Worum es geht
Mit dem 2. August 2026 tritt der naechste grosse Meilenstein des EU AI Act in Kraft.
Playbook
DSGVO und EU AI Act: Was KI-Entwickler jetzt wissen muessen
5. April 2026
Mit Quellen3 Quellen
Leseführung
4 Min. Lesezeit15 AbschnitteSchneller Einstieg3 Quellen
Start hier
1Lies zuerst die Einordnung links. Sie erklärt dir, warum der Beitrag überhaupt relevant ist.
2Danach einmal komplett lesen. Der Beitrag ist kurz genug für einen sauberen Durchgang.
3Wenn du tiefer gehen willst, erst am Ende in die Quellen springen.
In diesem Beitrag
• Der EU AI Act: Das Risikoklassen-Modell
• Inakzeptables Risiko (verboten)
• Hohes Risiko (strenge Anforderungen ab August 2026)
• Begrenztes Risiko (Transparenzpflichten)
Mit dem 2. August 2026 tritt der naechste grosse Meilenstein des EU AI Act in Kraft. Fuer KI-Entwickler bedeutet das: Die Compliance-Schonfrist ist vorbei. Wer KI-Anwendungen fuer EU-Nutzer betreibt - egal ob als Freelancer oder Unternehmen, egal wo der Server steht - faellt unter das Gesetz. Dieser Artikel erklaert die wichtigsten Risikoklassen, was ab wann gilt und wie man DSGVO-konform mit KI-APIs arbeitet.
Der EU AI Act: Das Risikoklassen-Modell
Das Gesetz kategorisiert KI-Systeme nach dem Risiko, das sie fuer Grundrechte darstellen. Je hoeher das Risiko, desto staerker die Pflichten.
Inakzeptables Risiko (verboten)
Diese KI-Systeme sind in der EU vollstaendig verboten:
- Social-Scoring-Systeme (Bewertung von Menschen anhand ihres Verhaltens)
- Emotionserkennung am Arbeitsplatz oder in Schulen (Ausnahmen: Sicherheit, Medizin)
- Biometrische Echtzeit-Ueberwachung oeffentlicher Raeume durch Behoerden (mit engen Ausnahmen)
- KI, die unbewusste Manipulation einsetze, um Verhalten zu beeinflussen
Hohes Risiko (strenge Anforderungen ab August 2026)
Hier liegt das groesste Handlungsfeld fuer Entwickler. Als Hochrisiko gelten KI-Systeme in:
- Kritischer Infrastruktur (Energie, Wasser, Verkehr)
- Bildung und Berufsausbildung (z.B. automatisierte Pruefungsbewertung)
- Beschaeftigung und HR (Bewerbermanagement, Leistungsbewertung)
- Wesentliche Privatdienstleistungen (Kreditwuerdigkeit, Versicherung)
- Strafverfolgung, Justiz, Migration
Fuer diese Systeme gelten ab August 2026 u.a.:
- Technische Dokumentation nach Anhang IV der Verordnung
- Risiko-Management-System (Art. 9)
- Datenverwaltungspraktiken (Art. 10)
- Menschliche Aufsicht und Kontrollmechanismen
- CE-Kennzeichnung und Eintragung in EU-Datenbank
Begrenztes Risiko (Transparenzpflichten)
Die meisten KI-Anwendungen, die Entwickler 2026 bauen, fallen in diese Kategorie:
- Chatbots und KI-Assistenten: Nutzer muessen wissen, dass sie mit KI interagieren
- Deepfake-Inhalte: Kennzeichnung als KI-generiert ist Pflicht
- KI-generierte Texte: Bei bestimmten Einsaetzen (Wahlwerbung, journalistische Inhalte) Kennzeichnungspflicht
Minimales Risiko (keine Einschraenkungen)
KI-Spamfilter, KI-Spielemechaniken, die meisten kreativen Tools - diese Systeme sind praktisch unreguliert.
