EU AI Act Archive - ELSEN GRC

Q: Entwickeln oder trainieren Sie ein eigenes KI-System?

Wenn ja, gelten Sie als Anbieter (Provider). Der EU AI Act gilt unmittelbar und verpflichtet zu Konformitätsprüfung, technischer Dokumentation und Eintrag in die EU-Datenbank.

Q: Nutzen Sie KI-Funktionen innerhalb Ihrer Produkte oder Prozesse?

Wenn ja, sind Sie Nutzer (Deployer). Der EU AI Act gilt indirekt und verpflichtet zur Dokumentation der Nutzung, Transparenz und Zweckbindung.

Q: Vertreiben Sie Software oder Hardware mit integrierter KI in der EU?

Wenn ja, sind Sie Importeur oder Händler. Sie müssen sicherstellen, dass Produkte konform und korrekt gekennzeichnet sind.

Q: Binden Sie KI-APIs oder fremde Modelle in Ihre Systeme ein?

Wenn ja, kann eine gemeinsame Verantwortlichkeit bestehen. Empfohlen sind Dokumentation und vertragliche Regelungen mit dem Anbieter.

Q: Erbringen Sie Dienstleistungen auf Basis externer KI-Systeme?

Wenn ja, liegt eine indirekte Betroffenheit vor. KI-Quellen sollten dokumentiert und Risiken bewertet werden. Bei Unsicherheit empfiehlt sich eine fachliche Beratung.

DSGVO-Änderungen im „Digital Omnibus“: Tracking-Cookies bald erlaubt?

Mario Elsen — Fri, 14 Nov 2025 18:45:32 +0000

Executive Summary: DSGVO-Änderungen im „Digital Omnibus“

Die EU-Kommission plant im Rahmen des Digital Omnibus Directive weitreichende Anpassungen der DSGVO, die vor allem zwei Bereiche betreffen: Tracking-Cookies + Consent-Banner und Datenverarbeitung für KI. Die vorgeschlagenen Änderungen würden die Verwendung von Cookies künftig stärker auf berechtigtes Interesse (Art. 6 Abs. 1, Bst. f DSGVO) stützen und die Einwilligungspflicht ( Art. 6 Abs. 1 Bst. a DSGVO) erheblich reduzieren. Zusätzlich sollen pseudonymisierte Daten leichter für KI-Training und Analyseprozesse nutzbar werden, was den EU AI Act betrifft. Für Unternehmen könnte dies eine operative Erleichterung bedeuten – für Datenschützer und Behörden eine deutliche Schwächung des bestehenden Schutzstandards.

Hintergrund: Was die EU im Digital-Omnibus anstrebt

Mit dem Digital Omnibus verfolgt die EU-Kommission das Ziel, mehrere digitale Rechtsbereiche – darunter DSGVO, ePrivacy-Regelungen und Teile der KI-Regulierung (EU AI Act) zu modernisieren und administrativ zu verschlanken. Das Paket enthält Vorschläge, die das bisherige Datenschutzmodell in mehreren Kernpunkten neu ausrichten würden:

Tracking-Cookies könnten künftig häufiger auf „berechtigtes Interesse“ (Art. 6 Abs. 1, Bst. f DSGVO) gestützt werden, was die Notwendigkeit von Consent-Bannern deutlich reduzierten würde.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sollen enger definiert werden – nur noch die Informationen, die „direkt“ sensible Merkmale offenbaren, (z.B. Ausweisdokumente) würden so privilegiert geschützt.
Pseudonymisierte Daten sollen breiter für KI-Training und Analysezwecke nutzbar werden, ohne die bisherigen strengen Voraussetzungen.
Datenverarbeitung für innovative digitale Dienste soll grundsätzlich erleichtert werden, um europaweit ein wettbewerbsfähiges Innovationsumfeld zu stärken.

Einer der wesentlichen Kritikpunkte vieler Datenschutzexperten ist die damit verbundene Absenkung des Grundrechtsschutzes zugunsten wirtschaftlicher Wettbewerbsfähigkeit, was langfristig sowohl gesellschaftliche als auch regulatorische Risiken schaffen könnte. Aber wie so oft steht am Ende doch das wirtschaftliche Interesse im Vordergrund.

Die wichtigsten DSGVO-Änderungen im Detail

1. Tracking-Cookies und Consent-Banner

Zentraler Punkt ist die Neugewichtung zwischen Einwilligung und berechtigtem Interesse (Art. 6 Abs. 1 Bst. a sowie Art. 6 Abs. 1, Bst. f DSGVO). Wenn Tracking- und Analyseverfahren künftig überwiegend auf berechtigtes Interesse gestützt werden dürfen, hätte das folgende Konsequenzen:

Consent-Banner würden deutlicher seltener benötigt und eingeblendet.
Tracking-Mechanismen (Analytics, Retargeting, Conversion-Messung) könnten mit weniger Reibungsverlusten eingesetzt werden.
Betreiber müssten verstärkt Opt-out-Mechanismen bereitstellen und transparent darstellen & dokumentieren (z.B. als barrierefreier Link auf der Startseite)
Die Datenqualität von Web-Analytics würde steigen, während aber das Missbrauchspotenzial steigen dürfte.

Für Unternehmen wäre dies operativ eine klare Erleichterung; für Betroffene und Aufsichtsbehörden ein erheblicher Kontrollverlust (und vermutlich auch ein Verlust an Bußgeldern).

2. KI-Training und pseudonymisierte Daten

Die vorgeschlagenen Änderungen würden es erlauben, pseudonymisierte Daten deutlich breiter für das Training von KI-Modellen zu nutzen. Dies betrifft insbesondere:

KI-Startups (LLM-Entwickler und Provider)
SaaS-Unternehmen mit großen Datenpools (Nutzung von KI-APIs)
Plattformanbieter bzw. Plattformbetreiber
Forschung & öffentliche Stellen

Mehr Spielraum bedeutet stärkere Innovationsfähigkeit, gleichzeitig steigt aber auch das Risiko der Re-Identifizierung, wenn Qualität und Integrität der Pseudonymisierung nicht gewährleistet sind.

