Quellenlogik: Primärquellen sind Gesetzestexte, Behördeninformationen, Verbandsleitfäden und dokumentierte Fälle. Interne Rechercheunterlagen wurden nur als redaktionelle Arbeitsgrundlage genutzt.
Einordnung und Quellenlogik
Dieser Leitfaden ist eine unternehmerische Entscheidungs- und Umsetzungsgrundlage für KMU. Er ersetzt keine individuelle Rechts-, Steuer-, Datenschutz- oder IT-Sicherheitsberatung. Gerade bei personenbezogenen Daten, Mitarbeiterdaten, Hochrisiko-KI, Berufsgeheimnissen oder Betriebsratsfragen sollte die finale Bewertung durch die jeweils zuständige Fachperson erfolgen.
Begriffsschärfe in diesem Dokument:
- Gesetzliche Pflicht: ausdrücklich oder unmittelbar aus Gesetz, Verordnung oder verbindlicher behördlicher Vorgabe ableitbar.
- Rechtliche Risikozone: nicht pauschal verboten, aber nur mit sauberer Rechtsgrundlage, Dokumentation, Verträgen und Verantwortlichkeiten vertretbar.
- Best Practice: fachlich sinnvoll, aber nicht in jedem Fall gesetzlich vorgeschrieben.
- Praktische Empfehlung: pragmatische Handlungsempfehlung für KMU, damit Unternehmer nach dem Durchgehen dieses Leitfadens konkrete nächste Schritte ableiten können.
Quellenlogik: Die im Text verlinkten Quellen verweisen nach Möglichkeit direkt auf Studien, Behördeninformationen, Gesetzestexte, Anbieterbedingungen oder dokumentierte Fälle.
Verständlichkeitsprinzip
Dieser Leitfaden verwendet Fachbegriffe nur dort, wo sie für eine Entscheidung wirklich nötig sind. Beim ersten Auftreten werden sie möglichst einfach erklärt. Wenn ein Begriff juristisch, technisch oder englisch klingt, gilt immer die praktische Frage: Was bedeutet das für mein Unternehmen konkret?
Die wichtigste Regel beim Lesen: Sie müssen nicht jeden Paragrafen oder jede technische Abkürzung auswendig kennen. Sie sollen erkennen, wo ein Risiko liegt, welche Mindestmaßnahme sinnvoll ist und wann externe Prüfung nötig wird.
KMU-Minipfad: Rechtliche Mindestkontrolle in 2 Stunden
Ziel ist nicht, aus einem KMU eine Rechtsabteilung zu machen. Ziel ist, die größten vermeidbaren Risiken sichtbar zu machen.
- Schreiben Sie alle KI-Tools auf, die offiziell oder inoffiziell genutzt werden.
- Markieren Sie rot: Kundendaten, Mitarbeiterdaten, Bewerbungen, Gesundheitsdaten, Vertragsdaten, Geschäftsgeheimnisse.
- Prüfen Sie für jedes Tool: Gibt es einen AVV/DPA? Werden Eingaben zum Training genutzt? Wo werden Daten verarbeitet?
- Erstellen Sie eine Positiv-/Negativliste zugelassener KI-Tools.
- Dokumentieren Sie eine KI-Basisschulung nach Art. 4 AI Act als Nachweismaßnahme.
- Aktualisieren Sie VVT/Datenschutzhinweise dort, wo personenbezogene Daten mit KI verarbeitet werden.
Bei HR, Kredit, Bildung, biometrischen Daten, Berufsgeheimnissen, Chatbots mit Kundenkontakt oder automatisierten Entscheidungen: keine Umsetzung ohne Datenschutzbeauftragten und spezialisierte Rechtsprüfung.
Mini-Glossar: Begriffe in diesem Modul
- EU AI Act: EU-Gesetz für den Einsatz von Künstlicher Intelligenz. Es regelt unter anderem verbotene KI-Nutzungen, Hochrisiko-KI und Transparenzpflichten.
- DSGVO: Datenschutz-Grundverordnung. Sie regelt, wie personenbezogene Daten verarbeitet werden dürfen.
- Personenbezogene Daten: Informationen, die sich auf eine bestimmte Person beziehen. Beispiel: Name, E-Mail, Kundennummer, Bewerbungsunterlagen.
- AVV / DPA: Datenschutzvertrag mit einem Dienstleister. AVV ist die deutsche Abkürzung, DPA die englische.
- VVT: Internes Verzeichnis: Welche personenbezogenen Daten verarbeitet das Unternehmen, warum und mit welchem Tool?
- DSFA: Datenschutz-Risikoanalyse bei besonders sensiblen oder riskanten Datenverarbeitungen.
- Deployer / Anwender: Das Unternehmen, das ein KI-System beruflich nutzt.
- Hochrisiko-KI: KI-Einsatz mit besonders hohen Folgen für Menschen, z. B. bei Bewerbungen, Bildung, Kredit oder Mitarbeiterbewertung.
- Betriebsrat / Mitbestimmung: In Betrieben mit Betriebsrat müssen bestimmte technische Systeme vor Einführung mit dem Betriebsrat abgestimmt werden.
- Art. 4 AI Act: Regel zur KI-Kompetenz. Unternehmen müssen dafür sorgen, dass Mitarbeiter KI verantwortungsvoll nutzen können.
- Art. 50 AI Act: Regel zur Transparenz. Nutzer müssen in bestimmten Fällen erkennen können, dass sie mit KI interagieren oder KI-Inhalte sehen.
Warum rechtliche Absicherung (Compliance) bei KI nicht optional ist
Viele KMU-Inhaber glauben: "Wir sind klein, uns betrifft das kaum." Das ist riskant, weil KI-Regeln nicht nur für Konzerne gelten. Der EU AI Act gilt für jedes Unternehmen, das KI-Systeme im beruflichen Kontext einsetzt — unabhängig von der Unternehmensgröße. Und die DSGVO ist seit 2018 in Kraft und wird aktiv durchgesetzt: In Europa wurden bisher über 7 Milliarden Euro an DSGVO-Bußgeldern verhängt.
Das Besondere an KI ist: Man kann rechtliche Risiken auslösen, ohne offiziell ein KI-Projekt gestartet zu haben. Wenn Mitarbeiter KI-Tools für berufliche Aufgaben nutzen, kann das Unternehmen je nach Kontrolle, Duldung, Weisung und Nutzungskontext als Anwender/Deployer im Sinne des EU AI Act betroffen sein. Ein bloßes mündliches Verbot reicht als Risikosteuerung regelmäßig nicht aus.
