Ein deutscher Versicherer hat 2024 ein KI-Tool für die Schadensbearbeitung eingeführt. Den Betriebsrat hat man übersprungen. Der Betriebsrat ist vor Gericht gegangen und hat eine einstweilige Verfügung erwirkt. Das Tool wurde abgeschaltet, die Einführung acht Monate später bei Null neu gestartet, Kosten sechsstellig. Nichts davon war ein Technologieproblem — jede Zeile war Compliance.
So läuft es. KI-Projekte scheitern selten im Betrieb. Sie scheitern im Legal-, HR- oder Betriebsrats-Review — sechs Wochen vor dem Go-live, oder sechs Wochen danach. KI-Compliance ist kein Zusatzprojekt. Es ist die Schiene, auf der Ihre KI-Projekte fahren.
Compliance-Schnellcheck: Wie bereit sind Sie?
5 Fragen zur KI-Compliance-Bereitschaft
1. Haben Sie ein vollständiges Inventar aller eingesetzten KI-Systeme — inklusive der inoffiziellen?
2. Existiert eine unterschriebene AVV für jeden externen KI-Anbieter, der personenbezogene Daten verarbeitet?
3. Wurden Betriebsrat, HR und Datenschutz vor jedem KI-Rollout eingebunden — nicht danach?
4. Ist jedes KI-System nach EU-AI-Act-Risikoklasse eingestuft (oder einem internen Äquivalent)?
5. Haben Ihre Mitarbeiter eine KI-Kompetenz-Schulung nach Art. 4 EU AI Act tatsächlich absolviert?
Drei Regelwerke, nicht eins
Die meisten Compliance-Teams behandeln KI als Datenschutz-Problem. Das ist ein Drittel der Wahrheit. KI sitzt an der Schnittstelle dreier Regelwerke — und jedes ignorierte Regelwerk ist ein abgeschalteter Rollout.
Regelwerk 1: DSGVO — was mit den Daten passiert
Die DSGVO regelt personenbezogene Daten. Für KI heißt das:
- Rechtsgrundlage (Art. 6): Jede Verarbeitung braucht eine. Nicht „wir dachten, das ist nützlich”.
- AVV (Art. 28): Unterschriebener Vertrag mit jedem externen KI-Anbieter, der personenbezogene Daten verarbeitet.
- DSFA (Art. 35): Folgenabschätzung bei hohem Risiko — und die meisten Workplace-KI-Systeme erfüllen das Kriterium.
- Betroffenenrechte (Art. 15–22): Auskunft, Löschung, Widerspruch. Auch gegen KI-Outputs.
- Drittlandtransfer (Art. 44 ff.): Absicherung bei US-Cloud-Anbietern. Schrems II greift.
Regelwerk 2: EU AI Act — was mit dem System passiert
Der EU AI Act reguliert nicht nur die Daten, sondern das System selbst:
- Risikoklassifizierung: Jedes System in eine von vier Stufen. HR-/Scoring-Systeme sind in der Regel „hoch”.
- KI-Kompetenz (Art. 4): In Kraft seit Februar 2025. Mitarbeiter, die KI nutzen oder von ihr betroffen sind, brauchen echte Schulungen.
- Transparenz (Art. 50): KI-Interaktionen kennzeichnen. Nutzer haben ein Recht zu wissen, dass sie mit einem System sprechen.
- Dokumentation: KI-Inventar für alle Systeme, technische Dokumentation für Hochrisiko-KI.
Auch außerhalb der EU greift der Act, wenn EU-Nutzer betroffen sind. Es zählt der Standort des Nutzers, nicht der des Unternehmens.
Regelwerk 3: BetrVG — was mit den Menschen passiert
Das beißt am schnellsten und am härtesten. Der Betriebsrat hat echte Veto-Macht über KI-Einführungen:
- § 87 Abs. 1 Nr. 6 BetrVG: Mitbestimmung bei technischen Einrichtungen zur Verhaltens- oder Leistungsüberwachung. KI-Tools fallen praktisch immer darunter.
- § 90 BetrVG: Unterrichtungspflicht bei Planung neuer technischer Anlagen.
- § 95 BetrVG: Mitbestimmung bei Auswahlrichtlinien — direkt relevant für KI im HR.
Die Falle, in die die meisten tappen: DSGVO und EU AI Act sind abgehakt, das Projekt geht live, in Woche sechs landet die einstweilige Verfügung des Betriebsrats. Die Verfügung hält. Das Projekt startet von vorn.
Governance-Framework in fünf Schritten
Schritt 1: KI-Inventar aufbauen — inklusive Schatten
Listen Sie jedes KI-System. Die offiziellen, die in bezahlten SaaS-Produkten versteckten — und die Schatten-KI, die Mitarbeiter mitgebracht haben. Die inoffiziellen sind das größere Risiko.
| System | Anbieter | Personenbezogene Daten? | EU-AI-Act-Klasse | BR-relevant? |
|---|---|---|---|---|
| Microsoft Copilot | Microsoft (US) | Ja (M365-Daten) | Begrenzt | Ja |
| Nicht freigegebene Cloud-KI (Schatten) | Diverse (US) | Ja (unkontrolliert) | Variabel | Ja |
| Bewerber-Screening-KI | Anbieter X | Ja (Personaldaten) | Hoch | Ja |
| Spamfilter | Microsoft | Nein | Minimal | Nein |
Wenn die Liste unter zehn Einträgen hat, fehlt die Hälfte.
