Künstliche Intelligenz

KI-Compliance beginnt jetzt

Verfasst von:

Fabian Brandenburger
Fabian Brandenburger
Berater für Datenschutz und Informationssicherheit

Ein 6-Schritte-Plan zeigt, wie Sie rechtzeitig Klarheit schaffen und Ihr Unternehmen bis zum 2. August 2026 auf die Anforderungen der KI-VO für Hochrisiko-Systeme vorbereiten.

KI-VO: Warum der April 2026 der richtige Zeitpunkt ist, um KI-Compliance jetzt zu strukturieren

  • Eine Pflegeeinrichtung nutzt ein KI-Tool zur Dienstplanung, das automatisch Vorschläge auf Basis von Auslastung und Bewohnerbedarfen macht.
  • Ein sozialer Träger setzt ein System ein, das bei der Einschätzung von Unterstützungsbedarfen in der Jugendhilfe hilft.
  • Ein mittelständisches Unternehmen nutzt eine KI zur Vorauswahl von Bewerbungen.

Drei sehr unterschiedliche Anwendungsfälle und doch verbindet sie eine zentrale Frage:
Fallen diese Systeme ab dem 2. August 2026 unter die strengen Anforderungen der EU-KI-Verordnung (KI-VO)?

Genau hier liegt die Herausforderung. Viele Organisationen auch in der Sozialwirtschaft nutzen längst KI. 

Aber sie haben ihre Anwendungsfälle (sog. Use-Cases) noch nicht systematisch eingeordnet. Sie wissen oft nicht, ob ihre Systeme und Use-Cases als unkritisch gelten, geprüft werden müssen oder als Hochrisiko-KI einzustufen sind.

April 2026 ist deshalb kein beliebiger Zeitpunkt. Es ist der Moment, in dem sich entscheidet, ob Organisationen strukturiert vorbereitet sind oder im Sommer unter Zeitdruck reagieren müssen. Der entscheidende Unterschied liegt nicht im Gesetzestext, sondern in der Vorbereitung.

Die zentrale Empfehlung lautet daher: jetzt inventarisieren, Use-Cases definieren und geeignete KI-Tools auswählen statt im Juli 2026 zu improvisieren.

Was ab dem 2. August 2026 tatsächlich greift

Die KI-VO wird stufenweise wirksam. Bereits heute gelten zentrale Elemente wie die Verbote bestimmter KI-Praktiken sowie die Pflicht zur sogenannten AI Literacy, also zur Schulung und Sensibilisierung von Mitarbeitenden im Umgang mit KI.

Der eigentliche Wendepunkt für viele Organisationen liegt jedoch am 2. August 2026. Ab diesem Zeitpunkt greifen die zentralen Anforderungen für Hochrisiko-KI-Systeme. Diese betreffen nicht nur Anbieter, die KI entwickeln, sondern ausdrücklich auch Betreiber, also Organisationen, die KI im eigenen Kontext einsetzen.

Für Hochrisiko-KI gelten unter anderem folgende Pflichten:

  • Aufbau eines strukturierten Risikomanagementsystems
  • Dokumentation und Nachvollziehbarkeit von KI-Entscheidungen
  • Sicherstellung von Datenqualität und -governance
  • Implementierung menschlicher Aufsicht
  • Führung eines KI-Verzeichnisses
  • Meldepflichten bei schwerwiegenden Vorfällen

Parallel arbeitet die EU-Kommission weiter an konkreten Umsetzungsleitlinien, etwa zum Umgang mit sicherheitsrelevanten Vorfällen (Serious Incident Reporting) oder zur praktischen Anwendung der Vorschriften über zentrale Service-Desk-Strukturen und FAQ-Systeme.

Für Organisationen bedeutet das: Die regulatorische Richtung ist klar definiert, die operative Umsetzung wird jetzt konkretisiert. Wer erst kurz vor August 2026 beginnt, wird sich in einem Umfeld bewegen, das zwar detaillierter ist, aber gleichzeitig deutlich weniger Spielraum für strukturierte Einführung lässt.

Was als Hochrisiko-KI typischerweise relevant werden kann

Entscheidend ist nicht, ob KI eingesetzt wird, sondern welche Auswirkungen sie auf Menschen hat. Genau deshalb betrifft die Verordnung viele Bereiche stärker als zunächst angenommen insbesondere dort, wo Entscheidungen über Menschen getroffen oder vorbereitet werden.

