Darf ich das überhaupt: KI-Automation zwischen DSGVO und EU AI Act
Die häufigste Bremse bei KI-Projekten ist nicht die Technik, sondern eine Frage: Darf ich das rechtlich überhaupt? Der EU AI Act klingt nach Bürokratie-Monster, die DSGVO nach Abmahnung, und am Ende lässt man es lieber ganz bleiben. Das ist verständlich, aber meistens die falsche Reaktion. Denn für die allermeisten Unternehmen ist die Lage überschaubarer, als die Schlagzeilen vermuten lassen.
In fast jedem Projekt, das ich baue, landet genau diese Frage früher oder später auf dem Tisch. Deshalb hier der nüchterne Stand, ohne Panik und ohne Verharmlosung, und keine Rechtsberatung. Ich ordne die Lage so ein, wie ich sie beim Bauen solcher Systeme erlebe.
Was der EU AI Act wirklich von dir verlangt
Der EU AI Act ist seit dem 1. August 2024 in Kraft und greift stufenweise. Der Fehler, den viele machen, ist anzunehmen, der strengste Teil träfe sie. Der volle Pflichtenkatalog gilt für Hochrisiko-Systeme, also KI in Bewerbungsauswahl, Kreditvergabe, kritischer Infrastruktur oder Biometrie. Diese Pflichten wurden mit dem Digital Omnibus nach der politischen Einigung vom Mai 2026 auf den 2. Dezember 2027 verschoben. Wenn du KI für Content, Recherche, Datenaufbereitung oder Outreach nutzt, fällst du in aller Regel nicht in diese Kategorie.
Für dich zählen zwei andere Punkte, und die gelten früher.
Seit dem 2. Februar 2025 gilt die Pflicht zur KI-Kompetenz. Wer Mitarbeitende KI-Tools nutzen lässt, egal ob in Marketing, Redaktion oder Vertrieb, muss dafür sorgen, dass sie ausreichend geschult sind, und das nachweisen können. Das ist die Pflicht, die in der Praxis am häufigsten übersehen wird, weil sie so unspektakulär klingt.
Ab dem 2. August 2026 kommen die Transparenzpflichten dazu. KI-Inhalte und Chatbots müssen als solche gekennzeichnet werden. Wer einen KI-Chatbot auf der Seite hat oder generierte Inhalte ausspielt, braucht bis dahin die passenden Hinweise.
Kurz gesagt: Für die meisten Unternehmen läuft der EU AI Act auf zwei Pflichten hinaus. KI-Kompetenz nachweisen und KI-Inhalte kennzeichnen.
Der Teil, der öfter zum Problem wird: Datenschutz
Praktisch relevanter als der AI Act ist in vielen Projekten die DSGVO. Der Knackpunkt ist fast immer derselbe: Welche Daten landen im Prompt, und wo werden sie verarbeitet?
Wer einen Kundendatensatz oder eine Bewerbung in ein KI-Tool kippt, dessen Server in den USA stehen, hat schnell ein Datenschutzproblem, das mit KI nichts zu tun hat und ihn trotzdem trifft. Entscheidend ist deshalb, wie der Datenfluss konkret aussieht. Verarbeite ich personenbezogene Daten? Wenn ja, auf welcher Rechtsgrundlage, mit welchem Anbieter und mit welchem Auftragsverarbeitungsvertrag?
Genau hier entscheidet sich, ob ein Workflow tragfähig ist oder ein Risiko.
Wie ein durchdachter Workflow das löst
An dieser Stelle zahlt sich die Bauweise aus. Ein gut gebautes System löst die meisten dieser Fragen schon beim Aufbau, bevor sie im Betrieb zum Problem werden.
Der erste Hebel ist Trennung. Personenbezogene Daten laufen nicht ungefiltert durch ein Sprachmodell, wenn sie dafür nicht gebraucht werden. Oft lässt sich der sensible Teil eines Prozesses ganz von der KI fernhalten.
Der zweite ist die Wahl des Anbieters. Es gibt KI-Modelle mit Verarbeitung in der EU und belastbaren Verträgen, und wer die Automation dahinter auf dem eigenen Server betreibt, behält die Daten ohnehin im Haus. Welcher Weg passt, hängt vom Anwendungsfall ab, aber die Entscheidung gehört in die Planung.
Dazu kommt der menschliche Freigabepunkt, der hier doppelt zahlt. Er sichert die Qualität und verhindert, dass ungeprüfte Inhalte rausgehen, die gekennzeichnet oder korrigiert werden müssten.
Und am Ende steht Dokumentation. Wer erklären kann, welche Daten wohin fließen und wer wann freigibt, erfüllt einen guten Teil der Nachweispflichten fast nebenbei.
Der ehrliche Schluss
Der rechtliche Rahmen ist selten das Hindernis, für das man ihn hält. Er verlangt vor allem eins: Systeme mit Sorgfalt zu bauen statt sie schnell zusammenzustecken. Die Anbieter, die einfach ein Tool drüberkippen, produzieren genau die Risiken, vor denen alle Angst haben. Wer den Datenfluss und die Freigabe von Anfang an mitdenkt, hat die meisten Sorgen vom Tisch, bevor sie entstehen.