0800 71 20000
Kontakt
...
KI-Compliance & Datenschutz

KI sicher und
rechtskonform einsetzen

Der EU AI Act ist da. Die DSGVO gilt weiterhin. Und 30 bis 40% deiner Mitarbeiter nutzen KI-Tools bereits ohne offizielle Freigabe. Wer jetzt nicht handelt, riskiert Bußgelder, Datenlecks und Vertrauensverlust.

Wir helfen dir, KI rechtskonform einzuführen, klare Richtlinien zu erstellen und dein Team für den sicheren Umgang zu schulen. Praxisnah, verständlich, sofort umsetzbar.

Seit 1997
EU AI Act Ready
490+ KI-Seminare
Compliance-Schulung finden Kostenlos beraten lassen

Über 20.000 Unternehmen und Behörden vertrauen auf uns

Alle Referenzen
Siemens Logo
Telekom Logo
Rheinmetall Logo
Infineon Logo
MAN Logo
Fraunhofer Logo
ADAC Logo
Munich Re Logo
Deutsche Bahn Logo
Warum jetzt handeln?

KI-Compliance ist kein Kann,
sondern ein Muss.

Künstliche Intelligenz verbreitet sich schneller als die Regeln dafür. Während Unternehmen ChatGPT, Copilot und andere Tools einführen, hat die EU mit dem AI Act das weltweit erste umfassende KI-Gesetz verabschiedet. Es betrifft nicht nur Tech-Konzerne, sondern jedes Unternehmen, das KI einsetzt.

Gleichzeitig gilt die DSGVO unverändert. Personenbezogene Daten in KI-Tools einzugeben, ohne Rechtsgrundlage, ohne Auftragsverarbeitungsvertrag, ohne Wissen der Betroffenen - das war schon immer rechtswidrig. Durch den massenhaften Einsatz von KI-Tools wird das Risiko jetzt um ein Vielfaches größer.

Das Problem ist nicht die Technologie. Das Problem ist, dass die meisten Unternehmen keine klaren Regeln für den KI-Einsatz haben. Keine Richtlinie, keine Schulung, keine Übersicht darüber, wer welche Tools wie nutzt. Das ist nicht nur riskant, sondern ab 2026 auch ein Compliance-Verstoß.

Die gute Nachricht: KI-Compliance ist kein Mammutprojekt. Mit einer klaren Richtlinie, den richtigen Schulungen und einem pragmatischen Governance-Ansatz kannst du KI sicher nutzen und gleichzeitig alle Anforderungen erfüllen. Wir zeigen dir, wie.

35 Mio.
EUR Bußgeld möglich

Maximale Strafe bei Verstößen gegen die Verbote des EU AI Act. Oder alternativ 7% des weltweiten Jahresumsatzes.

30-40%
nutzen KI ohne Freigabe

Studien zeigen: Fast jeder dritte Büroangestellte nutzt KI-Tools ohne offizielle Genehmigung des Arbeitgebers.

Art. 4
KI-Kompetenzpflicht

Der EU AI Act verpflichtet Unternehmen, ausreichende KI-Kompetenz bei Mitarbeitenden sicherzustellen und nachzuweisen.

67%
ohne KI-Richtlinie

Zwei Drittel der KMU haben noch keine interne Richtlinie für den Umgang mit KI-Tools. (Bitkom, 2025)

Zeitplan

EU AI Act: Drei Fristen,
die du kennen musst.

Der EU AI Act tritt stufenweise in Kraft. Jede Stufe bringt neue Pflichten. Hier ist der Fahrplan, und was er konkret für dein Unternehmen bedeutet.

Februar 2025 Bereits aktiv

Verbote gelten

  • Social Scoring durch Behörden und Unternehmen verboten
  • Manipulative KI-Systeme (Dark Patterns) untersagt
  • Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum verboten
  • Emotionserkennung am Arbeitsplatz und in Bildung unzulässig

Was bedeutet das für dich?
Prüfe jetzt, ob deine KI-Systeme unter die Verbotskategorien fallen. Die meisten KMU sind hier nicht betroffen, aber eine dokumentierte Prüfung ist empfehlenswert.