3. Neue Definition sensibler Daten

Der Vorschlag der Kommission sieht vor, nur solche Informationen als „besonders schützenswert“ einzustufen, die unmittelbar Rückschlüsse auf Merkmale wie Gesundheit, ethnische Herkunft oder Religion zulassen (vgl. Art. 9 DSGV). Daten, die lediglich nur sensible Merkmale vermuten lassen, etwa das Einkaufsverhalten, Standortprofile oder Nutzungsdaten, würden künftig nicht mehr automatisch unter die hohen Schutzstandards fallen.

Ist das also ein Freifahrtsschein für ungebremstes Tracking? Jedenfalls hätte dies weitreichende Auswirkungen auf Prozesse wie personenbezogenes Profiling, Scoring (mit Personenbezug), Risikobewertungen, Zielgruppenanalysen oder auch KI-gestützte Verhaltensmodelle.

Auswirkungen auf Unternehmen, Behörden und Datenschutzbeauftragte

Für Unternehmen ergeben sich potenziell deutliche Arbeitserleichterungen und bürokratische „Entschlackungen“:

weniger Abhängigkeit von Consent-Banner-Logiken
größere Datengrundlage für Analytics und KI
weniger Komplexität im Cookie-Management
bessere Planbarkeit bei Marketing- und Produktanalyseprozessen

Für Behörden und Datenschutzbeauftragte entsteht jedoch zusätzlicher Druck, während in Prüfprozessen einige Anpassungen erforderlich werden:

Schutzmechanismen müssten stärker über Governance statt über Einwilligung organisiert werden
neue Prüfroutinen wären erforderlich
die Rechtslage würde kurzfristig unübersichtlicher
der gesellschaftliche Diskurs über Datenschutzstandards würde neu entfacht

Einschätzung und GRC-Einordnung

Die geplanten Anpassungen deuten auf eine strategische Verschiebung hin: von einem schutzorientierten Datenschutzmodell hin zu einem wirtschaftlich getriebenen datenpolitischen Framework, das zunehmend versucht, Wettbewerbsnachteile in Europa im rasenden „KI-Zug“ zu verhindern. Unternehmen sollten diese Entwicklung aber nicht als „Freifahrtschein” verstehen, sondern als Signal, eigene Governance-Strukturen zu professionalisieren – insbesondere in Bereichen, in denen Einwilligungspflichten entfallen könnten, aber Transparenz- und Rechenschaftspflichten bestehen bleiben.

Was bedeutet das für Ihren GRC Prozes??

Governance: Unternehmen müssen klare Verantwortlichkeiten definieren, insbesondere für Opt-out-Management, Datenkategorien und KI-Datenflüsse.
Risk: Risiken liegen vor allem im Profiling, in Diskriminierungspotenzialen und in der Gefahr der Re-Identifizierung pseudonymisierter Daten.
Compliance: Verarbeitungsverzeichnisse, DPAs, Datenschutzerklärungen und DSFAs müssen aktualisiert und an die neuen Rechtsgrundlagen angepasst werden.

Die meisten Unternehmen profitieren, wenn sie frühzeitig ihre Datenschutz- und KI-Governance modernisieren, statt nur auf die Erleichterungen zu reagieren. Gerne berate ich Sie dabei.

Bild: Vyshnavi Bisani – Unsplash.com

Quellen:

Der Beitrag DSGVO-Änderungen im „Digital Omnibus“: Tracking-Cookies bald erlaubt? erschien zuerst auf ELSEN GRC.

Entscheidungshilfe: Für wen gilt der EU AI Act?

Mario Elsen — Tue, 11 Nov 2025 13:11:44 +0000

Der EU AI Act sorgt derzeit für große Unsicherheit in der deutschen und europäischen Wirtschaft und hat ausnahmsweise mal nichts mit europäischer Gasversorgung zu tun. Viele Unternehmen (oder ihre Unternehmer) wissen nicht, ob und in welchem Umfang sie von der neuen europäischen KI-Verordnung betroffen sind. Während große Tech-Konzerne wie OpenAI, Meta und Google längst mit der Umsetzung begonnen haben, stellen sich besonders kleinere SaaS-Anbieter, Startups und mittelständische Betriebe in Deutschland eine zentrale Frage: Für wen gilt der EU AI Act überhaupt? Was muss ich beachten? Und welche Strafen drohen bei Nichteinhaltung der Regelungen?

Mit diesem Beitrag stelle ich eine Entscheidungshilfe bereit, mit der die Antwort auf diese Frage leichter fallen sollte. Doch vorweg: in vielen Fällen lautet die Antwort: ja – direkt oder indirekt. Denn der AI Act betrifft nicht nur Entwickler von KI-Systemen, sondern auch alle Unternehmen, die solche Systeme nutzen, vertreiben oder (integriert in Produkte) in den europäischen Markt einführen.

Was regelt der EU AI Act überhaupt?

Der EU AI Act ist das erste umfassende gesetzliche Flaggschiff zur Regulierung des KI-Einsatzes Künstlicher Intelligenz weltweit. Damit ist die EU zwar alles andere als technischer Vorreiter in der KI-Entwicklung – aber immerhin ganz weit vorne in der Regulierung! Ziel der Verordnung ist es, den sicheren, transparenten und verantwortungsvollen Einsatz von KI-Systemen innerhalb der Europäischen Union sicherzustellen.

Die Regelungen folgen einem risikobasierten Ansatz, den ich in diesem Beitrag bereits erklärt habe. KI-Systeme werden nach ihrem potenziellen Risiko für die Gesellschaft und die Grundrechte der Menschen in vier Kategorien eingeteilt:

Verbotene KI-Systeme: Anwendungen, die manipulativ, diskriminierend oder unvereinbar mit den Grundrechten sind.
Hochrisiko-KI: Systeme in sensiblen Bereichen wie Medizin, Personalwesen, Kreditvergabe oder kritischer Infrastruktur.
Begrenztes Risiko: Systeme mit Transparenzpflichten, etwa Chatbots oder Empfehlungssysteme.
Minimales Risiko: Anwendungen wie Spam-Filter oder Spiele-KI, die kaum reguliert sind.

