Pragmatische Vertiefung zu den Fragen der Selbstverortung. Orientierung, keine Rechtsberatung · Stand Juni 2026. Maßgeblich sind die jeweils geltenden Originaltexte (verlinkt).
Acht KI-Praktiken sind EU-weit untersagt, unabhängig von Daten oder Branche, anwendbar seit 2. Februar 2025. Für mittelständische Unternehmen am ehesten relevant: Emotionserkennung am Arbeitsplatz oder in der Bildung, Social Scoring von Personen, manipulative bzw. die Schutzbedürftigkeit ausnutzende Systeme sowie bestimmte biometrische Verfahren. Durch den „Digital Omnibus" (vorläufige Einigung 7. Mai 2026, noch nicht im Amtsblatt) kommt ein Verbot der Erzeugung nicht-einvernehmlicher intimer Bilder und von CSAM hinzu (Übergang bis Dez 2026).
Praktisch: Trifft eine dieser Praktiken zu, ist der Einsatz zu unterlassen. Eine Stufenwahl erübrigt sich.
Quellen: KI-VO (EU) 2024/1689, EUR-Lex · Art. 5 (AI Act Explorer)
Annex III nennt acht Bereiche, in denen KI als hochriskant gilt, meist wegen erheblicher Wirkung auf Menschen: u.a. Beschäftigung/Personal, Zugang zu wesentlichen Diensten (Kreditwürdigkeit, Versicherung), Bildung, Biometrie, kritische Infrastruktur. Für den Mittelstand sind Personalauswahl/-bewertung und Kreditwürdigkeit die häufigsten Fälle.
Hochrisiko bedeutet nicht „verboten", aber pflichtenreich (Risikomanagement, Datenqualität, Dokumentation, menschliche Aufsicht u.a.). Die Pflichten für Annex-III-Systeme gelten nach der Verschiebung durch den Digital Omnibus ab 2. Dezember 2027. Vorbehalt: Die Verschiebung beruht auf der politischen Einigung vom 7. Mai 2026 und ist bis zur Veröffentlichung im EU-Amtsblatt nicht final. Formal gilt bis dahin weiter der 2. August 2026.
Quellen: Annex III · Art. 6 (Klassifizierung) · KI-VO, EUR-Lex
Auch wenn ein Einsatz in einen Annex-III-Bereich fällt, gilt er nicht als hochriskant, wenn er kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte birgt und eine der vier Bedingungen erfüllt: enge Verfahrensaufgabe, Verbesserung eines bereits abgeschlossenen menschlichen Ergebnisses, Erkennen von Mustern ohne die menschliche Bewertung zu ersetzen, oder reine Vorbereitungsaufgabe. Ausnahme: Sobald Profiling natürlicher Personen stattfindet, bleibt es hochriskant.
Wer sich auf die Entlastung beruft, muss die Einschätzung vor dem Einsatz dokumentieren (Art. 6 Abs. 4).
Quellen: Art. 6 Abs. 3/4 (AI Act Explorer)
Unabhängig von der Stufe und auch für harmlose Anwendungen: Nutzer müssen erkennen, dass sie mit einer KI sprechen (Chatbots/Assistenten); KI-erzeugte Inhalte sind maschinenlesbar zu markieren; Deepfakes und KI-Texte zu öffentlichem Interesse sind zu kennzeichnen; bei Emotionserkennung/biometrischer Kategorisierung sind Betroffene zu informieren. Stichtag: 2. August 2026 (Markierungspflichten nach Art. 50 Abs. 2 mit Übergang bis Dez 2026).
Quellen: Art. 50 (AI Act Explorer)
Sobald personenbezogene Daten verarbeitet werden, greift die DSGVO; besondere Kategorien (Gesundheit, Biometrie u.a.) nach Art. 9 sind strenger geschützt. Schützenswertes Know-how ohne Personenbezug fällt unter das Geschäftsgeheimnisgesetz. Faustregel: Sobald Personenbezug oder Internas im Spiel sind, reicht kein öffentliches Consumer-Tool, es braucht mindestens ein sauberes Compliance-Setup (Auftragsverarbeitung, EU-Region).
Quellen: DSGVO (EU) 2016/679, EUR-Lex · GeschGehG
Mit Auftragsverarbeitungsvertrag (Art. 28 DSGVO), Datenschutz-Folgenabschätzung (Art. 35) und EU-Region erreichen Sie eine rechtlich verteidigbare Position, auch bei US-Anbietern. Allerdings kann der US CLOUD Act US-Unternehmen verpflichten, Daten herauszugeben, selbst wenn diese in der EU liegen. Wer dieses Restrisiko für seine Daten nicht akzeptieren kann, braucht einen Anbieter außerhalb der US-Jurisdiktion (EU-Sitz, EU-Eigentum/Kontrolle).