Dieses Dokument ist in drei Teile gegliedert:
- Teil A: Die 8 absoluten DON'Ts — Was verboten ist und welche Strafen drohen
- Teil B: Die Careful-Liste — 7 Risikobereiche, die besondere Sorgfalt erfordern
- Teil C: Checkliste zur rechtlichen Absicherung — 20 Fragen, die jedes KMU beantworten können muss
TEIL A: Die 8 wichtigsten Verbote und roten Risikozonen
● DON'T #1 Bewerber-Screening oder Personalentscheidungen per KI
Was ist das?
Der Einsatz von KI-Systemen zur automatisierten Vorauswahl, Bewertung oder Ablehnung von Bewerbern — oder zur Unterstützung von Entscheidungen über Beförderung, Kündigung oder Gehaltseinstufung.
Warum ist das relevant?
Der EU AI Act klassifiziert KI im Personalbereich ausdrücklich als Hochrisiko-System (Anhang III, Nr. 4). Das bedeutet: Wer solche Systeme als "Anwender" (Deployer) einsetzt, unterliegt massiven Pflichten aus Art. 26 EU AI Act: menschliche Aufsicht gewährleisten, Protokolle mindestens 6 Monate aufbewahren, betroffene Mitarbeiter informieren, Betriebsanweisung des Anbieters einhalten und Risiken melden.
Welche Strafe droht konkret?
- EU AI Act: Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes (Art. 99 Abs. 4)
- DSGVO: Bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes bei gleichzeitigem Datenschutzverstoß
- Arbeitsrechtliche Haftung bei diskriminierenden KI-Entscheidungen
Konkrete Lösungen:
- Schriftliches Verbot der KI-Nutzung im Bewerbungsprozess ohne ausdrückliche Genehmigung
- Falls KI im HR eingesetzt werden soll: Nur zertifizierte Enterprise-Lösungen mit vollständiger Compliance-Dokumentation
- Betriebsrat (sofern vorhanden) zwingend einbinden — § 87 BetrVG (Deutschland) / § 96 ArbVG (Österreich)
- Alle HR-relevanten KI-Entscheidungen müssen durch einen Menschen überprüft und dokumentiert werden
- Mitarbeiterschulung: Was im Bewerbungsbereich verboten ist und warum
● DON'T #2 Personenbezogene Kundendaten in externe KI-Systeme eingeben
Was ist das?
Namen, E-Mail-Adressen, Telefonnummern, Kaufhistorie, Supportanfragen oder andere Informationen, die einem bestimmten Kunden zuzuordnen sind, in öffentliche oder nicht-vertraglich abgesicherte KI-Tools eingeben.
Warum ist das relevant?
Die DSGVO erlaubt die Weitergabe personenbezogener Daten an Dritte nur unter strengen Voraussetzungen:
- Es muss eine Rechtsgrundlage vorliegen (Art. 6 DSGVO)
- Mit dem KI-Anbieter muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen worden sein
- Die Daten dürfen nur für den vereinbarten Zweck genutzt werden
Bei vielen kostenlosen oder privaten KI-Tools fehlen für Unternehmensdaten regelmäßig die nötigen vertraglichen und organisatorischen Voraussetzungen, insbesondere AVV/DPA, klare Zweckbindung, administrierbare Datenschutzeinstellungen und belastbare Lösch-/Kontrollmöglichkeiten. Ob Eingaben für Modellverbesserung oder Training genutzt werden, hängt vom konkreten Anbieter, Produkt, Tarif und den Einstellungen ab. Für personenbezogene Kundendaten ist das ohne Prüfung nicht vertretbar.
Welche Strafe droht konkret?
- Bußgelder bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes (Art. 83 DSGVO)
- Europaweit wurden 2024 rund 1,2 Milliarden Euro DSGVO-Bußgelder verhängt
- Reputationsschaden und Vertrauensverlust bei Kunden
Konkrete Lösungen:
- Absolute Regel: Kundendaten dürfen nur in KI-Tools mit abgeschlossenem AVV eingegeben werden
- Für gelegentliche Nutzung: Daten vor der Eingabe vollständig anonymisieren
- Enterprise-Versionen nutzen (ChatGPT Enterprise, Microsoft Copilot M365 Business) — Datenschutzgarantien vertraglich gesichert
- AVV mit dem jeweiligen KI-Anbieter vor der Nutzung abschließen oder anfordern
- In der internen KI-Richtlinie konkret auflisten, welche Daten nie eingegeben werden dürfen
● DON'T #3 Mitarbeiterdaten in nicht-freigegebene KI-Systeme eingeben
Was ist das?
Gehaltsdaten, Krankenstandsinformationen, Leistungsbeurteilungen oder andere mitarbeiterbezogene Informationen in KI-Tools eingeben — ohne dass dafür eine rechtliche Grundlage besteht.
Warum ist das relevant?
Mitarbeiterdaten sind durch das Beschäftigtendatenschutzrecht besonders geschützt — in Deutschland durch § 26 BDSG, in Österreich durch § 11 DSG. Die Eingabe in externe KI-Systeme ist nur bei klarer Rechtsgrundlage, Zweckbindung, Information der Betroffenen, geeigneter vertraglicher Absicherung und angemessenen Schutzmaßnahmen vertretbar. Bei sensiblen Mitarbeiterdaten sind die Hürden besonders hoch.
Dazu kommt: In Deutschland und Österreich unterliegt die Einführung jedes KI-Systems, das Mitarbeiterverhalten überwachen oder bewerten kann, der zwingenden Mitbestimmung des Betriebsrats (§ 87 Abs. 1 Nr. 6 BetrVG / § 96 Abs. 1 Z 3 ArbVG).
Welche Strafe droht konkret?
- DSGVO-Bußgelder (bis 20 Mio. Euro / 4 % Umsatz)
- Arbeitsgericht-Klagen durch betroffene Mitarbeiter
- Unwirksamkeit von Maßnahmen, die auf rechtswidrig erhobenen Daten basieren
Konkrete Lösungen:
- Mitarbeiterdaten kategorisch von der KI-Nutzung ausschließen — schriftlich in der KI-Richtlinie festhalten
- Betriebsrat vor Einführung jedes KI-Systems einbinden
- Bei Bedarf: Nur anonymisierte Fallbeschreibungen verwenden
- Besondere Kategorien nach Art. 9 DSGVO (Gesundheit, Religion, Gewerkschaft) dürfen grundsätzlich nicht in KI-Systeme eingegeben werden
- Mitarbeiter informieren, welche Daten über sie verarbeitet werden (Art. 13/14 DSGVO)
● DON'T #4 KI-Chatbot gegenüber Kunden ohne Kennzeichnung einsetzen
Was ist das?