Die folgende Grafik fasst die vier Risikostufen noch einmal zusammen:

Der AI Act wird schrittweise ab 2026 wirksam. Kürzlich wurden einige Übergangsfristen für den EU AI Act bis 2027 verlängert. Unternehmen müssen dann nachweisen, dass sie ihre KI-Systeme korrekt eingestuft, dokumentiert und gegebenenfalls konformitätsbewertet haben. Frühzeitiges Handeln ist daher entscheidend, um Haftungsrisiken zu vermeiden und Wettbewerbsvorteile zu sichern.

Die drei Hauptrollen im AI Act

Ob und in welchem Umfang der AI Act gilt, hängt maßgeblich von der Rolle des Unternehmens ab. Die Verordnung unterscheidet drei Hauptrollen: Anbieter (Provider), Nutzer (Deployer) und Importeur (bzw. Händler). Aber was macht diese Rollen genau aus?

Anbieter (Provider)

Anbieter bzw. Provider sind alle Arten von Unternehmen, die ein KI-System entwickeln, in eigene Produkte integrieren (z.B. als eigene Chatbot-Engine) oder es unter eigenem Namen vertreiben. Ein Beispiel wäre ein SaaS-Unternehmen, das ein Tool zur automatischen Bearbeitung von Kundenanfragen anbietet. Der Provider trägt die Hauptverantwortung für die technische Dokumentation, die Risikobewertung und die Einhaltung aller regulatorischen Anforderungen, die sich aus seinem Angebot von KI-(integrierten) Systemen ergeben.

Nutzer / Einsetzer (Deployer)

Nutzer sind Organisationen, die ein KI-System zur eigenen Leistungserbringung einsetzen oder diese in eigene digitale Prozesse integrieren. Dazu gehört etwa ein Unternehmen, das ein Bewerber-Scoring-Tool eines Drittanbieters verwendet, mit dem die KI-gestützte Verarbeitung von Bewerberinformationen abläuft. Nutzer müssen sicherstellen, dass das verwendete System konform mit dem AI Act ist, und die Nutzung nachvollziehbar dokumentieren.

Importeur / Händler

Diese Rolle betrifft Unternehmen, die KI-Systeme aus Drittstaaten in die EU einführen oder hier vertreiben. Ein Reseller, der ein US KI-Tool in Europa anbietet, fällt also unter diese Kategorie. Importeure und Händler müssen überprüfen, ob das Produkt den europäischen Anforderungen entspricht und korrekt gekennzeichnet ist, bevor es „hier“ eingesetzt wird.

Achtung: In der Praxis können Unternehmen auch mehrere dieser Rollen gleichzeitig einnehmen, etwa wenn sie ein eigenes Modell entwickeln, aber zusätzlich externe KI-Komponenten in ihre Produkte integrieren. Gerne beraten wir Sie bei der Klassifizierung und Einschätzung, in welche Rolle Ihr Unternehmen fällt.

Für wen gilt der EU AI Act? Entscheidungshilfe für Unternehmen

Diese interaktive Entscheidungshilfe zeigt, ob Ihr Unternehmen unter den EU AI Act fällt. Beantworten Sie die folgenden Fragen. Wenn Sie eine Frage mit Ja beantworten, sehen Sie Ihr Ergebnis. Bei Nein geht es mit der nächsten Frage weiter.

1. Entwickeln oder trainieren Sie ein eigenes KI-System?

Beispiele: Entwicklung eines Chatbots, Machine-Learning-Modells für Prognosen, Bilderkennung oder Sprachverarbeitung.

Sie sind Anbieter (Provider).
Der AI Act gilt direkt. Pflichten: Konformitätsprüfung, technische Dokumentation, EU-Datenbankeintrag.

Nein Weiter mit Frage 2 →

2. Nutzen Sie KI-Funktionen innerhalb Ihrer Produkte oder Prozesse?

Beispiele: Verwendung von ChatGPT, Copilot oder KI-Modellen in internen Workflows, Support-Tools oder Entscheidungsunterstützung.

Sie sind Nutzer (Deployer).
Der EU AI Act gilt indirekt. Pflichten: Nutzung dokumentieren, Transparenz und Zweckbindung prüfen.

Nein Weiter mit Frage 3 →

3. Vertreiben Sie Software oder Hardware mit integrierter KI in der EU?

Beispiele: Verkauf von Smart-Cams, KI-gesteuerten Tools oder Softwarelösungen mit automatisierter Analyse oder Empfehlungssystemen.

Sie sind Importeur oder Händler.
Pflichten: EU-Konformität und Kennzeichnung sicherstellen.

Nein Weiter mit Frage 4 →

4. Binden Sie KI-APIs oder fremde Modelle in Ihre Systeme ein?

Beispiele: Nutzung externer KI-APIs (z. B. OpenAI, Google Vertex, HuggingFace) zur Text-, Sprach- oder Bildverarbeitung.

Gemeinsame Verantwortlichkeit möglich.
Empfohlen: Dokumentation, Auftrags- und Vertragsprüfung.

Nein Weiter mit Frage 5 →

5. Erbringen Sie Dienstleistungen auf Basis externer KI (z. B. Text-, Bild-, Datenanalyse)?

Indirekte Betroffenheit.
Empfohlen: KI-Quellen dokumentieren, Risiken bewerten.

Nein

Derzeit keine unmittelbare Betroffenheit.
Regelmäßige Überprüfung empfohlen.

Unsicher? → Vereinbaren Sie ein unverbindliches Beratungsgespräch

Praxisbeispiele für betroffene Unternehmen

Direkt betroffen:

Ein SaaS-Anbieter entwickelt ein KI-Scoring-Modell für Bewerbungen. Das System fällt in die Hochrisiko-Kategorie und unterliegt den vollen Pflichten des AI Act.
Eine Agentur entwickelt ein Tool zur automatischen Verarbeitung von Website-Besucherdaten und Profil-Erstellung via KI. Auch hier gelten die Pflichten des AI Acts.

