Der Countdown zum EU AI Act: Was er für Unternehmen bedeutet, die KI mit sensiblen Daten einsetzen

Ein Stichtag, den die meisten Unternehmen ignorieren

Der 2. August 2026. An diesem Datum tritt der EU AI Act für Hochrisiko-KI-Systeme vollständig in Kraft — und er ist näher, als die meisten Organisationen wahrhaben wollen.

Für viele Unternehmen wirkt der EU AI Act noch immer abstrakt. Er scheint für jemand anderen zu gelten: für die KI-Unternehmen, die die Werkzeuge bauen — nicht für die Unternehmen, die sie nutzen. Diese Annahme ist falsch, und genau solche Missverständnisse führen zu erheblichem rechtlichem Risiko.

Wenn Ihre Organisation in der EU tätig ist, EU-Kunden bedient oder Daten von EU-Bürgern verarbeitet — und dabei KI einsetzt — gilt der EU AI Act für Sie.

Was der EU AI Act tatsächlich regelt

Der EU AI Act ist das weltweit erste umfassende Rechtsrahmenwerk für künstliche Intelligenz. Anders als branchenspezifische Vorschriften, die seit Jahren existieren, schafft der AI Act Verpflichtungen auf Basis des Risikogrades eines KI-Systems — unabhängig von der Branche.

Das Rahmenwerk unterscheidet vier Kategorien:

Inakzeptables Risiko — vollständig verboten (z.B. Social Scoring, biometrische Echtzeit-Überwachung im öffentlichen Raum).

Hohes Risiko — erlaubt, jedoch mit strengen Anforderungen. Dazu gehört KI im Einsatz bei Personalentscheidungen, Kreditvergabe, Versicherungen, Bildung, Strafverfolgung, Gesundheitsversorgung und Rechtsfragen.

Begrenztes Risiko — geringere Auflagen, hauptsächlich in Bezug auf Transparenz (z.B. müssen Chatbots offenlegen, dass sie KI sind).

Minimales Risiko — weitgehend unreguliert.

Die Bußgelder sind erheblich: bis zu 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken und bis zu 3 % bei Verstößen gegen Hochrisiko-Anforderungen. Diese Strafen übersteigen in der Praxis viele DSGVO-Bußgelder.

Wo Unternehmen sich irren

Das häufigste Missverständnis: „Wir entwickeln keine KI, wir nutzen sie nur. Der AI Act betrifft Entwickler."

Das stimmt teilweise — aber nur für bestimmte Verpflichtungen. Betreiber (Organisationen, die KI-Systeme in ihrem Geschäftsbetrieb einsetzen) haben gemäß dem AI Act eigene Verantwortlichkeiten, darunter:

• Sicherstellung, dass das KI-System entsprechend seinem vorgesehenen Zweck eingesetzt wird
• Durchführung von Grundrechte-Folgenabschätzungen für Hochrisiko-Anwendungen
• Sicherstellung menschlicher Aufsicht über KI-Entscheidungen in Hochrisiko-Kontexten
• Führen von Protokollen über den Betrieb des KI-Systems und Nachvollziehbarkeit von Entscheidungen
• Meldung schwerwiegender Vorfälle an Behörden

Wenn Ihr Unternehmen ein KI-System zur Sichtung von Bewerbungen, zur Kreditbewertung oder zur Unterstützung bei rechtlichen oder medizinischen Entscheidungen einsetzt — auch wenn Sie die KI von einem Anbieter bezogen haben — tragen Sie als Betreiber die Verantwortung.

Die Überschneidung mit der DSGVO: Doppelte Compliance-Last

Der EU AI Act ersetzt die DSGVO nicht — er ergänzt sie. Beide Rahmenwerke gelten gleichzeitig und interagieren auf eine Weise, die die Compliance-Anforderungen multipliziert.

Der Reibungspunkt: Die meisten KI-Systeme, die Dokumente verarbeiten, verarbeiten auch personenbezogene Daten. Ein Vertragsanalyse-Tool liest Namen, Adressen und Finanzdaten. Ein Assistent für Patientenakten verarbeitet Gesundheitsdaten. Ein HR-Chatbot verarbeitet Mitarbeiterdaten.

Gemäß DSGVO löst die Übermittlung dieser Daten an einen externen Cloud-KI-Anbieter mehrere Verpflichtungen aus: einen Auftragsverarbeitungsvertrag, eine Transfer-Folgenabschätzung bei Datenübermittlung außerhalb des EWR und möglicherweise eine Datenschutz-Folgenabschätzung. Viele Organisationen haben diese Anforderungen still und leise jahrelang nicht erfüllt — die Einführung des EU AI Acts veranlasst Auditoren und Behörden nun, genauer hinzuschauen.

Der EDPB hat klargestellt: RAG-Systeme, die Anfragen mit personenbezogenen Daten an externe KI-APIs senden, können eine unzulässige Datenweitergabe darstellen. Die Tatsache, dass es sich „nur um eine KI-Anfrage" handelt, ändert die rechtliche Einstufung nicht.

Die entscheidende Frage: Wohin gehen Ihre Daten?

