BPS·Workshop-Guide
Themen Rückblick Anna 1:1-Gespräch
Alle Themen Thema 08 von 8 · Workshop-Guide

KI-Compliance & EU AI Act

Sicher und regelkonform mit KI arbeiten — ohne Juristendeutsch, ohne Panik.

  • ⏱ ca. 8 Min Lesezeit
  • 📖 Anfänger-freundlich
  • 🎯 Direkt anwendbar
  • 🇩🇪 Stand: Mai 2026
Das Wichtigste in 30 Sekunden
  • Drei Regelwerke gelten gleichzeitig: DSGVO, EU AI Act und Urheber-/AGG-/Geschäftsgeheimnisrecht. Keines davon nimmt Rücksicht darauf, dass „KI neu ist".
  • Die KI-Kompetenzpflicht (Art. 4 EU AI Act) gilt seit Februar 2025. Jedes Unternehmen, das KI nutzt — auch nur ChatGPT — muss Schulung dokumentieren können.
  • Die meisten Risiken vermeidet ihr mit drei Regeln: keine personenbezogenen Daten in private Tools, Unternehmens-Account mit AVV, jedes Ergebnis prüft ein Mensch.
Einstieg

Worum geht es?

KI ist kein rechtsfreier Raum. Wer ChatGPT, Claude oder Copilot beruflich nutzt — und sei es nur für eine E-Mail — bewegt sich in einem Spielfeld aus drei Regelwerken: DSGVO, EU AI Act und allgemeinem Recht (Urheber, AGG, Geschäftsgeheimnis).

Die gute Nachricht: Für die meisten alltäglichen Aufgaben — Texte, Recherche, Protokolle — reichen drei Grundregeln und gesunder Menschenverstand. Die schlechte: Diese Grundregeln müsst ihr kennen, dokumentieren und einhalten. Sonst haftet ihr persönlich, sobald etwas schiefgeht.

Grafik folgt: Drei-Säulen-Modell der Regelwerke
(DSGVO · EU AI Act · Allgemeines Recht)

Grundlagen

Die drei Regelwerke

Drei Gesetze gelten parallel. Keines hebt das andere auf. Hier in der Reihenfolge ihrer Praxisrelevanz.

01

DSGVO

Gilt seit 2018

Regelt den Umgang mit personenbezogenen Daten. Gilt vollständig für jede KI-Nutzung, bei der Daten von Personen verarbeitet werden. Keine Ausnahme für KI.

02

EU AI Act

In Kraft seit August 2024

Regelt die Sicherheit und Vertrauenswürdigkeit von KI-Systemen selbst. Risikobasierter Ansatz: Je höher das Risiko der Anwendung, desto strenger die Pflichten.

03

Urheber · AGG · Geschäftsgeheimnis

Klassisches Recht

KI-Inhalte können Urheberrechte verletzen. KI-Entscheidungen über Personen können gegen das AGG verstoßen. Firmeninterna in KI-Tools können den Schutz als Geschäftsgeheimnis verlieren.

EU AI Act — der Fahrplan, den ihr kennen solltet

  1. Februar 2025

    Verbotene KI-Praktiken untersagt. KI-Kompetenzpflicht (Art. 4) gilt für alle Unternehmen.

  2. Heute · Mai 2026

    Wir sind hier. Vorbereitungsphase auf Hochrisiko-Pflichten läuft.

  3. August 2026

    Volle Anwendbarkeit für Hochrisiko-KI-Systeme nach Anhang III. Bundesnetzagentur kann sanktionieren.

  4. August 2027

    Hochrisiko-KI in regulierten Produkten (Anhang I) wird voll anwendbar.

Praxis

Fünf Schritte für KMU

In dieser Reihenfolge. Nicht überspringen. Schritt für Schritt — keiner davon braucht einen Anwalt.

1

Bestandsaufnahme — Welche KI nutzen wir?

Alles erfassen, was im Unternehmen mit KI läuft — auch inoffiziell. ChatGPT auf dem privaten Handy einer Mitarbeiterin zählt. Für jedes Tool klären: Wer nutzt es? Wofür? Welche Daten gehen rein?

