Synfine IT-Solutions
Zurück zum Blog
Datenschutz & KI12 Min. Lesezeit16. April 2026

KI und Datenschutz 2026: Was der EU AI Act und die DSGVO für Ihr Unternehmen bedeuten

ChatGPT, Copilot, Gemini – KI-Tools gehören längst zum Arbeitsalltag. Doch mit dem EU AI Act und der weiterhin geltenden DSGVO stehen Unternehmen vor einem doppelten Rechtsrahmen. Dieser Leitfaden zeigt, welche Pflichten jetzt gelten, wo die größten Risiken liegen und wie Sie KI datenschutzkonform einsetzen.

Der doppelte Rechtsrahmen: DSGVO und EU AI Act

Wer KI im Unternehmen einsetzt, bewegt sich seit 2025 in einem doppelten Rechtsrahmen. Die DSGVO schützt personenbezogene Daten und gilt unverändert für jede Verarbeitung durch KI-Systeme. Der EU AI Act (KI-Verordnung) ergänzt diesen Schutz um neue Anforderungen an die Sicherheit und Vertrauenswürdigkeit von KI-Systemen selbst. Beide Regelwerke müssen gleichzeitig eingehalten werden – eines ersetzt das andere nicht.

EU AI Act: Die wichtigsten Fristen

DatumWas gilt
Seit 2. Feb. 2025Verbotene KI-Praktiken (Social Scoring, manipulative Systeme, biometrische Massenüberwachung) und Schulungspflicht für alle KI-Betreiber
Ab 2. Aug. 2025Pflichten für Anbieter allgemeiner KI-Modelle (General Purpose AI)
Ab 2. Aug. 2026Transparenzpflichten (Art. 50): Kennzeichnung von KI-generierten Inhalten, Chatbot-Hinweispflicht. Hochrisiko-Anforderungen: Konformitätsbewertung, Dokumentation, menschliche Aufsicht
Ab 2. Aug. 2027Vollständige Anwendung auf alle KI-Systeme einschließlich eingebetteter Systeme

Bußgelder nicht unterschätzen

Verstöße gegen den EU AI Act können mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden – bei verbotenen Praktiken. Für Verstöße gegen Hochrisiko-Anforderungen drohen bis zu 15 Millionen Euro oder 3 % des Umsatzes. Diese Beträge übersteigen die DSGVO-Bußgelder deutlich.

KI-Risikoklassen: Wo steht Ihr Unternehmen?

Der EU AI Act klassifiziert KI-Systeme nach ihrem Risikopotenzial. Für jede Klasse gelten unterschiedlich strenge Pflichten. Für die meisten KI-Anwendungen im Unternehmensalltag – Chatbots, Content-Assistenten, Prozessautomatisierung – gilt die Klasse „Begrenztes Risiko" mit Transparenzpflicht. Wer KI jedoch im Personalwesen oder bei der Kreditvergabe einsetzt, bewegt sich im Hochrisiko-Bereich.

Verboten (seit 2. Feb. 2025)

Emotionserkennung am Arbeitsplatz, Social Scoring, biometrische Echtzeit-Überwachung im öffentlichen Raum, manipulative KI-Systeme.

Hochrisiko (ab 2. Aug. 2026)

KI in Personalauswahl und -beurteilung, Kreditvergabe, kritische Infrastruktur, Bildung, Strafverfolgung. Erfordert Konformitätsbewertung, Risikomanagement und menschliche Aufsicht.

Begrenztes Risiko (ab 2. Aug. 2026)

Chatbots, Content-Generatoren, KI-Assistenten. Transparenzpflicht: Nutzer müssen wissen, dass sie mit einer KI interagieren. KI-generierte Inhalte müssen gekennzeichnet werden (Art. 50).

Minimales Risiko (sofort)

Spam-Filter, einfache Prozessautomatisierung ohne Personenbezug. Keine besonderen Pflichten, aber freiwillige Verhaltenskodizes empfohlen.

DSGVO und KI: Wo die Konflikte entstehen

Die DSGVO stellt KI-Anwendungen vor besondere Herausforderungen. KI-Systeme verarbeiten typischerweise große Mengen personenbezogener Daten, treffen automatisierte Entscheidungen und sind oft intransparent in ihrer Funktionsweise. Laut einer aktuellen Bitkom-Studie setzt bereits jedes dritte Unternehmen in Deutschland KI-Systeme ein – doch viele haben die datenschutzrechtlichen Implikationen noch nicht vollständig erfasst.

Die wichtigsten DSGVO-Artikel für KI-Einsatz

Art. 5
Grundsätze: Jede Datenverarbeitung durch KI muss rechtmäßig, zweckgebunden und auf das Notwendige beschränkt sein. Datensparsamkeit gilt auch bei KI – keine unnötigen personenbezogenen Daten in Prompts eingeben.
Art. 6
Rechtsgrundlage: Vor dem KI-Einsatz muss dokumentiert sein, auf welcher Rechtsgrundlage personenbezogene Daten verarbeitet werden. Häufig: berechtigtes Interesse (lit. f) oder Vertragserfüllung (lit. b).
Art. 22
Automatisierte Entscheidungen: KI darf keine vollautomatischen Entscheidungen mit erheblicher rechtlicher Wirkung auf Personen treffen, ohne dass ein Mensch die finale Kontrolle hat. Beispiele: Kreditentscheidungen, Bewerberauswahl.
Art. 28
Auftragsverarbeitung: LLM-Anbieter wie OpenAI, Microsoft oder Google sind Auftragsverarbeiter. Ein schriftlicher Auftragsverarbeitungsvertrag (AVV) ist zwingend erforderlich.
Art. 35
Datenschutz-Folgenabschätzung: Bei Hochrisiko-Verarbeitungen – und KI-Systeme sind in der Regel als risikoreich einzustufen – ist eine DSFA vor dem Einsatz Pflicht.