Bevor man über Compliance-Rahmenwerke nachdenkt, sollte jede Organisation eine einfachere Frage beantworten: Wenn Mitarbeiter KI-Tools mit Unternehmensdokumenten nutzen — wohin gehen diese Daten eigentlich?

Bei den meisten cloudbasierten KI-Diensten umfasst die Antwort mindestens drei Stationen:

1. Die Anfrage des Mitarbeiters und alle angehängten Dokumente verlassen Ihr Netzwerk
2. Sie werden auf Servern eines Drittanbieters verarbeitet — oft in den USA
3. Sie können zu Sicherheitsüberwachungs-, Modellverbesserungs- oder Prüfzwecken gespeichert werden

Jeder dieser Schritte schafft potenzielle Compliance-Probleme sowohl unter der DSGVO als auch unter dem EU AI Act. Und in der Praxis haben die meisten Unternehmen diesen Datenfluss nicht detailliert erfasst — geschweige denn für Auditoren dokumentiert.

Warum On-Premise-KI die Rechnung verändert

Die sauberste Antwort auf die Frage „Wohin gehen Ihre Daten?" lautet: nirgendwo.

On-Premise-KI-Systeme — bei denen die gesamte Verarbeitungskette innerhalb Ihrer eigenen Infrastruktur läuft — eliminieren das Datenweiterleitungsproblem vollständig. Es gibt keine Drittanbieter-Server, keine transatlantischen Datenübertragungen, keine zu pflegenden Auftragsverarbeitungsverträge mit KI-Anbietern und keine Ungewissheit darüber, was nach der Anfrage mit Ihren Dokumenten passiert.

Aus Compliance-Sicht lässt On-Premise-KI den EU AI Act nicht verschwinden. Wenn Ihr KI-System als Hochrisiko eingestuft wird, müssen Sie weiterhin die Anforderungen des Acts erfüllen: Dokumentation, menschliche Aufsicht, Vorfallmeldung. Aber Sie beseitigen das komplexeste und am häufigsten verletzte Element: die Frage der Datensouveränität.

Für Organisationen in Bereichen wie Recht, Gesundheit, Finanzen oder Versicherungen — wo sowohl DSGVO als auch die Hochrisiko-Bestimmungen des AI Acts am wahrscheinlichsten Anwendung finden — ist das von enormer Bedeutung.

Was vor August 2026 zu tun ist

Bis zum Stichtag zu warten, um mit den Vorbereitungen zu beginnen, ist keine gangbare Strategie. Hier ist eine praktische Vorgehensweise:

1. Inventarisieren Sie Ihre KI-Tools. Erfassen Sie jedes KI-System, das Ihre Organisation nutzt, einschließlich Drittanbieter-Tools mit integrierten KI-Funktionen. Notieren Sie, welche davon personenbezogene oder sensible Geschäftsdaten verarbeiten.

2. Klassifizieren Sie Ihre Anwendungsfälle. Prüfen Sie, ob Ihre KI-Anwendungen in die Hochrisiko-Kategorien gemäß Anhang III des EU AI Acts fallen. Im Zweifelsfall gehen Sie von Hochrisiko aus, bis eine rechtliche Prüfung etwas anderes bestätigt.

3. Analysieren Sie Ihre Datenflüsse. Dokumentieren Sie für jedes KI-Tool, wohin Daten bei Anfragen übertragen werden. Wenn Sie diese Frage nicht mit Sicherheit beantworten können, behandeln Sie das als Warnsignal.

4. Überprüfen Sie Anbieterverträge. Die Auftragsverarbeitungsverträge Ihrer KI-Anbieter sollten explizit regeln, wie sie Ihre Daten im Kontext des EU AI Acts behandeln. Viele Standardverträge tun das nicht.

5. Evaluieren Sie On-Premise-Alternativen. Für Hochsensibilitäts-Anwendungsfälle — insbesondere Dokumentenanalyse, Rechtsberatung oder HR-Anwendungen — prüfen Sie, ob eine On-Premise-Lösung ausreichend Compliance-Komplexität beseitigt, um den Wechsel zu rechtfertigen.

6. Dokumentieren Sie alles. Der EU AI Act legt großen Wert auf Dokumentation und Audit-Trails. Welche Entscheidungen Sie auch treffen — halten Sie sie in einem Format fest, das vor einem Regulierungsbehörde standhalten würde.

Das Fenster wird enger

Der Stichtag des EU AI Acts am 2. August 2026 ist kein weiches Ziel. Regulierungsbehörden in den EU-Mitgliedstaaten haben während des gesamten Jahres 2025 Durchsetzungskapazitäten aufgebaut, und die Bußgelder sind darauf ausgelegt, spürbar — nicht symbolisch — zu sein.

Für Unternehmen, die sensible Daten verwalten und dabei KI einsetzen, lautet die Frage nicht, ob der AI Act gilt. Die Frage ist, ob Ihre aktuelle Konfiguration einer Prüfung standhält.

---

Möchten Sie wissen, wie Ihre KI-Implementierungen den Anforderungen des EU AI Acts standhalten? Vereinbaren Sie ein Beratungsgespräch, um zu erfahren, wie der On-Premise-Ansatz von KADARAG Ihre Compliance-Situation vereinfachen kann.