Eine einfache Ampellogik hilft bei der Einordnung:

  • Grün steht für eher unkritische Anwendungen,
  • Gelb für prüfbedürftige Systeme
  • Rot für voraussichtlich hochrelevante, also hochriskante KI.

HR, Bewerbung und Leistungsbewertung

Im Bereich Human Resources sind viele typische KI-Anwendungen als hochriskant einzustufen. Dazu gehören insbesondere Systeme zur automatisierten Vorauswahl von Bewerbern, zur Bewertung von Kandidaten oder zur Leistungsanalyse von Mitarbeitenden.

Diese Systeme beeinflussen unmittelbar den Zugang zu Beschäftigung oder berufliche Entwicklungschancen. Entsprechend ist hier häufig von einer roten Einstufung auszugehen.

Ein einfaches Text-Tool zur Unterstützung bei Stellenausschreibungen kann hingegen im grünen Bereich liegen, solange es keine Entscheidungen über Personen trifft.

Öffentliche Leistungen und Bürgerdienste

Besonders relevant ist die KI-VO  für Anwendungen im Kontext öffentlicher Leistungen. Dazu zählen beispielsweise Systeme, die Entscheidungen über Sozialleistungen vorbereiten, Anträge priorisieren oder Fallbearbeitungen unterstützen.

In der Sozialwirtschaft zeigt sich hier eine hohe regulatorische Relevanz. KI-Systeme, die etwa Unterstützungsbedarfe einschätzen, Hilfeleistungen priorisieren oder Entscheidungen in der Pflegeplanung beeinflussen, bewegen sich häufig im roten Bereich.

Ein reiner Chatbot zur Beantwortung von Fragen der Nutzenden kann hingegen als grün eingestuft werden, sofern er keine entscheidungsrelevanten Funktionen übernimmt.

Bildung, Prüfung und Zulassung

Auch im Bildungsbereich sind viele KI-Anwendungen kritisch. Systeme zur automatisierten Bewertung von Prüfungen, zur Zulassungsentscheidung oder zur Einstufung von Lernenden haben direkten Einfluss auf Bildungswege.

Diese Anwendungen sind typischerweise im roten Bereich anzusiedeln, da sie über Chancen und Zugang zu Bildung entscheiden.

Ein unterstützendes Lernsystem ohne Bewertungsfunktion kann hingegen im gelben Bereich liegen und sollte im Einzelfall geprüft werden.

Kritische Infrastrukturen und sicherheitsrelevante Use Cases

In Bereichen wie Energie, Verkehr oder sicherheitsrelevanten Dienstleistungen gelten besonders strenge Anforderungen. KI-Systeme, die hier Entscheidungen treffen oder vorbereiten, sind in der Regel hochriskant.

Auch in der Sozialwirtschaft können sicherheitsrelevante Aspekte eine Rolle spielen, etwa bei KI-gestützter Risikoeinschätzung in der Pflege oder bei der Bewertung von Gefährdungssituationen.

Drei typische Fehlannahmen in Unternehmen

In der Praxis zeigt sich, dass viele Organisationen die KI-VO auf Basis falscher Annahmen einschätzen. Drei Missverständnisse treten besonders häufig auf.

„Wir nutzen nur Standardtools“

Viele Unternehmen gehen davon aus, dass sie nicht betroffen sind, weil sie keine eigene KI entwickeln. Tatsächlich reicht bereits die Nutzung externer Tools wie ChatGPT, Claude, Co-Pilot oder ähnliche Tools aus, um als Betreiber im Sinne des AI Act zu gelten.

Ein HR-Tool, ein SaaS-Produkt oder eine branchenspezifische Software mit KI-Komponenten kann dazu führen, dass eine Organisation regulatorischen Pflichten unterliegt.

„Nur Hersteller sind betroffen“

Die KI-VO unterscheidet klar zwischen verschiedenen Rollen: Anbieter (Provider), Betreiber (Deployer), Importeur und Händler. Während Anbieter die Systeme entwickeln und auf den Markt bringen, nutzen Betreiber diese im eigenen Kontext.

