← Zurück zur Seekarte

Erläuterungen & Quellen

Pragmatische Vertiefung zu den Fragen der Selbstverortung. Orientierung, keine Rechtsberatung · Stand Juni 2026. Maßgeblich sind die jeweils geltenden Originaltexte (verlinkt).

Verbotene Praktiken (Art. 5 KI-VO)

Acht KI-Praktiken sind EU-weit untersagt, unabhängig von Daten oder Branche, anwendbar seit 2. Februar 2025. Für mittelständische Unternehmen am ehesten relevant: Emotionserkennung am Arbeitsplatz oder in der Bildung, Social Scoring von Personen, manipulative bzw. die Schutzbedürftigkeit ausnutzende Systeme sowie bestimmte biometrische Verfahren. Durch den „Digital Omnibus" (vorläufige Einigung 7. Mai 2026, noch nicht im Amtsblatt) kommt ein Verbot der Erzeugung nicht-einvernehmlicher intimer Bilder und von CSAM hinzu (Übergang bis Dez 2026).

Praktisch: Trifft eine dieser Praktiken zu, ist der Einsatz zu unterlassen. Eine Stufenwahl erübrigt sich.

Quellen: KI-VO (EU) 2024/1689, EUR-Lex · Art. 5 (AI Act Explorer)

Hochrisiko-Bereiche (Annex III)

Annex III nennt acht Bereiche, in denen KI als hochriskant gilt, meist wegen erheblicher Wirkung auf Menschen: u.a. Beschäftigung/Personal, Zugang zu wesentlichen Diensten (Kreditwürdigkeit, Versicherung), Bildung, Biometrie, kritische Infrastruktur. Für den Mittelstand sind Personalauswahl/-bewertung und Kreditwürdigkeit die häufigsten Fälle.

Hochrisiko bedeutet nicht „verboten", aber pflichtenreich (Risikomanagement, Datenqualität, Dokumentation, menschliche Aufsicht u.a.). Die Pflichten für Annex-III-Systeme gelten nach der Verschiebung durch den Digital Omnibus ab 2. Dezember 2027. Vorbehalt: Die Verschiebung beruht auf der politischen Einigung vom 7. Mai 2026 und ist bis zur Veröffentlichung im EU-Amtsblatt nicht final. Formal gilt bis dahin weiter der 2. August 2026.

Quellen: Annex III · Art. 6 (Klassifizierung) · KI-VO, EUR-Lex

Entlastung (Art. 6 Abs. 3 KI-VO)

Auch wenn ein Einsatz in einen Annex-III-Bereich fällt, gilt er nicht als hochriskant, wenn er kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte birgt und eine der vier Bedingungen erfüllt: enge Verfahrensaufgabe, Verbesserung eines bereits abgeschlossenen menschlichen Ergebnisses, Erkennen von Mustern ohne die menschliche Bewertung zu ersetzen, oder reine Vorbereitungsaufgabe. Ausnahme: Sobald Profiling natürlicher Personen stattfindet, bleibt es hochriskant.

Wer sich auf die Entlastung beruft, muss die Einschätzung vor dem Einsatz dokumentieren (Art. 6 Abs. 4).

Quellen: Art. 6 Abs. 3/4 (AI Act Explorer)

Transparenzpflichten (Art. 50 KI-VO)

Unabhängig von der Stufe und auch für harmlose Anwendungen: Nutzer müssen erkennen, dass sie mit einer KI sprechen (Chatbots/Assistenten); KI-erzeugte Inhalte sind maschinenlesbar zu markieren; Deepfakes und KI-Texte zu öffentlichem Interesse sind zu kennzeichnen; bei Emotionserkennung/biometrischer Kategorisierung sind Betroffene zu informieren. Stichtag: 2. August 2026 (Markierungspflichten nach Art. 50 Abs. 2 mit Übergang bis Dez 2026).

Quellen: Art. 50 (AI Act Explorer)

Personenbezogene & vertrauliche Daten

Sobald personenbezogene Daten verarbeitet werden, greift die DSGVO; besondere Kategorien (Gesundheit, Biometrie u.a.) nach Art. 9 sind strenger geschützt. Schützenswertes Know-how ohne Personenbezug fällt unter das Geschäftsgeheimnisgesetz. Faustregel: Sobald Personenbezug oder Internas im Spiel sind, reicht kein öffentliches Consumer-Tool, es braucht mindestens ein sauberes Compliance-Setup (Auftragsverarbeitung, EU-Region).

