KI rechtssicher
einsetzen.
Der EU AI Act ist da. Die DSGVO gilt weiter. Und ein erheblicher Teil deiner Mitarbeiter nutzt KI-Tools längst, oft ohne offizielle Freigabe. Die Frage ist nicht, ob KI bei euch im Einsatz ist, sondern: Habt ihr klare Regeln dafür?
Wir helfen dir, KI compliant einzuführen, eine pragmatische Richtlinie aufzusetzen und dein Team für den sicheren Umgang zu schulen. Verständlich, anwendbar und ohne Paragrafenreiterei.
Über 20.000 Unternehmen und Behörden vertrauen auf uns
Finde deinen Einstieg
Egal ob du dich gerade in AI Act und DSGVO einarbeitest oder schon Richtlinien aufsetzt: Hier findest du die passende Schulung für rechtssicheren KI-Einsatz.
Zwei Fragen, deine Schulungen.
Worum geht es dir gerade?
Wie sicher bist du im Umgang mit KI?
Beantworte beide Fragen, dann erscheinen hier deine passenden Empfehlungen.
Oder steig direkt über dein Tool ein:
ChatGPT 
Microsoft Copilot 
Google Gemini 
Claude 
Open Source & Self-Hosted 
Weitere Modelle (Qwen, GLM …) Noch unsicher, welcher Kurs zu dir passt? In einer kostenlosen 15-Minuten-Einordnung finden wir ihn gemeinsam. Beratung anfragen
Compliance ist kein Kann,
sondern ein Muss.
Künstliche Intelligenz verbreitet sich schneller als die Regeln dafür. Während Unternehmen ChatGPT, Copilot und andere Tools einführen, hat die EU mit dem AI Act das erste umfassende KI-Gesetz verabschiedet. Es betrifft nicht nur Tech-Konzerne, sondern jedes Unternehmen, das KI einsetzt.
Gleichzeitig gilt die DSGVO unverändert. Personenbezogene Daten in KI-Tools einzugeben, ohne Rechtsgrundlage, ohne Auftragsverarbeitungsvertrag und ohne Wissen der Betroffenen, war schon immer heikel. Durch den massenhaften KI-Einsatz wird dieses Risiko jetzt um ein Vielfaches größer.
Das Problem ist selten die Technologie. Das Problem ist, dass die meisten Unternehmen keine klaren Regeln für den KI-Einsatz haben. Keine Richtlinie, keine Schulung, keine Übersicht darüber, wer welche Tools wie nutzt. Das ist nicht nur riskant, es wird zunehmend zum Compliance-Thema.
Die gute Nachricht: KI-Compliance ist kein Mammutprojekt. Mit einer klaren Richtlinie, den richtigen Schulungen und einem pragmatischen Governance-Ansatz nutzt du KI sicher und erfüllst gleichzeitig die Anforderungen. Wir zeigen dir, wie.
Maximale Strafe bei Verstößen gegen die Verbote des EU AI Act, alternativ 7% des weltweiten Jahresumsatzes.
Der EU AI Act verpflichtet Unternehmen, ausreichende KI-Kompetenz bei Mitarbeitenden sicherzustellen und nachzuweisen.
Beide Regelwerke gelten gleichzeitig. KI mit personenbezogenen Daten muss beide erfüllen.
Von Grundlagen über Governance bis KI-Sicherheit. Für alle Rollen und Risikoklassen.
EU AI Act: Die Fristen,
die du kennen musst.
Der EU AI Act tritt stufenweise in Kraft. Jede Stufe bringt neue Pflichten. Hier der Fahrplan und was er konkret für dein Unternehmen bedeutet.
Verbote gelten
- Social Scoring durch Behörden und Unternehmen verboten
- Manipulative KI-Systeme (Dark Patterns) untersagt
- Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum verboten
- Emotionserkennung am Arbeitsplatz und in Bildung unzulässig
Was bedeutet das für dich?
