Ihre Mitarbeiter verwenden ChatGPT zum Verfassen von E-Mails, Copilot zum Programmieren und KI-gestützte Analysetools zur Nachfrageprognose. Diese Tools sind bereits in den täglichen Betrieb eingebettet — oft Bottom-up eingeführt, ohne formale Genehmigung oder Dokumentation. Die KI-Verordnung (Verordnung 2024/1689) ist am 1. August 2024 in Kraft getreten, und ihre Pflichten werden schrittweise eingeführt. Sie führt Regeln ein — nicht nur für KI-Entwickler, sondern für jede Organisation, die KI-Systeme nutzt. Die Verordnung bezeichnet diese Organisationen als "Betreiber" (Deployer).
Die meisten kleinen und mittleren Unternehmen sind Betreiber. Sie haben ChatGPT oder Ihr KI-gestütztes HR-Screening-Tool nicht entwickelt — aber Sie haben sich entschieden, es zu nutzen, und das macht Sie verantwortlich für die Auswirkungen auf Menschen. Die Pflichten sind überschaubar, erfordern aber eine Dokumentation, die die meisten KMU noch nicht haben. Dieser Leitfaden erklärt, was Sie tun müssen: Ihre KI-Systeme inventarisieren, das Risiko klassifizieren, die menschliche Aufsicht dokumentieren und dies alles mit Ihrer bestehenden DSGVO-Datenerfassung integrieren.
Die Zeitachse der KI-Verordnung — was gilt wann?
Die KI-Verordnung tritt nicht auf einmal in Kraft. Sie wurde am 12. Juli 2024 im Amtsblatt veröffentlicht, ist am 1. August 2024 in Kraft getreten, und ihre Bestimmungen gelten nach einem gestaffelten Zeitplan:
- 2. Februar 2025 — Verbotene KI-Praktiken (Art. 5) und Anforderungen an KI-Kompetenz (Art. 4) gelten bereits. Wenn Ihre Mitarbeiter KI-Systeme nutzen, müssen sie bereits über ausreichende Schulung verfügen.
- 2. August 2025 — Regeln für KI-Modelle mit allgemeinem Verwendungszweck (wie die Basismodelle hinter ChatGPT und Gemini) treten in Kraft.
- 2. August 2026 — Der Großteil der Verordnung wird anwendbar: Betreiberpflichten (Art. 26), Anforderungen an Hochrisiko-KI-Systeme, Transparenzpflichten (Art. 50) und der vollständige Compliance-Rahmen. Dies ist die Frist, auf die sich die meisten KMU vorbereiten müssen.
- 2. August 2027 — Pflichten für Hochrisiko-KI-Systeme, die Sicherheitskomponenten von Produkten sind, die bereits unter EU-Produktgesetzgebung fallen (z. B. Medizinprodukte, Maschinen).
Wo stehen wir jetzt? Zum Zeitpunkt der Veröffentlichung dieses Artikels (April 2026) sind die verbotenen Praktiken und die Anforderungen an KI-Kompetenz bereits in Kraft. Sie haben noch etwa vier Monate, bis die Betreiberpflichten und Hochrisiko-Anforderungen am 2. August 2026 wirksam werden.
Die Risikoeinstufung der KI-Verordnung
Die KI-Verordnung ordnet jedes KI-System in eine von vier Risikostufen ein. Ihre Pflichten hängen vollständig davon ab, welche Stufe zutrifft.
Unannehmbares Risiko (verboten). Diese Systeme sind grundsätzlich verboten. Social Scoring durch Regierungen, unterschwellige Manipulationstechniken, die Schaden verursachen, und biometrische Echtzeit-Identifikation im öffentlichen Raum für die Strafverfolgung (mit engen Ausnahmen). Als KMU ist es unwahrscheinlich, dass Sie damit in Berührung kommen — aber überprüfen Sie, dass kein Anbietertool die Grenze überschreitet.