August 2025 Kommt bald

Transparenzpflichten

  • KI-generierte Inhalte müssen gekennzeichnet werden
  • Anbieter von General Purpose AI brauchen technische Dokumentation
  • Urheberrechtsrichtlinien für Trainingsdaten erforderlich
  • KI-Kompetenzpflicht nach Artikel 4 tritt in Kraft

Was bedeutet das für dich?
Ab jetzt muss dein Team wissen, wann KI-Inhalte als solche gekennzeichnet werden müssen. Newsletter, Social Media, Kundenanschreiben: Überall, wo KI-generierter Content nach außen geht.

August 2026 In Vorbereitung

Hochrisiko-Regeln

  • Risikomanagementsysteme für Hochrisiko-KI Pflicht
  • Qualitätsmanagement und menschliche Aufsicht nachweisen
  • Automatisierte Entscheidungen dokumentieren und erklären
  • Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes

Was bedeutet das für dich?
Wenn du KI im Personalwesen, bei der Kreditvergabe, im Bewerbermanagement oder in sicherheitskritischen Bereichen einsetzt, musst du bis dahin ein vollständiges Compliance-System aufgebaut haben.

Artikel 4 EU AI Act: KI-Kompetenz wird Pflicht.

Unternehmen müssen nachweisen, dass Mitarbeitende ausreichend geschult sind.

Schulung finden
Risikobasierter Ansatz

Die vier Risikoklassen
des EU AI Act.

Der EU AI Act stuft KI-Systeme nach ihrem Risikopotenzial ein. Je höher das Risiko, desto strenger die Anforderungen. Die meisten KI-Tools im Büroalltag fallen in die Kategorien "minimal" oder "begrenzt". Aber es gibt Ausnahmen, die du kennen musst.

Unakzeptables Risiko

Verboten

KI-Systeme, die grundlegende Rechte verletzen oder Menschen manipulieren, sind komplett verboten. Seit Februar 2025 aktiv.

Beispiele

  • Social Scoring: Bewertung von Personen durch Behörden anhand ihres Sozialverhaltens
  • Manipulative KI: Systeme, die unbewusst Verhalten beeinflussen (Dark Patterns)
  • Biometrische Echtzeit-Überwachung im öffentlichen Raum
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen

Was heißt das für dein Unternehmen?

Für die meisten KMU nicht relevant. Aber aufgepasst: Software, die Mitarbeiterstimmung per Kamera analysiert oder Bewerber automatisch per Gesichtserkennung filtert, kann darunter fallen.

Hohes Risiko

Streng reguliert

KI-Systeme in sensiblen Bereichen unterliegen umfangreichen Dokumentations-, Qualitäts- und Aufsichtspflichten. Ab August 2026 vollständig anwendbar.

Beispiele

  • KI-gestützte Bewerberselektion und Personalentscheidungen
  • Kreditwürdigkeitsprüfung und automatisierte Versicherungseinstufung
  • KI in der kritischen Infrastruktur (Energie, Wasser, Verkehr)
  • Prüfungsbewertung und Zugang zu Bildungseinrichtungen

Was heißt das für dein Unternehmen?

Hier wird es relevant: Wenn du KI im HR-Bereich für Bewerbungsscreenings nutzt oder automatisierte Kreditentscheidungen triffst, brauchst du ein dokumentiertes Risikomanagementsystem mit menschlicher Aufsicht.

Begrenztes Risiko

Transparenzpflichten

KI-Systeme, die mit Menschen interagieren oder Inhalte erzeugen, müssen transparent gekennzeichnet werden. Ab August 2025 Pflicht.

