KI rechtssicher einsetzen DSGVO und EU AI Act 2026

Veröffentlicht: 29. Juni 2026 | von
Quick Summary (TL;DR)
Beim Einsatz von KI gelten in Unternehmen zwei Regelwerke parallel: die Datenschutz-Grundverordnung (DSGVO) für personenbezogene Daten und der EU AI Act für KI-Systeme. Vieles, was über einen vermeintlichen Stichtag im August 2026 geschrieben wurde, ist inzwischen überholt – denn mit dem Digital Omnibus hat die EU im Mai 2026 zentrale Pflichten für Hochrisiko-KI von August 2026 auf Dezember 2027 verschoben. Bereits in Kraft sind hingegen das Verbot bestimmter KI-Praktiken, die Pflicht zur KI-Kompetenz der Mitarbeitenden und die Regeln für General-Purpose-KI. Ab 2. August 2026 kommen Transparenzpflichten hinzu: Chatbots und KI-generierte Inhalte müssen erkennbar sein. Die DSGVO gilt für KI unverändert weiter.
Empfehlung: Verschaffen Sie sich zuerst einen Überblick über alle eingesetzten KI-Tools, klären Sie Datenstandort und Rechtsgrundlage – statt nur auf einzelne Stichtage zu reagieren.

Rund um den Einsatz von Künstlicher Intelligenz herrscht in vielen Unternehmen Verunsicherung – vor allem in rechtlicher Hinsicht. Zwei Regelwerke bestimmen, was erlaubt ist und was nicht: die seit Jahren etablierte Datenschutz-Grundverordnung (DSGVO) und der neue EU AI Act. Hinzu kommt, dass viel über einen vermeintlichen Stichtag im August 2026 geschrieben wurde – ein großer Teil davon ist inzwischen überholt. Denn mit dem sogenannten Digital Omnibus hat die EU im Mai 2026 wesentliche Pflichten verschoben. In diesem Beitrag ordnen wir ehrlich ein, was 2026 für österreichische Unternehmen tatsächlich gilt, was sich verschoben hat und was Sie beim DSGVO-konformen Einsatz von KI jetzt beachten sollten.

Das Wichtigste in Kürze

  • Beim KI-Einsatz gelten zwei Regelwerke parallel: die DSGVO (Datenschutz) und der EU AI Act (KI-Regulierung).
  • Bereits in Kraft: das Verbot bestimmter KI-Praktiken (seit Februar 2025) und die Pflicht zur KI-Kompetenz der Mitarbeitenden; seit August 2025 die Regeln für General-Purpose-KI.
  • Ab 2. August 2026 gelten Transparenzpflichten: Chatbots und KI-generierte Inhalte müssen als solche erkennbar sein.
  • Verschoben: Die strengen Pflichten für Hochrisiko-KI wurden per Digital Omnibus von August 2026 auf Dezember 2027 verschoben (formale Annahme noch ausstehend).
  • Die DSGVO gilt für KI unverändert – Verstöße können bis zu 20 Mio. € oder 4 % des Jahresumsatzes kosten.
  • Wichtigster erster Schritt: ein KI-Inventar erstellen, Risikoklassen bestimmen und den Datenstandort (EU-Hosting) klären.

Zwei Regelwerke, die zusammenspielen: DSGVO und EU AI Act

Wer KI im Unternehmen einsetzt, bewegt sich fast immer in zwei rechtlichen Welten gleichzeitig. Die DSGVO regelt, wie personenbezogene Daten verarbeitet werden dürfen – sie greift also immer dann, wenn eine KI mit Namen, Kundendaten, Bewerbungen oder anderen personenbezogenen Informationen arbeitet. Der EU AI Act regelt dagegen das KI-System selbst und stuft es nach seinem Risiko ein.

Beide Regelwerke können gleichzeitig gelten. Ein KI-Tool, das Bewerbungen vorsortiert, fällt unter die DSGVO (weil es personenbezogene Daten verarbeitet) und unter den EU AI Act (weil Personalauswahl als Hochrisiko-Anwendung gilt). Für die Praxis heißt das: Datenschutz und KI-Regulierung müssen zusammen gedacht werden – nicht nacheinander.

Was beim EU AI Act 2026 bereits gilt und was sich verschoben hat

Der EU AI Act tritt nicht auf einen Schlag in Kraft, sondern stufenweise. Genau hier entstand zuletzt viel Verwirrung: Ein großer Teil der Pflichten für Hochrisiko-KI, der ursprünglich für August 2026 vorgesehen war, wurde durch den Digital Omnibus nach hinten verschoben. Der folgende Überblick zeigt, was tatsächlich schon gilt – und was erst später kommt.

EU AI Act: Der Zeitplan im Überblick
  • 2. Februar 2025 Gilt

    Verbotene KI-Praktiken (z. B. Social Scoring, manipulative Systeme) sind untersagt. Zugleich gilt die Pflicht zur KI-Kompetenz: Mitarbeitende, die KI einsetzen, müssen über ausreichendes Wissen verfügen.

  • 2. August 2025 Gilt

    Die Regeln für General-Purpose-KI (GPAI) und die Governance-Strukturen der EU sind in Kraft.

  • 2. August 2026 Neu 2026

    Transparenzpflichten greifen: Chatbots und KI-generierte Inhalte müssen erkennbar sein. Für bereits bestehende Systeme gilt die Kennzeichnungspflicht ab 2. Dezember 2026.

  • 2. Dezember 2027 Verschoben

    Die strengen Pflichten für Hochrisiko-KI (Annex III, z. B. Personalauswahl, Kreditwürdigkeit, Biometrie) – per Digital Omnibus von August 2026 verschoben. Produktintegrierte Systeme folgen 2028.

Wichtig für die ehrliche Einordnung: Der Digital Omnibus wurde am 7. Mai 2026 zunächst nur vorläufig vereinbart, die formale Annahme stand zum Redaktionszeitpunkt noch aus. Der realistische Planungshorizont für Hochrisiko-KI ist damit aber Dezember 2027 – das verschafft Unternehmen mehr Zeit. Ein Grund, gar nichts zu tun, ist es nicht: Verbote, KI-Kompetenz, GPAI-Regeln und die DSGVO gelten unverändert.

Die Risikoklassen des EU AI Act einfach erklärt

Der EU AI Act reguliert nicht die Technologie an sich, sondern den jeweiligen Anwendungsfall – je nach Risiko. Vier Klassen sind entscheidend:

Verbotene KI (unannehmbares Risiko): Anwendungen wie Social Scoring oder manipulative Systeme sind grundsätzlich untersagt. Hochrisiko-KI: etwa KI in Personalauswahl, Kreditvergabe, Biometrie oder kritischer Infrastruktur – mit strengen Pflichten zu Risikomanagement, Dokumentation und menschlicher Aufsicht (hier greift die Verschiebung auf Dezember 2027). Begrenztes Risiko (Transparenzpflicht): Chatbots und KI-generierte Inhalte – sie müssen als solche gekennzeichnet werden (ab August 2026). Minimales Risiko: die große Mehrheit der Anwendungen, etwa Spamfilter oder einfache Automatisierungen – ohne besondere Pflichten.

Für die meisten kleinen und mittleren Unternehmen fällt der Großteil der KI-Nutzung in die unteren beiden Klassen. Wer kein Hochrisiko-System betreibt, hat deutlich weniger Pflichten – muss aber Transparenz und Datenschutz trotzdem einhalten.

Was DSGVO-konforme KI in der Praxis bedeutet

Sobald eine KI personenbezogene Daten verarbeitet, gilt die DSGVO vollständig – unabhängig vom EU AI Act. In der Praxis bedeutet DSGVO-konforme KI vor allem: eine gültige Rechtsgrundlage für die Verarbeitung, Transparenz gegenüber den betroffenen Personen, Datenminimierung und Zweckbindung sowie der Schutz vor rein automatisierten Entscheidungen mit erheblicher Wirkung (Art. 22 DSGVO). Mit jedem KI-Anbieter, der in Ihrem Auftrag Daten verarbeitet, brauchen Sie zudem einen Auftragsverarbeitungsvertrag (AVV).

Ein oft unterschätzter Punkt ist der Datenstandort. Viele bekannte KI-Tools – insbesondere aus den USA – übertragen Daten in Drittländer, was zusätzliche Garantien erfordert. Genau hier setzen wir als KI Agentur an: Wer auf EU-Hosting und DSGVO-konforme Anbieter setzt, reduziert dieses Risiko erheblich und behält die Kontrolle über seine Daten. Bei Verarbeitungen mit hohem Risiko kann außerdem eine Datenschutz-Folgenabschätzung (DSFA) erforderlich sein.

Was Unternehmen jetzt konkret tun sollten

Statt auf einzelne Stichtage zu reagieren, lohnt sich ein strukturierter Überblick. Mit diesen Schritten schaffen Sie eine solide Grundlage für den rechtssicheren KI-Einsatz:

Ihre Checkliste für rechtssichere KI

  • KI-Inventar erstellen: alle eingesetzten KI-Tools erfassen – auch jene, die einzelne Abteilungen „nebenbei“ nutzen.
  • Risikoklasse bestimmen: pro Tool klären, ob verboten, hochriskant, transparenzpflichtig oder minimal.
  • Mitarbeitende schulen: KI-Kompetenz ist seit Februar 2025 Pflicht, nicht Kür.
  • Rechtsgrundlage und Datenschutz prüfen: für jedes Tool, das personenbezogene Daten verarbeitet.
  • Datenstandort klären: EU-Hosting bevorzugen, Drittlandtransfers absichern.
  • Anbieterverträge prüfen: AVV abschließen und Transparenz der KI-Anbieter sicherstellen.
  • Dokumentieren: Entscheidungen und Maßnahmen nachvollziehbar festhalten.

Dieser Beitrag bietet eine allgemeine Orientierung und ersetzt keine individuelle Rechtsberatung. Welche Pflichten konkret für Ihr Unternehmen gelten, hängt von Ihren eingesetzten Systemen und Daten ab. Als KI Agentur mit Fokus auf DSGVO-konforme Lösungen und EU-Hosting begleiten wir österreichische Unternehmen dabei, KI rechtssicher und praxistauglich einzusetzen – von der ersten Bestandsaufnahme bis zur laufenden Umsetzung. Sichern Sie sich Ihre kostenlose KI-Potenzialanalyse.

Häufig gestellte Fragen (FAQ)

Gilt der EU AI Act auch für kleine Unternehmen?

Ja, grundsätzlich gilt er für alle Unternehmen, allerdings mit vereinfachten Pflichten für KMU. Diese Erleichterungen wurden zudem auf mittelgroße Unternehmen (bis 750 Mitarbeitende und 150 Mio. € Umsatz) ausgeweitet. Entscheidend für den Umfang der Pflichten ist nicht die Unternehmensgröße, sondern die Risikoklasse der eingesetzten KI.

Was ändert sich konkret am 2. August 2026?

Ab diesem Datum gelten die Transparenzpflichten: Nutzer müssen erkennen können, wenn sie mit einem Chatbot interagieren, und KI-generierte Inhalte müssen als solche gekennzeichnet werden. Außerdem tritt der überwiegende Teil des EU AI Act in Anwendung – mit Ausnahme der verschobenen Hochrisiko-Pflichten.

Wurde der EU AI Act verschoben?

Teilweise. Über den Digital Omnibus (vorläufige Einigung im Mai 2026, formale Annahme noch ausstehend) wurden die Pflichten für Hochrisiko-KI nach Annex III von August 2026 auf Dezember 2027 verschoben. Die Verbote bestimmter Praktiken sowie die Regeln für General-Purpose-KI bleiben unverändert in Kraft.

Was bedeutet DSGVO-konforme KI?

DSGVO-konforme KI bedeutet, dass personenbezogene Daten auf einer gültigen Rechtsgrundlage, transparent, datenminimierend und mit abgesichertem Datenstandort verarbeitet werden – inklusive eines Auftragsverarbeitungsvertrags mit dem Anbieter. EU-Hosting und DSGVO-konforme Anbieter erleichtern die Umsetzung erheblich.

Darf ich US-KI-Tools wie ChatGPT DSGVO-konform nutzen?

Grundsätzlich möglich, aber mit Sorgfalt. Es braucht eine Rechtsgrundlage, geeignete Garantien für den Datentransfer in Drittländer und idealerweise den Verzicht auf die Eingabe personenbezogener oder vertraulicher Daten. EU-gehostete Alternativen reduzieren das rechtliche Risiko deutlich.

Welche Strafen drohen bei Verstößen?

Bei Verstößen gegen die DSGVO drohen Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes. Beim EU AI Act sind je nach Art des Verstoßes Strafen von bis zu 35 Mio. € oder 7 % des Jahresumsatzes möglich.

Quellen: Europäische Kommission, „Navigating the AI Act“ und Umsetzungszeitplan, digital-strategy.ec.europa.eu, Stand 2026; Digital Omnibus on AI, vorläufige Einigung vom 7. Mai 2026 (formale Annahme ausstehend).

Posted in: KI
Websiteprogrammierung
Powered by gruppe *himmelreich  GDPR Cookie Compliance
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.