Hohes Risiko. Hier werden die Pflichten erheblich. KI-Systeme, die für Einstellungsentscheidungen, Kreditwürdigkeitsprüfungen, den Zugang zu wesentlichen öffentlichen und privaten Dienstleistungen sowie biometrische Identifikation eingesetzt werden, fallen in diese Kategorie. Hochrisiko-Systeme erfordern eine Konformitätsbewertung, eine Datenschutz-Folgenabschätzung (DSFA), dokumentierte menschliche Aufsicht und Auditprotokolle, die mindestens sechs Monate aufbewahrt werden. Wenn Ihr Unternehmen KI zur Vorauswahl von Lebensläufen, zur Bewertung von Kreditanträgen oder zur Bestimmung der Kundenberechtigung für Dienstleistungen einsetzt — dann betreiben Sie ein KI-System mit hohem Risiko.
Begrenztes Risiko. Gemäß Artikel 50 (Transparenzpflichten) müssen Chatbots und konversationelle KI den Nutzern offenlegen, dass sie mit einer KI interagieren. KI-generierte Inhalte (Deepfakes, synthetische Medien) müssen klar gekennzeichnet werden. Dies gilt für kundenorientierte Chatbots, KI-Assistenten auf Ihrer Website und jedes KI-generierte Marketingmaterial.
Minimales Risiko. Keine besonderen Anforderungen. Spamfilter, KI-gestützte Suchmaschinen, Content-Empfehlungssysteme und Grammatikprüfungen fallen hierunter. Die meisten alltäglichen KI-Tools landen in dieser Kategorie.
Die zentrale Frage für jedes KMU: Treffen Ihre KI-Tools Entscheidungen über Menschen oder unterstützen sie diese direkt? Wenn ja, befinden Sie sich möglicherweise im Hochrisikobereich, unabhängig davon, wie einfach das Tool erscheint.
Was Betreiber dokumentieren müssen (Art. 26)
Artikel 26 der KI-Verordnung definiert sechs Kernpflichten für Betreiber. Keine davon erfordert, dass Sie KI-Expertise von Grund auf aufbauen — aber alle erfordern Dokumentation.
1. Führen Sie ein KI-Inventar. Listen Sie jeden Dienst in Ihrer Organisation auf, der KI nutzt, was er tut und welche Daten er verarbeitet. Dies ist nicht optional — es ist das Fundament für alles Weitere. Wenn Sie bereits ein Datendienste-Register für die DSGVO führen, erweitern Sie dieses. KI-Dienste gehören in dieselbe Datenkarte wie Ihr CRM, E-Mail-Anbieter und Cloud-Speicher.
2. Klassifizieren Sie jedes System nach Risikostufe. Bestimmen Sie für jeden KI-Dienst in Ihrem Inventar, ob er unter unannehmbares, hohes, begrenztes oder minimales Risiko fällt. Dokumentieren Sie Ihre Begründung. Ein Chatbot für den Kundenservice ist begrenztes Risiko. Ein KI-Tool, das Bewerber bewertet, ist hohes Risiko.
3. Dokumentieren Sie die menschliche Aufsicht für Hochrisiko-Systeme. Wer überprüft die KI-Ausgabe, bevor sie eine Person betrifft? Was ist der Eskalationsprozess, wenn die KI ein falsches oder voreingenommenes Ergebnis liefert? Dies muss schriftlich festgehalten, benannten Rollen zugewiesen und tatsächlich befolgt werden.
4. Bewahren Sie Auditprotokolle auf. Bewahren Sie für KI-Systeme mit hohem Risiko Protokolle mindestens sechs Monate auf. Diese Protokolle müssen ausreichend sein, um nachzuvollziehen, wie das System zu einer bestimmten Ausgabe gelangt ist. Die meisten KI-Anbieter generieren Protokolle — Ihre Aufgabe ist sicherzustellen, dass sie aufbewahrt und zugänglich sind.
5. Melden Sie schwerwiegende Vorfälle. Wenn ein KI-System mit hohem Risiko einen schwerwiegenden Vorfall verursacht oder dazu beiträgt (Schaden an Gesundheit, Sicherheit, Grundrechten oder Eigentum), müssen Sie dies dem KI-Anbieter und in bestimmten Fällen der zuständigen nationalen Behörde melden.
