EU AI Act und DSGVO: KI-Compliance im DACH-Mittelstand jetzt gestalten

Die Integration Künstlicher Intelligenz (KI) in Unternehmensprozesse ist für den Mittelstand im DACH-Raum längst keine Zukunftsmusik mehr, sondern eine strategische Notwendigkeit. Doch während die Begeisterung für neue Tools und Effizienzgewinne wächst, rückt ein Thema verstärkt in den Fokus: Die rechtliche Absicherung des KI-Einsatzes. Die Nachrichten der letzten Tage unterstreichen die Dringlichkeit: Der EU AI Act ist keine ferne Regulierung, sondern eine unmittelbar wirksame Rechtsgrundlage, die in Kombination mit der Datenschutz-Grundverordnung (DSGVO) den Rahmen für jede KI-Anwendung vorgibt. Für Unternehmen bedeutet dies, dass sie sich nicht nur mit der Technologie selbst, sondern vor allem mit den daraus resultierenden Datenschutz- und Compliance-Anforderungen auseinandersetzen müssen. Wer jetzt handelt, schafft nicht nur Rechtssicherheit, sondern stärkt auch das Vertrauen von Kunden und Mitarbeitenden, ein entscheidender Wettbewerbsfaktor.

EU AI Act und DSGVO: Das komplexe Zusammenspiel

Der EU AI Act, der seit dem 1. August 2024 phasenweise in Kraft tritt, markiert einen globalen Meilenstein. Er ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Sein übergeordnetes Ziel ist es, vertrauenswürdige KI-Innovationen in Europa zu fördern und potenzielle Risiken frühzeitig zu adressieren. Für Unternehmen in Deutschland, Österreich und der Schweiz bedeutet dies eine neue Dimension der Verantwortung. Die IHK München betont zu Recht, dass die EU-Mitgliedstaaten nun verpflichtet sind, den AI Act in nationales Recht zu überführen. Unternehmen sollten sich daher bereits jetzt aktiv auf die Implementierung vorbereiten, da die Übergangsfristen vergleichsweise kurz sind und die ersten Verpflichtungen bereits gelten.

Eine zentrale Erkenntnis ist, dass der AI Act die DSGVO nicht ersetzt, sondern beide Regelwerke parallel Gültigkeit besitzen. Dies ist ein entscheidender Punkt für jede KI-Anwendung, die personenbezogene Daten verarbeitet. Sobald ein KI-System auf Daten wie Bewerberinformationen, Mitarbeiterstammdaten, Kundendaten aus Chatbots oder sensible Gesundheitsdaten im betrieblichen Gesundheitsmanagement zugreift, müssen die Unternehmen weiterhin sämtliche datenschutzrechtlichen Vorgaben der DSGVO einhalten. Hier identifiziert Anwalt.de die aktuell größten Haftungs- und Compliance-Risiken. Jede Nutzung solcher Systeme stellt eine Datenverarbeitung dar, die einer klar definierten rechtlichen Grundlage bedarf. Zudem sind technische und organisatorische Maßnahmen zur Datensicherheit zwingend erforderlich, um Verstöße zu verhindern und die Rechte der betroffenen Personen zu wahren. Die Komplexität steigt, wenn man bedenkt, dass viele KI-Systeme über Cloud-Dienste betrieben werden, deren Serverstandorte und Datenverarbeitungspraktiken ebenfalls den rechtlichen Anforderungen genügen müssen. Eine sorgfältige Prüfung der Datenflüsse und der Verträge mit KI-Anbietern ist somit unerlässlich.

Konkrete Fristen und Pflichten: Was jetzt zu tun ist

Die Umsetzung des EU AI Acts erfolgt in mehreren Phasen, die konkrete Handlungsaufforderungen an DACH-Unternehmen stellen. Es ist wichtig, diese Deadlines nicht als abstrakte Vorgaben, sondern als operative Meilensteine zu verstehen:

* Seit dem 2. Februar 2025: Einige Regelungen sind bereits wirksam. Unternehmen sind verpflichtet, die Nutzung von sogenannten verbotenen KI-Systemen unverzüglich einzustellen. Dies erfordert eine genaue Kenntnis der eigenen KI-Landschaft. Gleichzeitig ist eine weitere, unmittelbare Pflicht in Kraft getreten: Arbeitgeber müssen ihre Mitarbeiter nachweislich über die im Unternehmen eingesetzten KI-Systeme schulen und ihnen die erforderlichen Kompetenzen und Kenntnisse vermitteln. Dies betrifft nicht nur die IT-Abteilung, sondern alle Mitarbeitenden, die mit KI-Anwendungen in Berührung kommen. Die Vermittlung von KI-Kompetenzen ist somit ein direkter und unumgänglicher Bestandteil der Personalentwicklung und des Change Managements.

* Ab dem 2. August 2025: Ab diesem Zeitpunkt treten erweiterte Dokumentations- und Informationspflichten für Anbieter von KI-Systemen mit allgemeinem Verwendungszweck (GPAI) in Kraft. Hierbei ist zu beachten, dass nicht nur die ursprünglichen Entwickler, sondern auch Unternehmen als Anbieter gelten können, wenn sie ein KI-System unter eigenem Namen oder einer eigenen Handelsmarke in Betrieb nehmen oder wesentlich modifizieren. Zudem werden die Strafbestimmungen bezüglich des Einsatzes von verbotenen KI-Systemen wirksam. Dies erhöht den Druck auf Unternehmen, ihre Systeme zu überprüfen und bei Bedarf anzupassen. Die IHK Köln empfiehlt daher dringend, eine umfassende Bestandsaufnahme der eingesetzten KI-Systeme durchzuführen und deren Risikostufe sowie die eigene Rolle gemäß der KI-Verordnung zu definieren.

* Ab dem 2. August 2026: Die übrigen Verpflichtungen des AI Acts werden dann bindend. Dazu gehören insbesondere die Transparenzpflichten für generative KI-Systeme. Betreiber müssen beispielsweise verpflichtend darauf hinweisen, wenn Inhalte wie Texte oder Bilder mit KI generiert wurden. Dies fördert die Nachvollziehbarkeit und das Vertrauen der Nutzer. Unternehmen müssen sich also darauf einstellen, ihre internen Prozesse und externen Kommunikationsstrategien entsprechend anzupassen.

Diese Fristen verlangen von Unternehmen eine proaktive und strategische Auseinandersetzung mit ihren bestehenden und geplanten KI-Anwendungen. Insbesondere für Hochrisiko-KI-Systeme, etwa im Personalwesen oder bei kritischen Infrastrukturen, sind strenge Auflagen wie detaillierte Risikobewertungen, Konformitätsbewertungsverfahren und Überwachungsmechanismen zu erfüllen. Eine frühzeitige Implementierung dieser Prozesse ist entscheidend, um Bußgelder und Reputationsschäden zu vermeiden.

Die Gefahr der "Schatten-KI" und das DSGVO-Dilemma

Ein erhebliches Problem, das sich im Unternehmensalltag bereits manifestiert hat und durch die neuen Regularien noch verschärft wird, ist die sogenannte "Schatten-KI" (Shadow AI). Viele Mitarbeitende nutzen frei verfügbare KI-Tools wie ChatGPT oder andere generative Modelle im Arbeitskontext. Oft geschieht dies unbedacht. Dabei werden vertrauliche Informationen wie Kundendaten, interne E-Mails, Entwürfe von Geschäftsstrategien oder sensible Unternehmensdokumente in öffentliche KI-Systeme eingegeben. Diese Anwendungen verarbeiten in der Regel große Datenmengen, lernen aus den Eingaben und speichern diese oft dauerhaft. Dies stellt ein massives Datenschutzrisiko dar, da Unternehmensgeheimnisse und personenbezogene Daten unkontrolliert an Dritte gelangen können. Ein solcher Datenabfluss kann nicht nur zu schweren Wettbewerbsnachteilen führen, sondern auch hohe Bußgelder nach der DSGVO nach sich ziehen.

Das DSGVO-Dilemma wird besonders deutlich bei der Nutzung von US-amerikanischen KI-Anbietern. Viele dieser Anbieter unterliegen dem US CLOUD Act. Dieser ermöglicht den US-Behörden unter bestimmten Umständen den Zugriff auf Daten, die von US-Unternehmen gespeichert werden, auch wenn diese Daten physisch außerhalb der USA liegen. Für europäische Unternehmen, die personenbezogene Daten verarbeiten, ist dies ein erhebliches Compliance-Risiko. Es kann dazu führen, dass die notwendigen Garantien für ein angemessenes Datenschutzniveau, wie sie die DSGVO vorschreibt, nicht mehr gegeben sind. Unternehmen sind daher gut beraten, den Einsatz von Public-Domain-KI-Tools ohne entsprechende Verträge, technische Sicherheitsmaßnahmen und Hosting-Optionen mit europäischem Datenstandort kritisch zu hinterfragen und gegebenenfalls Alternativen zu prüfen. Europäische Lösungen mit EU-Hosting bieten hier eine datenschutzkonforme Alternative, da sie den Zugriff durch ausländische Behörden nach dem US CLOUD Act erschweren oder ausschliessen können.