Beispiele

  • Chatbots im Kundenservice: Kunden müssen wissen, dass sie mit einer KI sprechen
  • KI-generierte Texte, Bilder und Videos, die veröffentlicht werden
  • Deepfakes und synthetische Medien jeder Art
  • Automatisierte E-Mails und Antworten, die wie menschlich verfasst wirken

Was heißt das für dein Unternehmen?

Das betrifft fast jedes Unternehmen. Wenn dein Marketing KI-generierte Bilder verwendet, dein Support einen Chatbot einsetzt oder dein Newsletter KI-geschriebene Texte enthält: Ab August 2025 muss das gekennzeichnet sein.

Minimales Risiko

Kaum reguliert

Die große Mehrheit der KI-Anwendungen im Büroalltag. Hier gelten keine besonderen Pflichten aus dem AI Act, aber die DSGVO gilt trotzdem.

Beispiele

  • ChatGPT, Copilot und Gemini für interne Texterstellung und Recherche
  • KI-gestützte Rechtschreibprüfung und Übersetzung
  • Bilderkennung für Produktkategorisierung im E-Commerce
  • KI-basierte Spam-Filter und E-Mail-Sortierung

Was heißt das für dein Unternehmen?

Auch wenn der AI Act hier wenig verlangt: Die DSGVO gilt uneingeschränkt. Keine personenbezogenen Daten ohne Rechtsgrundlage in KI-Tools eingeben. Und Artikel 4 (KI-Kompetenzpflicht) gilt für alle Risikoklassen.

Datenschutz

DSGVO und KI:
Was erlaubt ist und was nicht.

Die DSGVO wurde nicht für KI geschrieben, gilt aber uneingeschränkt. Die wichtigsten Regeln im Überblick, sortiert nach dem, was du in der Praxis am häufigsten brauchst.

In der Regel erlaubt

  • KI-Tools mit Auftragsverarbeitungsvertrag (AVV) für interne Texte nutzen
  • Anonymisierte oder synthetische Daten in KI-Tools verarbeiten
  • ChatGPT Enterprise / API mit deaktiviertem Training einsetzen
  • KI für allgemeine Recherche ohne personenbezogene Daten
  • Microsoft Copilot in der M365-Umgebung mit bestehender Lizenz

Grauzone - Einzelfallprüfung

  • Kundendaten in KI-Tools mit AVV verarbeiten (Rechtsgrundlage prüfen!)
  • KI-generierte Texte für verbindliche Kundenkommunikation
  • Mitarbeiterdaten für KI-gestützte Personalplanung nutzen
  • KI-Tools, die auf eigenen Servern laufen, aber Cloud-APIs nutzen
  • Automatisierte Zusammenfassungen von Meetings mit personenbezogenen Inhalten

Klar unzulässig

  • Personenbezogene Daten in ChatGPT Free eingeben (kein AVV, Training aktiv)
  • Bewerbungsunterlagen ohne Einwilligung durch KI analysieren lassen
  • Gesundheitsdaten von Mitarbeitern in Cloud-KI-Tools verarbeiten
  • Automatisierte Entscheidungen ohne menschliche Überprüfung (Art. 22 DSGVO)
  • KI-Profile über Mitarbeiter erstellen ohne Betriebsvereinbarung

„Die größte DSGVO-Gefahr bei KI ist nicht böse Absicht, sondern gutgläubige Nutzung. Ein Mitarbeiter, der Kundendaten in ChatGPT eingibt, um schneller zu arbeiten, verstößt gegen die DSGVO. Nicht aus Nachlässigkeit, sondern aus Unwissen.“

Aus über 200 Compliance-Beratungen bei cmt
Unsichtbare Gefahr

Shadow AI: Das Risiko,
das du nicht siehst.

Deine Mitarbeiter nutzen KI-Tools. Die Frage ist nicht ob, sondern welche, und ob du davon weißt.

30-40%
nutzen KI ohne Genehmigung

Fast jeder dritte Büroangestellte setzt KI-Tools ein, ohne dass die IT-Abteilung davon weiß.

