Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Spezialfelder · DSGVO Art. 22, 35

KI-Verordnung — Pflichten je nach Risikoklasse

Geltungsstufen

DatumStufe
2024-08-01Inkrafttreten
2025-02-02Verbotene Praktiken (Art. 5) wirksam
2025-08-02Pflichten für GPAI-Anbieter (z.B. GPT-Modelle)
2026-08-02Volle Anwendung der meisten Pflichten
2027-08-02Pflichten für Hochrisiko-Systeme in regulierten Produkten

Vier Risikoklassen

1. Unannehmbares Risiko — verboten (Art. 5)

  • Social Scoring durch öffentliche Stellen.
  • Manipulative Techniken, die Verhalten zum Schaden steuern.
  • Echtzeit-Biometrie-Erkennung im öffentlichen Raum (außer eng definierte Polizei-Ausnahmen).
  • Untergruppen-Manipulation vulnerabler Personen.
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.

Für die meisten Unternehmen praktisch nicht relevant — außer bei Recruiting-Tools mit Emotionsanalyse (z.B. Videointerview-Bewertung). Solche Tools sind nun verboten.

2. Hohes Risiko (Art. 6, Anhang III)

  • HR-Tools: Bewerber-Sortierung, Mitarbeiterbewertung, Beförderungsempfehlungen.
  • Kreditwürdigkeitsprüfung.
  • Zugang zu wesentlichen privaten/öffentlichen Diensten (Versicherung, Sozialleistungen).
  • Bildung und Berufsbildung: Lernfortschrittsbewertung, Prüfungsbewertung.
  • Polizei, Justiz, Asylverfahren (relevanter für Behörden).

Pflichten (vereinfacht):

  • Risikomanagement mit Lebenszyklus-Doku.
  • Hochwertige Daten (Trainings-, Validierungs-, Testdaten).
  • Transparenz gegenüber Nutzern und betroffenen Personen.
  • Menschliche Aufsicht über automatisierte Entscheidungen.
  • Genauigkeit, Robustheit, Cybersicherheit.
  • Konformitätsbewertung vor Inverkehrbringen.
  • CE-Kennzeichnung und EU-Datenbank-Registrierung.

3. Begrenztes Risiko — Transparenzpflichten (Art. 50)

  • Chatbots: Nutzer muss erkennen, dass er mit einer KI spricht.
  • Deepfakes: Kennzeichnung als künstlich erzeugt.
  • KI-generierter Text zu öffentlich relevanten Themen: Kennzeichnung.

4. Minimales Risiko — keine Pflichten

  • KI in Spam-Filtern, Spielen, Industrierobotik ohne Personenbezug.

Schnittstelle zur DSGVO

Wo personenbezogene Daten verarbeitet werden, gilt die DSGVO zusätzlich zur KI-VO.

Art. 22 DSGVO (automatisierte Einzelentscheidungen)

  • Eine automatisierte Entscheidung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung darf grundsätzlich nicht ohne menschliche Beteiligung erfolgen.
  • Ausnahmen: gesetzliche Erlaubnis, Vertragserfordernis, ausdrückliche Einwilligung.
  • Recht auf Erklärung der Entscheidung.

Art. 35 DSGVO (DSFA)

  • Bei vielen KI-Anwendungen ist eine DSFA Pflicht — insbesondere wenn Profilerstellung oder umfangreiche Verarbeitung sensibler Daten erfolgt.

Was Sie als KMU prüfen müssen

  • Inventar der KI-Systeme im Einsatz (auch SaaS-eingebettete!).
  • Risikoklassifizierung je System nach KI-VO.
  • Bei hohem Risiko: aktive Konformitätsprüfung mit Hersteller, Verträge anpassen.
  • Bei begrenztem Risiko: Transparenzhinweise umsetzen.
  • DSFA wo nach DSGVO erforderlich.
  • Mitbestimmung Betriebsrat bei KI im Personalwesen.
  • Schulung der Personen, die KI bedienen oder ihre Outputs bewerten.

Häufige Fehler

  • Annahme „KI-VO trifft uns nicht” — fast jede HR-/Bewerbungs-Software hat KI-Komponenten.
  • Verlassen auf Lieferanten-Zusicherungen ohne eigene Prüfung.
  • DSFA vergessen, weil „KI-VO erledigt das schon”.
  • Mitbestimmung versäumt beim Einsatz im Personalbereich.

Wenn wir DSB sind

Wir helfen beim KI-Inventar und der Risikoklassifizierung, koordinieren die DSFA mit der KI-VO-Konformitätsbewertung und entwerfen die Transparenzhinweise. Für komplexe Hochrisiko-Tools (z.B. KI im Recruiting) verweisen wir an spezialisierte Anwaltskanzleien.

Quelle: FS/CS GmbH