Indirekt betroffen:

Ein mittelständisches Unternehmen nutzt ein externes KI-Tool für seine Kundensegmentierung. Es bleibt verantwortlich für den sicheren und konformen Einsatz, auch wenn die Technologie von einem Dritten (z.B. SaaS-Anbieter) stammt.
Ein Personalberater verwendet Copilot für die Optimierung von Bewerberunterlagen, bevor diese an eine dritte Firma weitergereicht werden.

Derzeit nicht betroffen:

Eine Webagentur, die ausschließlich klassische Websites erstellt und keine KI-Komponenten einsetzt, unterliegt aktuell nicht dem AI Act, sollte jedoch die Entwicklung beobachten und die Integration von externen Tools in ihre eigenen Dienste und Prozesse streng kontrollieren.
Weitere Unternehmen oder Einrichtungen wie Ärzte, Verbände oder Vereine können möglicherweise (derzeit) noch nicht durch den AI Act betroffen sein, was sich mit dem nächsten Update von Betriebssystemen mit KI-Integration schnell ändern könnte. Gerne beraten wir Sie, ob Ihr Unternehmen schon heute vom AI Act betroffen ist.

Allgemeine Handlungsempfehlung und Fazit

Als Unternehmen sollten Sie den Einstieg in die AI-Act-Compliance strukturiert angehen und – ganz wichtig: keine Panik bekommen! Wie so oft beschließen die Bürokraten aus Brüssel kritische Verordnungen, die dann „durch uns in der Praxis“ umgesetzt werden müssen, ungeachtet der Konsequenzen. Auch wenn der Gedanke sicherlich nicht verkehrt ist, den Einsatz von KI an bestimmte gesetzliche Vorgaben zu knüpfen, bedeutet es in erster Linie, dass europäische Unternehmen zunächst einen Wettbewerbsnachteil erfahren, da entsprechende Vorschriften umgesetzt und dokumentiert werden müssen. Frühzeitige Vorbereitung ist aber nicht nur eine Frage der Compliance, sondern kann auch ein Wettbewerbsvorteil sein. Unternehmen, die ihre Rollen und Pflichten jetzt klar definieren, können Risiken minimieren, Vertrauen schaffen und sich strategisch besser im Markt positionieren.

Damit sich trotzdem die gesetzlichen Rahmenbedingungen einhalten lassen, empfehle ich Ihnen das folgende Vorgehen :

Zunächst empfiehlt sich eine Bestandsaufnahme, um zu erfassen, wo im Unternehmen oder in den Produkten KI eingesetzt wird. Trommeln Sie Ihre Projektmanager, IT-Leiter und ein paar Entwickler zusammen und diskutieren Sie gemeinsam, an welchen Orten, Diensten und Prozessen im Unternehmen überhaupt KI eingesetzt wird. Von ChatGPT am Arbeitsplatz hin zu maschineller Datenverarbeitung von Kundendaten im Data-Warehouse. Wo es nicht klar ist, reicht zunächst auch ein dickes „?“!
Im zweiten Schritt folgt die Risikoklassifizierung, bei der jedes System einer der vier Risikostufen zugeordnet wird. Anschließend sollten Verantwortlichkeiten, Prozesse und technische Nachweise im Rahmen einer internen Governance-Struktur festgelegt werden. In diesem Schritt wird also dokumentiert, informiert und abgewägt.
Abschließend bietet sich ein AI Act Readiness Check an, um den aktuellen „Erfüllungsgrad“ zu bestimmen und konkrete Maßnahmen für Ihre Produkte und Leistungen abzuleiten.

Elsen GRC unterstützt Unternehmen bei diesem Prozess mit einem strukturierten „AI Act Readiness Scan“, der den Compliance-Status ermittelt und konkrete Handlungsempfehlungen liefert. In diesem Check führen wir nicht nur eine strukturierte Bestandsaufnahme und Risikoklassifizierungen durch, sondern liefern auch technische Vorschläge für Optimierungsmaßnahmen an Services und Produkten mit, die Ihren Erfüllungsgrad im AI Act nicht benachteiligen.

Ihr Ansprechpartner

Als zertifizierter Datenschutzbeauftragter und Gründer von Elsen GRC in Hamburg unterstütze ich Unternehmen und Behörden dabei, KI-, Cloud- und SaaS-Lösungen sicher und DSGVO-konform einzusetzen. Mit über 14 Jahren Erfahrung in der Software-Entwicklung agiere ich dabei nicht nur mit einem klaren Blick auf regulatorische Anforderungen, sondern unterstütze Sie und Ihre IT bei der technischen Umsetzung der oftmals trockenen und praxisfernen Gesetze.

Mario Elsen, Geschäftsführer Elsen Media GmbH

Kontakt

Quellen:

Europäische Kommission: EU AI Act – Offizieller Text (2024)
Elsen GRC interne Analyse 2025

Titelbild: Mick Haupt – Unsplash.com

Der Beitrag Entscheidungshilfe: Für wen gilt der EU AI Act? erschien zuerst auf ELSEN GRC.

4 Risikostufen im EU AI Act – Definition und Bedeutung

Mario Elsen — Wed, 05 Nov 2025 13:30:21 +0000

Der EU AI Act verfolgt einen klaren, risikobasierten Ansatz: KI-Systeme werden je nach Gefährdungspotenzial in vier Risikostufen eingeteilt – von „minimal“ bis „inakzeptabel“ (verboten). Für Unternehmen, Behörden und Dienstleister ist es daher essenziell, ihre eigenen KI-Anwendungen bzw. KI-Integrationen korrekt zu bewerten und zu klassifizieren, denn jede Stufe bringt unterschiedliche Anforderungen mit sich: von Transparenzpflichten über Konformitätsbewertung bis hin zum vollständigen Verbot. Wer die Klassifizierung verpasst, riskiert also nicht nur Wettbewerbsnachteile und regulatorische Nachteile, sondern auch Haftung oder unmittelbare Innovationshemmnisse.

Hintergrund der 4 Risikostufen im EU AI Act

Der EU AI Act regelt erstmals umfassend KI-Systeme in der Europäischen Union unter einem einheitlichen Rahmen. Zentral ist dabei die risikobasierte Systematisierung von KI-Anwendungen – denn nicht jede KI-Lösung wirft gleich hohe Risiken für Gesundheit, Sicherheit oder Grundrechte auf.