Prüfe, ob deine KI-Systeme unter die Verbotskategorien fallen. Die meisten KMU sind hier nicht betroffen, aber eine dokumentierte Prüfung ist empfehlenswert.
Transparenz & KI-Kompetenz
- KI-generierte Inhalte müssen gekennzeichnet werden
- Anbieter von General Purpose AI brauchen technische Dokumentation
- Urheberrechtsrichtlinien für Trainingsdaten erforderlich
- KI-Kompetenzpflicht nach Artikel 4 greift
Was bedeutet das für dich?
Dein Team muss wissen, wann KI-Inhalte gekennzeichnet werden müssen. Newsletter, Social Media, Kundenanschreiben: überall, wo KI-generierte Inhalte nach außen gehen.
Hochrisiko-Regeln
- Risikomanagementsysteme für Hochrisiko-KI Pflicht
- Qualitätsmanagement und menschliche Aufsicht nachweisen
- Automatisierte Entscheidungen dokumentieren und erklären
- Bußgelder bis 15 Mio. EUR oder 3% des Jahresumsatzes drohen
Was bedeutet das für dich?
Die EU hat die Hochrisiko-Pflichten mit dem Digital-Omnibus auf Ende 2027 verschoben (Stand Juni 2026, finale Verabschiedung läuft). Wenn du KI im Personalwesen, bei der Kreditvergabe, im Bewerbermanagement oder in sicherheitskritischen Bereichen einsetzt, nutz die gewonnene Zeit und bau jetzt dein Compliance-System auf.
Artikel 4 EU AI Act: KI-Kompetenz ist Pflicht.
Unternehmen müssen nachweisen, dass Mitarbeitende ausreichend geschult sind.
Die vier Risikoklassen
des EU AI Act.
Der EU AI Act stuft KI-Systeme nach ihrem Risikopotenzial ein. Je höher das Risiko, desto strenger die Anforderungen. Die meisten KI-Tools im Büroalltag fallen in „minimal“ oder „begrenzt“. Aber es gibt Ausnahmen, die du kennen musst.
Unannehmbares Risiko
VerbotenKI-Systeme, die grundlegende Rechte verletzen oder Menschen manipulieren, sind komplett verboten. Seit Februar 2025 aktiv.
Beispiele
- Social Scoring: Bewertung von Personen anhand ihres Sozialverhaltens
- Manipulative KI: Systeme, die unbewusst Verhalten beeinflussen
- Biometrische Echtzeit-Überwachung im öffentlichen Raum
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
Was heißt das für dein Unternehmen?
Für die meisten KMU nicht relevant. Vorsicht ist aber geboten: Software, die Mitarbeiterstimmung per Kamera analysiert oder Bewerber automatisch per Gesichtserkennung filtert, kann darunter fallen.
Hohes Risiko
Streng reguliertKI-Systeme in sensiblen Bereichen unterliegen umfangreichen Dokumentations-, Qualitäts- und Aufsichtspflichten. Die Pflichten greifen nach aktuellem Stand ab Dezember 2027.
Beispiele
- KI-gestützte Bewerberselektion und Personalentscheidungen
- Kreditwürdigkeitsprüfung und automatisierte Versicherungseinstufung
- KI in der kritischen Infrastruktur (Energie, Wasser, Verkehr)
- Prüfungsbewertung und Zugang zu Bildungseinrichtungen
Was heißt das für dein Unternehmen?
Hier wird es relevant: Wenn du KI im HR-Bereich für Bewerbungsscreenings nutzt oder automatisierte Kreditentscheidungen triffst, brauchst du ein dokumentiertes Risikomanagement mit menschlicher Aufsicht.
Begrenztes Risiko
TransparenzpflichtKI-Systeme, die mit Menschen interagieren oder Inhalte erzeugen, müssen transparent gekennzeichnet werden. Seit August 2025 Pflicht.
Beispiele
- Chatbots im Kundenservice: Kunden müssen wissen, dass sie mit einer KI sprechen
- KI-generierte Texte, Bilder und Videos, die veröffentlicht werden
- Deepfakes und synthetische Medien jeder Art
- Automatisierte Antworten, die wie menschlich verfasst wirken
Was heißt das für dein Unternehmen?