Quellen: BDSG · DSGVO Art. 28/35, EUR-Lex · US CLOUD Act
Ein Vertrag schützt rechtlich. Technisch verarbeitet ein per API eingebundenes LLM Ihre Daten jedoch unverschlüsselt im Klartext, unmittelbar bevor sie ins neuronale Netz gehen. Wer einen Datenabfluss technisch ausschließen will, kommt um lokale bzw. abgeschottete Lösungen nicht herum: self-hosted Open-Weight-Modelle auf eigener Hardware oder Confidential Computing / Trusted Execution Environments, bei denen selbst der Betreiber keinen Klartextzugriff hat.
Quellen: BSI (Confidential Computing, C5)
Bestimmte Branchen und Datenarten lösen zusätzliche Pflichten aus und heben die Mindeststufe: Berufsgeheimnis (§203 StGB: Ärzte, Anwälte, Steuerberater), Gesundheits-/Sozialdaten (Art. 9 DSGVO, SGB), Steuergeheimnis (§30 AO), Finanzsektor (DORA, BaFin, mit Exit-Strategien und Begrenzung von Konzentrationsrisiko), KRITIS/NIS2 (Risikomanagement, Meldepflichten, Lieferkettensicherheit) sowie Geschäftsgeheimnisse (GeschGehG).
Quellen: §203 StGB · §30 AO · DORA (EU) 2022/2554 · NIS2-Richtlinie · BSI (NIS2/KRITIS)
Unabhängig von Vertraulichkeit geht es hier um Unabhängigkeit und Handlungsfähigkeit: Können Sie den Anbieter wechseln (Exit-Fähigkeit, offene Standards, Datenportabilität), und bleiben Sie auch unter geopolitischem Druck handlungsfähig? Hoher Bedarf verschiebt Sie zu offenen, EU-basierten oder selbst betreibbaren Lösungen. Der Finanzsektor macht es über DORA vor, indem er Exit-Strategien ausdrücklich verlangt: ein gutes Vorbild auch außerhalb der Finanzbranche.
Quellen: DORA (Exit-Strategien) · BMWK (Digitale Souveränität) · Gaia-X
Das Ergebnis der Selbstverortung ist eine von vier kumulativen Stufen: jede höhere enthält die Anforderungen der niedrigeren. Sie ergeben sich aus Datensensibilität, Jurisdiktions- und Autonomiebedarf.
K0–K5 sind Bezugsklassen: sie bestimmen, woher die Intelligenz kommt und welche Schutzstufe damit erreichbar ist. K6–K8 sind Aufbauklassen: Architekturmuster, die auf einer Bezugsklasse laufen und deren Stufe erben. Eine konkrete Lösung kann im Einzelfall abweichen, maßgeblich sind ihre tatsächlichen Eigenschaften.
Nur für öffentliche, unkritische Inhalte.
Rechtssicher mit Vertrag, Cloud-Act-Restrisiko bleibt.
Trotz EU-Rechenzentrum bleibt der Anbieter US-kontrolliert (Cloud Act / FISA 702).
Schutz vor fremdstaatlichem Zugriff; Daten aber weiter beim Anbieter im Klartext.
Tieferer Souveränitätsanspruch als K2: EU kontrolliert Betrieb und Stack.
„Sovereign-Label ≠ Souveränität": Delos basiert auf Azure. Betreiber-souverän von bloß datenlokal unterscheiden.
Daten verlassen die eigene Kontrolle nie.
Eigenes Anpassen / Finetunen kann unter der KI-VO die Anbieterrolle auslösen.
Technisch dicht auch gegenüber dem Betreiber, aber die Jurisdiktion (R) hängt am Anbieter.
Mischfall: T = hoch, R = variabel. Ein US-TEE schützt technisch, aber nicht juristisch (nur dann Stufe 1).
Vorgeschalteter Filter, kann die faktische Schutzwirkung des Backends anheben.
Die effektive Stufe ist das Maximum aus Modell- und Wissensbasis-Hosting.
Lokale Wissensbasis schützt nur, solange keine sensiblen Inhalte in den Prompt wandern.
Mehr Autonomie und Angriffsfläche, erhöht tendenziell die KI-VO-Relevanz.