6. Stellen Sie KI-Kompetenz sicher (Art. 4). Mitarbeiter, die KI-Systeme bedienen oder beaufsichtigen, müssen ein ausreichendes Verständnis davon haben, wie diese Systeme funktionieren, welche Einschränkungen sie haben und welche Risiken sie bergen. Das bedeutet nicht, dass jeder einen Abschluss in maschinellem Lernen braucht — es bedeutet strukturierte Schulung, die der Rolle angemessen ist. Hinweis: Im Gegensatz zu den anderen oben genannten Pflichten sind die Anforderungen an KI-Kompetenz bereits seit dem 2. Februar 2025 in Kraft — dies ist keine zukünftige Frist, sondern eine bestehende Verpflichtung.
Die DSGVO-Verbindung
Die KI-Verordnung ersetzt die DSGVO nicht — sie baut darauf auf. Wenn Ihr KI-System personenbezogene Daten verarbeitet (und fast alle tun das), gilt die DSGVO vollumfänglich neben der KI-Verordnung.
Artikel 22 der DSGVO ist besonders relevant: Niemand darf einer Entscheidung unterworfen werden, die ausschließlich auf automatisierter Verarbeitung beruht und die rechtliche Wirkung entfaltet oder in ähnlicher Weise erheblich beeinträchtigt. Wenn KI Entscheidungen über Einstellungen, Kreditgenehmigungen, Versicherungsberechtigung oder Dienstleistungszugang trifft oder wesentlich beeinflusst, benötigen Sie eine Rechtsgrundlage für diese Verarbeitung, einen dokumentierten Prozess für menschliche Überprüfung und das Recht der Betroffenen, die Entscheidung anzufechten. Artikel 35 DSGVO verlangt darüber hinaus eine Datenschutz-Folgenabschätzung, wenn automatisierte Verarbeitung voraussichtlich ein hohes Risiko für Personen mit sich bringt — was die meisten KI-gestützten Entscheidungen über Menschen einschließt.
Dies sind keine neuen Pflichten — die DSGVO verlangt sie bereits seit 2018. Aber die KI-Verordnung erhöht die Anforderungen und die Spezifität der Dokumentation, die Aufsichtsbehörden erwarten. Ihr Verarbeitungsverzeichnis sollte die Verarbeitungsaktivitäten bereits abdecken. Der ROPA-Tool-Leitfaden erklärt, wie Sie dieses Register strukturieren. Ihre Datenkarte sollte die Dienste bereits enthalten. Der DSGVO-Datenerfassungsleitfaden behandelt die Methodik.
Was sich mit der KI-Verordnung ändert: KI-spezifische Felder — Risikoeinstufung, Vereinbarungen zur menschlichen Aufsicht, KI-Kompetenzschulungen — müssen jetzt Teil dieser Dokumentation sein.
4 Schritte zur KI-Governance für Ihre Organisation
Schritt 1: KI-Dienste inventarisieren
Beginnen Sie damit, jeden KI-gestützten Dienst in Ihrer Organisation zu identifizieren. Die offensichtlichen kommen zuerst: ChatGPT, Microsoft Copilot, Google Gemini. Dann gehen Sie tiefer. Nutzt Ihr CRM KI für Lead-Scoring? Nutzt Ihre HR-Plattform KI, um Kandidaten zu bewerten? Nutzt Ihr Analysetool maschinelles Lernen für Vorhersagen?
Fügen Sie jeden KI-Dienst Ihrer Datenkarte hinzu — mit seinem Zweck, den verarbeiteten Daten und wer Zugriff hat. Readmodel® enthält Dienstvorlagen für ChatGPT, Claude, Gemini, Copilot, Mistral und Perplexity — vorkonfiguriert mit den richtigen Datenelementen und Klassifikationen. Wählen Sie aus der Bibliothek und Ihr KI-Inventar ist in wenigen Minuten angelegt.
Schritt 2: Risiko klassifizieren
Weisen Sie jedem KI-Dienst die Risikostufe der KI-Verordnung zu: unannehmbar, hoch, begrenzt oder minimal. Seien Sie ehrlich darüber, wie das Tool tatsächlich genutzt wird, nicht nur, wie der Anbieter es vermarktet. Ein Chatbot für Kunden-FAQ ist begrenztes Risiko. Derselbe Chatbot, der Versicherungsansprüche sortiert, ist potenziell hohes Risiko.
