Datenschutz & Recht 7 Min Lesezeit

KI-Compliance-Checkliste 2025 — DSGVO und EU AI Act zusammen denken

12 konkrete Punkte zur KI-Compliance: TIA, Verträge, Risiko-Klassen, AVV, Dokumentation, Schulung, Transparenz und Logging — für den Mittelstand nutzbar.

Bild: Sora Shimazaki · Pexels License

Thorsten Heß
Thorsten Heß MOLOTOW Web Development

Kurz gesagt: DSGVO und EU AI Act lassen sich nur gemeinsam sauber umsetzen. Zwölf Punkte reichen aus, um KI-Systeme im Mittelstand rechtssicher einzuführen: Bestandsaufnahme, Risikoklasse nach AI Act, TIA, AVV, Transparenzhinweise, menschliche Aufsicht, Logging, Schulung, Löschkonzept, Marken-/Urheberrecht, Incident-Response und regelmäßige Review. Diese Liste ersetzt keine Rechtsberatung, erspart aber viele Doppelschleifen.

Der häufigste Satz, den wir in Compliance-Gesprächen hören: „Wir haben DSGVO gemacht, jetzt kommt noch der AI Act oben drauf.” Die Vorstellung ist verständlich, aber sie führt in die Irre. Denn wer die beiden Regelwerke nebeneinander abarbeitet, macht doppelte Arbeit und hat am Ende trotzdem Lücken. Wer sie zusammen denkt, spart Zeit und kommt zu belastbaren Ergebnissen. In diesem Beitrag zeigen wir Dir eine pragmatische 12-Punkte-Checkliste, die beides bedient.

Wir sind MOLOTOW Web Development aus Lahr, zertifizierte KI-Manager, und begleiten Mittelständler bei der ehrlichen Umsetzung — ohne Alarmismus, ohne leere Formalien. Wenn Du die folgende Liste einmal sauber durchgehst, weißt Du, wo Du stehst und was noch fehlt.

Warum DSGVO und AI Act zusammengehören

Die DSGVO regelt, wie Du mit personenbezogenen Daten umgehst. Der EU AI Act regelt, welche KI-Systeme Du überhaupt einsetzen darfst und unter welchen Auflagen. Die beiden Ebenen überschneiden sich in fast jeder Praxisfrage: Eine KI, die Bewerbungen vorsortiert, ist nach AI Act ein Hochrisikosystem — und gleichzeitig eine automatisierte Einzelentscheidung nach Art. 22 DSGVO. Eine KI, die Kundentickets klassifiziert, braucht eine Rechtsgrundlage (DSGVO) und eine Risiko-Einstufung (AI Act). Wer beide Brillen gleichzeitig aufsetzt, sieht das Ganze.

Mehr strukturelle Hintergründe zum AI Act findest Du in unserem Beitrag EU AI Act — Umsetzung für Unternehmen.

Die 12 Punkte — einmal der Reihe nach

1. Inventarisierung aller KI-Systeme

Bevor Du irgendetwas bewertest, brauchst Du eine vollständige Liste. Jede KI-Anwendung, jeder Co-Pilot, jedes Tool mit „AI”-Knopf. Auch Microsoft Copilot, Zoom AI Companion und der Chatbot auf der Website. Ohne Inventar keine Compliance.

2. Risiko-Klasse nach AI Act bestimmen

Der AI Act unterscheidet vier Klassen: verboten, hochriskant, begrenztes Risiko und minimales Risiko. Die meisten Mittelstands-Anwendungen landen bei „minimal” oder „begrenzt”, aber Finger weg von Annahmen — Personaleinsatz, Bewerber-Vorauswahl, Kreditwürdigkeit und biometrische Verfahren landen im Hochrisiko-Bereich. Dokumentiere die Zuordnung pro System.

3. Rechtsgrundlage nach DSGVO

Für jede KI-Anwendung, die personenbezogene Daten verarbeitet, brauchst Du eine saubere Rechtsgrundlage nach Art. 6 DSGVO — meistens berechtigtes Interesse, Vertragserfüllung oder Einwilligung. Bei besonders sensiblen Daten (Gesundheit, Religion, politische Meinung) zusätzlich Art. 9. Notiere pro System, worauf Du Dich stützt.

4. Auftragsverarbeitungsverträge (AVV)

Jeder KI-Dienstleister, bei dem personenbezogene Daten verarbeitet werden, braucht einen AVV nach Art. 28 DSGVO. OpenAI, Anthropic, Google, Microsoft — alle bieten inzwischen AVVs an. Einholen, prüfen, ablegen. Und ja, auch für den kleinen GPT-Plugin Deines Vertriebs.

5. Transfer-Impact-Assessment (TIA)

Sobald Daten die EU verlassen — bei fast allen US-Anbietern der Fall — brauchst Du ein TIA nach Schrems II. Das klingt nach Bürokratie, ist aber mit einem Standard-Template in 30 Minuten erledigt. Wichtig: Das EU-US Data Privacy Framework hilft nur, wenn der Anbieter darunter zertifiziert ist. Prüfen, dokumentieren, ablegen.

6. Datenschutz-Folgenabschätzung (DSFA)

Für Hochrisiko-Anwendungen nach AI Act ist eine DSFA nach Art. 35 DSGVO in aller Regel Pflicht. Auch wenn der AI Act formal eine eigene Konformitätsbewertung verlangt, lassen sich die beiden zusammenlegen. Eine gute DSFA deckt beides ab — spart Doppelarbeit.

7. Verarbeitungsverzeichnis aktualisieren

Dein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) muss die KI-Anwendung inklusive Zweck, Datenarten, Empfänger, Löschfristen und technischer Maßnahmen abbilden. Das wird in Prüfungen zuerst angesehen. Wenn es dort fehlt, ist der Rest Nebensache.

8. Transparenzhinweise

Der AI Act schreibt in Art. 50 Transparenz für Chatbots, KI-generierte Inhalte und emotionale Erkennungssysteme vor. Praktisch heißt das: Der Nutzer muss wissen, dass er mit einer KI interagiert. Ein dezenter Hinweis „Dieser Chatbot nutzt KI” reicht meistens, muss aber vorhanden sein. Auf Deiner Website, im Chatbot-Fenster, zu Beginn jedes Voice-Bot-Anrufs.

9. Schulungspflicht nach Art. 4 AI Act

Seit Februar 2025 gilt: Alle Beschäftigten, die KI-Systeme bedienen oder nutzen, müssen ein angemessenes Kompetenzniveau haben. Nicht jeder braucht einen akademischen Abschluss, aber jeder braucht eine dokumentierte Schulung, die zu seiner Rolle passt. Vertrieb bekommt andere Inhalte als Entwicklung, HR andere als Buchhaltung. Dokumentiere, wer wann was gelernt hat.

10. Logging und Nachvollziehbarkeit

Hochrisiko-Systeme müssen nach AI Act automatische Log-Aufzeichnungen führen. Aber auch für „normale” KI empfehlen wir: Jede Interaktion mit Kunden oder Personal wird mit Input, Output, Zeitstempel und Modellversion protokolliert. Für mindestens sechs Monate. So bist Du im Zweifelsfall handlungsfähig.

11. Human Oversight

Der AI Act verlangt bei Hochrisiko-Systemen eine „menschliche Aufsicht” — aber auch außerhalb dieses Bereichs ist sie gute Praxis. Heißt konkret: Es gibt eine benannte Person, die KI-Ausgaben stichprobenhaft prüft, Fehlerquellen dokumentiert und bei Problemen eingreifen kann. Der Name gehört in Dein internes Verzeichnis.

12. Laufende Überprüfung

Compliance ist kein Projekt, sondern ein Prozess. Einmal im Jahr einen festen Termin setzen: Inventar aktualisieren, Risiko-Klassen prüfen, Schulungsstände kontrollieren, neue Anbieter in den AVV-Prozess ziehen. Alles, was 2025 richtig war, kann 2026 aus dem Rahmen fallen.

Wo Mittelständler am häufigsten stolpern

Aus unserer Beratungsarbeit die drei Klassiker:

  1. „Wir nutzen nur ChatGPT kostenlos, da gilt das doch nicht.” Doch. Sobald Mitarbeiter personenbezogene Daten in ein KI-System eingeben, gilt die DSGVO — unabhängig vom Preis des Dienstes. Und die kostenlose Version hat in der Regel keinen AVV.
  2. „Unser Chatbot ist keine KI im Sinne des AI Act.” Schon bei regelbasierten Chatbots wird es manchmal dünn, bei LLM-gestützten Bots ist der AI Act grundsätzlich einschlägig. Die Frage ist nur, in welcher Risiko-Klasse.
  3. „Schulung machen wir, wenn Zeit ist.” Nach Art. 4 AI Act bereits verbindlich seit Februar 2025. Nicht verhandelbar und erstaunlich leicht nachzuholen mit zwei Stunden strukturierter Einführung pro Rolle.

Praktische Tipps für die Umsetzung

  • Mit einer Tabelle starten. Ein simples Excel oder Notion-Board mit den 12 Punkten als Spalten und den Systemen als Zeilen bringt Dich weiter als jedes Compliance-Tool, das Du erst konfigurieren musst.
  • Den Datenschutzbeauftragten früh einbinden. Wenn er erst ganz am Ende dazukommt, kommt meistens ein Nein, das alles zurückwirft.
  • Templates nutzen. Für DSFA, TIA und AVV gibt es verwendbare Vorlagen der Aufsichtsbehörden (BfDI, LfDI Baden-Württemberg). Rad nicht neu erfinden.
  • Dokumente an einen Ort. Compliance-Ordner mit klarer Struktur — wer in einer Prüfung drei Tage nach dem AVV sucht, hat schon verloren.

Häufige Fragen

Muss ich für jedes interne ChatGPT-Konto einen AVV abschließen?

Ja — sobald Mitarbeiter damit Arbeitsinhalte verarbeiten und personenbezogene Daten nicht ausgeschlossen sind. OpenAI bietet für ChatGPT Business und Enterprise saubere AVVs. Der kostenlose Privataccount ist für geschäftliche Nutzung schlicht nicht zulässig.

Ist mein Chatbot ein Hochrisiko-System?

In den allermeisten Fällen nein. Kundenservice-Chatbots fallen unter „begrenztes Risiko” und brauchen vor allem Transparenzhinweise. Hochrisiko wird es erst, wenn der Bot rechtsverbindliche Entscheidungen trifft oder in sensiblen Bereichen wie HR oder Kreditvergabe agiert.

Was passiert, wenn ich die Schulungspflicht ignoriere?

Der AI Act sieht Bußgelder bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes vor. Praktisch wird es bei einer ersten Verletzung selten so dramatisch — aber Schulung ist der am einfachsten nachweisbare Punkt. Wer ihn ignoriert, hat kein Argument.

Wie lange dauert die Umsetzung im Mittelstand realistisch?

Für ein Unternehmen mit 20 bis 100 Mitarbeitern rechnen wir mit vier bis sechs Wochen für eine erste saubere Runde — inklusive Inventar, Risiko-Einstufung, AVVs, Schulung und Dokumentation. Danach wird es zur Routine mit einer halbtägigen Überprüfung pro Quartal.

Fazit

KI-Compliance ist kein Zauberwerk, aber sie braucht Struktur. Wer die 12 Punkte einmal sauber durchgeht, hat ein belastbares Fundament — und kann sich in Prüfungen oder Pitches entspannt zurücklehnen. Wer lieber nicht allein durchgeht, bekommt Unterstützung über unsere KI-Beratung oder direkt über unser Kontaktformular. Ein erster Check der eigenen Lage kostet einen halben Vormittag — und spart später deutlich mehr.

Dieser Beitrag ist keine Rechtsberatung. Für verbindliche Auskünfte zu Deinem konkreten Fall wende Dich bitte an einen Fachanwalt oder eine spezialisierte Rechtsberatung.

Beitrag teilen
Thorsten Heß — Gründer MOLOTOW Web Development

Über den Autor

Thorsten Heß

Gründer · MOLOTOW Web Development

Seit über 20 Jahren beschäftige ich mich mit dem Web — von der ersten handgeschriebenen HTML-Seite bis zu komplexen KI-gestützten Plattformen. Bei MOLOTOW Web Development in Lahr entwickeln wir für kleine wie für mittelständische Unternehmen Lösungen, die nicht nur gut aussehen, sondern auch nach Jahren noch wartbar sind. Seit 2024 ergänzen wir unser Portfolio um zertifizierte KI-Beratung nach dem EU AI Act. Wenn Du eine Idee, ein Problem oder nur eine kurze Frage hast — schreib uns.

Kontakt aufnehmen Alle Blog-Beiträge

Verwandte Beiträge

ePrivacy und Tracking im Online-Shop — was nach dem Cookie-Banner-Aus erlaubt bleibt
Datenschutz & Recht

ePrivacy und Tracking im Online-Shop — was nach dem Cookie-Banner-Aus erlaubt bleibt
Cookie-Banner 2025 — was die aktuelle Rechtslage für Dich ändert
Datenschutz & Recht

Cookie-Banner 2025 — was die aktuelle Rechtslage für Dich ändert
Verpackungsgesetz und LUCID 2025 — Pflichten für Online-Shop-Betreiber
Datenschutz & Recht

Verpackungsgesetz und LUCID 2025 — Pflichten für Online-Shop-Betreiber
Lieber direkt? +49 7821 509 4500 mail@molotow-web.com