Die Regulierung wird komplexer. Die Werkzeuge, mit denen Unternehmen darauf reagieren, nicht. In den meisten Betrieben sieht Datenschutz-Compliance heute noch so aus wie vor fünf Jahren: eine Excel-Tabelle für die Verarbeitungsverzeichnisse, ein Word-Dokument für die Datenschutzerklärung, Informationen verstreut über SharePoint, E-Mail-Postfächer und die Köpfe einzelner Mitarbeiter. Das hat funktioniert, solange die DSGVO das einzige Regelwerk war.
An diesem Tag greifen die Transparenzpflichten des EU AI Act. Unternehmen müssen dann nicht nur nachweisen, dass sie personenbezogene Daten schützen – sie müssen zusätzlich dokumentieren, klassifizieren und kennzeichnen, wo überall künstliche Intelligenz im Einsatz ist. Zwei Verordnungen, dieselben Unternehmen, dieselben Ressourcen. Und in den meisten Fällen: dieselben manuellen Prozesse, die schon bei einer Verordnung an ihre Grenzen stoßen.
Zwei Verordnungen, null Übersicht
Die DSGVO regelt, wie personenbezogene Daten verarbeitet werden. Der AI Act regelt, wie KI-Systeme eingesetzt werden. Auf dem Papier sind das zwei getrennte Regelwerke. In der betrieblichen Realität überlappen sie in fast jedem relevanten Anwendungsfall.
Ein Chatbot, der Kundenanfragen beantwortet, fällt unter die Transparenzpflichten des AI Act – er muss als KI-System gekennzeichnet werden. Gleichzeitig verarbeitet er personenbezogene Daten und unterliegt damit der DSGVO. Ein Bewerbungsfilter, der Lebensläufe vorsortiert, gilt unter dem AI Act möglicherweise als Hochrisiko-System und braucht eine vollständige Risikobewertung. Unter der DSGVO ist er eine automatisierte Einzelfallentscheidung mit eigenen Informationspflichten. Was das konkret für die KI-Kennzeichnungspflicht bedeutet, haben wir in einem eigenen Artikel aufgeschlüsselt.
In der Theorie lässt sich das trennen. In der Praxis bedeutet es: Für jede KI-Anwendung müssen zwei Dokumentationsstrecken parallel geführt werden. Wer das manuell macht, dokumentiert entweder doppelt oder übersieht etwas. Beides ist teuer – das eine in Arbeitszeit, das andere in Bußgeldern. Bei Transparenzverstößen drohen bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Warum manuelle Compliance scheitert
Laut einer Bitkom-Erhebung (2025) bewerten 44 Prozent der befragten Unternehmen den Aufwand für Datenschutz-Compliance bereits heute als sehr hoch – sechs Prozentpunkte mehr als im Vorjahr. Insgesamt berichten 97 Prozent von mindestens hohem Aufwand. Und das nur für die DSGVO allein.
Der AI Act fügt dem drei neue Dimensionen hinzu.
Erstens Skalierung
Jedes KI-Tool im Unternehmen braucht eine eigene Dokumentation – Risikoklassifizierung, Zweckbestimmung, technische Beschreibung, Kennzeichnungsstrategie. 61 Prozent der Unternehmen berichten laut einer Kurzstudie von Mittelstand-Digital (2025), dass die Nutzung von KI-Tools gestiegen ist. Fünf KI-Anwendungen lassen sich noch mit einer Tabelle erfassen. Bei zwanzig wird es unübersichtlich. Bei fünfzig ist es nicht mehr beherrschbar.
Zweitens Aktualität
KI-Modelle ändern sich. Ein Anbieter aktualisiert sein Sprachmodell, ein anderer passt seine Nutzungsbedingungen an, ein dritter führt neue Funktionen ein, die die Risikoklassifizierung verschieben. Jede Änderung erfordert eine Neubewertung. In einer statischen Excel-Tabelle merkt das niemand.
Drittens Nachvollziehbarkeit
Behörden wollen nicht nur wissen, was heute dokumentiert ist, sondern auch, wann welche Bewertung vorgenommen wurde und warum. Eine lückenlose Dokumentationshistorie lässt sich manuell führen – aber der Aufwand steigt mit jeder neuen Anwendung, jeder Änderung und jeder Prüfung.
Wer zehn KI-Anwendungen manuell dokumentiert, braucht nicht nur Disziplin, sondern auch ein ein System.
Was KI bei Compliance leisten kann
KI-gestützte Compliance-Werkzeuge lösen nicht das Problem der rechtlichen Bewertung. Sie lösen das Problem der operativen Überforderung. Die Unterscheidung ist entscheidend.
Inventarisierung
Ein KI-gestütztes System kann kontinuierlich erfassen, welche KI-Tools in welchen Abteilungen im Einsatz sind. Nicht einmal im Jahr als Pflichtaufgabe, sondern laufend – mit automatischer Erkennung neuer Anwendungen und Benachrichtigung, wenn eine Klassifizierung fehlt.
Prüf-Routinen
Automatisierte Prüfungen können regelmäßig kontrollieren, ob Dokumentationen vollständig sind, ob Kennzeichnungen korrekt implementiert sind und ob sich an den Rahmenbedingungen etwas geändert hat. Was ein Datenschutzbeauftragter einmal pro Quartal manuell schafft, kann ein System täglich prüfen.
Änderungs-Alerts
Wenn ein KI-Anbieter sein Modell aktualisiert oder neue Funktionen freischaltet, die die Risikoklasse verschieben könnten, generiert das System einen Alert. Nicht als allgemeine Warnung, sondern mit konkretem Bezug: Welches Tool, welche Änderung, welche Dokumentation muss angepasst werden.
Reporting
Automatisch generierte Reports für den Datenschutzbeauftragten, die den aktuellen Stand der KI-Compliance zusammenfassen – nicht als Datengrab, sondern als Ampelbericht: Was ist aktuell, was braucht Aufmerksamkeit, wo besteht Handlungsbedarf.
Was KI bei Compliance nicht kann
KI-gestützte Compliance-Werkzeuge ersetzen keine juristische Bewertung. Sie können eine Datenschutz-Folgenabschätzung nicht inhaltlich beurteilen. Sie können nicht entscheiden, ob ein konkreter KI-Einsatz verhältnismäßig ist. Sie können keine Haftung übernehmen.
Was sie können: dem Datenschutzbeauftragten die operative Arbeit abnehmen, die ihn heute daran hindert, seine eigentliche Aufgabe zu erfüllen – die rechtliche und strategische Bewertung. Die meisten DSBs verbringen den Großteil ihrer Zeit nicht mit Bewertung, sondern mit Informationsbeschaffung. Welche Systeme laufen wo? Ist die Dokumentation aktuell? Hat sich seit der letzten Prüfung etwas geändert? Diese Fragen kann ein System beantworten. Die Schlussfolgerung daraus bleibt beim Menschen.
KI-gestützte Compliance im Betrieb
In der Ideenfabrik setzen wir KI-Agenten ein, die genau diese Aufgabenteilung abbilden.
Sam Safety überwacht unsere Systeme proaktiv auf Schwachstellen und Compliance-Lücken. Er prüft, ob alle KI-Anwendungen dokumentiert sind, ob Kennzeichnungen stimmen und ob Risikobewertungen aktuell sind. Wenn ein neues KI-Tool eingeführt wird, fordert er die zugehörige Dokumentation ein. Die Reports gehen direkt an die verantwortliche Person – strukturiert, priorisiert, mit konkreten Handlungsempfehlungen.
Unsere Agenten laufen auf unserer eigenen Infrastruktur. Keine Compliance-Daten verlassen das Unternehmen. Kein Cloud-Upload sensibler Prüfergebnisse. Open-Source-Modelle wo möglich, eigene Embedding-Modelle für die Dokumentensuche. Das ist keine technische Spielerei – es ist eine Architekturentscheidung: Wer über Datensouveränität spricht, muss bei den eigenen Werkzeugen anfangen.
Werkzeuge und Verantwortung
Der AI Act verlangt nicht, dass Unternehmen KI für ihre Compliance einsetzen. Er verlangt, dass sie ihre Pflichten erfüllen – egal wie. Die Methode ist nicht vorgeschrieben. Aber die Anforderungen an Vollständigkeit, Aktualität und Nachvollziehbarkeit sind so formuliert, dass manuelle Prozesse ab einer bestimmten Komplexität schlicht nicht mehr mithalten.
Das ist kein Argument gegen den Datenschutzbeauftragten. Im Gegenteil: Es ist ein Argument dafür, ihm die Werkzeuge zu geben, die er braucht. Ein DSB, der seine Zeit mit der Suche nach Informationen verbringt, kommt nicht zur Bewertung. Ein DSB, dem ein System die Informationen aufbereitet liefert, kann sich auf das konzentrieren, wofür er ausgebildet ist: die rechtliche Einschätzung, die strategische Empfehlung, die Entscheidung im Einzelfall.
Die Regulierung wird nicht einfacher werden. Die Zahl der KI-Anwendungen in Unternehmen wird nicht sinken. Und die Behörden, die künftig prüfen, werden nicht nur fragen, ob eine Dokumentation existiert – sie werden fragen, ob sie aktuell ist. Die Antwort darauf kann ein Mensch mit Tabellenkalkulation geben. Oder ein System, das genau dafür gebaut wurde.
Die Frage ist nicht, ob Sie KI für Ihre Compliance einsetzen. Die Frage ist, ob Sie es sich leisten können, es nicht zu tun.
