Compliance · 10 min · Stand: Mai 2026
++ Hard Date: 2. August 2026 — Enforcement-Start nach + Art. 113 lit. b der Verordnung (EU) 2024/1689. Diese Deadline lässt + sich nicht verschieben durch nationale Verzögerungen. +
++ Bis dahin galten viele Teile des EU AI Act bereits — aber ohne aktiven + Strafrahmen. Ab dem Enforcement-Datum greifen drei Blöcke parallel: +
+ +| Rolle | +Was ab 02.08.2026 verpflichtend ist | +
|---|---|
| KMU als Deployer | +Nachweisbare KI-Kompetenz für alle Mitarbeitenden, die mit KI arbeiten. KI-Inventar pflichtig. | +
| KMU als Provider | +Wer eigene KI-Funktionen in Produkten anbietet, braucht Risiko-Klassifizierung pro System. | +
| GPAI-Anbieter | +Volle technische Dokumentation, Copyright-Statement, Trainingsdaten-Summary. | +
| Behörden / öffentliche Stellen | +Zusätzlich: Fundamental-Rights-Impact-Assessment (Art. 27) für High-Risk-Systeme. | +
Welche KI-Tools werden eingesetzt? ChatGPT, Copilot, KI-Buchhaltung, KI-Übersetzer, Chatbot, Recruiting-KI — alles erfassen mit Hersteller, Zweck, Datenfluss.
+Verboten (Art. 5), High-Risk (Anhang III), Limited-Risk (Transparenzpflicht), Minimal-Risk. Vorlage: EU AI Act Risikoklassen.
+Wer wurde wann zu welchem Thema geschult? Schulungsprotokolle, Teilnahmebestätigungen, jährliche Auffrischung.
+Chatbots, KI-generierte Inhalte (Bilder, Texte, Videos) sind kennzeichnungspflichtig. Disclaimer-Texte vorbereiten.
+Wenn personenbezogene Daten verarbeitet werden: Datenschutz-Folgenabschätzung. Bei High-Risk-KI zusätzlich KI-spezifische Risikobewertung.
+Art. 14 verlangt für High-Risk: KI-Entscheidungen müssen von Menschen überprüft werden können. Eskalationspfade definieren.
+| Datum | +Status | +
|---|---|
| 02.02.2025 | +Art. 4 (KI-Kompetenz) + Art. 5 (Verbote) bereits in Kraft — ohne Strafdurchsetzung | +
| 02.08.2025 | +Governance-Regeln + GPAI-Pflichten gelten | +
| 02.08.2026 | +ENFORCEMENT-START — vollständige Anwendung, Strafrahmen aktiv | +
| 02.08.2027 | +High-Risk-KI in regulierten Produkten (Anhang I) verpflichtend konform | +
+ Faustregel für KMUs: Wenn dein Unternehmen ChatGPT, Copilot + oder vergleichbare KI-Tools im Arbeitsalltag nutzt, brauchst du bis zum + 02.08.2026 mindestens: (a) ein dokumentiertes KI-Inventar, (b) Schulungsnachweise + für alle Mitarbeitenden, (c) eine schriftliche Risikoeinschätzung pro System. +
+
+ „Wir sind zu klein, das gilt nicht für uns."
+
+ Falsch. Es gibt keine KMU-Ausnahme von Art. 4. Reduzierte Strafhöchstbeträge ja,
+ aber die Pflicht selbst gilt unabhängig von Unternehmensgröße.
+
+ „Wir nutzen nur ChatGPT, das ist doch kein KI-System nach AI Act."
+
+ Falsch. Sobald du ChatGPT geschäftlich einsetzt, bist du Deployer eines KI-Systems
+ im Sinne der Verordnung — Art. 4 greift.
+
+ „Ein Online-Kurs reicht als Nachweis."
+
+ Nur teilweise. Der EU AI Act verlangt Schulung passend zur Rolle und zum Kontext —
+ ein generischer 30-min-Kurs ist meist zu dünn. Buchhaltung, HR und Entwicklung brauchen
+ unterschiedliche Inhalte.
+
+ „Erst wenn eine Behörde fragt, müssen wir reagieren."
+
+ Riskant. Bei einem Datenschutz-Vorfall mit KI-Beteiligung würde fehlende Dokumentation
+ als verschärfender Umstand gewertet — auch ohne anlasslose Prüfung.