Die Klassifikation gliedert sich in vier Kategorien:

Unacceptable Risk (inakzeptables Risiko)
High Risk (Hochrisiko)
Limited Risk (Begrenztes Risiko)
Minimal / no Risk (Minimales bzw. geringes oder kein Risiko)

Die Einordnung orientiert sich an den möglichen Auswirkungen eines KI-Systems auf Leben, Sicherheit, gesellschaftliche Grundrechte oder demokratische Prozesse. Je höher das Risiko, desto strenger die regulatorischen Anforderungen.

Die vier Risikostufen im EU AI Act im Detail

Die Klassifizierung der vier Risikostufen lässt sich in vier Abstufungen beschreiben:

1. Inakzeptables Risiko

Diese Kategorie umfasst alle KI-Systeme, deren Einsatz als unvereinbar mit den Grundwerten und Grundrechten der EU gilt, etwa weil sie Menschen manipulieren, überwachen oder diskriminieren oder bewerten. Der EU AI-Act verbietet solche Systeme vollständig.

Beispiele:

Systeme zur sozialen Bewertung von Personen („Social Scoring“),
Emotionserkennung in Bildungs- oder Arbeitskontexten,
Echtzeit-biometrische Identifikation in öffentlich zugänglichen Räumen.

2. Hochrisiko

KI-Systeme, die erhebliche Gefahren für Gesundheit, Sicherheit oder Grundrechte und Grundwerte mit sich bringen, fallen in diese Kategorie. Dazu zählen Anwendungen in kritischen Infrastrukturen, in der Bildung, in der Personalauswahl, bei Krediten, in Justiz oder Grenzkontrolle. Für diese Systeme gelten umfassende Anforderungen, wie ein professionelles Risikomanagement, Daten-Governance, ausführliche Dokumentation, regelmäßige menschliche Aufsicht, Robustheit und Konformitätsbewertung. Auch eine DSFA (Datenschutz-Folgeabschätzung) kann notwendig sein, wenn personenbezogene Daten betroffen sind. Genaueres dazu regeln Anhang I und III des EU AI Act.

Beispiele:

Medizinprodukte mit KI-Integrationen
KI-Systeme in kritischer Infrastruktur (Energie, Telekommunikation, Versorgung…)
Autonome Fahrzeuge
KI-gestützte Bewerbungsverfahren
Spielzeuge

3. Begrenztes Risiko

Umfasst KI-Systeme, bei denen das Risiko geringer ist, aber Transparenz- und Informationspflichten bestehen. Hier ist vor allem die Offenlegungspflicht relevant, d.h. ein Benutzer muss erkennen können, dass er mit einer KI kommuniziert, z.B. durch entsprechende Hinweise wie „Sie kommunizieren mit einem KI-Agenten“.

Beispiele:

KI-Chatbots oder AI-Agenten
Generative KIs, die Inhalte (Texte, Bilder, Videos, Audio) erzeugen
KI-basierte Ticketsysteme mit automatischer Verarbeitung von personenbezogenen Informationen

4. Minimales oder kein Risiko

Diese Kategorie umfasst KI-Anwendungen mit sehr geringem Risiko. Sie bleiben vom AI Act weitgehend unreguliert, ohne spezifische Pflichten im Rahmen der Verordnung. Dennoch gelten allgemeine Prinzipien wie Fairness, Transparenz oder Datenschutz weiter, insbesondere im Rahmen der DSGVO.

Beispiele:

Spam-Filter und KI-gestützte alltägliche Sicherheitsmechanismen
KI-gestützte Schreibassistenten
automatische Textvorschläge

Auswirkungen auf Unternehmen & Behörden

Die Einordnung in eine Risikostufe entscheidet über Umfang und Art der regulatorischen Pflichten, daher sollten Unternehmen und Behörden frühzeitig ihre KI-Use-Cases analysieren und entsprechend dieser 4 Stufen klassifizieren. Für Anbieter und Betreiber von Hochrisiko-KI bedeutet das z. B., passende Prozesse aufzusetzen: Dokumentation, Audit-fähige Nachweise, Datenqualität, menschliche Kontrolle, Cyber-Security & Risk Management. Für KI mit begrenztem Risiko insbesondere Informations- und Transparenzpflichten. Bei verbotenen Anwendungen ist der Einsatz aber ohnehin ausgeschlossen!

Behörden und öffentliche Einrichtungen, die KI-Systeme einsetzen, beschaffen oder auf sonstige Wiese bereitstellen, müssen ihre Governance- und Beschaffungsprozesse anpassen – insbesondere bei Hochrisiko- oder verbotenen Anwendungen. Gerne beraten wir Sie hier.

Bezug zu Governance, Risk & Compliance (GRC)

Die vier Risikostufen bilden eine unmittelbare Verbindung zu den GRC-Dimensionen:

Governance: Wer verantwortet die Klassifizierung einer KI-Anwendung? Wie sind Zuständigkeiten und Prozesse geregelt?
Risk: Welche Risiken bringt die KI mit sich? Insbesondere welche für Rechte, Reputation, Sicherheit? Wie werden sie gemanagt?
Compliance: Welche regulatorischen Anforderungen gelten je Risikostufe? Welche Nachweise müssen konkret erbracht oder vorgehalten werden?

Ein systematischer GRC-Ansatz hilft, KI-Systeme effizient und rechtssicher in bestehende Management-Systeme einzubetten und bewahr vor bösen Überraschungen im AI-Daily-Business.

Fachliche Einschätzung

In Sachen Einstufung war die EU-Kommission also einigermaßen klar, denn die vier-stufige Klassifikation im AI Act bietet einen pragmatischen Rahmen für die Praxis und Beratung. Allerdings bleibt die Herausforderung: Viele Use-Cases lassen sich nicht sofort eindeutig einer Kategorie zuordnen oder haben große Schnittmengen (insbesondere im medizinischen Sektor). Hier zählt der Kontext! Zudem wird die regulatorische Landschaft durch ergänzende Vorgaben (z. B. zu General-Purpose KI) zunehmend komplex. Eine frühzeitige Analyse und Governance-Aufbau sind deshalb strategisch absolut ratsam.