Einen KI-gesteuerten Chatbot auf der Website oder im Kundendienst betreiben, ohne Nutzer darüber zu informieren, dass sie mit einer KI kommunizieren.
Warum ist das relevant?
Art. 50 EU AI Act — die Transparenzpflicht — gilt ab dem 2. August 2026: Wer ein KI-System betreibt, das direkt mit Menschen interagiert, muss diese spätestens bei der ersten Interaktion informieren, dass sie mit einer KI sprechen.
Diese Frist ist fix — auch wenn andere Teile des AI Act im Rahmen des Digital-Omnibus-Pakets verschoben werden. Art. 50-Transparenzpflichten sind von diesen Verschiebungen ausdrücklich ausgenommen.
Welche Strafe droht konkret?
- EU AI Act: Bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes
- Wettbewerbsrechtliche Abmahnungen (unlautere Täuschung)
- Vertrauensverlust bei Kunden
Konkrete Lösungen:
- Prüfen: Welche KI-Systeme interagieren direkt mit Kunden?
- Klaren Hinweis beim Start der Chatbot-Interaktion implementieren: z.B. "Hallo, ich bin [Name], der KI-Assistent von [Unternehmen]."
- Datenschutzerklärung um Abschnitt "KI-Chatbot" ergänzen
- AVV mit dem Chatbot-Anbieter prüfen und abschließen
- Frist im Kalender: Bis 1. August 2026 muss die Umsetzung abgeschlossen sein
● DON'T #5 Biometrische Echtzeit-Überwachung — ein unterschätztes Risiko
Was ist das?
KI-gestützte Kameras oder Sensoren, die Personen in öffentlich zugänglichen Räumen (Ladengeschäft, Büro, Parkplatz) in Echtzeit anhand von Gesichtserkennung oder anderen biometrischen Merkmalen identifizieren.
Was das Gesetz tatsächlich sagt — wichtige Präzisierung:
Art. 5(1)(h) EU AI Act (finale Verordnung) verbietet biometrische Echtzeit-Fernidentifizierung ausschließlich für Strafverfolgungsbehörden zu Strafverfolgungszwecken. Es handelt sich nicht um ein generelles Verbot für private Unternehmen — dieser verbreitete Irrtum kann zu falscher Rechtsargumentation führen.
Die korrekte Rechtslage für private Unternehmen (z.B. Supermärkte, Büros):
Biometrische Echtzeit-Identifizierung ist für private Unternehmen durch den AI Act nicht per se verboten, aber als Hochrisiko-KI (Anhang III) eingestuft. Das bedeutet: massiver Compliance-Aufwand (Risikomanagementsystem, CE-Kennzeichnung, technische Dokumentation, menschliche Aufsicht).
Entscheidend ist ein zweiter Rechtsrahmen: Die DSGVO Art. 9 stuft biometrische Daten als besondere Datenkategorie ein. Für deren Verarbeitung gibt es im gewerblichen Kontext (Diebstahlprävention, Zugangskontrolle etc.) in der Regel keine gültige Rechtsgrundlage. Eine freiwillige Einwilligung aller Betroffenen ist im öffentlichen Raum praktisch nicht realisierbar.
Welche Strafe droht konkret?
- Bei Verstoß gegen AI-Act-Hochrisikopflichten: Bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes
- Bei DSGVO-Verstoß (unrechtmäßige Verarbeitung biometrischer Sonderdaten): Bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes
- Die Kombination beider Rechtsrahmen macht solche Systeme für KMU faktisch kaum realisierbar
Konkrete Lösungen:
- Beim Kauf von Sicherheits- oder Analysesystemen explizit nachfragen: „Enthält dieses System biometrische Echtzeit-Erkennung?" Wenn ja: Ablehnen
- Bestehende Systeme von einem Fachbetrieb oder Rechtsanwalt prüfen lassen
- Alternative: Herkömmliche Videoüberwachung ohne biometrische Analyse bleibt unter DSGVO-Voraussetzungen (Art. 6 Abs. 1 lit. f, berechtigtes Interesse) zulässig
● DON'T #6 Emotionserkennung am Arbeitsplatz oder in der Schule
Was ist das?
KI-Systeme, die Mimik, Stimme oder andere Signale analysieren, um Emotionen, Stress oder psychische Zustände von Mitarbeitern oder Schülern zu erkennen.
Warum ist das relevant?
Art. 5 Abs. 1 lit. f EU AI Act verbietet den Einsatz von KI-Systemen zur Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen grundsätzlich. Dieses Verbot gilt seit 2. Februar 2025.
Praxisbeispiele, die unter dieses Verbot fallen: KI-Stressanalyse-Tools, Prüfungsüberwachungssoftware mit Aufmerksamkeitsanalyse, Call-Center-KI, die die "emotionale Stimmung" von Mitarbeitern trackt.
Welche Strafe droht konkret?
- EU AI Act: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes
- Zusätzlich schwere arbeitsrechtliche Konsequenzen
Konkrete Lösungen:
- Keine KI-Software kaufen oder einsetzen, die Emotionen von Mitarbeitern analysiert
- Bei Softwareprodukten gezielt nachfragen: "Analysiert diese Software Emotionen oder psychische Zustände?" Wenn ja: Ablehnen
- Bestehende Tools auf solche Funktionen prüfen und verbotene Features vertraglich deaktivieren lassen
● DON'T #7 KI-generierte Inhalte als eigene menschliche Schöpfung ausgeben
Was ist das?
Texte, Bilder, Videos oder andere KI-generierte Inhalte ohne Kennzeichnung als eigene kreative Arbeit präsentieren — oder KI-Outputs ohne Prüfung weitergeben.
Warum ist das relevant?
Drei Rechtsbereiche greifen zusammen:
1. EU AI Act Art. 50 (ab August 2026): KI-generierte Bilder, Videos und Audiodateien müssen als solche gekennzeichnet sein (maschinell erkennbares Wasserzeichen / Metadaten). Übergangsfrist: Für Systeme, die bereits vor dem 2. August 2026 auf dem Markt sind, gilt für das technische Wasserzeichen eine verlängerte Frist bis zum 2. Dezember 2026. Die Pflicht zur inhaltlichen Kennzeichnung gilt jedoch sofort ab August 2026.