+
+ Aus Sicht des AI Engineering Wiki ist die Reihenfolge wichtig: Erst das KI-Inventar, + dann die Schulung, dann die Risikoeinschätzung. Wer mit der Risikobewertung beginnt, + ohne zu wissen welche Systeme im Einsatz sind, dokumentiert auf Verdacht und verbringt + mehr Zeit als nötig. Self-hosted Open-Source-Modelle (z.B. via Ollama) reduzieren die + DSGVO-Last erheblich und vereinfachen die Risikobewertung — gleichzeitig bleibt die + Pflicht zur KI-Kompetenz-Schulung bestehen, unabhängig vom Deployment-Ort. +
+ +Compliance · 8 min · Stand: Mai 2026
++ Der European Data Protection Supervisor wurde 2004 eingerichtet. Aufgaben: + (a) Überwachung des Datenschutzes innerhalb der EU-Institutionen (Kommission, + Parlament, Rat, Agenturen), (b) Beratung des EU-Gesetzgebers bei + datenschutzrelevanten Vorhaben, (c) Veröffentlichung von Leitlinien und Stellungnahmen. + Sitz: Brüssel. Aktueller Supervisor (Stand 2026): Wojciech Wiewiórowski. +
+ +| Dokument | +Worum es geht | +
|---|---|
| Generative AI & EUDPR Orientations (2024) | +Praxisleitfaden für den DSGVO-konformen Einsatz generativer KI in EU-Institutionen — gilt analog für jeden EU-Verantwortlichen. | +
| TechDispatch on Generative AI | +Technische Analyse: Wie generative Modelle personenbezogene Daten verarbeiten und welche Datenschutz-Risiken entstehen. | +
| Opinion on the EU AI Act Proposal | +EDPS-Stellungnahme zum Verordnungsentwurf — kritisch zu Lücken bei Grundrechten und Massenüberwachung. | +
| Joint Opinion EDPB-EDPS | +Gemeinsame Stellungnahme mit dem European Data Protection Board zum Zusammenspiel von DSGVO und EU AI Act. | +
+ Aus den „Generative AI & EUDPR Orientations" lassen sich die zentralen Empfehlungen + herausfiltern. Sie sind für KMUs direkt anwendbar: +
+ ++ Vor dem Einsatz generativer KI: Datenschutz-Folgenabschätzung durchführen. + Auch bei „nur internem" Einsatz, sobald personenbezogene Daten verarbeitet werden. +
++ Art. 6 DSGVO — auf welcher Grundlage werden Daten zu KI-Prompts? Berechtigtes Interesse, + Einwilligung, Vertragserfüllung. Pauschale Begründungen reichen nicht. +
++ Keine personenbezogenen Daten in Prompts ohne Notwendigkeit. Pseudonymisierung + wo möglich. Mitarbeitende schulen, keine Kundendaten in ChatGPT zu kopieren. +
++ Datenschutzerklärung muss KI-Nutzung benennen. Wer wird mit welchen Daten gegenüber + welchem Anbieter geprompted? Klare Sprache, keine Formulierungs-Floskeln. +
++ Welche Sub-Provider nutzt der KI-Anbieter? Azure-OpenAI über Microsoft, OpenAI direkt, + Anthropic via Bedrock — Datenfluss-Diagramme erstellen. +
++ US-Anbieter: TADPF (Trans-Atlantic Data Privacy Framework) prüfen. Bei + Nicht-Beitritt: SCC plus zusätzliche Maßnahmen nach Schrems-II-Doktrin. +
++ Wie lange speichert der Anbieter Prompts und Outputs? Gibt es ein Opt-Out für + Training auf Nutzerdaten? Schriftlich fixieren. +
++ Auskunft, Berichtigung, Löschung — wie umgesetzt bei einem Modell, das Daten in + Gewichten gespeichert hat? Prozess vor Einsatz dokumentieren. +
++ Keine automatisierten Entscheidungen mit rechtlicher Wirkung allein durch KI + (Art. 22 DSGVO). Review-Schritte einbauen, Eskalationspfade dokumentieren. +
++ Mitarbeitende müssen Risiken kennen — Halluzinationen, Bias, Datenleck. + Deckt sich mit Art. 4 EU AI Act (KI-Kompetenz). +
++ Formal richten sich die Guidelines an EU-Institutionen — KMUs unterliegen der nationalen + Aufsichtsbehörde (DSB in Österreich, LfDI/BfDI in Deutschland, EDÖB in der Schweiz für + EU-Berührungspunkte). Praktisch orientieren sich diese Behörden aber an den EDPS-Veröffentlichungen, + und die Guidelines sind oft die einzige zugängliche Konkretisierung dessen, was „DSGVO-konformer + KI-Einsatz" bedeutet. +
+ ++ Wer im Audit gegenüber einer nationalen Aufsichtsbehörde nachweisen kann, dass die + EDPS-Empfehlungen berücksichtigt wurden, hat einen starken Argumentationsboden. +
+ +| Aspekt | +DSGVO + EDPS | +EU AI Act | +
|---|---|---|
| Fokus | +Personenbezogene Daten | +KI-Systeme als Produkt | +