Schatten-KI: Das unterschätzte Risiko

Eines der größten Datenschutzrisiken im Zusammenhang mit KI ist die sogenannte „Schatten-KI": Mitarbeiter nutzen nicht freigegebene KI-Tools und geben dabei sensible Kundendaten, interne Dokumente oder Geschäftsgeheimnisse in externe Systeme ein – oft ohne sich der Konsequenzen bewusst zu sein. Laut einer Wirtschaftswoche-Analyse vom April 2026 haben viele deutsche Unternehmen zwar große Angst vor KI-gestützten Cyberangriffen, aber nur wenige haben gezielte Sicherheitsmaßnahmen getroffen.

Typische Schatten-KI-Risiken

  • Kundendaten in ChatGPT-Prompts eingegeben
  • Interne Dokumente in KI-Übersetzer hochgeladen
  • Bewerbungsunterlagen durch KI analysiert
  • Vertrauliche Finanzdaten in KI-Tools verarbeitet
  • Kein AVV mit dem KI-Anbieter abgeschlossen

Gegenmaßnahmen

  • Interne KI-Richtlinie mit erlaubten Tools
  • Pflichtschulungen gemäß EU AI Act
  • Enterprise-Versionen mit AVV einsetzen
  • Technische Zugriffsbeschränkungen
  • Regelmäßige KI-Inventur durchführen

Aktuell: Das KI-MIG und der Digital Omnibus

Deutschland hat im Februar 2026 das KI-Marktüberwachungs- und Implementierungsgesetz (KI-MIG) veröffentlicht – den nationalen Fahrplan zur Umsetzung des EU AI Act. Es regelt unter anderem, welche Behörden für die Überwachung zuständig sind und wie Unternehmen ihre Konformität nachweisen müssen.

Gleichzeitig hat das EU-Parlament im April 2026 seine Position zum Digital Omnibus on AI verabschiedet. Dieser sieht mögliche Fristverlängerungen und Entlastungen für KMU vor – die Transparenzpflichten ab August 2026 bleiben jedoch nach aktuellem Stand verbindlich. Für Unternehmen bedeutet das: Die Umsetzung darf nicht aufgeschoben werden, auch wenn einzelne Fristen noch diskutiert werden.

Was bedeutet das konkret?

Ab August 2026 müssen Unternehmen, die Chatbots, KI-generierte Texte oder Bilder einsetzen, diese als KI-erzeugt kennzeichnen. Wer KI in der Personalauswahl oder Kreditvergabe nutzt, muss eine vollständige Konformitätsbewertung durchführen. Die Schulungspflicht für Mitarbeiter gilt bereits seit Februar 2025 – wer hier noch nicht aktiv geworden ist, sollte umgehend handeln.

Handlungsempfehlungen: 7 Schritte zum konformen KI-Einsatz

1
KI-Inventur durchführen: Erfassen Sie alle KI-Tools im Unternehmen – offiziell und inoffiziell. Welche Daten fließen wohin?
2
Risikoklasse bestimmen: Ordnen Sie jedes KI-System einer Risikoklasse des AI Act zu. Hochrisiko-Systeme erfordern besondere Maßnahmen.
3
Rechtsgrundlagen dokumentieren: Für jede KI-Verarbeitung personenbezogener Daten muss eine DSGVO-Rechtsgrundlage dokumentiert sein.
4
AVV mit KI-Anbietern abschließen: Auftragsverarbeitungsverträge mit allen LLM-Anbietern (OpenAI, Microsoft, Google) prüfen und abschließen.
5
Mitarbeiter schulen: Pflichtschulung gemäß EU AI Act durchführen. Sensibilisierung für Datenschutzrisiken bei KI-Nutzung.
6
DSFA bei Hochrisiko-KI erstellen: Datenschutz-Folgenabschätzung nach Art. 35 DSGVO für risikobehaftete KI-Anwendungen durchführen.
7
KI-Governance aufbauen: Interne KI-Richtlinie erstellen, Verantwortlichkeiten definieren, regelmäßige Compliance-Überprüfung einplanen.

KI-Datenschutz-Beratung für Ihr Unternehmen

Die Anforderungen aus EU AI Act und DSGVO sind komplex – aber beherrschbar. Synfine IT-Solutions unterstützt Sie bei der Umsetzung: von der KI-Inventur über Mitarbeiterschulungen bis zur Datenschutz-Folgenabschätzung. Vereinbaren Sie jetzt ein kostenloses Erstgespräch.

Kostenlose Erstberatung buchenDatenschutz-Services ansehen

Oder rufen Sie uns direkt an: +49 4191 76702 0