Beratung zu den Risikostufen im EU AI Act

Elsen GRC begleitet Unternehmen, SaaS-Anbieter und Behörden bei der sicheren und gesetzeskonformen Umsetzung des EU AI Act und der Einstufung der vier Risikostufen. Wir analysieren und klassifizieren Ihre KI-Anwendungen, entwickeln passgenaue Governance-Strukturen und integrieren die Anforderungen in bestehende Compliance- und Management-Systeme. Natürlich inklusive praxisnaher Dokumentationsprozesse und Schulungen von Mitarbeiter und Management.

Unverbindliche Beratung anfordern

Quellen:

Bild: Eugene Tkachenko – Unsplash.com

Der Beitrag 4 Risikostufen im EU AI Act – Definition und Bedeutung erschien zuerst auf ELSEN GRC.

EU AI Act Übergangsfristen für Hochrisiko-KI bis 2027 verlängert

Mario Elsen — Wed, 05 Nov 2025 09:51:54 +0000

Die Europäische Kommission und mehrere Mitgliedstaaten, darunter Deutschland, haben vorgeschlagen, zentrale Anwendungsfristen des EU Artificial Intelligence Act (EU AI Act , Verordnung (EU) 2024/1689) um ein Jahr zu verschieben. Besonders betroffen sind die sogenannten Hochrisiko-KI-Systeme gemäß Anhang I und III. Diese sollen nun erst 2026 bzw. 2027 verbindlich gelten, so der Vorschlag. Ziel ist es, den Unternehmen, Behörden und Aufsichtsstellen mehr Zeit zur technischen und organisatorischen Umsetzung zu geben – eine Entscheidung mit weitreichenden Folgen für Datenschutz, Governance und Compliance in Europa. Die EU-Komission will ihre diesbezügliche Pläne voraussichtlich am 19.11.25 vorstellen.

Hintergrund der EU AI Act Übergangsfristen

Der EU AI Act ist die „weltweit erste umfassende KI-Verordnung“ und bildet den zentralen Rechtsrahmen für die Entwicklung, Bereitstellung, Integration und Nutzung von Künstlicher Intelligenz in der EU. Die Verordnung unterscheidet zwischen vier Risikostufen – von „unannehmbar“ bis „minimal“. Systeme, die als „Hochrisiko“ eingestuft werden (z.B. KI-Sicherheitskomponenten in kritischen Infrastrukturen oder Gesundheitssystemen), unterliegen strengen Pflichten wie Risikomanagement, Transparenz, Dokumentation und Konformitätsbewertung, um gegenüber den Aufsichtsbehörden entsprechende Nachweise erbringen zu können.

Die entsprechenden Anwendungsfälle sind in den Anlagen I und III des Gesetzes definiert. Ursprünglich sollten die Regeln rund 24 Monate nach Inkrafttreten (1. August 2024 )gelten, d.h. ab dem 01. August 2026. Durch die nun diskutierte Anpassung würden sich die EU AI Act Übergangsfristen auf 36 Monate verlängern, womit August 2027 im Raum steht. Die EU-Kommission schreibt hier selbst:

Die Vorschriften für Hochrisiko-KI-Systeme, die in regulierte Produkte eingebettet sind, haben einen verlängerten Übergangszeitraum bis zum 2. August 2027.

Die Begründung: Viele Mitgliedstaaten und Branchenverbände sehen derzeit noch Lücken bei der praktischen Umsetzung – insbesondere bei der Normung, der Einrichtung der nationalen Aufsichtsbehörden sowie bei der technischen Ausgestaltung der Compliance-Prozesse.

Auswirkungen auf Unternehmen

Für Unternehmen bedeutet die geplante Fristverlängerung mehr Zeit, aber keine Entwarnung.

Planungs- und Rechtssicherheit: Organisationen können ihre eigenen KI-Strategien und Governance-Strukturen mit größerem zeitlichen Spielraum anpassen und entsprechende Governance, Risk und Compliance Prozesse entwickeln
Implementierung: Compliance-Teams gewinnen Zeit für Risikoanalysen, technische Dokumentation, Daten-Governance und den Aufbau von KI-Registrierungen.
Lieferantenmanagement: Anbieter von KI-Komponenten sollten bestehende Vertrags- und Prüfprozesse frühzeitig anpassen, um künftige Anforderungen an Transparenz und Nachvollziehbarkeit zu erfüllen.
Ressourcen: Gerade KMU und SaaS-Unternehmen erhalten die Möglichkeit, Personal und Budgets für KI-Compliance gezielter einzuplanen, ohne durch kurzfristige Umsetzungspflichten behindert zu werden.

Eine Verschiebung der Anwendung ist jedoch keine inhaltliche Abschwächung – die regulatorischen Anforderungen selbst bleiben unverändert!

Bezug zu Governance, Risk und Compliance

Die Anpassung betrifft unmittelbar den Compliance-Bereich (Einhaltung gesetzlicher Vorschriften) und steht zugleich in engem Bezug zu Governance und Risikomanagement. Nachfolgend liefere ich Ihnen einen kompakten Eindruck über die Bedeutung für GRC:

Governance: Unternehmen müssen KI-Einsatz und Verantwortlichkeiten intern strategisch planen, steuern, dokumentieren und transparent machen.
Risk: Der AI Act verlangt die systematische Identifikation, Bewertung und Minderung von Risiken, die aus KI-Anwendungen entstehen, insbesondere für die Verarbeitung von personenbezogenen Daten (Beachtung der DSGVO weiterhin relevant!)
Compliance: Aufbau eines rechtssicheren Nachweis- und Kontrollsystems, das gegenüber Aufsichtsbehörden belegt, dass KI-Systeme die Anforderungen erfüllen.

Die Verlängerung der EU AI Act Übergangsfristen verschiebt somit die operative Umsetzung, nicht jedoch die Pflicht zur Vorbereitung.

