Welche Compliance-Software brauchen deutsche Unternehmen für die KI-Verordnung? Kurzantwort: eine Plattform, die ein Inventar aller eingesetzten KI-Systeme führt, jedes System nach dem Risikoschema des AI Act klassifiziert (verboten, hochriskant, begrenztes Risiko, minimales Risiko), für Hochrisiko-Systeme die geforderten Nachweise und — wo einschlägig — die Grundrechte-Folgenabschätzung (FRIA) dokumentiert und die Überschneidung mit der DSGVO abbildet, insbesondere bei automatisierten Entscheidungen nach Art. 22 DSGVO. Die zentrale Frist rückt näher: Ab dem 2. August 2026 gelten die Pflichten für Hochrisiko-KI-Systeme nach Anhang III. In Deutschland koordiniert die Bundesnetzagentur die Marktüberwachung.
Dieser Beitrag zeigt, welche Funktionen KI-Compliance-Software abdecken muss und warum ein kombiniertes DSGVO-und-KI-Register die rationale Investition ist.
Key Takeaways
- Der AI Act (Verordnung (EU) 2024/1689) gilt gestuft; die Hochrisiko-Pflichten nach Anhang III greifen ab 2. August 2026.
- Erster Schritt ist immer ein KI-Inventar und die Risikoklassifizierung jedes Systems — ohne sie ist keine Pflicht bestimmbar.
- Hochrisiko-Betreiber müssen in bestimmten Fällen eine Grundrechte-Folgenabschätzung (FRIA, Art. 27) durchführen.
- Der AI Act ersetzt die DSGVO nicht — bei KI mit Personenbezug gelten beide, inklusive Art. 22 DSGVO.
- In Deutschland ist die Bundesnetzagentur die koordinierende Marktüberwachungsbehörde.
Was KI-Compliance-Software leisten muss
Der AI Act reguliert KI-Systeme nach ihrem Risiko, nicht nach ihrer Technologie. Für Unternehmen bedeutet das einen mehrstufigen Prozess, den Software strukturiert.
KI-Inventar. Der erste und meist unterschätzte Schritt ist zu wissen, welche KI-Systeme überhaupt im Einsatz sind — eingekaufte Tools, in Produkte eingebettete Modelle, selbst entwickelte Systeme. In vielen Unternehmen entsteht KI-Nutzung dezentral in den Fachabteilungen. Ein zentrales Inventar ist die Grundlage jeder weiteren Pflicht; ohne es lässt sich nicht bestimmen, welche Regeln gelten. Die praktischen Datenschutzfragen des KI-Einsatzes behandelt unser Leitfaden zu Datenschutz bei KI-Tools wie ChatGPT und Copilot.
Risikoklassifizierung. Jedes System ist einer der vier Risikoklassen zuzuordnen. Verbotene Praktiken (etwa Social Scoring, bestimmte biometrische Kategorisierung) sind seit Februar 2025 untersagt. Hochrisiko-Systeme nach Anhang III — etwa in Personalauswahl, Kreditwürdigkeit, kritischer Infrastruktur — lösen die umfangreichsten Pflichten aus. Die Software muss die Klassifizierung führen und begründen.
Nachweise für Hochrisiko-Systeme. Für Hochrisiko-KI verlangt der AI Act unter anderem ein Risikomanagementsystem, Daten-Governance, technische Dokumentation, Protokollierung, menschliche Aufsicht und Transparenz. Betreiber müssen zudem prüfen, ob eine Grundrechte-Folgenabschätzung (FRIA) nach Art. 27 erforderlich ist. Die Software sollte diese Nachweise und Workflows abbilden.
Die FRIA verdient dabei besondere Aufmerksamkeit, weil sie in der Praxis am häufigsten übersehen wird. Sie verlangt vom Betreiber, vor der Inbetriebnahme systematisch zu beschreiben, in welchen Prozessen das Hochrisiko-System eingesetzt wird, welche Personengruppen betroffen sind, welche Schäden an Grundrechten entstehen können und welche menschlichen Aufsichts- und Beschwerdemechanismen dagegen greifen. Anders als die technische Dokumentation, die der Anbieter liefert, kann der Betreiber die FRIA nicht einkaufen — sie hängt vom konkreten Einsatzkontext ab und muss bei jeder wesentlichen Änderung fortgeschrieben werden. Eine Compliance-Software, die den FRIA-Fragebogen strukturiert führt, die Ergebnisse versioniert und mit dem betroffenen KI-System verknüpft, macht aus dieser abstrakten Pflicht einen konkreten, prüfbaren Nachweis. Fehlt dieser Workflow, bleibt die FRIA regelmäßig ein einmaliges Word-Dokument, das nach dem ersten Update des Systems nicht mehr stimmt.
Transparenzpflichten. Für Systeme mit begrenztem Risiko — Chatbots, synthetische Inhalte — gelten Kennzeichnungspflichten nach Art. 50. Auch diese sind zu dokumentieren.