Das betrifft fast jedes Unternehmen. Wenn dein Marketing KI-generierte Bilder verwendet, dein Support einen Chatbot einsetzt oder dein Newsletter KI-geschriebene Texte enthält, muss das gekennzeichnet sein.
Minimales Risiko
Kaum reguliertDie große Mehrheit der KI-Anwendungen im Büroalltag. Hier gelten keine besonderen Pflichten aus dem AI Act, die DSGVO gilt aber trotzdem.
Beispiele
- ChatGPT, Copilot und Gemini für interne Texterstellung und Recherche
- KI-gestützte Rechtschreibprüfung und Übersetzung
- Bilderkennung für Produktkategorisierung im E-Commerce
- KI-basierte Spam-Filter und E-Mail-Sortierung
Was heißt das für dein Unternehmen?
Auch wenn der AI Act hier wenig verlangt: Die DSGVO gilt uneingeschränkt. Keine personenbezogenen Daten ohne Rechtsgrundlage in KI-Tools eingeben. Und Artikel 4 (KI-Kompetenz) gilt für alle Risikoklassen.
Die Einordnung ist der erste Schritt jeder Governance. Im Risikomanagement-Training klassifizieren wir gemeinsam eure konkreten KI-Anwendungen.
DSGVO und KI: Was erlaubt ist
und was nicht.
Die DSGVO wurde nicht für KI geschrieben, gilt aber uneingeschränkt. Die wichtigste Orientierung im Überblick, sortiert nach dem, was du in der Praxis am häufigsten brauchst.
In der Regel erlaubt
- KI-Tools mit Auftragsverarbeitungsvertrag (AVV) für interne Texte nutzen
- Anonymisierte oder synthetische Daten in KI-Tools verarbeiten
- Enterprise-Varianten mit deaktiviertem Training einsetzen
- KI für allgemeine Recherche ohne personenbezogene Daten
- Microsoft Copilot in der M365-Umgebung mit bestehender Lizenz
Grauzone, Einzelfallprüfung
- Kundendaten in KI-Tools mit AVV verarbeiten, Rechtsgrundlage prüfen
- KI-generierte Texte für verbindliche Kundenkommunikation
- Mitarbeiterdaten für KI-gestützte Personalplanung nutzen
- KI-Tools auf eigenen Servern, die dennoch Cloud-APIs nutzen
- Automatisierte Zusammenfassungen von Meetings mit personenbezogenen Inhalten
Klar unzulässig
- Personenbezogene Daten in kostenlosen Tools ohne AVV mit aktivem Training
- Bewerbungsunterlagen ohne Rechtsgrundlage durch KI analysieren lassen
- Gesundheitsdaten von Mitarbeitern in Cloud-KI-Tools verarbeiten
- Automatisierte Entscheidungen ohne menschliche Überprüfung (Art. 22 DSGVO)
- KI-Profile über Mitarbeiter erstellen ohne Betriebsvereinbarung
Wenn Daten das Haus nicht verlassen dürfen
In manchen Branchen ist die sicherste Cloud-Lösung trotzdem keine Option. Wenn du dem Berufsgeheimnis unterliegst, mit besonders sensiblen Daten arbeitest oder strenge Vorgaben zur Datensouveränität erfüllen musst, dann zählt vor allem eines: Die Daten dürfen den eigenen Verantwortungsbereich gar nicht erst verlassen.
Hier kommen selbst gehostete Open-Source-Modelle ins Spiel. Frei verfügbare Sprachmodelle wie Llama, Mistral, DeepSeek, Qwen oder Gemma lassen sich auf eigener Hardware oder in einer von dir kontrollierten Umgebung betreiben. Eingaben gehen dann nicht an eine externe API, sondern bleiben auf deinen Systemen. Viele dieser Modelle stehen unter offenen Lizenzen wie Apache 2.0 oder MIT, Werkzeuge zum lokalen Betrieb gibt es inzwischen reichlich.
Damit verschiebt sich die Datenschutzfrage: Statt zu prüfen, ob ein Anbieter deine Daten sicher verarbeitet, prüfst du, ob dein eigener Betrieb sauber aufgesetzt ist. Das ist kein Selbstläufer. Für Wartung, Updates, Sicherheit und die Compliance bist du dann selbst verantwortlich, und der EU AI Act gilt auch für Modelle, die du selbst betreibst. Aber für Fälle, in denen Daten schlicht im Haus bleiben müssen, ist es eine ernst zu nehmende Option neben der Cloud.
Open-Source-LLMs lokal betreibenCloud-API gegenüber On-Prem
Schnell startklar, wenig eigener Aufwand. Daten verlassen das Haus, deshalb braucht es Vertrag, Rechtsgrundlage und Vertrauen in den Anbieter.
Daten bleiben im Haus, volle Kontrolle über die Verarbeitung. Dafür trägst du Betrieb, Sicherheit und Updates selbst, und brauchst die passende IT-Kapazität.
Welcher Weg passt, hängt von Datenschutzanforderung, Risikoprofil und IT-Kapazität ab. Oft ist ein Mix sinnvoll.
„Die größte DSGVO-Gefahr bei KI ist nicht böse Absicht, sondern gutgläubige Nutzung. Wer Kundendaten in ein freies Tool eingibt, um schneller zu arbeiten, verstößt unter Umständen gegen die DSGVO. Nicht aus Nachlässigkeit, sondern aus Unwissen.“
Aus über 490 KI-Schulungen bei cmt
Die Technik ist selten das Problem.
Den Unterschied macht,
wer klare Regeln hat.
Aus über 490 KI-Schulungen bei cmt
Schatten-KI: Das Risiko,
das du nicht siehst.
Deine Mitarbeiter nutzen KI-Tools. Die Frage ist nicht ob, sondern welche, und ob du davon weißt. Schatten-KI entsteht nicht aus bösem Willen, sondern weil eine offizielle, sichere Alternative fehlt.
Datenlecks durch gutgläubige Nutzung
Ein Vertriebsmitarbeiter gibt Kundenlisten in ein freies KI-Tool ein, um Angebote schneller zu erstellen. Ein HR-Mitarbeiter lässt Bewerbungen zusammenfassen. Beides kann ein DSGVO-Verstoß sein, wenn es ohne Auftragsverarbeitungsvertrag und Rechtsgrundlage passiert.
Haftungsrisiko ohne Governance
Wer haftet, wenn eine KI-gestützte Beratung falsch ist? Wenn ein KI-Text Urheberrechte verletzt? Wenn automatisierte Entscheidungen diskriminieren? Ohne dokumentierte Prozesse und klare Verantwortlichkeiten bleibt die Verantwortung bei der Geschäftsführung.
Verstöße durch Unwissen
Viele Mitarbeiter wissen nicht, dass kostenlose Tools eingegebene Daten zum Training verwenden können. Sie wissen nicht, dass KI-generierte Inhalte gekennzeichnet werden müssen. Sie kennen die Risiken nicht, weil sie nie geschult wurden. Das ist kein Vorsatz, das ist ein Organisationsthema.
Verbot statt Steuerung
Viele Unternehmen reagieren auf Schatten-KI mit pauschalen Verboten. Das Ergebnis: Die Mitarbeiter nutzen KI trotzdem, nur eben heimlich, während Wettbewerber mit klaren Regeln davonziehen. Die Lösung ist nicht das Verbieten, sondern das Befähigen.
Schatten-KI lässt sich nicht durch Technik allein lösen. Die Firewall kann ein Tool sperren, aber nicht die Nutzung auf dem Privatgerät. Die nachhaltige Lösung: klare Regeln, freigegebene Tools und geschulte Mitarbeiter. Genau das üben wir im Schatten-KI-Workshop.
KI-Richtlinie erstellen:
In fünf Schritten zur Governance.