Fachliche Einschätzung

Die vorgeschlagene Fristverlängerung ist aus praktischer Sicht sinnvoll: Viele Organisationen, insbesondere KMU, stehen noch am Anfang einer strukturierten KI-Governance. Gleichzeitig besteht das Risiko, dass eine zu lange Übergangsphase zu Unsicherheit führt, insbesondere bei der Auslegung der „High-Risk“-Kriterien (Stufe 2) und der Klassifizierung von General-Purpose-KI-Modellen. Entscheidend wird sein, ob die EU klare Leitlinien und technische Standards frühzeitig bereitstellt, die auch „verständlich“ und praxistauglich sind.

Beratung zum EU AI Act durch Elsen GRC

Elsen GRC unterstützt Unternehmen, öffentliche Einrichtungen (Ämter, Behörden, Kommunen) und SaaS-Anbieter bei der Umsetzung der Compliance-Anforderungen, die aus dem EU AI Act resultieren. Dazu gehören neben einer konkreten Risiko- und Systemklassifizierung gemäß AI Act Anhängen I bis III und der Erstellung von Governance- und Dokumentationsstrukturen auch die Begleitung bei KI-Readiness-Analysen + Audits bis hin zu Integration von Datenschutz-Prozessen (DSGVO, ISO 27701) und KI-Management (ISO 42001), die durch den Aufbau von internen Kontrollsystemen und Compliance-Workflows langfristig im Blick des Managements bleiben.

Mit einem praxisnahen Ansatz verbinden wir rechtliche Anforderungen mit technischer Machbarkeit – für eine sichere, nachvollziehbare und nachhaltige KI-Nutzung. Melden Sie sich jetzt für ein unverbindliche Erstberatung zum AI Act.

Unverbindliche Beratung anfordern

Quellen

Bild: Markus Spiske – Unsplash.com

Der Beitrag EU AI Act Übergangsfristen für Hochrisiko-KI bis 2027 verlängert erschien zuerst auf ELSEN GRC.

EU AI Act – Definition, Bedeutung & Pflichten für Unternehmen

Mario Elsen — Sun, 26 Oct 2025 10:47:18 +0000

Der EU AI Act ist die erste umfassende europäische Verordnung zur Regulierung von Künstlicher Intelligenz. Ziel ist es, den sicheren, transparenten und vertrauenswürdigen Einsatz von KI-Systemen in Europa zu gewährleisten, ohne Innovation zu behindern. Die Verordnung trat am 01. August 2024 in Kraft und kommt mit unterschiedlichen Übergangsfristen, mehr dazu in der rechtlichen Einordnung.

Was der EU AI Act regelt

Der AI Act definiert, was als KI-System gilt, und ordnet diese nach ihrem spezifischen Anwendungs-Risiko ein. Je höher das Risiko für Grundrechte, Sicherheit oder Datenschutz, desto strenger die Anforderungen. Die Verordnung gilt für alle Anbieter, Importeure, Händler und Nutzer von KI-Systemen innerhalb der EU – unabhängig davon, ob die Systeme in der EU entwickelt wurden oder nicht. Das beutetet, auch Unternehmen, die KI (z.B. die API von Open AI, also ChatGPT) in Ihre Anwendungen, Websites oder Produkte integrieren, müssen die Verordnung berücksichtigen.

Risikokategorien des EU AI Act

Unzulässige KI-Systeme – etwa Social-Scoring oder manipulative Systeme, die verboten werden (auch z.B. Emotionserkennung am Arbeitsplatz)
Hochrisiko-KI-Systeme – z. B. Anwendungen in kritischen Infrastrukturen, Beschäftigung, Bildung, Justiz oder biometrischer Identifizierung.
Begrenztes Risiko – Systeme, die Transparenzpflichten erfüllen müssen (z. B. Chatbots, die offengelegt werden müssen).
Minimales Risiko – Anwendungen, die keine besonderen Pflichten haben.

Anforderungen für Hochrisiko-Systeme

Anbieter solcher Systeme müssen ein umfassendes Risikomanagement-System, Daten- und Qualitätsmanagement, technische Dokumentation sowie Konformitätsbewertung nachweisen. Sie sind verpflichtet, menschliche Aufsicht sicherzustellen und Transparenz gegenüber Nutzern zu gewährleisten.

Praxisrelevanz für Unternehmen

Für Unternehmen bedeutet der AI Act, dass jede KI-Anwendung künftig hinsichtlich ihrer Risikoklasse geprüft und dokumentiert werden muss. Insbesondere SaaS- und Cloud-Anbieter, die KI-Funktionen integrieren, müssen Compliance-Prozesse etablieren, um die Anforderungen frühzeitig zu erfüllen.

Rechtliche Einordnung

Die Verordnung über Künstliche Intelligenz (AI Act) ist Teil der Digitalstrategie der EU und ergänzt bestehende Regelwerke wie die DSGVO und den Data Act. Nach der finalen Zustimmung des Europäischen Parlaments im Jahr 2024 tritt sie voraussichtlich 2025 mit Übergangsfristen von bis zu zwei Jahren in Kraft.

Beispielhafte Artikelverweise:

Artikel 5 ff. – Verbotene KI-Praktiken
Artikel -.7 – Hochrisiko-Systeme
Artikel 8-15 – Pflichten der Anbieter
Artikel 69 – Sanktionen bei Verstößen

Beratung im Rahmen des EU AI Act durch Elsen GRC

Elsen GRC unterstützt Unternehmen dabei, ihre KI-Systeme frühzeitig auf AI-Act-Konformität zu prüfen und erforderliche Governance-Strukturen aufzubauen. Dazu gehören Risikoanalysen, die Zuordnung zu Risikoklassen, der Aufbau von Nachweis- und Dokumentationspflichten sowie die Integration des Themas KI-Compliance in bestehende Datenschutz- und ISMS-Strukturen. Ziel ist es, regulatorische Sicherheit zu schaffen, ohne Innovation zu bremsen.