53%
geben vertrauliche Daten ein

Mehr als die Hälfte der Shadow-AI-Nutzer hat bereits sensible Unternehmensdaten in KI-Tools eingegeben.

78%
nutzen private Accounts

Die meisten Mitarbeiter verwenden private ChatGPT-Konten. Daten landen auf Servern ohne AVV.

0%
Kontrolle ohne Richtlinie

Ohne klare KI-Richtlinie hast du keine Handhabe gegen unkontrollierte Nutzung. Verbote allein funktionieren nicht.

Datenlecks durch gutgläubige Nutzung

Ein Vertriebsmitarbeiter gibt Kundenlisten in ChatGPT ein, um Angebote schneller zu erstellen. Ein HR-Mitarbeiter lässt Bewerbungen zusammenfassen. Beides ist ein DSGVO-Verstoß, wenn es ohne Auftragsverarbeitungsvertrag passiert. Und es passiert jeden Tag in tausenden Unternehmen.

Haftungsrisiko ohne Governance

Wer haftet, wenn eine KI-generierte Kundenberatung falsch ist? Wenn ein KI-Text Urheberrechte verletzt? Wenn automatisierte Entscheidungen diskriminieren? Ohne dokumentierte Prozesse und klare Verantwortlichkeiten haftet die Geschäftsführung persönlich.

Compliance-Verstöße durch Unwissen

Die meisten Mitarbeiter wissen nicht, dass ChatGPT Free eingegebene Daten zum Training verwendet. Sie wissen nicht, dass KI-generierte Inhalte gekennzeichnet werden müssen. Sie kennen die Risiken nicht, weil sie nie geschult wurden. Das ist kein Vorsatz, das ist ein Organisationsversagen.

Wettbewerbsnachteile durch Verbot statt Steuerung

Viele Unternehmen reagieren auf Shadow AI mit generellen KI-Verboten. Das Ergebnis: Mitarbeiter nutzen KI trotzdem, aber heimlich. Und der Wettbewerber, der KI kontrolliert einsetzt, zieht davon. Die Lösung ist nicht Verbieten, sondern Befähigen mit klaren Regeln.

Shadow AI lässt sich nicht durch Technik allein lösen. Die Firewall kann ChatGPT sperren, aber nicht die mobile Nutzung auf dem Privatgerät. Die einzige nachhaltige Lösung: Klare Regeln, freigegebene Tools und geschulte Mitarbeiter.

Praxis-Leitfaden

KI-Richtlinie erstellen:
In fünf Schritten zur Governance.

Du brauchst kein 100-seitiges Compliance-Dokument. Eine pragmatische KI-Richtlinie auf zwei bis drei Seiten reicht für den Start. Hier ist der Weg dorthin.

01

Bestandsaufnahme: Wer nutzt was?

Woche 1

Bevor du Regeln aufstellst, musst du wissen, was passiert. Führe eine anonyme Umfrage durch: Welche KI-Tools werden genutzt? Wofür? Welche Daten fließen hinein? In den meisten Unternehmen ist das Ergebnis überraschend. Du wirst feststellen, dass deutlich mehr Tools im Einsatz sind, als die IT-Abteilung kennt. Das ist keine Anklage, das ist der Ausgangspunkt.

Shadow AI Workshop
02

Risikoklassifizierung durchführen

Woche 2

Ordne die identifizierten KI-Anwendungen den vier Risikoklassen des EU AI Act zu. Die meisten Büro-Tools fallen in die Kategorien minimal oder begrenzt. Aber prüfe genau: Nutzt ihr KI im Personalwesen? Bei Kreditentscheidungen? In der Qualitätskontrolle? Diese Bereiche können schnell in die Hochrisiko-Kategorie fallen und brauchen besondere Maßnahmen.