Die meisten Organisationen – insbesondere in der Sozialwirtschaft – sind Betreiber. Und genau diese Rolle ist mit eigenen, teils umfangreichen Pflichten verbunden.

„Datenschutz reicht als KI-Compliance“

Viele Organisationen glauben, dass sie mit einer sauberen DSGVO-Umsetzung bereits gut aufgestellt sind. Tatsächlich ist Datenschutz nur ein Teil der Anforderungen.

Die KI-VO geht deutlich darüber hinaus und umfasst unter anderem technische Anforderungen, Governance-Strukturen, Dokumentationspflichten und Risikomanagementprozesse.

KI-Compliance ist daher ein eigenständiges Themenfeld, das zwar mit Datenschutz verknüpft ist, aber nicht darauf reduziert werden kann.

6-Schritte-Plan bis Sommer 2026

Die gute Nachricht ist: KI-VO-Readiness ist kein unlösbares Großprojekt. Entscheidend ist ein strukturierter Ansatz.

1. Inventarisieren

Im ersten Schritt geht es darum, alle KI-Systeme im Unternehmen zu erfassen. Dazu gehören nicht nur selbst entwickelte Lösungen, sondern insbesondere auch externe Tools.

Das Ergebnis ist ein vollständiges KI-Verzeichnis, das Transparenz über die eingesetzten Systeme schafft.

weiterlesen

2. Klassifizieren

Im nächsten Schritt werden die identifizierten Systeme bewertet. Die zentrale Frage lautet: Welches Risiko geht von der Anwendung aus?

Hier hilft die Ampellogik:

  • Grün: eher unkritisch
  • Gelb: prüfbedürftig
  • Rot: voraussichtlich hochriskant
weiterlesen

3. Rollen klären

Parallel dazu müssen die Rollen im Sinne der KI-VO geklärt werden. Wer ist Anbieter, wer Betreiber, wer lediglich Beschaffer?

Innerhalb der Organisation sollten klare Verantwortlichkeiten definiert werden. Das Ergebnis ist ein Rollen- und Verantwortlichkeitsmodell.

weiterlesen

4. Risiken und Folgen bewerten

Für kritische Systeme ist eine vertiefte Risikobewertung erforderlich. Dabei geht es insbesondere um die Auswirkungen auf betroffene Personen.

Hier bestehen Schnittstellen zur Datenschutz-Folgenabschätzung, die sinnvoll integriert werden können.

weiterlesen

5. Richtlinien und Freigaben

Auf Basis der Erkenntnisse sollten klare Governance-Strukturen geschaffen werden. Dazu gehören eine interne KI-Richtlinie, definierte Freigabeprozesse und dokumentierte Entscheidungswege.

Das Ziel ist ein belastbares KI-Governance-Framework.

weiterlesen

6. Schulung und Nachweise

Die AI Literacy Pflicht macht Schulung zu einem zentralen Element. Mitarbeitende müssen verstehen, wie KI funktioniert, welche Risiken bestehen und wie Systeme verantwortungsvoll eingesetzt werden.

Wichtig ist nicht nur die Durchführung, sondern auch die Dokumentation der Schulungen.

weiterlesen

Was besonders für Startups und SaaS-Anbieter wichtig ist

Für Startups und Anbieter von KI-basierten SaaS-Lösungen hat die KI-VO eine besondere Bedeutung. Sie sind häufig nicht Betreiber, sondern Anbieter und damit direkt reguliert.

Das hat mehrere Konsequenzen:

  • Anforderungen müssen bereits im Produktdesign berücksichtigt werden
  • Dokumentation wird Teil des Produkts
  • Kunden erwarten Nachweise zur Compliance
  • Vertrieb und Compliance rücken enger zusammen

Ein SaaS-Anbieter im Bereich HR, Bildung oder Sozialleistungen kann schnell in den Hochrisiko-Bereich fallen. In solchen Fällen wird KI-VO-Compliance nicht nur zur regulatorischen Pflicht, sondern zum Wettbewerbsfaktor.

Für eine vertiefte Auseinandersetzung mit einzelnen Aspekten lohnt sich der Blick auf weiterführende Inhalte:

Der Beitrag „KI im Praxiseinsatz: Wo Datenschutz- und Sicherheitsrisiken wirklich entstehen“ zeigt, an welchen Stellen Risiken in der Praxis tatsächlich auftreten.