2. Urheberrecht: KI-generierte Inhalte genießen keinen eigenen Urheberrechtsschutz, können aber fremdes Urheberrecht verletzen, wenn das KI-Modell mit geschütztem Material trainiert wurde.
3. Haftung für KI-Halluzinationen: KI-Systeme „halluzinieren" — sie erfinden Fakten, Quellen und Statistiken. Wer solche Inhalte unkritisch übernimmt und veröffentlicht, haftet für deren Inhalt. Ein US-Anwalt reichte 2023 einen Schriftsatz mit sechs erfundenen Gerichtsurteilen ein — und wurde sanktioniert.
Welche Strafe droht konkret?
- Wettbewerbsrechtliche Abmahnungen (Streitwerte oft 10.000–50.000 Euro)
- Schadensersatzansprüche bei KI-„Halluzinationen"
- Berufsrechtliche Konsequenzen (Anwälte, Ärzte, Steuerberater)
Konkrete Lösungen:
- Jeder KI-generierte Output muss vor Weitergabe sorgfältig geprüft werden — keine Ausnahmen
- Intern: KI-Entwürfe kennzeichnen („KI-Entwurf, geprüft von [Name] am [Datum]")
- Ab August 2026: Transparenzpflichten nach Art. 50 AI Act für direkte KI-Interaktion, Deepfakes, bestimmte synthetische Inhalte und bestimmte veröffentlichte Texte von öffentlichem Interesse prüfen; technisches Wasserzeichen/maschinenlesbare Kennzeichnung für relevante Bild-/Audio-/Videoinhalte nach den jeweils geltenden Übergangsregeln beachten
- Keine Faktenaussagen (Statistiken, Zitate, Gesetze) aus KI-Outputs ohne eigene Verifizierung weitergeben
- Interne Richtlinie: KI ist Werkzeug, nicht Autor. Die Letztverantwortung liegt immer beim Menschen.
● DON'T #8 Berufsgeheimnisse in unkonforme KI-Systeme eingeben
Anwälte, Ärzte, Zahnärzte, Apotheker, Psychologen, Therapeuten, Steuerberater, Wirtschaftsprüfer, Notare, Seelsorger — und deren Hilfspersonal (Sekretariat, IT-Beauftragte, Praktikanten).
Wenn Sie kein Berufsgeheimnisträger sind: Für Sie gelten die allgemeinen Regeln aus DON'T #2 und CAREFUL #1–#3. Dieser Abschnitt ist für Sie nicht relevant und kann übersprungen werden.
Was ist das?
Berufsgeheimnisträger unterstehen einem gesetzlichen Schweigegebot, das weit über die DSGVO hinausgeht. Wer diesem Berufsstand angehört und Mandanten- oder Patientendaten ohne rechtliche Absicherung in ein KI-System eingibt, verstößt nicht nur gegen Datenschutzrecht — sondern begeht möglicherweise eine Straftat.
Die Rechtslage in DACH:
| Land | Norm | Betroffene Berufe |
|---|---|---|
| Deutschland | §203 StGB | Ärzte, Apotheker, Anwälte, Steuerberater, Wirtschaftsprüfer, Notare, Psychologen, Seelsorger + Hilfspersonal |
| Österreich | §121 StGB + RAO + WTBG | §121 StGB: primär Gesundheitsberufe. Anwälte: RAO §9. Steuerberater/WP: WTBG §91. Enger Täterkreis als in DE. |
| Schweiz | Art. 321 StGB + nDSG | Breiter als AT: Ärzte, Anwälte, Notare, Psychologen, Pflegepersonen, Seelsorger + Hilfspersonal |
Warum reicht ein AVV allein nicht?
Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist notwendig — aber nicht ausreichend für §203 StGB. Das Gesetz verlangt zusätzlich eine explizite Verschwiegenheitsverpflichtung des KI-Anbieters und aller seiner Subunternehmer. Das ist ein eigenständiger Vertragsbestandteil, der im Standard-AVV nicht enthalten ist.
Konkret: ChatGPT Enterprise hat einen AVV. Das ist gut. Aber ohne eine explizite §203-Geheimhaltungsvereinbarung darf eine Anwaltskanzlei trotzdem keine Mandantendaten darin verarbeiten.
Welche Strafe droht konkret?
- §203 StGB (DE): Freiheitsstrafe bis 1 Jahr oder Geldstrafe; bei gewerbsmäßiger Verletzung bis 2 Jahre
- Zusätzlich: DSGVO-Bußgelder bis zu 20 Millionen Euro; berufsrechtliche Sanktionen bis zum Zulassungsentzug
- Österreich: §121 StGB analog + Kammerverfahren nach RAO/WTBG
- Schweiz: Art. 321 StGB + nDSG-Bußgelder
7 Schritte vor dem ersten KI-Einsatz (konsolidiert aus BRAK, ÖRAK, BStBK, SAV):
- Dateninventur: Welche Daten kommen in die KI? Anonyme Recherche oder Mandanten-/Patientendaten? Grundsatz: Was nicht im Wartezimmer besprochen würde, darf nicht in einen KI-Prompt.
- Anbieter-Due-Diligence: AVV vorhanden? §203-Zusatzvereinbarung vorhanden? Zero-Data-Retention (kein Modell-Training mit Mandantendaten)? EU-/CH-Serverstandort?
- US-Cloud-Prüfung: US-Anbieter sind selbst mit EU-Rechenzentrum riskant — der US CLOUD Act erlaubt US-Behörden Zugriff, unabhängig vom Serverstandort. Bei US-Anbietern: kundengesteuerte Verschlüsselung (Bring Your Own Key) prüfen.
- Infrastrukturentscheidung:
- ● Sicherste Option: On-Premise / lokale Modelle (Daten verlassen die Kanzlei/Praxis nicht)
- ● Vertretbar: BSI-C5:2026-zertifizierte EU-Cloud mit §203-Vertrag
- ● Kritisch: Multi-Tenant-US-Cloud ohne §203-Zusatzvereinbarung
- ● Verboten: Kostenlose Versionen (ChatGPT Free, Gemini Free etc.)
- Datentrennung: Mandatsdaten vor der Eingabe pseudonymisieren (Namen durch Codes ersetzen). Mandatsakte nie direkt hochladen.
- Interne KI-Policy: Schriftliche Kanzlei-/Praxisrichtlinie mit erlaubten Tools, verbotenen Datenkategorien und Prüfpflichten. Vorlagen: BStBK (DE), KSW (AT), kantonale Kammern (CH).
