Zum Inhalt

Compliance

KI-Compliance: AI Act und Datenschutz

Der rechtliche Rahmen nimmt Gestalt an

KI-Tools sind keine rechtsfreie Zone mehr. Mit dem EU AI Act hat die Europäische Union weltweit das erste umfassende KI-Gesetz verabschiedet – in Kraft seit August 2024, mit einem gestaffelten Zeitplan für die Umsetzung. Gleichzeitig gilt die DSGVO weiterhin und greift immer dann, wenn KI-Systeme personenbezogene Daten verarbeiten. Für Selbständige entsteht daraus ein Compliance-Rahmen, den es zu verstehen lohnt – auch wenn viele der Pflichten primär Hersteller und Anbieter treffen, nicht Nutzer.

Dieser Abschnitt gibt dir einen praxisorientierten Überblick: Was gilt wann? Was betrifft dich als Nutzer? Und wo liegen die Berührungspunkte mit dem Datenschutz, den wir in den vorigen Abschnitten bereits besprochen haben?

Der EU AI Act: Ein Gesetz in vier Risikoklassen

Der AI Act reguliert KI-Systeme nach dem Risiko, das sie für Menschen darstellen. Je höher das Risiko, desto strenger die Anforderungen. Das Modell kennt vier Stufen:

Verbotene KI-Praktiken – Diese Anwendungen sind ab Februar 2025 vollständig untersagt. Dazu gehören: KI-Systeme, die Menschen durch unterschwellige Techniken manipulieren, ohne dass sie es merken; Systeme, die Schwächen bestimmter Personengruppen ausnutzen (etwa Kinder oder Menschen mit Behinderungen); soziale Bewertungssysteme (Social Scoring) durch staatliche Stellen; und – mit engen Ausnahmen – biometrische Echtzeit-Überwachung im öffentlichen Raum. Für Selbständige ist diese Kategorie vor allem als Orientierung relevant: Wer KI-Tools einsetzt, die in diese Kategorie fallen könnten, bewegt sich in illegalem Terrain.

Hochrisiko-KI – Hier sind die Anforderungen am strengsten. Hochrisiko-Anwendungen sind solche, die in sensiblen Bereichen eingesetzt werden: Bewerbungsverfahren und Personalentscheidungen, Kreditvergabe, medizinische Diagnose, Bildung, kritische Infrastruktur, Strafverfolgung. Wer solche Systeme betreibt oder in seine Prozesse integriert, muss umfangreiche Dokumentations-, Transparenz- und Aufsichtspflichten erfüllen. Als Selbständiger bist du hier vor allem dann betroffen, wenn du KI-gestützte Entscheidungen über Menschen triffst – etwa bei der Auswahl von Bewerbern oder der Bonitätsprüfung von Kunden.

KI mit spezifischen Transparenzpflichten – Diese Kategorie betrifft Systeme, bei denen Menschen wissen müssen, dass sie mit einer KI interagieren. Chatbots müssen sich als solche zu erkennen geben. KI-generierte Bilder, Videos und Audioinhalte müssen als solche gekennzeichnet werden – insbesondere Deepfakes. Diese Pflicht trifft auch Selbständige direkt: Wer KI-generierten Content veröffentlicht, der Menschen täuschen könnte, muss ihn kennzeichnen.

Minimales Risiko – Die große Mehrheit der KI-Anwendungen, die Selbständige im Alltag nutzen – Textgeneratoren, Übersetzungstools, Bildbearbeitung, Produktivitätsassistenten – fällt in diese Kategorie. Hier gibt es keine spezifischen gesetzlichen Pflichten über die allgemeinen Anforderungen hinaus.

GPAI: Was gilt für ChatGPT, Claude und Co.?

Eine eigene Kategorie im AI Act sind sogenannte General Purpose AI Models (GPAI) – also Modelle, die für eine Vielzahl von Aufgaben eingesetzt werden können. Das trifft auf alle großen Sprachmodelle zu: GPT-4, Claude, Gemini, Llama und ähnliche.

Für GPAI-Modelle mit besonders großer Reichweite und Leistungsfähigkeit – der AI Act spricht von Modellen, die mit mehr als 10^25 FLOPS trainiert wurden – gelten zusätzliche Pflichten für die Anbieter: Transparenz über Trainingsdaten, Einhaltung des Urheberrechts, Veröffentlichung technischer Dokumentation, Meldepflichten bei systemischen Risiken.

Was bedeutet das für dich als Nutzer? Direkt wenig – die Pflichten treffen OpenAI, Anthropic, Google und andere Anbieter, nicht ihre Kunden. Indirekt aber durchaus: Die Anbieter sind verpflichtet, transparenter über ihre Modelle zu berichten, was dir eine bessere Grundlage für deine eigene Risikoeinschätzung gibt. Und: Wenn ein Anbieter seinen GPAI-Pflichten nicht nachkommt, trägt er das Compliance-Risiko – nicht du.

Zeitplan: Wann gilt was?

Der AI Act tritt gestaffelt in Kraft. Die wichtigsten Daten im Überblick:

Februar 2025: Verbotene KI-Praktiken sind ab sofort untersagt. Alle KI-Systeme der verbotenen Kategorie müssen eingestellt sein.

August 2025: Die Regelungen für GPAI-Modelle und allgemeine Anforderungen an KI-Governance treten in Kraft. Anbieter großer Sprachmodelle müssen ihre Dokumentations- und Transparenzpflichten gegenüber den Aufsichtsbehörden erfüllen.

2. August 2026: Die vollständigen Anforderungen für Hochrisiko-KI-Systeme werden wirksam. Wer solche Systeme betreibt oder nutzt, muss bis dahin compliant sein.

Ebenfalls ab dem 2. August 2026 greifen die Transparenz- und Kennzeichnungspflichten für KI-generierte Inhalte nach Art. 50 AI Act. Deepfakes – also KI-erzeugte oder wesentlich veränderte Bild-, Audio- und Videoinhalte, die täuschend echt wirken – müssen offengelegt werden. Die Pflicht gilt für jeden, der solche Inhalte veröffentlicht, also auch für Selbständige mit Website, Social-Media-Präsenz oder eigenem Marketing. Für KI-generierte Texte gilt die Kennzeichnungspflicht enger gefasst: Sie greift nur, wenn Texte veröffentlicht werden, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren – und wenn keine redaktionelle Überprüfung durch eine verantwortliche Person stattgefunden hat.

Hinweis: Nach einem aktuellen Entwurf der EU-Omnibus-Verordnung soll die maschinenlesbare Kennzeichnungspflicht für synthetische Inhalte (Art. 50 Abs. 2) erst ab dem 2. Dezember 2027 gelten. Die für Selbständige relevantere Offenlegungspflicht für Deepfakes und öffentlichkeitsrelevante Texte (Art. 50 Abs. 4) bleibt davon unberührt und gilt ab August 2026. Da sich diese Rechtslage noch entwickelt, lohnt es sich, die Umsetzung im Blick zu behalten.

2027 und danach: Weitere spezifische Regelungen, insbesondere für KI-Systeme in regulierten Produkten (Medizinprodukte, Fahrzeuge, etc.).

Für die meisten Selbständigen, die KI als Produktivitätswerkzeug nutzen, sind die unmittelbar relevanten Fristen die Transparenzpflichten ab 2026 – insbesondere die Kennzeichnung von KI-generierten Inhalten.

DSGVO und KI: Was sich ändert und was bleibt

Die DSGVO gilt weiterhin – der AI Act ergänzt sie, ersetzt sie aber nicht. Wo KI personenbezogene Daten verarbeitet, greifen beide Regelwerke gleichzeitig. Das schafft einige wichtige Konsequenzen, die über das hinausgehen, was wir im Abschnitt Welche Daten darf ich KI-Tools geben? besprochen haben.

KI-Anbieter als Auftragsverarbeiter: Wenn du ein KI-Tool nutzt, um personenbezogene Daten zu verarbeiten – etwa um eine E-Mail mit Kundenbezug zu formulieren oder ein Dokument mit Patientendaten zusammenzufassen – wird der KI-Anbieter in der Regel zum Auftragsverarbeiter im Sinne der DSGVO. Das bedeutet: Du brauchst einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Wenn der Anbieter – wie bei den meisten KI-Diensten, die du mit Kundendaten nutzt – als Auftragsverarbeiter eingebunden ist, ist die Verarbeitung ohne AVV nicht DSGVO-konform, unabhängig von den Nutzungsbedingungen. (In seltenen Konstellationen kann die Rollenverteilung komplexer sein; im Zweifel klärt das ein Datenschutzbeauftragter.)

Die gute Nachricht: Viele große Anbieter stellen AVVs bereit, zumindest in ihren Business- und Enterprise-Tarifen. Die schlechte Nachricht: In kostenlosen Tarifen ist ein AVV oft nicht verfügbar – und die Nutzung für personenbezogene Daten damit nicht zulässig.

Automatisierte Entscheidungen und Profiling: Die DSGVO enthält in Art. 22 ein Recht auf Schutz vor vollautomatisierten Entscheidungen, die rechtliche oder ähnlich bedeutsame Auswirkungen auf Personen haben. Wenn du KI-Systeme einsetzt, die automatisch Entscheidungen über Menschen treffen – Kreditwürdigkeit, Eignung, Preisgestaltung – musst du sicherstellen, dass betroffene Personen das Recht haben, eine menschliche Überprüfung zu verlangen. Das ist nicht nur eine theoretische Pflicht: Sie kann in der Praxis bedeuten, dass vollautomatisierte KI-Entscheidungen ohne menschliche Kontrollmöglichkeit unzulässig sind.