Du brauchst kein 100-seitiges Compliance-Dokument. Eine pragmatische KI-Richtlinie auf zwei bis drei Seiten reicht für den Start. Hier ist der Weg dorthin.
Bestandsaufnahme: Wer nutzt was?
Woche 1Bevor du Regeln aufstellst, musst du wissen, was tatsächlich passiert. Führe eine anonyme Umfrage durch: Welche KI-Tools werden genutzt, wofür, und welche Daten fließen hinein? In den meisten Unternehmen fällt das Ergebnis überraschend aus, denn es sind deutlich mehr Tools im Einsatz, als die IT-Abteilung kennt. Das ist keine Anklage, das ist der Ausgangspunkt.
Schatten-KI-WorkshopRisikoklassifizierung durchführen
Woche 2Ordne die identifizierten KI-Anwendungen den vier Risikoklassen des EU AI Act zu. Die meisten Büro-Tools fallen in die Kategorien minimal oder begrenzt. Aber prüfe genau: Nutzt ihr KI im Personalwesen, bei Kreditentscheidungen oder in der Qualitätskontrolle? Diese Bereiche können schnell in die Hochrisiko-Kategorie fallen und brauchen besondere Maßnahmen.
Risikomanagement-TrainingErlaubte Tools und Datenregeln definieren
Woche 2-3Erstelle eine Positivliste freigegebener KI-Tools mit Auftragsverarbeitungsvertrag. Definiere klar, welche Datenkategorien in welche Tools eingegeben werden dürfen. Faustregel: Keine personenbezogenen Daten ohne AVV, keine vertraulichen Geschäftsdaten in kostenlose Tools, keine Kundendaten ohne Rechtsgrundlage. Einfache Regeln, die jeder versteht.
Datenschutz-WorkshopVerantwortlichkeiten festlegen
Woche 3Bestimme eine verantwortliche Person für KI-Governance. Das muss keine Vollzeitstelle sein, aber es braucht jemanden, der die Richtlinie pflegt, Fragen beantwortet und Schulungen koordiniert. Binde den Datenschutzbeauftragten, den Betriebsrat (falls vorhanden) und die IT-Leitung ein. Dokumentiere Entscheidungen und Freigabeprozesse.
KI-Governance-TrainingSchulen, kommunizieren, iterieren
LaufendEine Richtlinie im Intranet, die niemand liest, bringt nichts. Entscheidend ist die Schulung: Jeder Mitarbeiter muss die Grundregeln kennen, verstehen und anwenden können. Plane außerdem regelmäßige Aktualisierungen ein, denn sowohl die Technologie als auch die Rechtslage entwickeln sich laufend weiter. Starte mit einer Pflichtschulung für alle KI-Nutzer und vertiefenden Workshops für Schlüsselpersonen.
Alle Compliance-KurseKlare Regeln statt Bauchgefühl?
Wir bringen dein Team auf den Stand, den Artikel 4 verlangt, und helfen bei Richtlinie und Governance. Offen, online oder inhouse.
Wenn KI nicht nur Tool, sondern Prozess werden soll.
Eine Schulung macht dein Team produktiv. Doch oft entsteht im Training die nächste Frage: Wie wird daraus ein verlässlicher Workflow für die ganze Abteilung? Genau da gehen wir über die Schulung hinaus.
KI-Beratung
Strategie und Roadmap, gedacht aus der Umsetzung. Wir wählen mit dir die richtigen Tools für deine Prozesse, setzen Leitlinien und machen KI vom Einzeltool zum Teamstandard, ohne 80-Seiten-Strategiepapier.
- Tool- & Use-Case-Auswahl
- Datenschutz & Leitlinien
- Roadmap mit Prioritäten
KI-Projektumsetzung
Kein eigenes Entwicklerteam? Wir bauen produktive KI-Lösungen, die dein Team danach selbst übernimmt: vom automatisierten Angebotsentwurf bis zum maßgeschneiderten Assistenten für eure Abläufe. Der Code gehört dir.