- EU AI Act Art. 4: Seit Februar 2025 gilt die Schulungspflicht auch für Kanzleien und Praxen. Mitarbeiter müssen KI-Output kritisch beurteilen können — das ist gesetzliche Pflicht.
Anbieter, die im Markt mit Berufsgeheimnis-, Legal- oder Sovereign-AI-Fokus auftreten:
| Anbieter | Land | Besonderheit |
|---|---|---|
| Noxtua / Beck-Noxtua | DE | §203-Vertrag, BSI C5, ISO 27001/42001, Integration beck-online |
| BEAMON AI | AT | ÖRAK-Kooperation, kein Modell-Training, EU-Daten |
| AI:ssociate | AT | ÖRAK-Kooperation, automatische Pseudonymisierung, AT-Rechtsdatenbank |
| Aleph Alpha (Pharia) | DE/EU | Sovereign AI, On-Premise-Option, erklärbare KI |
| Legartis | CH/EU | ISO 27001, CH/EU-Server, kein Modell-Training |
| Microsoft Copilot M365 Enterprise | EU | Nur Enterprise-Tier + Professional Secrecy Amendment aktiv beantragen |
Offizielle Verbandsleitlinien (zur Vertiefung):
- Deutschland: BRAK „Hinweise zum Einsatz von KI" (Jan. 2025) | BStBK FAQ „KI in der Steuerberatung" (Jan. 2026) | BÄK/KBV Hinweise (Okt. 2025)
- Österreich: ÖRAK Beschluss + Checkliste für KI-Dienstleister (Sept. 2025) | KSW KI-Governance-Leitlinie + Muster-KI-Richtlinie (2025)
- Schweiz: SAV „Wegleitung für den Umgang mit KI" (Juni 2024)
TEIL B: Die Vorsichtsliste — 7 Risikobereiche mit konkreten Maßnahmen
● CAREFUL #1 DSGVO bei KI-Projekten — VVT, AVV, DSFA
Sobald KI personenbezogene Daten verarbeitet, gelten alle DSGVO-Pflichten vollumfänglich. Die drei wichtigsten Dokumente:
Konkrete Lösungen:
- KI-Inventar erstellen: Alle genutzten KI-Tools erfassen (inkl. Schatten-KI)
- VVT für alle KI-Verarbeitungen anlegen und mindestens jährlich prüfen
- AVV mit jedem KI-Anbieter, der Kundendaten verarbeitet, abschließen
- DSFA-Prüfung bei KI im HR, mit Gesundheitsdaten oder bei automatisierten Entscheidungen
- Datenschutzerklärung anpassen, wenn KI-Tools mit Kundendaten arbeiten
- DSB (Österreich) bietet kostenlose Informationen zu DSGVO und AI Act: dsb.gv.at
● CAREFUL #2 Gratis-KI-Modelle — die unsichtbaren Risiken
Kostenlose KI-Tools sind praktisch — aber rechtlich ein Minenfeld. Werden Eingaben zum Training genutzt? Wer haftet bei Datenpannen?
Die entscheidende Frage: Nutzt der Anbieter meine Eingaben zum Training seiner Modelle?
Wichtige Unterscheidung:
- OpenAI ChatGPT Free/Plus: Standardmäßig werden Konversationen für Training genutzt. Opt-out möglich, aber: Kein AVV.
- OpenAI ChatGPT Enterprise/Team: Training ausgeschlossen. AVV verfügbar.
- Microsoft Copilot (M365 Business/Enterprise): Keine Nutzung zum Training öffentlicher Modelle. Daten bleiben im Enterprise-Tenant.
- Google Gemini Business/Workspace: Ähnliche Enterprise-Garantien wie Microsoft.
Konkrete Lösungen:
- AGB und Datenschutzerklärung jedes kostenlosen Tools prüfen: Training auf Nutzerdaten? Datenspeicherort?
- Opt-out von Training-Nutzung aktivieren, wo möglich
- Absolute Regel: In kostenlose Tools kommen nur anonymisierte Daten — niemals Kunden-, Mitarbeiter-, Vertrags- oder Finanzinformationen
- Für produktiven Unternehmenseinsatz: Bezahlte Business-/Enterprise-Versionen mit AVV
- Liste der zugelassenen und verbotenen KI-Tools intern dokumentieren
● CAREFUL #3 Bezahlte Enterprise-Modelle — DPA, Subprozessoren, Datenspeicherort
Auch bei bezahlten Enterprise-Lösungen gibt es Fallstricke. Ein Enterprise-Vertrag ist kein Freifahrtschein.
Konkrete Lösungen:
- DPA/AVV anfordern und auf DSGVO-Konformität prüfen
- Subprozessor-Liste prüfen: Verarbeitung in Drittländern?
- Datenspeicherort klären: EU-Datenresidenz-Option aktivieren wenn vorhanden
- Vertraglich sicherstellen: Anbieter informiert über Änderungen bei Subprozessoren
- Jährliche Überprüfung der vereinbarten Datenschutzstandards
● CAREFUL #4 Mitarbeiter-Monitoring durch KI — Betriebsrat ist Pflicht
KI-Systeme, die Mitarbeiteraktivitäten oder Produktivität überwachen, sind an strenge Mitbestimmungsrechte des Betriebsrats geknüpft.
§ 87 Abs. 1 Nr. 6 BetrVG (Deutschland) / § 96 Abs. 1 Z 3 ArbVG (Österreich):
Die Einführung von Systemen, die Verhalten oder Leistung von Arbeitnehmern überwachen können, unterliegt der zwingenden Mitbestimmung. Das gilt auch für Microsoft 365 Copilot wegen der Metadaten-Erfassung.
Konkrete Lösungen:
- Vor jedem KI-System prüfen: Kann dieses Tool Mitarbeiterverhalten überwachen?
- Falls ja: Betriebsrat vor der Einführung einbinden, Betriebsvereinbarung abschließen
- Mitarbeiter transparent über erfasste Daten informieren
- Klare Trennung: KI-Metadaten werden nicht für Leistungsbeurteilungen oder Kündigungsentscheidungen genutzt
- Ressourcenplanung anpassen: KI-Output-Prüfung kostet Zeit — diese muss eingeplant werden
● CAREFUL #5 KI-Kompetenz-Schulungspflicht — Art. 4 EU AI Act
Seit dem 2. Februar 2025 gilt die Schulungspflicht nach Art. 4 EU AI Act. Wer noch nicht geschult hat, hat Handlungsbedarf.