Auskunfts- und Löschpflichten: Wenn du Kundendaten in KI-Systemen verarbeitest, gelten die üblichen DSGVO-Rechte: Betroffene können Auskunft verlangen, Daten korrigieren lassen oder Löschung fordern. Das Problem: Bei Cloud-KI-Diensten hast du oft keine Möglichkeit, gezielt einzelne Daten aus dem System zu löschen, die du eingegeben hast. Das kann ein erhebliches Compliance-Problem sein – insbesondere wenn keine hinreichenden Lösch- und Retentionsoptionen bestehen. Für Hochrisikobranchen ist das besonders relevant; manche Enterprise-Anbieter haben inzwischen entsprechende Kontrollen, aber in Gratis- und Standard-Tarifen fehlen sie oft.

Datenschutz-Folgenabschätzung (DSFA): Bei KI-Systemen, die systematisch personenbezogene Daten in großem Umfang verarbeiten oder besonders sensible Daten betreffen, kann eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich sein. Für die meisten Selbständigen ist das kein alltägliches Thema – aber wer KI-gestützte Prozesse mit Kundendaten automatisiert, sollte das im Blick haben.

KI-Kompetenz sicherstellen: keine Kür, sondern Pflichtaufgabe

Eine Anforderung des AI Act, die im öffentlichen Diskurs oft untergeht, betrifft die sogenannte KI-Kompetenz (AI Literacy). Art. 4 des AI Act verpflichtet alle Unternehmen – unabhängig von ihrer Größe – dazu, sicherzustellen, dass Personen, die mit KI-Systemen arbeiten, über ausreichende Kenntnisse im Umgang damit verfügen.

Das klingt abstrakt, hat aber konkrete Konsequenzen: Wenn du Mitarbeitende hast, die KI-Tools in ihrer täglichen Arbeit einsetzen, bist du als Arbeitgeber dafür verantwortlich, dass sie wissen, was sie tun. Das umfasst:

  • Grundlegendes Verständnis davon, wie das eingesetzte KI-System funktioniert und was es kann
  • Kenntnisse über die Grenzen und Risiken des Systems – insbesondere Halluzinieren, Datenschutz und Manipulation
  • Wissen darüber, welche Daten in das System eingegeben werden dürfen und welche nicht
  • Fähigkeit, KI-Output kritisch zu beurteilen und nicht ungeprüft weiterzugeben

Die Pflicht gilt ausdrücklich auch für kleine Unternehmen und Selbständige mit Angestellten. Eine formale Zertifizierung ist nicht vorgeschrieben – aber du solltest dokumentieren können, dass du deine Mitarbeitenden entsprechend informiert und geschult hast. Ein kurzes internes Merkblatt zur KI-Nutzung, eine Schulungsstunde im Team oder eine schriftliche Richtlinie zum KI-Einsatz sind einfache und wirksame Maßnahmen.

Auch wenn du alleine arbeitest, gilt der Grundgedanke: Wer KI einsetzt, sollte wissen, was er tut. Die Kompetenzpflicht des AI Act ist in diesem Sinne weniger eine bürokratische Last als eine Aufforderung, KI-Tools bewusst und informiert zu nutzen – was genau das ist, worum es in diesem gesamten Kapitel geht.

Was das für dich als Selbständige/r bedeutet

Der AI Act ist kein Bürokratiemonster, das auf dich als Einzelperson zielt – die Hauptlast trägt er zu den Anbietern. Aber er schafft einen Rahmen, der auch dein Handeln beeinflusst. Die wichtigsten Konsequenzen in der Praxis:

Kennzeichne KI-generierte Inhalte, die Menschen täuschen könnten – Bilder, Videos, Audioinhalte, aber auch Texte, die du als eigene Leistung ausgibst. Das ist nicht nur eine rechtliche Pflicht, sondern auch eine Frage der Glaubwürdigkeit.

Schließe einen AVV ab, bevor du personenbezogene Daten in KI-Tools verarbeitest. Wenn dein Anbieter keinen AVV anbietet, nutze das Tool nicht für solche Daten.

Behalte bei automatisierten KI-gestützten Entscheidungen immer eine menschliche Kontrollmöglichkeit. Vollautomatische Entscheidungen über Menschen ohne Überprüfungsmöglichkeit sind rechtlich problematisch.

Beobachte die Entwicklung. Der AI Act ist jung, und die Auslegung vieler Regelungen wird sich in den nächsten Jahren durch Behördenpraxis und Rechtsprechung konkretisieren. Was heute als Orientierung dient, kann morgen als verbindliche Anforderung gelten.

Rechtlicher Hinweis: Dieser Abschnitt bietet eine vereinfachte Einführung in ein komplexes und sich schnell entwickelndes Rechtsgebiet. Für eine verbindliche Einschätzung deiner konkreten Situation – insbesondere wenn du Hochrisiko-KI einsetzt oder in regulierten Branchen tätig bist – wende dich an einen auf KI-Recht spezialisierten Rechtsanwalt oder Datenschutzbeauftragten.