„KI & Datenschutz in der EU: Rahmen, Rollen, Orientierung“ bietet eine systematische Einordnung der regulatorischen Landschaft.

„So gelingt die KI-Richtlinie in Ihrer Organisation“ liefert konkrete Ansätze für Governance-Strukturen.

Und „Privacy by Design: Warum Datenschutz für Startups kein Luxus ist“ verdeutlicht, wie regulatorische Anforderungen frühzeitig in Produkte integriert werden können. 

KI-VO im Digitalen Omnibus: Aktueller Stand und Entwicklungen

Die Annahme des Omnibus-Gesetzes wird 2026 erwartet, d.h. die KI-VO wird durch den sogenannten „Digitalen Omnibus“ angepasst, mit folgenden wichtigen Änderungen:

Änderungen im „Digitalen Omnibus“

  • Gelockerte Registrierungs- und Beobachtungspflichten: Vereinfachung der Anforderungen zur Registrierung von KI-Systemen.
  • Spätere Wirksamkeit für Hochrisiko-KI: Wichtige Pflichten gelten nun erst ab 02.12.2027 bzw. 02.08.2028.
  • Aufschub von Transparenzpflichten: Fristverlängerung bis Februar 2027.
  • Erleichterungen für KMU und Startups: Vereinfachungen bei Dokumentation und Qualitätsmanagement, auch auf Small Midcaps ausgeweitet.
  • Schulungspflicht zur KI-Kompetenz: Wird stärker auf die EU und Mitgliedstaaten verlagert.
  • Zentralisierte Aufsicht: Das EU AI Office übernimmt die exklusive Aufsicht über KI-Modelle mit allgemeinem Verwendungszweck.

Weitere Details finden Sie hier: https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal

Organisationen, welche KI-Systeme einsetzen dürfen allerdings nicht den Fehler machen die gesamten Pflichten unbeachtet zu lassen. Da einige Pflichten erhöhten Umsetzungsbedarf haben ist es sinnvoll schon jetzt sich auf die kommende „nächste Stufe der KI-VO“ ordentlich vorzubereiten, selbst wenn einige Pflichten erst später in Kraft treten. Dies bedeutet lediglich einen kleinen Zeitgewinn und nicht, dass fundamentale Pflichten nach der KI-VO plötzlich wegfallen. 

Deutsches KI-VO Durchführungsgesetz

Das nationale Durchführungsgesetz ergänzt die KI-VO mit folgenden Punkten:

  • Bundesnetzagentur als Aufsichtsbehörde zusammen mit BaFin und BSI.
  • Innovationsförderung  und Bußgeldvorschriften bis 50.000 EUR.
  • Spezifische Aufbewahrungspflichten für KI-Dokumente.

Details zum Entwurf: https://dserver.bundestag.de/btd/21/045/2104594.pdf 

Fazit und nächster Schritt

Die KI-VO ist kein Zukunftsthema mehr. Sie ist bereits Realität  und wird mit dem 2. August 2026 für viele Organisationen konkret wirksam.

Die entscheidende Frage ist nicht, ob Sie betroffen sind, sondern ob Sie es bereits wissen.

Organisationen, die jetzt beginnen, ihre KI-Anwendungen zu inventarisieren, Use-Cases zu definieren, zu bewerten und strukturiert einzuordnen, schaffen sich Klarheit und Handlungssicherheit. Wer hingegen wartet, riskiert kurzfristige Entscheidungen unter hohem Druck.

Der sinnvollste nächste Schritt ist daher eine fundierte Standortbestimmung.

Lassen Sie in einem KI-Quick-Check prüfen, welche Ihrer KI-Anwendungen bis August 2026 tatsächlich handlungsrelevant sind.

Ergänzend empfiehlt sich, ein Muster für ein KI-Verzeichnis und eine Verantwortlichkeitsmatrix anzufordern, um die internen Strukturen frühzeitig aufzubauen.

Denn am Ende entscheidet nicht das Gesetz über den Erfolg der Umsetzung, sondern die Frage, ob Sie rechtzeitig begonnen haben.

chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.