Schritt 2: Risikoanalyse pro System
Drei Fragen pro Zeile — eine pro Regelwerk:
- Personenbezogene Daten? → DSGVO-Pflichten greifen.
- Welche EU-AI-Act-Klasse? → Klassen-spezifische Pflichten umsetzen.
- Geeignet zur Überwachung von Verhalten/Leistung? → Betriebsrat vor dem Rollout einbinden.
Schritt 3: KI-Richtlinie verabschieden, die jemand befolgt
Kein 40-Seiten-Dokument, das niemand öffnet. Eine kurze Richtlinie, die festlegt:
- Welche KI-Tools erlaubt sind (Positivliste — keine reine Blacklist)
- Welche Daten in welches Tool dürfen (gestuft nach Klassifizierung)
- Wer neue Tools genehmigt — und wie schnell entschieden wird
- Welche Schulung Pflicht ist, bevor jemand was nutzt
- Was passiert, wenn die Richtlinie ignoriert wird
Die Richtlinie braucht die Mitzeichnung des Betriebsrats — idealerweise als Betriebsvereinbarung, kein Rundschreiben.
Schritt 4: KI-Kompetenz-Schulung tatsächlich machen
Art. 4 EU AI Act gilt seit Februar 2025. Drei Zielgruppen, drei Tiefen:
- Alle Mitarbeiter: Was KI ist, wo sie irrt, was wohin darf.
- IT und Einkauf: Risikoklassifizierung, Anbieter-Bewertung, Monitoring.
- Führungskräfte: Strategische Implikationen, Haftung, Verantwortung für das, was eingeführt wird.
Praxis-Workshop schlägt Compliance-PowerPoint. Deutlich.
Schritt 5: Quartalsweise Reviews — nicht jährlich
KI-Compliance veraltet schnell. Jedes Quartal:
- Erneuter Scan auf neue KI-Tools (inklusive Schatten-KI).
- Risikoklassifizierungen erneut prüfen — Use Cases verschieben sich.
- Schulungsstand aktualisieren: neue Mitarbeiter, neue Tools, neue Regulierung.
- Vorfälle dokumentieren — auch die Beinahe-Vorfälle.
Die Infrastrukturwahl entscheidet, wie groß die Compliance-Last wird
Ihre KI-Infrastruktur beeinflusst nicht nur Performance, sondern den Umfang Ihres Compliance-Bergs:
| Compliance-Aspekt | Cloud-KI | On-Premise-KI |
|---|---|---|
| AVV erforderlich | Ja, pro Anbieter | Für die KI selbst nicht |
| Drittlandtransfer | Ja (US-Anbieter) | Keiner |
| DSFA-Aufwand | Hoch | Gering |
| Datensouveränität | Begrenzt | Voll |
| Audit-Fähigkeit | Begrenzt — Anbieter-abhängig | Voll — eigene Infrastruktur |
| Dokumentation | Teilweise beim Anbieter | Vollständig bei Ihnen |
On-Premise-KI reduziert die Compliance-Last strukturell: kein AVV-Marathon, kein Drittlandtransfer-Review, voller Audit-Pfad. Für Finanzen, Gesundheit, öffentliche Hand und regulierte Branchen oft der pragmatische — nicht der ideologische — Weg.
Compliance kleiner machen, nicht größer contboxx Vault ist die On-Premise-KI-Plattform, die AVV-Pflicht, Drittlandtransfer und Cloud-Risiken aus Ihrer Compliance-Last entfernt. ISO 27001:2022 zertifiziert. Kostenlose Demo buchen
Häufig gestellte Fragen
Wer ist im Unternehmen für KI-Compliance verantwortlich?
Geteilte Aufgabe: Datenschutzbeauftragter für die DSGVO, IT-Leitung für die technischen EU-AI-Act-Pflichten, Geschäftsführung für die Gesamtverantwortung. Im Mittelstand kann ein Compliance-Beauftragter alle drei Bereiche koordinieren — aber nur mit klarer Befugnis, Rollouts zu stoppen. Ohne diese Befugnis ist die Rolle Theater.
Muss der Betriebsrat bei jeder KI-Einführung zustimmen?
Nicht bei jeder, aber bei den meisten. § 87 BetrVG greift, sobald das System geeignet ist, Verhalten oder Leistung zu überwachen — was auf fast jede KI zutrifft, die Mitarbeiterdaten verarbeitet. Praktisch: alle KI im HR, Vertrieb, Service und Support fallen darunter.
Was passiert, wenn wir KI ohne Compliance einführen?
Drei Risiken stapeln sich: DSGVO-Bußgelder (bis 20 Mio. EUR oder 4 % Umsatz), EU-AI-Act-Bußgelder (bis 35 Mio. EUR oder 7 %), und arbeitsrechtliche Folgen — der Betriebsrat kann eine einstweilige Verfügung erwirken, die das Tool abschaltet. In der Praxis ist der arbeitsrechtliche Weg der schnellste und teuerste.
Fazit
KI-Compliance ist kein Bremsklotz. Es ist die Schiene, auf der KI-Projekte fahren. Unternehmen, die DSGVO, EU AI Act und Betriebsrat als ein zusammenhängendes Problem behandeln, liefern KI-Tools, die liefern bleiben. Wer drei Häkchen-Boxen abarbeitet, liefert Tools, die sechs Wochen später wieder abgeschaltet sind.
Fangen Sie mit dem Inventar an. Der Rest folgt.
EU AI Act und DSGVO im direkten Vergleich | US CLOUD Act Risiko für europäische Unternehmen