2

Risikoklasse bestimmen

Der EU AI Act unterscheidet vier Klassen. Ordnet jeden eurer Use Cases einer zu:

Minimal

z. B. Spamfilter, Textvorschläge

Keine besonderen Pflichten

Begrenzt

ChatGPT für E-Mails, Protokolle, Recherche

Transparenzpflicht — Empfänger müssen wissen, dass KI im Spiel ist

Hoch

KI für Bewerber-, Mieter-, Kreditprüfung

Dokumentation, Risikobewertung, menschliche Aufsicht — ab Aug. 2026 voll wirksam

Verboten

Social Scoring, Emotionserkennung am Arbeitsplatz

Nicht erlaubt seit Februar 2025

Für Bauträger gilt typischerweise: Texte, Recherche, Protokolle, E-Mails fallen unter „begrenztes Risiko". Sobald KI Entscheidungen über Personen beeinflusst, wird es Hochrisiko.

3

Datenschutz-Regeln aufsetzen

Drei Grundregeln, die sofort gelten:

  • Regel 1 · Keine personenbezogenen Daten in die KI eingeben. Keine echten Namen, Adressen, Telefonnummern, Vertragsdaten von Käufern/Mietern, Gesundheitsdaten. Vor Eingabe anonymisieren oder abstrahieren.
  • Regel 2 · Unternehmens-Accounts nutzen, keine privaten. Private ChatGPT-Free/Plus-Accounts verwenden Eingaben zum Modelltraining. Enterprise/Team-Versionen oder API-Zugang bieten vertragliche Garantien dagegen. Verlaufspeicherung deaktivieren.
  • Regel 3 · Serverstandort und Vertrag prüfen. EU-Serverstandort bevorzugen (Frankfurt, Dublin, Schweden). Auftragsverarbeitungsvertrag (AVV/DPA) nach Art. 28 DSGVO muss vorliegen. Ohne AVV darf kein deutsches Unternehmen personenbezogene Daten an KI-Anbieter übermitteln.
4

KI-Kompetenz sicherstellen gilt jetzt

Seit Februar 2025 Pflicht für jedes Unternehmen, das KI nutzt — auch bei gelegentlicher ChatGPT-Nutzung. Keine Zertifizierung, aber Bemühungspflicht: Nachweisen können, dass angemessene Maßnahmen ergriffen wurden.

5

Interne KI-Richtlinie erstellen

Muss nicht lang sein. Beantwortet diese Kernfragen — eine Seite reicht:

  • Welche Tools sind freigegeben?
  • Welche Daten dürfen eingegeben werden?
  • Wer prüft die Ergebnisse?
  • Wo werden KI-generierte Inhalte gekennzeichnet?
Werkzeug

Use-Case-Checkliste — vor jedem KI-Einsatz

Fünf Fragen. Zwei Minuten. Geht ihr vor jedem neuen Anwendungsfall einmal durch — danach nicht mehr nötig, solange sich am Use Case nichts ändert.

  1. Frage 1

    Gehen personenbezogene Daten rein?

    Z. B.: Namen, Adressen, Telefonnummern, E-Mail-Adressen, Vertragsinhalte mit Personenbezug, Fotos von Personen, Gesundheitsdaten, Mitarbeiterdaten

    Nein

    Weiter zu Frage 2. Keine besonderen DSGVO-Pflichten.

    Ja

    Vor Eingabe anonymisieren ODER Enterprise-Account mit AVV und EU-Serverstandort. Rechtsgrundlage nach Art. 6 DSGVO klären. Bei sensiblen Daten (Art. 9): im Zweifel nicht eingeben.

  2. Frage 2

    Trifft die KI eine Entscheidung über eine Person?

    Z. B.: Bewerberauswahl, Mieterbewertung, Kreditprüfung, Leistungsbeurteilung

    Nein

    Weiter zu Frage 3.

    Ja

    Hochrisiko-Bereich. Menschliche Aufsicht und letzte Entscheidung durch Menschen sind Pflicht. Ab Aug. 2026: Doku, Risikobewertung, Überwachung. DSFA prüfen. Betriebsrat informieren.