Dokumentieren Sie Ihre Klassifizierungsbegründung. Wenn ein Auditor fragt, warum Sie ein bestimmtes System als minimales Risiko eingestuft haben, ist "weil es risikoarm erschien" keine akzeptable Antwort.
Schritt 3: Menschliche Aufsicht dokumentieren
Dokumentieren Sie für jedes KI-System mit hohem und begrenztem Risiko, wer für die Überprüfung der KI-Ausgabe verantwortlich ist. Seien Sie konkret: Benennen Sie die Rolle, beschreiben Sie den Überprüfungsprozess und definieren Sie, was passiert, wenn die KI falsch liegt. Dokumentieren Sie bei Entscheidungsunterstützungssystemen (KI empfiehlt, Mensch entscheidet), wie der Mensch die Empfehlung überprüft. Dokumentieren Sie bei automatisierten Entscheidungssystemen das Einspruchsverfahren und wie Betroffene eine menschliche Überprüfung anfordern können.
Schritt 4: In Ihr Verarbeitungsverzeichnis integrieren
KI-Verarbeitungsaktivitäten sind Verarbeitungsaktivitäten. Sie gehören in Ihr Artikel-30-Verzeichnis neben allem anderen. Für jeden KI-Dienst sollte Ihr Verarbeitungsverzeichnis enthalten: die Kategorien der verarbeiteten personenbezogenen Daten, die Rechtsgrundlage, die Aufbewahrungsfrist, ob Daten außerhalb der EU übertragen werden (die meisten KI-Anbieter verarbeiten Daten in den USA) und die KI-spezifischen Felder: Risikoeinstufung, menschliche Aufsicht und KI-Kompetenzstatus.
Readmodel® generiert Verarbeitungsverzeichnis-Exporte, die automatisch KI-Governance-Felder enthalten. Wenn ein KI-Dienst als hohes Risiko eingestuft ist, aber keine dokumentierte DSFA hat, kennzeichnet das Risikoregister dies. Wenn ein Dienst keine dokumentierte menschliche Aufsicht hat, erscheint dies als Handlungspunkt. Erstellen Sie ein kostenloses Konto und sehen Sie, wie Ihre KI-Dienste in denselben Compliance-Workflow integriert werden wie der Rest Ihrer Datenkarte.
Was Readmodel® bietet
Readmodel® behandelt KI-Dienste als vollwertige Bestandteile Ihrer Datenkarte. Die Vorlagenbibliothek enthält vorkonfigurierte KI-Dienstvorlagen mit präzisen Datenelementen und Klassifikationen. Das Risikoregister kennzeichnet automatisch KI-Dienste, denen die Dokumentation der menschlichen Aufsicht fehlt oder die eine DSFA erfordern. Der Verarbeitungsverzeichnis-Export enthält KI-spezifische Spalten, damit Ihr Artikel-30-Verzeichnis sowohl die DSGVO als auch die KI-Verordnung widerspiegelt.
Alle KI-Governance-Felder sind in jedem Plan verfügbar, einschließlich des kostenlosen Explore-Plans. Sie brauchen kein Enterprise-Budget, um KI-Governance zu dokumentieren — Sie brauchen ein strukturiertes Tool und dreißig Minuten.
Sehen Sie, wie Readmodel® im Vergleich zu anderen DSGVO-Compliance-Tools abschneidet, oder erstellen Sie Ihr kostenloses Konto und beginnen Sie noch heute mit der Erfassung Ihrer KI-Dienste.
Jetzt beginnen
Die Frist der KI-Verordnung ist der 2. August 2026. Aufsichtsbehörden erwarten Dokumentation, keine guten Absichten. Die gute Nachricht: Wenn Sie bereits eine DSGVO-Datenkarte führen, sind Sie zur Hälfte fertig. Fügen Sie Ihre KI-Dienste hinzu, klassifizieren Sie das Risiko, dokumentieren Sie die menschliche Aufsicht und integrieren Sie die Ergebnisse in Ihr Verarbeitungsverzeichnis. Das ist KI-Governance für KMU — praktisch, verhältnismäßig und aufgebaut auf dem Compliance-Fundament, das Sie bereits haben.