| Risiko-Logik | +Risiko für Rechte/Freiheiten Betroffener | +Risikoklassen (Verboten/High/Limited/Minimal) | +
| Instrument | +DPIA (Art. 35 DSGVO) | +Konformitätsbewertung + FRIA (Art. 27 für Behörden) | +
| Strafrahmen | +EUR 20 Mio. oder 4% Umsatz | +EUR 35 Mio. oder 7% Umsatz (Art. 5) | +
| Synergien | +Datenschutz-Pflichten | +DPIA kann mit KI-Risikobewertung kombiniert werden | +
+ Für KMUs: Die EDPS-Orientations zu Generative AI als Pflichtlektüre für den + Datenschutzbeauftragten oder die compliance-verantwortliche Person. Ergänzend zu + den nationalen Auslegungen der DSB (Österreich) bzw. LfDIs (Deutschland) und zu + den Konkretisierungen des European Data Protection Board (EDPB). +
+ +Compliance · 9 min · Stand: Mai 2026
++ VerifyWise ist eine Open-Source-Plattform für „AI Governance, Risk and Compliance" (GRC), + entwickelt vom Bluewave-Labs-Team. Lizenz: BSL 1.1. Das Tool bildet den Lebenszyklus + von KI-Systemen ab — von der Erfassung im Inventar über die Risiko-Klassifizierung + und Vendor-Bewertung bis zur Audit-Vorbereitung. Es positioniert sich als + self-hosted-Alternative zu kommerziellen GRC-SaaS-Anbietern wie Credo AI, Holistic AI + oder Fairly AI. +
+ +| Framework | +Was abgebildet ist | +
|---|---|
| EU AI Act | +Risiko-Klassifizierung pro System, Pflichten je nach Klasse, Dokumentations-Templates | +
| ISO 42001 | +AI Management System (AIMS) Controls, Audit-Vorbereitung | +
| NIST AI RMF | +Govern / Map / Measure / Manage Funktionen | +
| DSGVO | +DPIA-Verknüpfung, Vendor-Assessments, Daten-Inventar | +
+ Zentrale Erfassung aller eingesetzten KI-Systeme mit Metadaten: Anbieter, Zweck, + Datenkategorien, Nutzer, Lifecycle-Phase. Pflichtbasis für Art. 4 EU AI Act. +
++ Pro System: Risikoklasse nach EU AI Act, Eintrittswahrscheinlichkeit, + Schwere, dokumentierte Gegenmaßnahmen, Restrisiko. Audit-fähige Historie. +
++ Strukturierte Fragebögen für KI-Anbieter: Trainings-Daten, Modell-Versionierung, + DSGVO-Compliance, Sub-Auftragsverarbeiter, Drittland-Transfer. +
++ Vorgefertigte Richtlinien: KI-Nutzungsrichtlinie, Incident-Response-Plan, + Schulungsplan, Data-Governance-Policy. Anpassbar pro Organisation. +
++ Wer hat wann welche Bewertung geändert. Wichtig für Nachweispflicht + („nach besten Kräften" im Sinne Art. 4 EU AI Act). +
++ Rollen: Admin, Reviewer, Editor, Viewer. Trennung zwischen Compliance-Verantwortlichen + und Fachabteilungen. +
++ VerifyWise lässt sich via Docker Compose lokal oder auf einem self-hosted Server + betreiben. Empfohlener Stack: PostgreSQL + Node.js Backend + React Frontend. + Minimal-Anforderungen: 2 vCPU, 4 GB RAM, 20 GB Storage. +
+ +
+ git clone https://github.com/verifywise-ai/verifywise.git
+ cd verifywise
+ cp .env.example .env
+ # .env anpassen (DB-Passwort, Admin-User, SMTP)
+ docker compose up -d
+
+ Sicherheit: Self-Hosted bedeutet auch Self-Patched. TLS via Reverse-Proxy + (Caddy/Traefik), regelmässige Updates über git pull + docker compose pull, Backup + der PostgreSQL-Datenbank. Nicht öffentlich exponieren ohne Auth-Proxy. +
+| Profil | +Empfehlung | +
|---|---|
| 1–10 Mitarbeitende, 1–3 KI-Tools | +Excel/Markdown reicht. VerifyWise ist Overhead. | +
| 10–50 Mitarbeitende, 5+ KI-Tools | +VerifyWise lohnt sich. Strukturierte Dokumentation spart Zeit beim ersten Audit. | +
| 50+ Mitarbeitende, mehrere Standorte | +VerifyWise klar empfehlenswert. Audit-Trail + RBAC werden Pflicht. | +
| KI-Anbieter (eigene Produkte) | +VerifyWise als Basis, ergänzt durch eigene Modell-Cards und technische Dokumentation. | +
| Tool | +Lizenz / Hosting | +Anmerkung | +
|---|---|---|
| VerifyWise | +BSL 1.1 / Self-Hosted | +Open Source, DACH-tauglich | +
| Credo AI | +Proprietär / US-SaaS | +Marktführer, aber Cloud-only und US-basiert | +
| Holistic AI | +Proprietär / SaaS | +Stark in Bias-Auditing, Enterprise-Preise | +
| Excel / Notion-Template | +Frei / Self-Hosted | +Für 1–3 Systeme ausreichend, skaliert nicht | +