  3. Frage 3

    Gehen Geschäftsgeheimnisse rein?

    Z. B.: Kalkulationen, Angebotspreise, interne Strategien, unveröffentlichte Vertragsentwürfe, Grundstücksbewertungen

    Nein

    Weiter zu Frage 4.

    Ja

    Schutz als Geschäftsgeheimnis kann verloren gehen. Enterprise-Account mit Geheimhaltungsvertrag oder lokale/On-premise-KI. Alternativ: abstrahieren — keine konkreten Zahlen, keine Projektnamen.

  4. Frage 4

    Sieht jemand das Ergebnis, der wissen sollte, dass KI beteiligt war?

    Z. B.: Kunden, Käufer, Mieter, Behörden, Geschäftspartner

    Nein · rein intern

    Geringeres Transparenzrisiko. Trotzdem intern dokumentieren, dass KI eingesetzt wird.

    Ja

    Transparenzpflicht nach EU AI Act: Empfänger müssen wissen, dass sie mit KI-generierten Inhalten interagieren. Kennzeichnung nicht immer formell nötig — aber: KI-Texte nicht als persönlich verfasst ausgeben.

  5. Frage 5

    Wird das Ergebnis ohne menschliche Prüfung verwendet?

    Z. B.: Direkt versendete E-Mails, automatisch erstellte Dokumente, ungeprüft übernommene Recherche-Ergebnisse

    Nein · Mensch prüft

    Guter Standard. Weiter so.

    Ja

    Risiko: KI-Systeme liefern fehlerhafte, veraltete oder erfundene Informationen. Bei rechtlichen, technischen oder finanziellen Inhalten ist Prüfung nicht optional, sondern Pflicht. Bei automatisierten Entscheidungen über Personen: Art. 22 DSGVO beachten.

Cheat-Sheet

Die Kurzformel für den Alltag

Wenn ihr nichts anderes von dieser Seite mitnehmt — diese zwei Mini-Listen reichen für 90% der Fälle.

01

Darf ich das so in die KI eingeben?

  • Keine echten Namen.
  • Keine Adressen oder Kontakte.
  • Keine Vertragsinhalte mit Personenbezug.
  • Keine internen Kalkulationen (oder abstrahieren).
  • Im Zweifel: anonymisieren, dann eingeben.
02

Darf ich das Ergebnis so verwenden?

  • Habe ich geprüft, ob es stimmt? — muss sein.
  • Ist klar, dass KI beteiligt war? — sollte sein.
  • Trifft es eine Entscheidung über eine Person? — dann muss ein Mensch entscheiden.
Zum Mitnehmen

Diese Seite als Checkliste — für die Bürowand

Ausgedruckt sieht die Welt anders aus. Druckt euch die Use-Case-Checkliste & Kurzformel als 1-Pager — Browser regelt den Rest.

Druckbare Compliance-Checkliste

Use-Case-Fragen, Eingabe- und Verwendungs-Check, Im-Zweifel-Regeln — als 1-Pager mit Checkboxen und Notiz-Linien.

Checkliste öffnen

💡 Auf der Checklisten-Seite oben rechts „Als PDF speichern / drucken" — der Browser-Druckdialog erledigt den Rest. Ausgedruckt sieht die Welt anders aus.

Belege

Quellen & weiterführend

  • BayLDA — Datenschutzkonforme KI: Checkliste mit Prüfkriterien nach der DSGVO (2024)
  • LfDI Hamburg — Checkliste zum Einsatz LLM-basierter Chatbots (2023)
  • LfDI Baden-Württemberg — Diskussionspapier Rechtsgrundlagen Datenschutz bei KI (2023/2025)
  • IHK München — Datenschutz & KI: Ratgeber
  • EU-Kommission — FAQ zur KI-Kompetenz (Art. 4)
Häufige Fragen

FAQ rund um KI-Compliance

Die Fragen, die in fast jedem Workshop auftauchen — kurz und ehrlich beantwortet.

