Leistungen
Lösungen
Use Cases
Branchen
Tools
Preise
Erstgespräch buchen
KI-Compliance

KI-Compliance & AI Act

Risikoklassen einschätzen, Dokumentationspflichten erfüllen, compliant bleiben — pragmatisch statt bürokratisch.

Der ist seit 2024 in Kraft. Seit Februar 2025 gelten die ersten Verbote, ab August 2026 die Pflichten für Hochrisiko-Systeme. Wer einsetzt oder entwickelt, muss seine Systeme einordnen können — und wissen, welche Pflichten daraus konkret folgen.

ist dabei mehr als nur : bleibt parallel anwendbar, branchenspezifische Vorschriften (BaFin/, , Heilberufe) kommen oben drauf, Urheberrechts- und Haftungsfragen ebenfalls. Wer das in getrennten Abteilungen behandelt, baut sich Doppelarbeit und Lücken zugleich.

Ziel ist nicht ein 200-Seiten-Compliance-Handbuch, das niemand liest. Ziel ist ein pragmatisches Framework, das in bestehende Prozesse eingebaut wird — Templates, Checklisten, klar zugeordnete Verantwortlichkeiten und ein Risikoregister, das man tatsächlich pflegt.

Ablauf5 Schritte im Überblick

  1. Bestandsaufnahme

    KI-Inventur inkl. , Datenflü, Verantwortlichkeiten — als KI-VVZ.

  2. Risikoklassifizierung

    Verboten, Hochrisiko, Begrenzt, Minimal — pro System mit Begründung dokumentiert.

  3. Gap-Analyse

    + + Branche zusammendenken. Lücken-Liste mit Aufwand und Priorität.

  4. Compliance-Framework

    Policy, Onboarding-Checkliste, Templates, Rollen, Audit-Trail — pragmatisch eingebaut.

  5. Schulung & Pflege

    Mitarbeiter-Sensibilisierung, Update-Disziplin, halbjährliche Selbstprüfung, Vorfall-Prozess.

Vom AI-Act-Status-quo zum pragmatischen Compliance-Framework

Inventur

Vor jeder Compliance-Frage steht eine ehrliche Inventur. In den meisten Unternehmen gibt es deutlich mehr KI im Einsatz, als der Geschäftsführung bewusst ist — Schatten-KI in Marketing-Tools, in Übersetzungs-Apps, in Browser-Plugins, in den ChatGPT-Tabs der Mitarbeitenden.

Was wir gemeinsam aufnehmen:

  • Eingekaufte KI-Software — CRM mit KI-Funktionen, Marketing-Tools, HR-Software, Übersetzungs-Dienste, automatische Dokumentenerkennung
  • Cloud-KI-APIs — wo werden OpenAI, Anthropic, Google Vertex, Azure OpenAI direkt aufgerufen? Aus welchen Systemen, mit welchen Daten?
  • Eigenentwickelte KI — interne Modelle, RAG-Systeme, automatisierte Workflows mit KI-Komponenten
  • Schatten-KI — was nutzen Mitarbeiter privat im Arbeitskontext? ChatGPT-Tab im Browser, KI-Plugins in Word/Excel, Bildgeneratoren für Präsentationen
  • Datenflüsse — welche personenbezogenen Daten landen wo? Welche Systeme verlassen die EU oder gehen an US-Anbieter?
  • Verantwortlichkeiten — wer hat welches System eingeführt? Wer pflegt es? Wer entscheidet bei Änderungen?

Das Ergebnis ist ein KI-Verzeichnis von Verarbeitungstätigkeiten, das die Realität abbildet — nicht die Wunschvorstellung. Schatten-KI wird sichtbar gemacht, ohne sie pauschal zu verbieten. Oft entsteht hier schon der erste Mehrwert: Klarheit darüber, womit das Unternehmen tatsächlich arbeitet.

Weiterlesen
Branche

Aus Bestandsaufnahme und Klassifizierung ergibt sich pro System ein Pflichten-Set. Jetzt wird verglichen, was bereits vorhanden ist und was fehlt — die klassische Gap-Analyse, angewendet auf KI.

AI-Act-Anforderungen je Risikoklasse:

  • Technische Dokumentation (was tut das System, mit welchen Daten trainiert, mit welchen Limits)
  • Risikomanagement-System (laufend, nicht einmalig)
  • Datengouvernance (Repräsentativität, Bias-Prüfung, Datenherkunft)
  • Logging und Aufzeichnungspflichten (für Hochrisiko-Systeme)
  • Menschliche Aufsicht (Human Oversight) mit klar definierten Eingriffspunkten
  • Transparenz und Information der Betroffenen
  • Cybersicherheit und Robustheit

DSGVO-Schnittmenge:

  • Rechtsgrundlage für jede Verarbeitung — bei KI besonders spannend bei Trainingsdaten
  • DPIA bei hohem Risiko, vor allem bei Profiling oder automatisierten Entscheidungen (Art. 22 DSGVO)
  • AVV mit jedem externen KI-Dienstleister, der personenbezogene Daten verarbeitet
  • TOM dokumentieren — Verschlüsselung, Zugriffskontrolle, Lösch-Konzept, Backups
  • VVZ aktualisieren — KI-Verarbeitungen sauber eintragen
  • Drittland-Transfer prüfen — Schrems II, Standardvertragsklauseln, ggf. Transfer Impact Assessment

Branchenspezifische Vorschriften:

  • Banken & Finanzdienstleister — MaRisk, BAIT, BAIT-Modul Auslagerungen, MiFID II bei Anlageempfehlungen
  • Heilberufe — Schweigepflicht (§ 203 StGB), Patientendatenschutz, MPG/MDR bei Medizinprodukten
  • Anwaltskanzleien — Berufsgeheimnis, Mandantenschutz, BRAO
  • KRITIS — erweiterte IT-Sicherheits- und Meldepflichten, Penetrationstests, Notfallpläne

Aus der Gegenüberstellung entsteht eine konkrete Lücken-Liste pro System: was fehlt (Doku, Prozess, technische Maßnahme), wer ist zuständig, bis wann muss es da sein, was kostet es. Keine pauschale „alles muss compliant sein“-Liste, sondern priorisiert nach Risiko und Aufwand.

Weiterlesen
Compliance-Framework

Klingt interessant?

Lassen Sie uns in einem kostenlosen Erstgespräch besprechen, wie wir das für Sie umsetzen können.

Erstgespräch buchenAlle Leistungen
Erstgespräch buchenBAFA-Förderung