Quellen: DSGVO (EU) 2016/679, EUR-Lex · GeschGehG

Rechtssichere Position vs. Jurisdiktion (Cloud Act)

Mit Auftragsverarbeitungsvertrag (Art. 28 DSGVO), Datenschutz-Folgenabschätzung (Art. 35) und EU-Region erreichen Sie eine rechtlich verteidigbare Position, auch bei US-Anbietern. Allerdings kann der US CLOUD Act US-Unternehmen verpflichten, Daten herauszugeben, selbst wenn diese in der EU liegen. Wer dieses Restrisiko für seine Daten nicht akzeptieren kann, braucht einen Anbieter außerhalb der US-Jurisdiktion (EU-Sitz, EU-Eigentum/Kontrolle).

Quellen: BDSG · DSGVO Art. 28/35, EUR-Lex · US CLOUD Act

Technische Vertraulichkeit

Ein Vertrag schützt rechtlich. Technisch verarbeitet ein per API eingebundenes LLM Ihre Daten jedoch unverschlüsselt im Klartext, unmittelbar bevor sie ins neuronale Netz gehen. Wer einen Datenabfluss technisch ausschließen will, kommt um lokale bzw. abgeschottete Lösungen nicht herum: self-hosted Open-Weight-Modelle auf eigener Hardware oder Confidential Computing / Trusted Execution Environments, bei denen selbst der Betreiber keinen Klartextzugriff hat.

Quellen: BSI (Confidential Computing, C5)

Sektorrecht

Bestimmte Branchen und Datenarten lösen zusätzliche Pflichten aus und heben die Mindeststufe: Berufsgeheimnis (§203 StGB: Ärzte, Anwälte, Steuerberater), Gesundheits-/Sozialdaten (Art. 9 DSGVO, SGB), Steuergeheimnis (§30 AO), Finanzsektor (DORA, BaFin, mit Exit-Strategien und Begrenzung von Konzentrationsrisiko), KRITIS/NIS2 (Risikomanagement, Meldepflichten, Lieferkettensicherheit) sowie Geschäftsgeheimnisse (GeschGehG).

Quellen: §203 StGB · §30 AO · DORA (EU) 2022/2554 · NIS2-Richtlinie · BSI (NIS2/KRITIS)

Strategische Autonomie / Souveränität

Unabhängig von Vertraulichkeit geht es hier um Unabhängigkeit und Handlungsfähigkeit: Können Sie den Anbieter wechseln (Exit-Fähigkeit, offene Standards, Datenportabilität), und bleiben Sie auch unter geopolitischem Druck handlungsfähig? Hoher Bedarf verschiebt Sie zu offenen, EU-basierten oder selbst betreibbaren Lösungen. Der Finanzsektor macht es über DORA vor, indem er Exit-Strategien ausdrücklich verlangt: ein gutes Vorbild auch außerhalb der Finanzbranche.

Quellen: DORA (Exit-Strategien) · BMWK (Digitale Souveränität) · Gaia-X

Die vier Schutzstufen (0–3)

Das Ergebnis der Selbstverortung ist eine von vier kumulativen Stufen: jede höhere enthält die Anforderungen der niedrigeren. Sie ergeben sich aus Datensensibilität, Jurisdiktions- und Autonomiebedarf.

Stufe 0 Offen
Öffentliche, unkritische Daten: öffentliche KI-Tools genügen.
Stufe 1 Compliance-sicher
Rechtssichere Position per AVV, DSFA und EU-Region. Cloud-Act-Restrisiko bleibt.
Stufe 2 Jurisdiktions-souverän
Echter Schutz vor fremdstaatlichem Zugriff: EU-Anbieter ohne US-Mutter.
Stufe 3 Abfluss-/betriebssouverän
Technische Garantie: Daten verlassen die eigene Kontrolle nie.

Lösungsklassen (K0–K8)

K0–K5 sind Bezugsklassen: sie bestimmen, woher die Intelligenz kommt und welche Schutzstufe damit erreichbar ist. K6–K8 sind Aufbauklassen: Architekturmuster, die auf einer Bezugsklasse laufen und deren Stufe erben. Eine konkrete Lösung kann im Einzelfall abweichen, maßgeblich sind ihre tatsächlichen Eigenschaften.

Bezugsklassen: Schutzstufe entsteht hier

K0 Öffentliche Consumer-Tools Stufe 0

Nur für öffentliche, unkritische Inhalte.

