Logo
3 min Lesezeit
← Alle Insights
AlpiType
KI-Compliance & Engineering · 2026
AI Act · DSGVO · Compliance

KI ohne Audit ist Haftungsrisiko.

Engineering-Teams setzen KI-Tools ein, ohne zu wissen, ob die Tools DSGVO-konform sind, unter den AI Act fallen oder einen Auftragsverarbeitungsvertrag erfordern. Das ist seit August 2024 kein Best-Practice-Problem mehr. Es ist ein Rechtsproblem.

EU AI Act: in Kraft seit August 2024 Hochrisiko-Systeme: voll anwendbar ab August 2026
Unternehmen mit Shadow AI
65%
nicht inventarisierte KI-Tools im Einsatz
AI Act: Hochrisiko
Aug 26
Vollständige Pflichten wirksam
DSGVO-Bußgelder 2024
€1.6Mrd
EU-weit verhängt
Fehlende AVVs
~80%
bei KI-API-Nutzung ohne Vertrag
EU-KI-Amt 2024 · EDPB Enforcement Report · Forrester AI Survey Regulierungsumfeld Europa

Analyse · Rechtslage · Audit-Prozess

Ein Entwicklungsteam integriert einen KI-Coding-Assistant. Ein HR-Team nutzt ein KI-gestütztes Bewerber-Screening-Tool. Ein Medizinproduktehersteller setzt maschinelles Lernen zur Anomalie-Erkennung ein. In allen drei Fällen laufen vermutlich KI-Systeme ohne formale Klassifizierung, ohne Auftragsverarbeitungsvertrag und ohne dokumentierten Audit-Trail. Das war lange tolerierbar. Es ist es nicht mehr.

Der EU AI Act ist seit dem 1. August 2024 in Kraft. Die ersten Verbote galten ab Februar 2025. Ab August 2026 gelten die vollständigen Pflichten für Hochrisiko-KI-Systeme. Wer bis dahin kein strukturiertes Audit durchgeführt hat, riskiert nicht nur Bußgelder — er riskiert operative Unterbrechungen, weil Tools abgeschaltet werden müssen, die nicht compliant sind.

Was jetzt verbindlich ist — mit Paragraphen.

EU AI Act (Verordnung 2024/1689)

Art. 9 — Risikomanagementsystem
Anbieter und Betreiber von Hochrisiko-KI-Systemen müssen ein dokumentiertes Risikomanagementsystem einrichten und pflegen. Risiken müssen identifiziert, bewertet und mit Gegenmaßnahmen versehen werden.
Art. 13 — Transparenz und Bereitstellung von Informationen
Hochrisiko-KI-Systeme müssen so gestaltet sein, dass ihr Betrieb für Betreiber hinreichend transparent ist. Nutzer müssen verstehen, womit sie es zu tun haben — Ausgaben müssen interpretierbar sein.
Art. 17 — Qualitätsmanagementsystem
Anbieter von Hochrisiko-Systemen benötigen ein dokumentiertes QMS: Risikokontrollen, Datengovernance, technische Dokumentation, Post-Market-Monitoring. Das trifft auch interne KI-Lösungen, die intern als Hochrisiko eingestuft werden.

DSGVO (Verordnung 2016/679)

Art. 28 — Auftragsverarbeitung
Werden personenbezogene Daten an einen externen KI-Dienst übermittelt — etwa durch API-Calls mit Nutzerinhalten — ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich. Ohne AVV ist die Übermittlung rechtswidrig. Das gilt für jeden Cloud-KI-Dienst, dem Prompts mit Kundendaten, Mitarbeiterdaten oder anderen personenbezogenen Inhalten übergeben werden.
Art. 35 — Datenschutz-Folgenabschätzung (DSFA)
Verarbeitungen mit hohem Risiko für natürliche Personen — systematische Profilerstellung, Verarbeitung sensibler Daten im großen Stil, automatisierte Entscheidungen — erfordern eine DSFA vor der Inbetriebnahme. KI-gestütztes HR-Screening oder medizinische KI lösen diese Pflicht regelmäßig aus.
Art. 22 — Automatisierte Entscheidungen
Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche oder ähnlich erhebliche Auswirkungen haben, sind grundsätzlich unzulässig — außer mit ausdrücklicher Einwilligung oder gesetzlicher Grundlage. KI-gestütztes Kredit-Scoring, Bewerbungsauswahl oder Mitarbeiterbeurteilung fallen darunter.