Risikomanagement Seminar
03

Erlaubte Tools und Datenregeln definieren

Woche 2-3

Erstelle eine Positivliste freigegebener KI-Tools mit Auftragsverarbeitungsvertrag. Definiere klar, welche Datenkategorien in welche Tools eingegeben werden dürfen. Faustregel: Keine personenbezogenen Daten ohne AVV, keine vertraulichen Geschäftsdaten in kostenlose Tools, keine Kundendaten ohne Rechtsgrundlage. Einfache Regeln, die jeder versteht.

Datenschutz-Workshop
04

Verantwortlichkeiten festlegen

Woche 3

Bestimme eine verantwortliche Person für KI-Governance. Das muss keine Vollzeitstelle sein, aber es braucht jemanden, der die Richtlinie pflegt, Fragen beantwortet und Schulungen koordiniert. Binde den Datenschutzbeauftragten ein, den Betriebsrat (falls vorhanden) und die IT-Leitung. Dokumentiere Entscheidungen und Freigabeprozesse.

KI Governance Seminar
05

Schulen, kommunizieren, iterieren

Laufend

Eine Richtlinie im Intranet, die niemand liest, bringt nichts. Schulung ist der Schlüssel: Jeder Mitarbeiter muss die Grundregeln kennen, verstehen und anwenden können. Plane regelmäßige Updates ein, denn sowohl die Technologie als auch die Rechtslage entwickeln sich weiter. Starte mit einer Pflichtschulung für alle KI-Nutzer und vertiefenden Workshops für Schlüsselpersonen.

Alle Compliance-Seminare
Passende Schulungen

KI-Compliance-Seminare

Die nächsten verfügbaren Termine aus unseren Compliance-, Datenschutz- und Governance-Schulungen. Alle Seminare auch als Inhouse-Training buchbar.

KI-Szenarioplanung 2028/2032: Entscheide jetzt
Logo KI-Szenarioplanung 2028/2032: Entscheide jetzt
13.04.2026
München

KI-Szenarioplanung 2028/2032: Entscheide jetzt

2 Tage
Kursdetails
Governance & Compliance KI-Strategie KI für Führungskräfte Cyber Security & KI
Häufig gestellte Fragen

