Rechtsrahmen: EU AI Act, DSGVO und mehr
Verstehe die drei Sauelen des KI-Rechtsrahmens: EU AI Act, DSGVO und nationale Gesetze — und wie sie zusammenwirken.
Premium-Kursinhalt
Diese Lektion gehört zu einem Premium-Kurs. Upgrade auf Pro, um alle Premium-Kurse und Inhalte freizuschalten.
- Zugang zu allen Premium-Kursen
- 1000+ KI-Skill-Vorlagen inklusive
- Jede Woche neue Inhalte
KI-Compliance basiert nicht auf einem einzigen Gesetz, sondern auf einem Geflecht von Vorschriften, die gleichzeitig gelten. Wer nur den EU AI Act kennt, hat bestenfalls ein Drittel des Bildes.
Die drei Saeulen des KI-Rechtsrahmens
| Saeule | Gesetze | Fokus |
|---|---|---|
| KI-spezifisch | EU AI Act, KI-MIG, KoKIVO | Risikoklassen, Pflichten, Aufsicht |
| Datenschutz | DSGVO, BDSG | Personenbezogene Daten, Betroffenenrechte |
| Haftung und Produkt | Produkthaftungsrichtlinie (2024/2853) | Schadenersatz, Beweislast |
Plus sektorale Vorschriften:
- Finanzdienstleistungen: MiFID II, BaFin-Anforderungen
- Medizin: MDR (Medizinprodukteverordnung)
- Arbeitsrecht: BetrVG (Betriebsverfassungsgesetz), AGG (Gleichbehandlung)
EU AI Act: Die KI-spezifische Saeule
Der EU AI Act ist der Kern deines KI-Compliance-Systems. Die relevantesten Anforderungen:
| Pflicht | Seit wann | Betrifft |
|---|---|---|
| Verbotene KI-Praktiken (Art. 5) | Feb. 2025 | Alle |
| KI-Kompetenz (Art. 4) | Feb. 2025 | Alle KI-Nutzer |
| GPAI-Regeln (Kap. V) | Aug. 2025 | GPAI-Provider und -Nutzer |
| Transparenzpflichten (Art. 50) | Aug. 2025 | Chatbots, generative KI |
| Hochrisiko-Pflichten (Kap. III) | Aug. 2026 | Hochrisiko-Systeme |
| Eingebettete KI (Art. 6 Abs. 1) | Aug. 2027 | KI in regulierten Produkten |
✅ Quick Check: Weisst du, welche dieser Pflichten bereits fuer dein Unternehmen gelten? Art. 4 (KI-Kompetenz) und Art. 5 (Verbote) sind seit Februar 2025 aktiv — hast du darauf reagiert?
DSGVO: Die Datenschutz-Saeule
Die DSGVO gilt bei jeder KI-Anwendung, die personenbezogene Daten verarbeitet. Die wichtigsten Ueberschneidungen mit dem EU AI Act:
| Thema | DSGVO | EU AI Act | Zusammenspiel |
|---|---|---|---|
| Risikobewertung | DSFA (Art. 35) | Risikoklassen (Art. 6) | Beide erforderlich, koennen aufeinander aufbauen |
| Transparenz | Art. 13/14 (Informationspflicht) | Art. 50 (KI-Kennzeichnung) | Beide Pflichten erfuellen |
| Automatisierte Entscheidungen | Art. 22 (Widerspruchsrecht) | Art. 14 (Menschliche Aufsicht) | DSGVO strenger bei Einzelentscheidungen |
| Datenqualitaet | Art. 5 (Richtigkeit) | Art. 10 (Trainingsdaten) | Komplementaer |
| Dokumentation | Verarbeitungsverzeichnis (Art. 30) | Technische Dokumentation (Art. 11) | Beide fuehren |
Haftung: Die dritte Saeule
Die neue EU-Produkthaftungsrichtlinie (2024/2853) aendert die Spielregeln — sie trat am 9. Dezember 2024 in Kraft und muss bis Dezember 2026 in nationales Recht umgesetzt werden:
- Software ist jetzt ein Produkt — auch KI-Systeme und SaaS fallen ausdruecklich unter die Produkthaftung
- Beweislasterleichterung — Geschaedigte muessen nicht beweisen, wie die KI funktioniert
- Offenlegungspflicht — Unternehmen muessen Informationen ueber ihr KI-System herausgeben
- Verschuldensunabhaengige Haftung — bei bestimmten KI-Schaeden keine Verschuldenspruefung
Hinweis: Die urspruenglich geplante KI-Haftungsrichtlinie wurde von der EU-Kommission im Arbeitsprogramm 2025 zurueckgezogen. Der KI-spezifische Haftungsrahmen ergibt sich damit primaer aus der neuen Produkthaftungsrichtlinie und dem allgemeinen Deliktsrecht.
Was das fuer dein Compliance-System bedeutet: Du brauchst nicht nur Compliance, sondern auch eine Haftungsvorsorge: Dokumentation, Versicherung, Vertragsgestaltung.
Nationale Ebene: KI-MIG und KoKIVO
- KI-MIG: Der Kabinettsentwurf (11. Februar 2026) sieht die Bundesnetzagentur als KI-Aufsichtsbehoerde vor — das Gesetz ist noch im Parlamentsverfahren (Bundestag/Bundesrat)
- KoKIVO: Das Koordinierungs- und Kompetenzzentrum fuer die KI-Verordnung bei der BNetzA — koordiniert die Zusammenarbeit zwischen BNetzA, Datenschutzbehoerden und sektoralen Aufsichtsbehoerden und beriet Unternehmen ueber den KI-Service-Desk
- BetrVG: Betriebsrat hat Mitbestimmungsrecht bei KI-Einfuehrung (§87 Abs. 1 Nr. 6)
Rechtsrahmen-Matrix fuer dein Unternehmen
Erstelle fuer dein Unternehmen eine Uebersicht:
| KI-System | EU AI Act | DSGVO | Sektoral | Arbeitsrecht |
|---|---|---|---|---|
| ChatGPT Enterprise | Begrenztes Risiko | Ja (wenn PD) | — | §87 BetrVG |
| Recruiting-KI | Hochrisiko | Ja | AGG | §87, §94 BetrVG |
| Website-Chatbot | Begrenztes Risiko | Ja | — | — |
| KI-Kreditscoring | Hochrisiko | Ja | BaFin | — |
Key Takeaways
- Drei Saeulen: EU AI Act (KI-Risiken), DSGVO (Datenschutz), Haftungsrecht (Schadenersatz)
- Die Gesetze gelten parallel — dein Compliance-System muss alle abdecken
- Sektorale Vorschriften (BaFin, MDR) kommen hinzu — je nach Branche
- Haftungsrecht hat sich 2024 geaendert: Produkthaftungsrichtlinie 2024/2853 definiert Software/KI als Produkt, Beweislasterleichterung fuer Geschaedigte (KI-Haftungsrichtlinie wurde zurueckgezogen)
- Art. 4 KI-Kompetenz gilt fuer alle KI-Nutzer — nicht nur IT
Up Next
In der naechsten Lektion baust du die Governance-Struktur auf: Wer ist verantwortlich, welche Rollen und Gremien brauchst du, und wie sehen die Berichtswege aus?
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!