Die Vergleichskriterien
| Kriterium | Warum entscheidend |
|---|---|
| KI-Inventar / Modellinventar | Grundlage jeder Pflichtbestimmung |
| Risikoklassifizierung | Verboten / hoch / begrenzt / minimal |
| FRIA-Workflow (Art. 27) | Grundrechte-Folgenabschätzung für Betreiber |
| Hochrisiko-Nachweise | Governance, Dokumentation, Aufsicht |
| DSGVO-Überschneidung | Art. 22, DSFA, Rechtsgrundlage |
| Transparenz (Art. 50) | Kennzeichnung von KI-Interaktion und -Inhalten |
| Register-Integration | Gemeinsame Basis mit dem VVT |
| Deutsche Lokalisierung | Bundesnetzagentur kommuniziert auf Deutsch |
Der anspruchsvollste Punkt ist die Verzahnung von Risikoklassifizierung und FRIA-Trigger: Nur eine Software, die aus der Klassifizierung automatisch die richtige Pflichtenliste ableitet, verhindert, dass ein Hochrisiko-System ohne die nötigen Nachweise produktiv geht.
Anbieter oder Betreiber — die entscheidende Rollenfrage
Bevor ein Unternehmen die richtige Software wählt, muss es seine Rolle klären. Der AI Act unterscheidet vor allem zwischen dem Anbieter (Provider), der ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt, und dem Betreiber (Deployer), der ein System unter eigener Verantwortung einsetzt. Die Pflichten unterscheiden sich erheblich: Anbieter von Hochrisiko-Systemen tragen die volle Last aus Konformitätsbewertung, technischer Dokumentation und Registrierung in der EU-Datenbank. Betreiber haben schlankere, aber nicht triviale Pflichten — menschliche Aufsicht sicherstellen, das System bestimmungsgemäß einsetzen, Protokolle aufbewahren und gegebenenfalls die FRIA durchführen.
Die meisten deutschen Unternehmen sind Betreiber: Sie kaufen KI-Werkzeuge ein und setzen sie ein, statt sie zu entwickeln. Doch Vorsicht — wer ein eingekauftes System wesentlich verändert oder unter eigenem Namen anbietet, kann rechtlich zum Anbieter werden und damit in die volle Pflichtentiefe rutschen. Auch der Einsatz eines Allzweck-Modells (GPAI) zur Entwicklung einer eigenen Anwendung verschiebt die Rollen. Eine gute Compliance-Software fragt diese Rolle pro System ab und leitet daraus die zutreffende Pflichtenliste ab, statt pauschal alle Systeme gleich zu behandeln.
Vom Inventar zur laufenden Überwachung
KI-Compliance ist kein einmaliges Projekt, sondern ein Dauerbetrieb. Neue KI-Werkzeuge werden laufend eingeführt, bestehende Systeme aktualisiert, und die Risikoeinstufung kann sich mit dem Einsatzzweck ändern. Ein Chatbot, der zunächst nur allgemeine Auskünfte gibt, wird zum Hochrisiko-System, sobald er über den Zugang zu Leistungen entscheidet. Die Software muss deshalb nicht nur den Ist-Stand erfassen, sondern Änderungen nachhalten und bei kritischen Verschiebungen warnen.
Praktisch heißt das: Das KI-Inventar braucht einen Freigabeprozess. Bevor eine Fachabteilung ein neues KI-Werkzeug produktiv nutzt, sollte es erfasst, klassifiziert und — bei Hochrisiko — mit den nötigen Nachweisen versehen sein. Ohne diesen Prozess entsteht dieselbe Schatten-IT, die schon beim Datenschutz die häufigste Lücke ist: Werkzeuge im Einsatz, die in keinem Register auftauchen. Eine Plattform, die den Freigabeprozess mit dem Inventar und der Risikoklassifizierung verbindet, macht aus der KI-Governance einen Routineablauf statt einer jährlichen Aufräumaktion. Für Unternehmen, die ihre KI-Nutzung bereits datenschutzrechtlich dokumentieren, ist dieser Ausbau der logische nächste Schritt.
Warum DSGVO und KI-Verordnung zusammengehören
Der wichtigste Merksatz für den Softwarekauf: Der AI Act ersetzt die DSGVO nicht — beide gelten nebeneinander, sobald ein KI-System personenbezogene Daten verarbeitet. Die Überschneidungen sind konkret. Ein KI-System, das über Menschen entscheidet, unterliegt zugleich Art. 22 DSGVO über automatisierte Entscheidungen und den Hochrisiko-Pflichten des AI Act. Die Grundrechte-Folgenabschätzung nach Art. 27 AI Act überschneidet sich inhaltlich mit der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO — eine gemeinsame Vorlage vermeidet Doppelarbeit, wie sie unsere DSFA-Vorlage grundlegt. Und das KI-Inventar überschneidet sich mit dem Verzeichnis von Verarbeitungstätigkeiten, weil KI-Systeme mit Personenbezug ohnehin dort erfasst sein müssen.
