlauf bis August 2026.

1. KI-Inventar erstellen

Erfasse alle KI-Systeme, die im Unternehmen eingesetzt werden, offiziell und inoffiziell. Dazu gehören lizenzierte Software mit KI-Funktionen (CRM, ERP, Office-Tools), Cloud-KI-Dienste (ChatGPT, Copilot, Gemini), Eigenentwicklungen und Automatisierungen sowie KI-Features in bestehenden Tools wie automatische Kategorisierung in E-Mail-Programmen.

2. Risikobewertung durchführen

Klassifiziere jedes KI-System nach den Risikoklassen des AI Acts: unannehmbares Risiko (verboten), hohes Risiko (strenge Pflichten), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (keine besonderen Pflichten). Prüfe gleichzeitig für jedes System die DSGVO-Konformität, also Rechtsgrundlage, Verarbeitungsverzeichnis und ob eine DPIA erforderlich ist.

3. KI-Governance aufsetzen

Definiere klare Verantwortlichkeiten: Wer entscheidet über den Einsatz neuer KI-Tools? Wer ist für die Compliance verantwortlich? Welche KI-Tools sind erlaubt, welche verboten? Eine KI-Richtlinie muss kein 50-seitiges Dokument sein. Aber sie muss existieren, kommuniziert werden und durchsetzbar sein.

4. Mitarbeiter schulen

Der AI Act verlangt KI-Kompetenz (Artikel 4). Das bedeutet konkret: Grundlagenschulungen zu KI-Chancen und -Risiken für alle Mitarbeiter, spezifische Schulungen für KI-Anwender und -Verantwortliche, klare Kommunikation der KI-Richtlinie und erlaubten Tools sowie regelmäßige Updates bei neuen Entwicklungen. 93 Prozent der Unternehmen erwarten laut Bitkom einen hohen Umsetzungsaufwand für den AI Act. Schulungen sind der effizienteste Hebel, um Shadow AI einzudämmen und Compliance sicherzustellen.

5. Dokumentation aufbauen

Sowohl die DSGVO als auch der AI Act verlangen umfassende Dokumentation: Verarbeitungsverzeichnis (DSGVO Art. 30) inklusive KI-Systeme, technische Dokumentation für Hochrisiko-Systeme (AI Act), Datenschutz-Folgenabschätzungen für KI-Anwendungen und Protokolle über Entscheidungen, Vorfälle und Maßnahmen. Beginne mit dem, was da ist, und baue schrittweise aus. Ein lückenhaftes KI-Inventar ist besser als gar keins.

Fazit: Regulierung als Qualitätsmerkmal

56 Prozent der deutschen Unternehmen sehen den AI Act als Nachteil für die europäische Wirtschaft. Das ist verständlich, die Anforderungen sind real und der Aufwand ist hoch.

Aber die Perspektive ist zu eng. Unternehmen, die ihre KI-Nutzung sauber dokumentieren, Risiken bewerten und Mitarbeiter schulen, gewinnen nicht nur Compliance. Sie gewinnen Vertrauen. Bei Kunden, bei Partnern, bei Mitarbeitern.

Die Regulierung zwingt Unternehmen, das zu tun, was sie ohnehin tun sollten: bewusst mit KI umgehen. Wer das als Bürokratie betrachtet, verpasst die Chance. Wer es als Qualitätsmerkmal begreift, hat einen Wettbewerbsvorteil.

Das Zeitfenster ist offen. Der AI Act tritt im August 2026 vollständig in Kraft. Wer jetzt anfängt, hat genügend Vorlauf. Wer wartet, wird es eilig haben.

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die Umsetzung der genannten Anforderungen solltest du qualifizierte Rechtsberatung hinzuziehen.