Mindestinhalte der Schulung:
- Grundlagen: Was ist KI, wie funktioniert sie (Laienverständlich)?
- Was sind "Halluzinationen" und warum sind KI-Outputs nicht automatisch korrekt?
- Welche Daten dürfen nicht eingegeben werden (DSGVO, Geschäftsgeheimnisse)?
- Welche KI-Tools sind im Unternehmen zugelassen und welche nicht?
- Menschliche Aufsicht: Jeder KI-Output muss vor Weiterverwendung geprüft werden
Nachweis: Die Schulung muss dokumentiert werden: Wer hat teilgenommen? Wann? Mit welchen Inhalten? Teilnehmerliste mit Unterschriften.
Konkrete Lösungen:
- 90-minütigen internen Workshop organisieren
- Inhalte abdecken: KI-Grundlagen, Datenschutzregeln, freigegebene Tools, Prüfpflicht, Haftung
- Teilnehmerliste und Schulungsmaterial mindestens 3 Jahre aufbewahren
- Neue Mitarbeiter bei Eintritt schulen
- Jährliche Auffrischung bei wesentlichen Änderungen
- Kostenloser Onlinekurs: appliedai.de/ki-kompetenz-kurs
● CAREFUL #6 EU AI Act Fristen-Übersicht
Bereits in Kraft (seit 2. Februar 2025) — GILT JETZT:
- Verbote für „inakzeptables Risiko" (Art. 5): Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, Social Scoring, biometrische Echtzeit-Identifizierung durch Strafverfolgungsbehörden — höchste Bußgelder (bis 35 Mio. / 7 % Umsatz)
- KI-Kompetenzpflicht (Art. 4): Schulungspflicht für alle Unternehmen, die KI einsetzen — gilt weiterhin, auch nach dem Digital Omnibus
Seit 2. August 2025 in Kraft — GILT JETZT:
- Regeln für GPAI-Modelle (General Purpose AI, Kapitel V): Gilt für Hersteller von Basismodellen wie OpenAI (GPT), Google (Gemini) und Meta (Llama). Schwellenwert für „systemisches Risiko": 10²⁵ Floating Point Operations beim Training. Diese Anbieter müssen technische Dokumentation und Transparenz über ihre Trainingsdaten bereitstellen. Für Deployer (also KMU, die diese Modelle nutzen) bedeutet das: Sie können von ihren KI-Anbietern verlangen, dass diese die für Compliance notwendigen Informationen liefern.
Ab 2. August 2026 — getrennt von der geplanten Hochrisiko-Verschiebung zu planen:
- Transparenzpflichten für KI-Chatbots (Art. 50): Kennzeichnungspflicht bei erster Interaktion
- Watermarking/Kennzeichnung für KI-generierte Bilder und Audio: Übergangsfrist bis 2. Dezember 2026 für Systeme, die vor dem 2. August 2026 bereits auf dem Markt sind
Hochrisiko-Pflichten (Annex III, HR, Bildung, Kredit) — Verschiebung nach vorläufiger Omnibus-Einigung vorgesehen:
Hinweis zum Geltungsbereich: Der EU AI Act gilt unmittelbar in allen EU-Mitgliedstaaten — also sowohl in Deutschland als auch in Österreich. Die zuständigen nationalen Marktüberwachungsbehörden (Deutschland: Bundesnetzagentur; Österreich: RTR — Rundfunk und Telekom Regulierungs-GmbH) haben noch keine belastbare Vollzugspraxis zu den geplanten Hochrisiko-Verschiebungen etabliert. Für die Schweiz gilt der EU AI Act nicht direkt — dort ist ein eigenes KI-Gesetz in Diskussion, aber noch nicht verabschiedet. Die Grundpflichten aus Datenschutz, Vertragssorgfalt und Schulung bleiben unabhängig davon relevant.
Praktisch bedeutet das: mit der voraussichtlichen Verschiebung planen, aber nicht auf Nichtvollzug spekulieren. Verbindlich ist erst die formale Annahme und Veröffentlichung.
- Annex III Hochrisiko (HR, Bildung, Kredit, Scoring): Geplant ab 2. Dezember 2027 (ursprünglich: 2. August 2026)
- Annex I Hochrisiko (in Produkten verbaut: Aufzüge, Medizingeräte etc.): Geplant ab 2. August 2028
Nach vorläufiger Omnibus-Einigung vorgesehen: Small Mid-Cap (SMC) — für viele Mittelständler relevant:
Nach der vorläufigen Omnibus-Einigung soll eine neue Unternehmenskategorie eingeführt werden:
- Definition: Weniger als 750 Mitarbeiter UND Jahresumsatz unter 150 Millionen Euro (oder Bilanzsumme unter 129 Mio. €)
- Vorgesehene Vorteile: Erleichterungen ähnlich wie bisher für KMU (<250 MA), etwa vereinfachte Konformitätsbewertung, Zugang zu Regulatory Sandboxes (Testumgebungen mit reduzierter Compliance-Last) und reduzierte Bußgeldrahmen — vorbehaltlich der finalen Fassung.
- Bedeutung für Sie: Die bisherige KMU-Grenze lag bei 250 Mitarbeitern. Mittelständische Unternehmen mit 250–750 Mitarbeitern könnten nach der finalen Fassung entlastet werden. Prüfen Sie vorsorglich, ob Sie voraussichtlich unter die SMC-Kategorie fallen.
Ebenfalls neu: Bias (systematische Verzerrung)-Korrektur in nicht-hochriskanten KI-Systemen:
Bisher war die Nutzung biometrischer Sonderdaten (Art. 9 DSGVO, z.B. Angaben zu Geschlecht, Herkunft) für KI-Training strikt auf Hochrisiko-Systeme beschränkt. Nach dem geplanten Omnibus-Ansatz soll auch bei bestimmten nicht-hochriskanten KI-Systemen ein begrenzter Spielraum zur Verarbeitung solcher Daten entstehen — ausschließlich zur Erkennung und Korrektur von Diskriminierungen (Bias-Testing) und nur unter engen Schutzvoraussetzungen. Bis zur formalen Verabschiedung bleibt diese Aussage als Planungsannahme zu behandeln. Für Unternehmen, die eigene KI-Modelle entwickeln oder anpassen, ist das ein wichtiger neuer Spielraum.
Hintergrund — Warum ändert sich der AI Act gerade?