Für Unternehmen folgt daraus die rationale Kaufentscheidung: ein kombiniertes DSGVO-und-KI-Register statt zweier isolierter Systeme. Wer sein Verzeichnis bereits in einer Datenschutzplattform führt, sollte die KI-Compliance darauf aufsetzen — Plattformen wie Legiscope bilden die datenschutzrechtliche Basis, auf der sich das KI-Inventar und die Risikoklassifizierung ergänzen lassen. Der breitere Marktüberblick steht im DSGVO-Software-Vergleich.
Zeitplan und zuständige Behörde
Der AI Act ist am 1. August 2024 in Kraft getreten und gilt gestuft: Die Verbote seit Februar 2025, die Pflichten für Modelle mit allgemeinem Verwendungszweck (GPAI) seit August 2025 und die Kernpflichten für Hochrisiko-Systeme nach Anhang III ab dem 2. August 2026. Diese letzte Frist ist für die meisten Unternehmen der entscheidende Stichtag. In Deutschland übernimmt die Bundesnetzagentur die koordinierende Rolle bei der Marktüberwachung; der Verordnungstext ist über EUR-Lex abrufbar. Wer erst kurz vor August 2026 mit dem Inventar beginnt, unterschätzt regelmäßig, wie viele KI-Systeme im Unternehmen bereits im Einsatz sind.
Die frühzeitige Vorbereitung hat einen weiteren Vorteil: Sie erlaubt, verbotene und riskante Nutzungen zu identifizieren, bevor sie zum Problem werden. Ein Unternehmen, das sein KI-Inventar erst unter dem Druck der Frist erstellt, entdeckt möglicherweise, dass eine Fachabteilung längst ein System einsetzt, das unter die verbotenen Praktiken fällt oder als Hochrisiko einzustufen ist — ohne die nötigen Nachweise. Die Aufarbeitung solcher Altlasten unter Zeitdruck ist deutlich teurer als ein geordneter Aufbau. Wer die Klassifizierung früh vornimmt, kann kritische Systeme rechtzeitig anpassen, ersetzen oder mit den erforderlichen Kontrollen versehen. Die KI-Verordnung belohnt damit — ähnlich wie die DSGVO — die Organisationen, die Governance als laufenden Prozess begreifen, statt als einmalige Pflichtübung kurz vor dem Stichtag.
FAQ
Ab wann gelten die Pflichten der KI-Verordnung?
Gestuft: Die verbotenen Praktiken seit Februar 2025, die GPAI-Pflichten seit August 2025 und die Kernpflichten für Hochrisiko-Systeme nach Anhang III ab dem 2. August 2026. Für die meisten Unternehmen ist der August 2026 der maßgebliche Stichtag, weil dann die aufwändigen Hochrisiko-Pflichten greifen.
Was ist eine FRIA und wer muss sie durchführen?
Die Grundrechte-Folgenabschätzung (Fundamental Rights Impact Assessment) nach Art. 27 AI Act ist für bestimmte Betreiber von Hochrisiko-KI-Systemen verpflichtend, insbesondere öffentliche Stellen und Anbieter bestimmter Dienste. Sie überschneidet sich inhaltlich mit der DSGVO-Folgenabschätzung, weshalb sich beide Prozesse in einer Software bündeln lassen.
Ersetzt der AI Act die DSGVO?
Nein. Beide gelten nebeneinander, sobald ein KI-System personenbezogene Daten verarbeitet. Ein KI-System, das über Menschen entscheidet, unterliegt gleichzeitig Art. 22 DSGVO und den Hochrisiko-Pflichten des AI Act. Compliance-Software sollte beide Regime zusammen abbilden.
Wer beaufsichtigt die KI-Verordnung in Deutschland?
Die Bundesnetzagentur nimmt die koordinierende Rolle bei der nationalen Marktüberwachung wahr; auf EU-Ebene beaufsichtigt das AI Office die Anbieter von Modellen mit allgemeinem Verwendungszweck. Weitere sektorale Behörden können je nach Anwendungsbereich zuständig sein.
Fazit
Compliance-Software für die KI-Verordnung beginnt mit dem KI-Inventar und der Risikoklassifizierung — ohne sie ist keine Pflicht bestimmbar. Für Hochrisiko-Systeme kommen umfangreiche Nachweise und gegebenenfalls eine FRIA hinzu. Weil der AI Act die DSGVO nicht ersetzt, ist ein kombiniertes DSGVO-und-KI-Register die rationale Investition, besonders vor der Hochrisiko-Frist am 2. August 2026. Wählen Sie eine Plattform, die Klassifizierung, FRIA-Trigger und die DSGVO-Überschneidung zusammenführt — die datenschutzrechtliche Basis ordnet unser DSGVO-Software-Vergleich ein.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo