AI Act und RODO im Jahr 2026: Was muss ein Unternehmen bei der Implementierung von AI tun

Ab dem 2. August 2026 endet die Schonfrist: Die Regulierungsbehörden hören auf zu erklären und beginnen, den AI Act durchzusetzen. Für die meisten Unternehmen ist das kein Grund zur Panik, aber ein Grund, Ordnung zu schaffen – denn nachträglich angeklebte Compliance kostet ein Vielfaches mehr als von Anfang an geplant.

RODO und AI Act sind unterschiedliche Regime, die sich teilweise überschneiden:

• RODO überwacht, wie Sie personenbezogene Daten verarbeiten – Rechtsgrundlage, Datenminimierung, Rechte der Betroffenen (Zugriff, Löschung) und bei risikoreicher Verarbeitung eine Folgenabschätzung (DPIA).
• AI Act überwacht, welches AI-System Ihre Lösung ist – klassifiziert es nach Risiko und fügt Pflichten hinzu: technische Dokumentation, menschliche Aufsicht, Register, Konformitätsbewertung.

In Polen überwacht die UODO die Datenverarbeitung durch AI, während einige Aufgaben des AI Act von einer neuen Kommission beim Ministerium für Digitalisierung übernommen werden. In der Praxis: Eine Implementierung muss beide Anforderungssätze erfüllen, nicht nur einen auswählen.

Der AI Act unterteilt Systeme nach Risiko. Für die meisten Unternehmen sind zwei Ebenen relevant:

Die Grenze ist praktisch: Ein Chatbot, der nur Fragen beantwortet, fällt meist unter begrenztes Risiko. Derselbe Chatbot, wenn er beginnt, zu profilieren, Stimmungen zu bewerten oder Entscheidungen über Kunden zu treffen, fällt in die Kategorie hohes Risiko und zieht deutlich mehr Pflichten nach sich – einschließlich einer Folgenabschätzung (DPIA).

Unabhängig von der Risikostufe entwerfen wir diese vier Elemente in jeder Implementierung:

• Transparenz – Der Assistent stellt sich klar als AI vor und kann jederzeit die Konversation an einen Menschen übergeben (Human-Handoff). Das ist das Minimum des AI Act für Systeme mit begrenztem Risiko.
• Menschliche Aufsicht – Unumkehrbare Aktionen und Entscheidungen, die für Menschen relevant sind, durchlaufen eine Bestätigung (Human-Gate). Das System handelt nicht „vollständig" autonom – es agiert autonom in einem engen, definierten Rahmen.
• Nachverfolgbarkeit und Rechenschaftspflicht – Jeder wichtige Schritt wird protokolliert, sodass nachvollziehbar ist, was und warum das System getan hat. Ohne Log gibt es keine Rechenschaftspflicht, die sowohl RODO als auch der AI Act verlangen.
• Minimierung und Lokalisierung von Daten – PII wird vor dem Versand in die Cloud maskiert, und sensible Pfade werden lokal verarbeitet. Sensible Daten können das Land nicht verlassen.

Diese Frage wird am häufigsten gestellt, und die Antwort ist einfach: Ja. Systeme mit begrenztem Risiko (Chatbots, Assistenten, Content-Generatoren) müssen die Transparenzanforderung erfüllen – der Nutzer muss wissen, dass er mit einer AI kommuniziert oder von ihr generierte Inhalte nutzt. Deshalb geben sich unsere Assistenten nicht als Menschen aus: Sie stellen sich als AI vor und bieten die Übergabe an einen Menschen an. Das schränkt den Nutzen nicht ein – es schafft Vertrauen.

Eine Datenschutz-Folgenabschätzung (DPIA) ist erforderlich, wenn die Verarbeitung ein hohes Risiko für die Rechte von Personen darstellen kann – typischerweise bei großflächigem Profiling, der Verarbeitung sensibler Daten oder automatisierten Entscheidungen über Menschen. In der Praxis: Wenn Ihr System nur Fragen aus Ihrem Wissensbestand beantwortet, ist eine DPIA meist nicht nötig; wenn es bewertet, profiliert oder entscheidet – wahrscheinlich schon. Hier ist der Zeitpunkt für ein Gespräch mit einem Anwalt, nicht für Spekulationen.

Die wichtigste Regel ist dieselbe wie beim Sicherheitskonzept: Barrieren und Compliance werden ab der ersten Codezeile entworfen. Eingaben werden gefiltert, PII maskiert, Aktionen durch Gateways geleitet, jeder Schritt protokolliert, Transparenz ist integriert. Ein so entworfenes System ist „von Natur aus" compliant – und wird nicht in Panik vor einer Kontrolle geflickt. Derselbe Ansatz, der die Implementierung bei Self-Hosting RODO-konform macht.

Beschreiben Sie Ihren Anwendungsfall, und das Modell hilft bei der vorläufigen Einschätzung des Risikoniveaus und der Pflichten – als Ausgangspunkt für das Gespräch mit einem Anwalt, nicht als Ersatz (Playground: PII maskiert, keine Retention):

Ja. Ab August 2026 verlangt der AI Act Transparenz für Systeme mit begrenztem Risiko – der Nutzer muss wissen, dass er mit einer AI und nicht mit einem Menschen kommuniziert. Unsere Assistenten stellen sich als AI vor und können die Konversation jederzeit an einen Menschen übergeben.

Es handelt sich um unterschiedliche Regime. Die RODO regelt die Verarbeitung personenbezogener Daten (Rechtsgrundlage, Rechte der Betroffenen, DPIA). Der AI Act regelt das AI-System selbst – klassifiziert es nach Risiko und fügt technische Dokumentation, menschliche Aufsicht und Register hinzu. Eine Implementierung muss beide erfüllen, nicht nur eines auswählen.

Wenn die Verarbeitung ein hohes Risiko für die Rechte von Personen darstellen kann – typischerweise bei großflächigem Profiling, sensiblen Daten oder automatisierten Entscheidungen über Menschen. Ein Assistent, der nur Fragen aus Ihrem Wissensbestand beantwortet, benötigt meist keine DPIA; ein System, das profiliert oder entscheidet – wahrscheinlich schon.

Nicht zwingend, aber sie können – und sollten oft. Wir maskieren PII vor dem Versand in die Cloud, und sensible Pfade werden lokal auf eigener Infrastruktur verarbeitet, sodass sensible Daten das Land nicht verlassen müssen. Die Verarbeitungsstandorte wählen wir nach Ihren RODO- und Vertraulichkeitsanforderungen aus.

Nein. Dies ist ein praktischer Leitfaden, wie wir Compliance technisch gestalten. Die Risikoklassifizierung, DPIA und formellen Pflichten sollten Sie immer mit einem Anwalt abklären – wir entwerfen das System so, dass diese Compliance nachweisbar ist.