Fragen zu KI-Compliance und Datenschutz

Ab wann gilt der EU AI Act für mein Unternehmen?
Der EU AI Act tritt stufenweise in Kraft. Seit Februar 2025 gelten die Verbote für KI-Systeme mit unannehmbarem Risiko. Ab August 2025 greifen Transparenzpflichten. Die Hauptregeln für Hochrisiko-KI-Systeme gelten ab August 2026. Wenn du KI in Bereichen wie Personalwesen, Kreditvergabe oder Sicherheitstechnik einsetzt, solltest du jetzt mit der Vorbereitung beginnen.
Dürfen Mitarbeiter Kundendaten in ChatGPT eingeben?
Grundsätzlich nein, zumindest nicht in der kostenlosen Version. ChatGPT Free verwendet eingegebene Daten potenziell zum Training. Mit ChatGPT Enterprise oder der API (mit Data Processing Agreement) sieht es anders aus. Entscheidend ist: Du brauchst eine klare Richtlinie, die regelt, welche Daten in welche Tools eingegeben werden dürfen. Mehr dazu im Seminar Datenschutzkonforme KI-Tools.
Was passiert, wenn wir den EU AI Act nicht einhalten?
Die Bußgelder sind gestaffelt: Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für Verstöße gegen die Verbote. Bis zu 15 Millionen Euro oder 3% für andere Verstöße. Für KMU gelten niedrigere Obergrenzen, aber auch die können existenzbedrohend sein. Wichtiger als die Strafe: Ab 2026 werden Kunden und Geschäftspartner KI-Compliance als Voraussetzung für Zusammenarbeit sehen.
Brauchen wir einen KI-Beauftragten?
Der EU AI Act schreibt keinen expliziten KI-Beauftragten vor, aber Artikel 4 verlangt ausreichende KI-Kompetenz im Unternehmen. In der Praxis empfiehlt es sich, eine verantwortliche Person zu benennen, die KI-Richtlinien pflegt, Schulungen koordiniert und als Ansprechpartner für KI-Fragen dient. Das muss keine Vollzeitstelle sein, aber es braucht jemanden mit klarer Zuständigkeit.
Was ist der Unterschied zwischen EU AI Act und DSGVO bei KI?
Die DSGVO regelt den Schutz personenbezogener Daten und gilt unabhängig davon, ob KI im Spiel ist. Der EU AI Act reguliert KI-Systeme selbst, also ihre Entwicklung, ihren Einsatz und ihre Risiken. Beide Regelwerke gelten parallel. Ein KI-System, das personenbezogene Daten verarbeitet, muss sowohl DSGVO-konform als auch AI-Act-konform sein.
Wie erstellen wir eine KI-Richtlinie für unser Unternehmen?
Starte pragmatisch: Definiere erlaubte und verbotene Tools, lege fest welche Daten eingegeben werden dürfen, bestimme Verantwortlichkeiten und dokumentiere Entscheidungen. Zwei bis drei Seiten reichen für den Anfang. In unseren Compliance-Seminaren erarbeiten Teilnehmer eine solche Richtlinie direkt im Workshop.
Ist Open-Source-KI sicherer als kommerzielle Anbieter?
Nicht automatisch. Open-Source-Modelle wie Llama oder Mistral kannst du lokal betreiben, damit bleiben Daten im Haus. Aber du bist selbst für Sicherheit, Updates und Compliance verantwortlich. Kommerzielle Anbieter wie Microsoft oder OpenAI bieten Enterprise-Verträge mit klaren Datenschutzgarantien. Die beste Lösung hängt von deinen Anforderungen, deiner IT-Kapazität und deinem Risikoprofil ab.
Wie schulen wir unsere Mitarbeiter in KI-Compliance?
Artikel 4 des EU AI Act verlangt nachweisbare KI-Kompetenz. Empfehlenswert ist ein dreistufiger Ansatz: Erstens eine Grundlagenschulung für alle Mitarbeiter, die KI nutzen. Zweitens eine vertiefte Schulung für Führungskräfte und Entscheider. Drittens spezialisierte Trainings für IT, Datenschutz und Compliance-Verantwortliche. Unsere Seminare decken alle drei Stufen ab.

Weitere häufig gestellte Fragen und Antworten findest du in den FAQs .

Weiter denken

Weitere KI-Themen

Compliance ist die Grundlage. Diese Seiten vertiefen weitere Aspekte der KI-Einführung.

KI-Einstieg für Unternehmen

Von Null auf KI-kompetent. Grundlagen, erste Tools und der richtige Startpunkt für dein Team.

Mehr erfahren

KI-Strategie für den Mittelstand

Von der Idee zum Rollout. KI strategisch planen statt planlos ausprobieren.

Mehr erfahren

Prozesse automatisieren mit KI

Routineaufgaben eliminieren mit KI-Agenten, n8n und intelligenter Automatisierung.

Mehr erfahren

Produktiver arbeiten mit KI

Microsoft Copilot, ChatGPT & Co. im Büroalltag. Sofort mehr Output, weniger Routinearbeit.

Mehr erfahren

KI im Marketing und Vertrieb

Leads generieren, Content erstellen, Kunden analysieren. Mit KI als Verstärker.

Mehr erfahren

Alle 490+ KI-Seminare

Das komplette KI-Schulungsportfolio. Vom Einstieg bis zur Experten-Zertifizierung.

Mehr erfahren

KI rechtskonform einsetzen?
Wir helfen dir dabei.

Ob EU AI Act, DSGVO oder interne KI-Richtlinie: Wir finden die passende Schulung für dein Team. Kostenlos, unverbindlich, am Telefon oder persönlich.

Inhouse-Anfrage stellen 0800 71 20000

Kostenlose Beratung · Mo-Fr 8-17 Uhr · Antwort innerhalb von 24h