Um die Ausbreitung der "Schatten-KI" einzudämmen und Compliance-Risiken zu minimieren, ist es unerlässlich, klare und verbindliche Richtlinien für den KI-Einsatz im Unternehmen festzulegen. Diese Richtlinien müssen von der Geschäftsleitung getragen und konsequent kommuniziert werden. Eine regelmäßige und praxisnahe Schulung der Mitarbeitenden ist dabei von entscheidender Bedeutung. Es geht nicht darum, den Einsatz von KI zu verbieten, sondern ihn in kontrollierte, sichere Bahnen zu lenken. Unternehmen, die jetzt proaktiv handeln, schaffen nicht nur Rechtssicherheit, sondern stärken auch das Vertrauen von Kunden, Partnern und Mitarbeitenden. Die Hanseatic Datenschutz hebt hervor, dass Datenschutz im Kontext von KI ein strategischer Erfolgsfaktor ist, der die Reputation und langfristige Wettbewerbsfähigkeit maßgeblich beeinflusst.

Herausforderungen in der HR-Abteilung: Tempo und Kompetenz

Die Personalabteilungen (HR) sind von den aktuellen Entwicklungen im Bereich KI und Regulierung in besonderem Maße betroffen. Sie stehen vor der doppelten Herausforderung, einerseits die Potenziale von KI zur Effizienzsteigerung zu nutzen und andererseits die rechtlichen Rahmenbedingungen strikt einzuhalten. Eine aktuelle Studie der Boston Consulting Group (BCG) und der World Federation of People Management Associations (WFPMA) unterstreicht dies. Sie zeigt, dass bereits rund 74 Prozent der deutschen HR-Abteilungen generative KI-Tools einsetzen. Die erhofften Effizienzgewinne bleiben jedoch oft aus.

Als Hauptbremsen für eine erfolgreiche KI-Integration in HR werden in Deutschland vor allem Datenschutzanforderungen (61 Prozent der Befragten in Deutschland im Vergleich zu 51 Prozent global) und regulatorische Unsicherheiten (49 Prozent in Deutschland im Vergleich zu 22 Prozent global) genannt. Diese Zahlen verdeutlichen die besondere Sensibilität und die hohen Hürden, die im DACH-Raum wahrgenommen werden. Es ist offensichtlich, dass die Angst vor rechtlichen Konsequenzen die Innovationsbereitschaft hemmt und die Transformation verzögert.

Die Studie fordert von HR-Abteilungen mehr Tempo bei der Einführung digitaler Technologien, um die KI-Transformation erfolgreich zu gestalten. Dies beinhaltet nicht nur die Beschaffung neuer Tools, sondern vor allem den Aufbau zukunftsorientierter Kompetenzen. Mitarbeitende und Führungskräfte müssen gezielt weiterqualifiziert werden, um die für die Zukunft relevanten Fähigkeiten im Umgang mit KI zu entwickeln. Das Thema der KI-Kompetenzvermittlung, das der AI Act ab Februar 2025 vorschreibt, ist somit eine zentrale Aufgabe für die HR-Bereiche. Es geht darum, eine Kultur der verantwortungsvollen KI-Nutzung zu etablieren, in der Mitarbeitende die Funktionsweise, die Potenziale und die Grenzen von KI-Systemen verstehen. Nur so kann die Produktivität gesteigert und gleichzeitig die Einhaltung von Datenschutz und Compliance sichergestellt werden. HR-Abteilungen müssen sich als Treiber dieser Veränderung verstehen und proaktiv Strategien zur Kompetenzentwicklung und zur Implementierung rechtskonformer KI-Lösungen erarbeiten.

Praktische Handlungsempfehlungen für Unternehmen

Die fortschreitende Umsetzung des EU AI Acts und die damit verbundenen Anforderungen an Datenschutz und Compliance sind für DACH-Unternehmen keine Option, sondern eine Pflicht. Um die Risiken zu minimieren und gleichzeitig die Chancen der KI zu nutzen, empfehlen wir die folgenden konkreten Schritte:

1. Umfassende Bestandsaufnahme und Risikobewertung: Identifizieren Sie alle derzeit im Unternehmen eingesetzten und geplanten KI-Systeme. Klassifizieren Sie diese nach den Kriterien des AI Acts, zum Beispiel als Minimal-, Begrenzt- oder Hochrisiko-Systeme. Eine solche Analyse ist die Grundlage für alle weiteren Maßnahmen. 2. Etablierung eines Compliance-Managements: Entwickeln Sie für Hochrisiko-KI-Systeme detaillierte technische Dokumentationen. Implementieren Sie robuste Risikomanagement- und Compliance-Maßnahmen, einschließlich interner Kontrollen und Überwachungsprozesse. Überprüfen Sie regelmäßig, ob diese Maßnahmen den neuesten rechtlichen Anforderungen entsprechen. 3. Datenschutz als Kernanliegen verankern: Stellen Sie sicher, dass jede KI-Anwendung im Unternehmen die Anforderungen der DSGVO erfüllt. Dies gilt insbesondere für die Verarbeitung personenbezogener Daten. Verzichten Sie auf den Einsatz von Public-Domain-KI-Tools ohne vorherige rechtliche Prüfung, gesicherte Verträge und entsprechende Sicherheitsvorkehrungen. Prüfen Sie aktiv europäische Lösungen mit EU-Hosting als datenschutzkonforme Alternativen. 4. Klare Richtlinien und kontinuierliche Mitarbeiterschulung: Erarbeiten Sie verbindliche Unternehmensrichtlinien für den ethischen und rechtskonformen Einsatz von KI. Implementieren Sie regelmäßige und praxisorientierte Schulungsprogramme für alle Mitarbeitenden. Dies ist entscheidend, um die Entstehung von "Schatten-KI" zu verhindern und eine kompetente, verantwortungsbewusste Nutzung von KI zu gewährleisten. 5. Entwicklung einer ganzheitlichen KI-Strategie: Begreifen Sie die KI-Transformation als eine Querschnittsaufgabe, die nicht auf einzelne Abteilungen beschränkt ist. Eine klare, von der Geschäftsleitung getragene KI-Strategie ist unerlässlich, um die Potenziale von KI voll auszuschöpfen und gleichzeitig alle rechtlichen und ethischen Fallstricke zu umschiffen. Integrieren Sie Datenschutz und Compliance von Anfang an in den Strategieprozess (Privacy by Design).

Kritische Einordnung aus Kapitel-H-Sicht

Die aktuellen Entwicklungen zeigen, dass der Fokus im DACH-Mittelstand sich von der reinen Euphorie für KI-Tools hin zu einer pragmatischen Auseinandersetzung mit den Rahmenbedingungen verschieben muss. Bei Kapitel H sehen wir oft, dass Unternehmen zwar KI-Projekte starten, die notwendige strategische Verankerung und rechtliche Prüfung jedoch zu kurz kommen. Das Ergebnis sind Projekte, die aufgrund von Compliance-Bedenken stagnieren oder im schlimmsten Fall zu kostspieligen Rechtsstreitigkeiten führen.

Die Verpflichtung zur Schulung der Mitarbeitenden ab Februar 2025 ist ein klares Signal des Gesetzgebers: Empowerment statt blindem Vertrauen. Es reicht nicht aus, einfach generische KI-Tools zu abonnieren. Unternehmen müssen verstehen, wie diese Tools funktionieren, welche Daten sie verarbeiten und welche Risiken damit verbunden sind. Dies erfordert interne Expertise oder die Zusammenarbeit mit unabhängigen Beratern, die eine objektive Einschätzung liefern. Wir plädieren für eine Befähigung der Organisation, nicht für eine Abhängigkeit von externen Anbietern, deren Produkte oft nicht auf die spezifischen DACH-Anforderungen zugeschnitten sind.

Die "Schatten-KI" ist ein Symptom einer fehlenden oder unzureichenden internen Strategie. Statt Verbote auszusprechen, die in der Praxis kaum durchsetzbar sind, sollten Unternehmen sichere, datenschutzkonforme Alternativen anbieten und die Mitarbeitenden aktiv in den Prozess einbinden. Eine transparente Kommunikation über die Risiken und die Bereitstellung sicherer Tools sind hierbei entscheidend. Nur wer proaktiv agiert und Compliance als strategischen Wert begreift, kann die Vorteile der KI nutzen, ohne die Integrität des Unternehmens zu gefährden.

Fazit: Jetzt handeln, Vertrauen schaffen, Wettbewerbsfähigkeit sichern

Der EU AI Act in Verbindung mit der DSGVO schafft einen neuen und verbindlichen Rahmen für den Einsatz Künstlicher Intelligenz. Für DACH-Unternehmen ist dies eine Phase der Transformation, die weit über technische Implementierungen hinausgeht. Die unmittelbaren Fristen und Pflichten, insbesondere die bereits gültige Schulungspflicht und die Risikobewertung von KI-Systemen, erfordern schnelles und zielgerichtetes Handeln. Wer jetzt eine systematische Bestandsaufnahme vornimmt, klare Richtlinien etabliert und seine Mitarbeiter proaktiv schult, minimiert nicht nur erhebliche rechtliche und finanzielle Risiken. Vielmehr positioniert er sich als vertrauenswürdiger Akteur in einer zunehmend datengetriebenen Wirtschaft. Der bewusste Umgang mit KI und Daten wird zu einem entscheidenden Wettbewerbsvorteil, der das Vertrauen von Kunden, Partnern und Mitarbeitenden langfristig sichert und die Zukunftsfähigkeit des Unternehmens gewährleistet. Beginnen Sie heute mit der Gestaltung Ihrer rechtskonformen KI-Strategie.