Unverbindliche Beratung zum EU AI Act anfordern

News zum EU AI Act

EU AI Act Übergangsfristen für Hochrisiko-KI bis 2027 verlängert (05.11.25)

Quellen:

EUR-Lex: Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence (LINK)
EU Commission News: “AI Act enters into force” – 1. August 2024 (LINK)
“The Act Texts | EU Artificial Intelligence Act” – artificialintelligenceact.eu (12 Juli 2024), (LINK)

Bild von ALEXANDRE LALLEMAND – Unsplash.com

Der Beitrag EU AI Act – Definition, Bedeutung & Pflichten für Unternehmen erschien zuerst auf ELSEN GRC.

GRC Journal: Praxisnahe Insights über Governance, Risk, Compliance und AI Act

Mario Elsen — Sat, 25 Oct 2025 12:17:10 +0000

Herzlich Willkommen! Mit dem GRC Journal starte ich ein neues Fachmagazin für KMU und Behörden, die den rechtssicheren, datenschutzkonformen und verantwortungsvollen Einsatz von KI-, Cloud- und Datentechnologien gestalten wollen. Hier finden Sie künftig praxisorientierte Beiträge, Checklisten und Analysen rund um Governance, Risk & Compliance (GRC) – mit Schwerpunkten auf Datenschutz (DSGVO / nDSG), EU AI Act Readiness & KI-Governance, Cloud-Compliance nach ISO 27001 / 27701, Cybersecurity und NIS2-Readiness. Aber lassen sich mich zunächst ein paar Hintergründe ausführen.

Warum ein eigenes GRC Journal?

Die Anforderungen an Datenschutz, IT-Sicherheit und den Compliance-konformen Einsatz von KI wachsen rasant. Steigender Wettbewerbsdruck machen den Einsatz von KI-Tools in vielen Unternehmen unerlässlich, während andere Unternehmen erst durch KI komplett neue Geschäftsmodelle erschließen. Die Smarte Integration von KI-Anbindungen in eigene Produkte, Schnittstellen oder Prozesse kann die Produktivität nicht nur erheblich steigern, sondern ganze Wertschöpfungsketten umstrukturieren. Mit dem EU AI Act entsteht erstmals ein umfassender Rechtsrahmen für den Einsatz künstlicher Intelligenz, während NIS2 und ISO 27001 den Standard für Informationssicherheit in Europa neu (oder erneut) definieren. Ziel des Journals ist es, diese Entwicklungen verständlich, aktuell und praxisnah einzuordnen – für Datenschutzbeauftragte, IT-Leitungen, Geschäftsführungen und alle, die für Compliance und Governance im Unternehmen Verantwortung tragen. Elsen GRC zeigt, dass Governance und Innovation kein Widerspruch sind – sondern die Grundlage für vertrauenswürdige Technologien.

Strategie, Fokus und Motivation von Elsen GRC

Elsen GRC berät Unternehmen im DACH- und CH-Raum beim sicheren, datenschutz- und gesetzeskonformen Einsatz von KI- und Cloud-Technologien. Der Ansatz verbindet technische Expertise, rechtliches Verständnis und praktische Umsetzungskompetenz. Ziel ist es, GRC-Strukturen nicht nur zu planen, sondern im Unternehmen operativ und praxistauglich zu verankern – von der Datenschutz-Organisation bis zur KI-Governance.

Aber wie kam es dazu? Nachdem ich unter dem Dach der Elsen Media GmbH über 14 Jahre Erfahrung in der Entwicklung von Websites, Webanwendungen und Kampagnen gesammelt habe, hunderte Cookie-Consent-Tools konfiguriert und Datenschutzerklärungen auf die Füße der DSGVO gestellt hatte, stellte ich zunehmend fest, dass sich die Arbeitsweise meiner Kunden verändert: Immer häufiger wurden eigene – teils KI-generierte – Konzepte oder Inhalte geliefert, bei denen die Verarbeitung der Daten nicht nur fraglich, sondern teilweise unter Vernachlässigung geltender Datenschutzrichtlinien erfolgte.

Inzwischen findet sich KI in nahezu allen Prozessen mittelständischer Unternehmen. Doch eine zentrale Frage wird fast immer vernachlässigt: Wie gehen wir beim Einsatz von KI eigentlich mit sensiblen Unternehmens- und personenbezogenen Daten um?

Diese Frage führte mich 2025 zu einem neuen Schwerpunkt meiner IT-Tätigkeit – in die Welt von Governance, Risk und Compliance (GRC). Die gezielte Weiterbildung zum TÜV-zertifizierten Datenschutzbeauftragten, ergänzt durch die Vorbereitung auf die Tätigkeit als ISO 27001 Lead Auditor sowie die IAPP AIGP-Zertifizierung, bilden das Fundament der heutigen Arbeit von Elsen GRC.

Themen, die Sie im GRC Journal erwarten

Das Journal wird regelmäßig mit neuen Beiträgen gefüllt – fundiert, praxisnah und stets mit Blick auf aktuelle regulatorische Entwicklungen:

Was sind Hoch-Risiko-KI-Systeme nach dem EU AI Act?
Datenpanne – was tun, wenn’s passiert ist?
TOMs im Auftragsverarbeitungsvertrag: Muster und Umsetzung
Automatisierte Einzelentscheidung und Profiling im KI-Zeitalter
Cloud Act vs. DSGVO – Datenhoheit und US-Anbieter im europäischen Kontext
und viele weitere Themen!

Jeder Beitrag bietet einen klaren Mehrwert: rechtliche Einordnung, technische Perspektive und konkrete Handlungsempfehlungen – um Unternehmen bei der AI Act Readiness, NIS2-Umsetzung und Datenschutz-Governance zu unterstützen.

Bleiben Sie auf dem Laufenden und erhalten Sie praxisnahe Insights rund um AI Act, DSGVO, NIS2 und ISO 27001.
Abonnieren Sie unseren Newsletter oder folgen Sie Elsen GRC auf LinkedIn, um regelmäßig über neue Beiträge, Webinare und Fachanalysen informiert zu werden.

Sie möchten Ihr Unternehmen auf AI Act Readiness, NIS2-Compliance oder ISO 27001-Zertifizierung vorbereiten? Kontaktieren Sie uns gern für ein unverbindliches Orientierungsgespräch.

Der Beitrag GRC Journal: Praxisnahe Insights über Governance, Risk, Compliance und AI Act erschien zuerst auf ELSEN GRC.