Hosting
Öffentlicher Consumer-Dienst
Jurisdiktion
meist US, kein AVV
Daten
Klartext, ggf. Training auf Eingaben
Beispiele
ChatGPT Free/Plus, Gemini, Copilot (Consumer)

K1 Managed-Cloud-LLM (US-Hyperscaler, EU-Region) Stufe 1

Rechtssicher mit Vertrag, Cloud-Act-Restrisiko bleibt.

Hosting
Managed Cloud beim Hyperscaler (EU-Region)
Jurisdiktion
US-Mutter
Vertrag
AVV + Zero Data Retention · ISO 27001 / SOC 2 / C5
Beispiele
Azure OpenAI (EU Data Zone), AWS Bedrock EU, Google Vertex AI EU

Trotz EU-Rechenzentrum bleibt der Anbieter US-kontrolliert (Cloud Act / FISA 702).

K2 EU-Cloud / EU-Modellanbieter & Modell-Hub Stufe 2

Schutz vor fremdstaatlichem Zugriff; Daten aber weiter beim Anbieter im Klartext.

Hosting
EU-Cloud / EU-Anbieter
Jurisdiktion
EU (Sitz + Eigentum)
Vertrag
AVV · C5 / ISO 27001
Beispiele
Mistral / Le Chat, Aleph Alpha, IONOS AI Model Hub, OVHcloud

K3 Souveräne Cloud Stufe 2

Tieferer Souveränitätsanspruch als K2: EU kontrolliert Betrieb und Stack.

Hosting
EU-betrieben und -kontrolliert, abgeschottet (Gaia-X / SEAL-3+)
Jurisdiktion
EU
Vertrag
hohe Zertifizierung
Beispiele
StackIT, Open Telekom Cloud, S3NS (Delos = Label-Vorsicht)

„Sovereign-Label ≠ Souveränität": Delos basiert auf Azure. Betreiber-souverän von bloß datenlokal unterscheiden.

K4 Self-hosted Open-Weights Stufe 3

Daten verlassen die eigene Kontrolle nie.

Hosting
On-Prem / eigene oder EU-Private GPU
Jurisdiktion
eigene Kontrolle, kein Anbieter-AVV nötig
Integration
Eigenbetrieb-Stack (Ollama / vLLM)
Beispiele
Llama, Mistral, Teuken / OpenGPT-X auf eigener GPU

Eigenes Anpassen / Finetunen kann unter der KI-VO die Anbieterrolle auslösen.

K5 Confidential Computing / TEE Stufe 3*

Technisch dicht auch gegenüber dem Betreiber, aber die Jurisdiktion (R) hängt am Anbieter.

Hosting
variabel (Hyperscaler oder EU), versiegelte Enklave
Jurisdiktion
variabel (am Anbieter)
Daten
verschlüsselt in der Enklave (Attestation)
Beispiele
Azure Confidential, NVIDIA CC, spezialisierte EU-TEE-Anbieter

Mischfall: T = hoch, R = variabel. Ein US-TEE schützt technisch, aber nicht juristisch (nur dann Stufe 1).

Aufbauklassen: erben die Stufe des Backends

K6 KI-Gateway / DSGVO-Proxy erbt

Vorgeschalteter Filter, kann die faktische Schutzwirkung des Backends anheben.

Funktion
Routing, PII-Maskierung, Protokollierung, Policy / Budget
Stelle
vor der Bezugsklasse (z. B. „K6 vor K1")
Beispiele
LiteLLM, Portkey, anymize, Open WebUI

K7 RAG-System (Retrieval-Augmented Generation) erbt

Die effektive Stufe ist das Maximum aus Modell- und Wissensbasis-Hosting.

Funktion
Wissensbasis + Retrieval vor dem Modell
Stelle
auf der Bezugsklasse (z. B. „K7 auf K2")
Beispiele
AnythingLLM, Dify, RAGFlow

Lokale Wissensbasis schützt nur, solange keine sensiblen Inhalte in den Prompt wandern.

K8 Agenten-System / Tool-Use erbt

Mehr Autonomie und Angriffsfläche, erhöht tendenziell die KI-VO-Relevanz.

Funktion
Aktionen, Tool-Zugriffe, externe Effekte
Stelle
auf der Bezugsklasse (z. B. „K8 auf K4")
Beispiele
Flowise, n8n, Dust, Parloa
Klassen-VisualisierungenK0–K8 grafisch: Stufen, R/T/A-Profil und Architektur auf einen Blick Klassen-SteckbriefeDetail-Datenblätter je Klasse mit R/T/A-Werten und Beispielen
← Zurück zur Seekarte