Branchenspezifische Anforderungen

DO-178C — Luftfahrt
Software-Lebenszyklusstandard für airborne systems. KI-Komponenten in flugkritischer Software erfordern vollständige Nachvollziehbarkeit, formale Verifikation und Zertifizierungsplanung.
IEC 62304 — Medizinprodukte-Software
Softwareentwicklungsprozess für Medizingeräte. KI-Algorithmen in Diagnosesoftware oder Medizingeräten fallen unter diese Norm und erfordern Risikoklassifizierung, Validierungsdokumentation und Traceability.
ISO 26262 — Automotive
Funktionale Sicherheit für Straßenfahrzeuge. KI in ADAS-Systemen oder autonomen Fahrfunktionen muss ASIL-Anforderungen erfüllen, was KI-Modelle mit stochastischem Verhalten vor erhebliche Herausforderungen stellt.
BetrVG §87 — Mitbestimmung
Der Betriebsrat hat bei der Einführung von Systemen, die das Verhalten oder die Leistung der Arbeitnehmer überwachen, ein zwingendes Mitbestimmungsrecht. KI-gestützte Produktivitätsüberwachung, Code-Review-Auswertungen oder Anwesenheitserfassung durch KI sind mitbestimmungspflichtig — auch wenn das Tool primär als "Entwicklerwerkzeug" eingeführt wird.
Was ein Audit konkret umfasst.

Ein KI-Compliance-Audit ist kein Papierprojekt. Es beginnt mit der Frage: Welche KI-Tools sind überhaupt im Einsatz? Diese Frage ist in den meisten Unternehmen nicht trivial zu beantworten.

1
Tool-Inventar: Welche KI-Tools werden genutzt? Offiziell beschaffte und "Shadow AI" — also Tools, die Mitarbeiter eigenständig einsetzen, ohne IT-Freigabe. In vielen Unternehmen machen Shadow-AI-Tools 40–60% des tatsächlichen KI-Einsatzes aus.
2
Datenfluss-Analyse: Verlassen personenbezogene Daten das Unternehmen? Bei jedem API-Call an einen externen KI-Dienst ist dies zu prüfen. Wenn ja: Besteht ein AVV gemäß Art. 28 DSGVO? Wo werden die Daten verarbeitet und gespeichert?
3
AI Act Klassifizierung: Jedes Tool wird eingestuft — minimal risk, limited risk, high risk, oder unacceptable risk gemäß Anhang III des AI Act. Hochrisiko-Systeme erfordern sofortige Maßnahmen für die Frist August 2026.
4
Logging und Audit-Trail: Sind KI-Entscheidungen nachvollziehbar? Existiert ein Protokoll, welche Eingaben zu welchen Ausgaben geführt haben? Für Hochrisiko-Systeme ist das nach Art. 9 AI Act Pflicht.
5
Verantwortlichkeit: Gibt es eine benannte Person — AI Officer oder vergleichbar — die für KI-Compliance verantwortlich ist? Ohne klare Verantwortung sind Audit-Ergebnisse nicht umsetzbar.
6
Mitarbeiterinformation: Werden Mitarbeiter informiert, wenn KI-Tools ihre Arbeit bewerten oder überwachen? Das ist nicht nur eine DSGVO-Anforderung (Art. 13/14), sondern auch Voraussetzung für den Betriebsrat-Prozess nach BetrVG §87.
Das Problem mit Cloud-KI in regulierten Umgebungen.

Der Einsatz von Cloud-KI-Diensten in regulierten Umgebungen erzeugt strukturelle Probleme, die keine einfache Lösung haben.

Bei jedem API-Call verlassen potenziell sensible Daten das Unternehmen. Das gilt für Prompts, die Codeausschnitte mit Geschäftslogik enthalten, für HR-Anfragen mit Mitarbeiterdaten, für medizinische Anfragen mit Patienteninformationen. Der Nutzer eines KI-Assistenten denkt selten daran, was er gerade in den API-Request schreibt.

AVVs mit US-Anbietern unter EU-DSGVO sind kompliziert. Das Privacy Shield war ungültig, das EU-US Data Privacy Framework existiert, steht aber unter politischem Druck. Wer sich auf Standardvertragsklauseln stützt, muss eine Transfer Impact Assessment durchführen und dokumentieren. Das erledigen die wenigsten Teams systematisch.

In Umgebungen ohne Cloud-Zugriff — Defense, sicherheitskritische Infrastruktur, bestimmte Healthcare-Settings — scheidet Cloud-KI vollständig aus. Hier sind ausschließlich on-premise betriebene Modelle zulässig. Das ist technisch lösbar, erfordert aber andere Infrastruktur und andere Deployment-Prozesse als Cloud-Dienste.

Wie AlpiType das Audit durchführt.

Wir folgen einem strukturierten Fünf-Schritte-Prozess. Das Ergebnis ist kein Gutachten, das im Regal bleibt — sondern ein priorisierter Aktionsplan mit konkreten Maßnahmen und Zeitrahmen.

1
Tool-Inventar Alle KI-Tools werden erfasst — offiziell beschaffte und Shadow AI via Netzwerkanalyse. Wir analysieren DNS-Anfragen, Proxy-Logs und Browser-Extensions, um ein vollständiges Bild zu erhalten. Das Ergebnis: eine priorisierte Liste aller KI-Tools mit Nutzungsvolumen und erster Risikobewertung.
2
Datenfluss-Mapping Für jedes Tool: Was verlässt das Unternehmen, wohin, wann? Wir dokumentieren Datenflüsse, identifizieren personenbezogene Daten in API-Calls und prüfen den Status von AVVs und Drittlandtransfers.
3
AI Act Klassifizierung Risikostufe pro Tool gemäß EU AI Act. Wir prüfen Anhang III-Kriterien, Einsatzkontext und Auswirkungen auf natürliche Personen. Das Ergebnis: klare Klassifizierung mit Begründung und Anforderungsprofil.
4
Gap-Analyse Was fehlt? Fehlende AVVs, ausstehende DSFA, fehlende Logging-Infrastruktur, keine Responsible AI Policy, fehlende Betriebsrat-Beteiligung. Jede Lücke wird mit Rechtsgrundlage und Schweregrad bewertet.
5
Aktionsplan Priorisierte Maßnahmenliste mit Zeitrahmen: Was muss sofort, was bis August 2026, was mittelfristig erledigt werden? Output: schriftlicher Audit-Bericht, konkreter Aktionsplan, optional Pilot-Implementierung on-premise.

Der Audit-Bericht ist schriftlich und enthält alle Grundlagen, die für eine Kommunikation mit Datenschutzbehörden, Betriebsrat oder Zertifizierungsstellen erforderlich sind. Auf Wunsch begleiten wir die Umsetzung — von der AVV-Erstellung bis zur on-premise Modell-Deployment.

Technisches Gespräch vereinbaren

Wir beginnen mit einer kostenlosen Ersteinschätzung. Keine Vorabverpflichtung — Sie erhalten eine erste Bewertung Ihrer KI-Tool-Landschaft und der dringlichsten Compliance-Lücken.

Ersteinschätzung anfragen → alpitype.de
Workshop

Claude on-premise: Praxisworkshop

Lokale KI ohne Cloud-Abhängigkeit. Wir zeigen, wie Claude sicher im eigenen Rechenzentrum oder in einer Umgebung ohne Cloud-Zugriff betrieben wird — DSGVO-konform, ohne API-Key, ohne externe Datenübertragung.

Workshop-Details ansehen →
Ihr AlpiType Team Landsberg am Lech · alpitype.de
Ihr AlpiType Team · Landsberg am Lech · alpitype.de
← Alle Insights

Weiterführende Artikel

KI unter DSGVO- und Compliance-Auflagen betreiben

DSGVO und EU AI Act gleichzeitig umsetzen.

Was Sie Ihren KI-Anbietern fragen müssen

5 kritische Fragekategorien mit Rechtsgrundlage.

Darf KI Ihre Website lesen?

Rechtslage zu Scraping, TDM-Opt-out und DSGVO.

Nicht sicher, ob das auf Ihren Fall zutrifft?

Wir prüfen Ihr Setup in 2 Wochen und sagen Ihnen, ob KI machbar ist.

Machbarkeits-Audit anfragen →

Sprechen Sie mit einem Ingenieur

Kein Vertrieb. Sie sprechen direkt mit einem unserer Software-Architekten über Ihr konkretes Problem. 30 Minuten. Antwort innerhalb von 24 Stunden.

Email: info@alpitype.com

LinkedIn: AlpiType

Anton Lytvynenko

Anton Lytvynenko

CEO, AlpiType

Unsere Geschichte →
Datenschutz(erforderlich)