  1. 01 Brauchen wir wirklich eine schriftliche KI-Richtlinie, wenn wir nur ChatGPT gelegentlich nutzen?

    Ja. Seit Februar 2025 verlangt Artikel 4 des EU AI Act, dass jedes Unternehmen, das KI nutzt — auch nur gelegentlich — angemessene Maßnahmen zur KI-Kompetenz nachweisen kann.

    Das heißt nicht „Zertifizierung", sondern: Ihr braucht eine kurze interne Regel (oft reicht ein Onepager), die zeigt, dass ihr euch mit dem Thema beschäftigt habt — wer was darf, was nicht, wie ihr Risiken handhabt.

    „Eine Seite reicht. Aber sie muss da sein, schriftlich, und alle im Team müssen sie kennen."

  2. 02 Dürfen wir Mandanten- oder Kundendaten in ChatGPT eingeben?

    Im privaten ChatGPT-Account: Nein. Personenbezogene Daten (Namen, Adressen, Mandantenangaben) gehören nicht in ein Tool, mit dessen Anbieter ihr keinen Auftragsverarbeitungsvertrag (AVV) habt.

    In einem Unternehmens-Account (ChatGPT Team/Enterprise, Claude for Work) mit AVV ist das anders — dort gilt: AVV abgeschlossen, keine Trainingsfreigabe, dokumentiert.

    Faustregel: Wenn ihr es nicht öffentlich postet, dann auch nicht in ein KI-Tool ohne AVV.

  3. 03 Müssen wir kennzeichnen, dass ein Text mit KI erstellt wurde?

    Pauschal: nein. Es gibt keine generelle Kennzeichnungspflicht für KI-generierte Texte.

    Aber: Sobald ein Mensch sich auf ein KI-Ergebnis verlassen soll, ohne dass es geprüft wurde — z. B. ein Gutachten, eine fachliche Beurteilung — wird es heikel. Dann zählt nicht „KI-erstellt", sondern „von wem fachlich verantwortet". Eure Unterschrift unter einem Gutachten heißt: ihr steht dafür ein. Egal wer den Erstentwurf gemacht hat.

  4. 04 Was passiert, wenn die KI etwas Falsches schreibt und wir es nicht merken?

    Dann haftet immer der Mensch, der das Ergebnis freigegeben hat — nicht der KI-Anbieter, nicht „die KI". Das ist die wichtigste Regel überhaupt.

    Konsequenz: Jedes KI-Ergebnis, das das Büro verlässt, muss durch einen Menschen mit Fachblick gehen. Bei Gutachten und Berichten heißt das: zweites Augenpaar, Normverweise gegenprüfen, Eigennamen und Zahlen kontrollieren.

    „Halluzinationen klingen besonders gut, wenn sie selbstsicher daherkommen. Genau deshalb braucht es den Prüfblick."

  5. 05 Reicht der kostenlose ChatGPT-Account für ein Sachverständigen-Büro?

    Nicht dauerhaft. Im kostenlosen Tarif werden eure Eingaben in der Regel zum Trainieren der Modelle verwendet — und ihr habt keinen AVV. Sobald ihr berufliche Inhalte verarbeitet, ist das ein Datenschutz-Problem.

    Empfehlung: Bezahlter Team-Account (ca. 25–30 € pro Person/Monat) mit AVV, Trainings-Opt-out und Admin-Übersicht. Das ist die günstigste Form, in der ihr seriös arbeiten könnt.

  6. 06 Wie weisen wir „KI-Kompetenz-Schulung" nach, wenn wir geprüft werden?

    Es gibt keine vorgegebene Form. Was zählt, ist der Nachweis, dass ihr euch ernsthaft mit dem Thema beschäftigt habt:

    Workshop-Teilnahmen (z. B. dieser Workshop), interne Schulungen mit Datum und Teilnehmerliste, eure schriftliche KI-Richtlinie, dokumentierte Auswahl von Tools mit AVV. Eine kleine Mappe „KI-Kompetenz" im Büroregal reicht für den Anfang vollkommen.