Ab wann gilt was?
| Datum | Regelung |
|---|---|
| 2. Februar 2025 | Verbote fuer inakzeptables Risiko in Kraft |
| 2. August 2025 | Regeln fuer GPAI-Modelle (z.B. Anbieter von Basis-Modellen) |
| 2. August 2026 | Hochrisiko-Anforderungen vollstaendig in Kraft |
| 2. August 2027 | Uebergangsfrist fuer einige Spezialgeraete endet |
DSGVO und KI: Die fuenf Kernpflichten
Der EU AI Act und die DSGVO muessen gleichzeitig eingehalten werden. Fuer KI-Anwendungen, die personenbezogene Daten verarbeiten, gelten diese Pflichten:
1. Rechtsgrundlage sichern
Jede Verarbeitung personenbezogener Daten braucht eine Grundlage: Einwilligung, Vertrag, berechtigtes Interesse oder gesetzliche Pflicht. Bei KI-Training mit Kundendaten ist die Einwilligung oft der schwierigste Weg.
2. Auftragsverarbeitungsvertrag (AVV) abschliessen
Wer eine KI-API (OpenAI, Anthropic, Google) nutzt und dabei personenbezogene Daten uebertraegt, ist Verantwortlicher. Der API-Anbieter ist Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein AVV ist Pflicht.
Praxis-Hinweis: OpenAI, Anthropic und Google bieten DPA-/AVV-Formulare an. Diese muessen aktiv abgeschlossen werden, nicht nur die Standard-AGB akzeptiert.
3. Drittlandtransfer regeln
Viele KI-APIs verarbeiten Daten in den USA. Das erfordert SCCs (Standard Contractual Clauses) oder gleichwertige Schutzmechanismen. Europaeische Alternativen (Mistral AI aus Frankreich, Aleph Alpha aus Deutschland) vermeiden dieses Problem.
4. Informationspflichten erfuellen
Wenn du KI nutzt, um Nutzeranfragen zu beantworten oder Inhalte zu personalisieren, muss das in der Datenschutzerklaerung stehen: Welche KI? Welche Daten? Welcher Zweck?
5. Datenschutz-Folgenabschaetzung (DSFA)
Bei Hochrisiko-Verarbeitungen (z.B. KI, die Persoenlichkeitsprofile erstellt oder Verhalten vorhersagt) ist eine DSFA nach Art. 35 DSGVO Pflicht, bevor das System live geht.
Checkliste fuer konforme KI-Apps
- Risikoklasse des eigenen Systems bestimmt
- Nutzer werden informiert, dass sie mit KI interagieren
- AVV mit KI-API-Anbieter abgeschlossen
- Drittlandtransfer durch SCCs abgesichert
- Datenschutzerklaerung um KI-Nutzung erweitert
- Fuer Hochrisiko: Technische Dokumentation vorbereitet
- Fuer Hochrisiko: Menschliche Aufsicht eingebaut
- DSFA fuer risikoreiche Verarbeitungen durchgefuehrt
Was passiert bei Verstoss?
Die Strafen sind erheblich: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstossen gegen die Verbote. Bis zu 15 Millionen Euro oder 3 % Umsatz bei anderen Verstaessen. Dazu kommen potenzielle Reputationsschaeden und zivilrechtliche Haftung.
Fazit
Der EU AI Act ist kein buerokratisches Hindernis - er schafft Klarheit. Wer jetzt die Risikoklasse seines Systems bestimmt, AVVs abschliesst und Nutzer transparent informiert, ist gut aufgestellt. Der Handlungsdruck steigt ab August 2026 erheblich. Wer jetzt beginnt, hat ausreichend Zeit.
Quellen: EU AI Act Compliance 2026 – SecurePrivacy | EU AI Act Technical Guide fuer Entwickler – DEV.to | KI und DSGVO 2026 – Kivocado
Nachvollziehbarkeit
Quellen
Sauberer Abschluss
Hier darfst du aufhören.
Wenn du die Kernidee verstanden hast und einen nächsten Schritt für dich benennen kannst, ist der Beitrag für heute erfüllt. Du musst hier nicht alles in einem Zug durcharbeiten.
War dieser Inhalt hilfreich?