- Maßgeschneiderte Assistenten
- Automatisierte Workflows
- Code & Wissen bleiben bei dir
Diese Kurse starten
als Nächstes
Freie Termine aus unseren Compliance-, Governance-, Datenschutz- und KI-Sicherheits-Trainings. Alle Kurse auch als Inhouse-Training buchbar.
Monitoring von KI-Agenten: Kontrolle & Sicherheit
ISO / IEC 42001 Foundation Schulung und Zertifizierung
LLM Security: Injections erkennen & abwehren
KI Compliance Training: Praktischer Einsatz und Datenschutz
Security Copilots Grundkurs: SOC-Arbeit neu gedacht
KI-Sicherheit in der Cloud Grundkurs
Risikomanagement für KI: sicher und konform
KI Chatbots: Datenschutz, Urheberrecht und Haftung
Compliance- und Sicherheits-
Schulungen auf einen Blick
Von EU AI Act bis Schatten-KI, von Datenschutz bis KI-Sicherheit. Hier findest du alle relevanten Kurse für den rechtssicheren KI-Einsatz.
EU AI Act & Regulierung
Datenschutz & DSGVO
KI-Sicherheit & Cyber
KI-Strategie & Führung
KI-Tools sicher nutzen
Fragen zu KI-Recht
und Compliance
Ab wann gilt der EU AI Act für mein Unternehmen?
Dürfen Mitarbeiter Kundendaten in ChatGPT eingeben?
Was passiert, wenn wir den EU AI Act nicht einhalten?
Brauchen wir einen KI-Beauftragten?
Was ist der Unterschied zwischen EU AI Act und DSGVO bei KI?
Wie erstellen wir eine KI-Richtlinie für unser Unternehmen?
Ist Open-Source-KI sicherer als kommerzielle Anbieter?
Wie schulen wir unsere Mitarbeiter in KI-Compliance?
Weitere häufig gestellte Fragen und Antworten findest du in den FAQs .
Weitere KI-Themen
Compliance ist die Grundlage. Diese Seiten vertiefen weitere Aspekte der KI-Einführung.
KI-Beratung
Governance, Risikoklassen und EU AI Act mit Plan angehen. Wir bringen Struktur in deine Pflichten und die KI-Strategie.
Mehr erfahrenKI-Einstieg für Unternehmen
Von Null auf KI-kompetent. Grundlagen, erste Tools und der richtige Startpunkt für dein Team.
Mehr erfahrenKI-Strategie für den Mittelstand
Von der Idee zum Rollout. KI strategisch planen statt planlos ausprobieren.
Mehr erfahrenProzesse automatisieren mit KI
Routineaufgaben eliminieren mit KI-Agenten, n8n und intelligenter Automatisierung.
Mehr erfahrenProduktiver arbeiten mit KI
Microsoft Copilot, ChatGPT und Co. im Büroalltag. Sofort mehr Ergebnisse, weniger Routinearbeit.
Mehr erfahrenAlle 490+ KI-Kurse
Das komplette KI-Schulungsportfolio. Vom Einstieg bis zur Experten-Zertifizierung.
Mehr erfahrenKI unter eigener Kontrolle
Open-Source-LLMs selbst hosten: Datenschutz, EU AI Act, Sicherheit, Kostenvergleich. 30 Seiten PDF.
Deine Ansprechpartner
Wir beraten dich persönlich zu Schulung, Richtlinie und Governance. Kostenlos und unverbindlich.
Yves Hoppe
KI-Weiterbildung & Beratung
Begleitet dich von der Risikoklassifizierung über die KI-Richtlinie bis zur Mitarbeiterschulung.
Norbert Jansen
Beratung & Weiterbildung
Findet mit dir das passende Format, ob offene Schulung, Inhouse oder Beratung.
Bereit, KI rechtssicher
einzusetzen?
Wir finden gemeinsam den richtigen Weg, ob EU AI Act, DSGVO oder interne KI-Richtlinie. Unverbindlich, am Telefon oder persönlich.