Die Regulierungsreformen sind kein Zufall: Die EU hat erkannt, dass der gleichzeitige Vollzug von DSGVO, AI Act, NIS2 und Data Act für europäische Unternehmen — insbesondere KMU — eine kaum bewältigbare Last darstellt. Mario Draghi (Ex-EZB-Präsident) und Enrico Letta (Ex-Ministerpräsident Italien) haben in vielbeachteten Berichten (2024/2025) dokumentiert, dass Europa in eine „Innovationslücke" gegenüber USA und China gerät — und dass Überregulierung ein zentraler Treiber ist. Die EU-Kommission hat daraufhin eine 25%-Reduktion der Berichtspflichten versprochen (für KMU sogar 35%). Der Digital Omnibus ist als Umsetzungsinstrument dafür vorgesehen. Der strategische Trend deutet auf Vereinfachung hin; die konkrete Rechtslage hängt von der finalen Fassung ab.
Konkrete Lösungen:
- Compliance-Kalender anlegen: Feb. 2025 (Schulungspflicht ✓), Aug. 2026 (Chatbot-Transparenz), Dez. 2027 (Hochrisiko vorbereiten)
- Prüfen: Falle ich voraussichtlich unter die geplante SMC-Kategorie? (<750 MA, <150 Mio. €) → falls ja, kann der Compliance-Aufwand für Hochrisiko-KI nach finaler Annahme geringer werden
- Omnibus-Status verfolgen: Formale Veröffentlichung im EU-Amtsblatt abwarten (Quelle: artificialintelligenceact.eu)
- Für Hochrisiko-Themen schon jetzt vorbereiten — wer früh anfängt, ist weniger gestresst
- Aktuellen Compliance-Stand dokumentieren — Schutz bei Behördenprüfungen
Abb. 6 — EU AI Act: Die wichtigsten Fristen für KMU von Februar 2025 bis August 2028
● CAREFUL #7 Schatten-KI — das unterschätzte Datenleck
Schatten-KI bezeichnet die Nutzung von KI-Tools durch Mitarbeiter ohne Wissen oder Genehmigung des Unternehmens. Laut übereinstimmenden Erhebungen verschiedener Anbieter (Salesforce State of Data & AI Report, IBM Institute for Business Value, Microsoft Work Trend Index) nutzen 50–77 % der Mitarbeiter KI-Tools, ein erheblicher Anteil ohne IT-Genehmigung. Je nach Studie geben 35–45 % zu, explizit verbotene Tools zu verwenden. Die treibende Kraft ist nicht Böswilligkeit, sondern Produktivitätsdruck und Bequemlichkeit.
Drei konkrete Risiken:
Konkrete Lösungen:
- Schriftliche KI-Nutzungsrichtlinie mit Positiv- und Negativliste und klarer Begründung
- Mitarbeiter schulen und Richtlinie unterschreiben lassen (Nachweis der Kenntnisnahme)
- IT-Dienstleister: Browser-Extensions technisch einschränken (Whitelisting-Strategie)
- Realistische Enterprise-Alternativen anbieten — gutes freigegebenes Tool senkt die Versuchung
- Regelmäßige Kommunikation in Teammeetings — nicht einmalig, sondern dauerhaft
- Konsequenzen kommunizieren: Vorsätzliche Eingabe von Kundendaten in verbotene Tools (trotz Schulung) kann als grobe Fahrlässigkeit gewertet werden
Abb. 7 — Der Schatten-KI-Eisberg: Offiziell freigegebene Tools sind nur die sichtbare Spitze
TEIL C: Compliance-Checkliste "Bin ich compliant?"
Anleitung: Beantworte jede Frage mit Ja, Nein oder Noch nicht. Für jedes "Nein" oder "Noch nicht" besteht Handlungsbedarf.
Grundlegende Maßnahmen
| # | Frage | Status |
|---|---|---|
| 1 | Ich habe ein KI-Inventar: Ich weiß, welche KI-Tools meine Mitarbeiter für berufliche Zwecke nutzen (auch nicht-offizielle). | ☐ Ja / ☐ Nein |
| 2 | Ich habe eine schriftliche KI-Nutzungsrichtlinie, die alle Mitarbeiter kennen und deren Kenntnisnahme dokumentiert ist. | ☐ Ja / ☐ Nein |
| 3 | Ich habe eine Schulung zum Thema KI-Kompetenz (Art. 4 EU AI Act) durchgeführt und dokumentiert (Teilnehmerliste, Datum, Inhalte). | ☐ Ja / ☐ Nein |
| 4 | Alle KI-Tools mit Kundendaten-Zugriff haben einen gültigen AVV nach Art. 28 DSGVO. | ☐ Ja / ☐ Nein |
Verbote — Diese Fragen sollten mit Nein beantwortet werden
| # | Frage | Status |
|---|---|---|
| 5 | Mein Unternehmen nutzt KI für automatisierte Personalentscheidungen ohne vollständige AI-Act-Hochrisiko-Compliance. | ☐ Ja (Handlungsbedarf!) / ☐ Nein |
| 6 | Mitarbeiter geben Kundendaten regelmäßig in kostenlose KI-Tools ein (ohne AVV). | ☐ Ja (Handlungsbedarf!) / ☐ Nein |
| 7 | Wir setzen Kameras zur biometrischen Echtzeit-Erkennung in öffentlich zugänglichen Räumen ein. | ☐ Ja (Handlungsbedarf!) / ☐ Nein |
| 8 | Wir nutzen KI-Tools, die Emotionen oder psychische Zustände von Mitarbeitern analysieren. | ☐ Ja (Handlungsbedarf!) / ☐ Nein |
Transparenz & Kennzeichnung
| # | Frage | Status |
|---|---|---|
| 9 | Unser KI-Chatbot informiert Nutzer vor der ersten Interaktion, dass sie mit einer KI sprechen (Vorbereitung auf Art. 50, Frist 2.8.2026). | ☐ Ja / ☐ Noch nicht / ☐ Kein Chatbot |
| 10 | KI-generierte Inhalte werden intern als solche dokumentiert und von einer Person geprüft. | ☐ Ja / ☐ Nein |
Datenschutz-Dokumentation
| # | Frage | Status |
|---|---|---|
| 11 | Das VVT enthält Einträge für alle KI-Verarbeitungen mit personenbezogenen Daten. | ☐ Ja / ☐ Nein |
| 12 | Ich habe geprüft, ob für unsere KI-Nutzung eine DSFA erforderlich ist. | ☐ Ja / ☐ Nein |
| 13 | Unsere Datenschutzerklärung enthält Informationen über den Einsatz von KI-Tools. | ☐ Ja / ☐ Nein |
Mitarbeiter & Betriebsrat
| # | Frage | Status |
|---|---|---|
| 14 | Falls Betriebsrat vorhanden: Dieser wurde vor Einführung von KI-Tools eingebunden und eine Betriebsvereinbarung wurde abgeschlossen. | ☐ Ja / ☐ Kein Betriebsrat |
| 15 | KI-Tools werden nicht zur systematischen Leistungsüberwachung einzelner Mitarbeiter genutzt. | ☐ Ja / ☐ Nein |
| 16 | Mitarbeiter wurden informiert, welche Daten durch KI-Tools über sie verarbeitet werden. | ☐ Ja / ☐ Nein |
Technische Absicherung
| # | Frage | Status |
|---|---|---|
| 17 | Für den produktiven Einsatz mit Unternehmensdaten nutze ich ausschließlich Enterprise-Versionen mit Datenschutzgarantien. | ☐ Ja / ☐ Nein |
| 18 | Der Datenspeicherort unserer Enterprise-KI-Tools ist bekannt und DSGVO-konform (bevorzugt EU/EWR). | ☐ Ja / ☐ Nein |
Haftung & Governance
| # | Frage | Status |
|---|---|---|
| 19 | Es ist klar definiert, wer in unserem Unternehmen für KI-Compliance verantwortlich ist (eine konkrete Person). | ☐ Ja / ☐ Nein |
| 20 | Wir haben einen Prozess für den Fall, dass ein KI-generierter Fehler einen Schaden verursacht hat (Dokumentation, Meldung, Behebung). | ☐ Ja / ☐ Nein |
Auswertung:
ANHANG A: Regulatorischer Hintergrund — Warum ändert sich der AI Act gerade?
Für Unternehmer, die verstehen wollen, warum der AI Act seit seiner Verabschiedung bereits mehrfach nachjustiert wird und wohin der Trend geht:
Der Draghi- und der Letta-Bericht (2024/2025) haben die europäische Regulierungsdiskussion fundamental verschoben. Mario Draghi (Ex-EZB-Präsident) diagnostizierte in seinem Bericht zur EU-Wettbewerbsfähigkeit, dass Europa gegenüber USA und China in eine „Innovationslücke" gefallen sei — nicht wegen mangelnder Forschung, sondern weil sich Unternehmen nicht skalieren lassen, wenn sie gleichzeitig DSGVO, AI Act, NIS2, Data Act und DORA einhalten müssen. Enrico Letta (Ex-Ministerpräsident Italien) ergänzte, dass insbesondere KMU unverhältnismäßig hohe Compliance-Kosten tragen.
Das politische Ergebnis: Die EU-Kommission hat sich zu einer 25%-Reduktion der Berichtspflichten verpflichtet (für KMU sogar 35%). Der Digital Omnibus ist als Umsetzungsinstrument dafür vorgesehen. Der strategische Trend deutet auf Vereinfachung hin; die konkrete Rechtslage hängt von der finalen Fassung ab. Unternehmen, die jetzt mit moderaten Compliance-Maßnahmen beginnen, sind gut positioniert — eine vollständige Compliance-Panik ist nicht angebracht.
ANHANG B: Die Quasi-Hersteller-Falle — für die wenigen, die KI selbst anpassen
Der EU AI Act (Art. 25) definiert: Wer ein KI-System wesentlich verändert, wird rechtlich selbst zum Anbieter (Provider) — mit allen Pflichten, die sonst nur Hersteller wie OpenAI oder Microsoft haben: technische Dokumentation, Risikomanagementsystem, CE-Kennzeichnung.
Drei Auslöser für diesen Rollenwechsel:
- Das System läuft unter dem eigenen Unternehmenslogo / der eigenen Marke im Markt (White-Labeling)
- Der Einsatzzweck wird so geändert, dass das System zum Hochrisiko-System wird (z.B. ein allgemeines Textmodell wird für automatisierte Bewerberselektion eingesetzt)
- Eine technische Änderung (Fine-Tuning, Erweiterung) verändert die Systemeigenschaften wesentlich
Für Unternehmen, die einen Softwareanbieter beauftragen, ein „eigenes" KI-Tool zu bauen: Vertraglich klären, wer dabei die Anbieter-Pflichten übernimmt. Diese Frage ist oft nicht geregelt.
ANHANG C: Weiterführende Ressourcen
Offizielle Quellen:
- EU AI Act Volltext: EUR-Lex, Verordnung (EU) 2024/1689
- EU-Kommission: AI Literacy — Questions & Answers
- Rat der EU: Digital Omnibus / AI-Act-Vereinfachung, Provisional Agreement 7. Mai 2026
- Österreichische Datenschutzbehörde (DSB) zu KI: dsb.gv.at
- DSB: FAQ zu KI und Datenschutz: dsb.gv.at/faqs
- Bitkom Umsetzungsleitfaden KI-Verordnung: bitkom.org
- GDD-Musterrichtlinie KI (kostenlos): gdd.de
- Kostenloser Online-Kurs KI-Kompetenz für KMU: appliedai.de/ki-kompetenz-kurs
Herausgeber: x10aix.tech — Projekt der Dräxler Versicherungsberatung GmbH
Anschrift: Hetzendorfer Strasse 73a, 1120 Wien
Kontakt: contact@x10aix.tech
Erstellt: Juni 2026 | Version 2.6 — Quellenrevision, Fristen- und Art.-4-Hinweise auf Primärquellen gestützt.
Haftungsausschluss: Diese Publikation wurde mit Unterstützung von KI erstellt und stellt eine allgemeine, unverbindliche Information dar. Die Inhalte ersetzen keine individuelle rechtliche oder unternehmerische Beratung. Alle Rechtsangaben entsprechen dem Stand Juni 2026 und können sich durch Gesetzesänderungen (insbesondere durch das Digital-Omnibus-Paket) ändern.
Benachrichtigung bei neuer Version — keine Werbung, kein Spam.
Sie wollen wissen, wo Ihr Unternehmen aktuell steht?
In einem AI Sounding Board prüfen wir gemeinsam, welche KI-Nutzung bei Ihnen bereits stattfindet, wo Risiken entstehen und welche nächsten Schritte wirtschaftlich sinnvoll sind.
▸ AI Sounding Board anfragen