Am 2. August 2026 steigt die Strafobergrenze für den Einsatz eines KI-Agenten ohne ordnungsgemäße Dokumentation von 20 Millionen Euro auf 55 Millionen Euro. Das ist kein Tippfehler. Die Hochrisiko-Bestimmungen der KI-Verordnung der EU stapeln sich nun auf die bestehenden DSGVO-Bußgelder, wodurch ein duales Durchsetzungssystem entsteht, bei dem ein einzelner KI-Agent, der personenbezogene Daten verarbeitet, gleichzeitig Verstöße unter beiden Rahmenwerken auslösen kann.
Die meisten Unternehmen, die KI-Agenten in Europa einsetzen, sind nicht bereit. Dieser Leitfaden behandelt genau, was Sie vor der Frist tun müssen: die erforderlichen Bewertungen, die vorzubereitende Dokumentation, die drohenden Strafen und eine praktische 90-Tage-Compliance-Roadmap.
Was die KI-Verordnung der EU für KI-Agenten in Unternehmen bedeutet
Die KI-Verordnung der EU trat im August 2024 in Kraft, wobei verschiedene Bestimmungen phasenweise wirksam werden. Die kritischste Frist für Unternehmen ist der 2. August 2026, ab dem die Anforderungen für Hochrisiko-KI-Systeme gemäß Anhang III vollständig durchsetzbar werden.
Welche KI-Agenten sind hochriskant?
Nicht alle KI-Agenten fallen unter die Hochrisiko-Kategorie. Die KI-Verordnung klassifiziert KI-Systeme anhand ihres Einsatzkontextes, nicht der Technologie selbst. Ihr KI-Agent ist wahrscheinlich hochriskant, wenn er in einem dieser Bereiche tätig ist:
- Beschäftigung und Personalwesen : Lebenslauf-Screening, Bewertung von Bewerbern, Beförderungsentscheidungen, Überwachung der Mitarbeiterleistung
- Finanzdienstleistungen : Kreditscoring, Versicherungsübernahme, Betrugserkennung mit automatisierten Entscheidungen
- Gesundheitswesen : Patiententriage, Diagnoseunterstützung, Behandlungsempfehlungen
- Bildung : Studentenbewertung, Zulassungsentscheidungen, Empfehlungen für Lernpfade
- Strafverfolgung und Migration : Grenzkontrolle, Kriminalitätsprognose (öffentlicher Sektor)
Kundenservice-Chatbots und Marketing-Automatisierungsagenten werden im Allgemeinen nicht als hochriskant eingestuft, es sei denn, sie treffen folgenschwere Entscheidungen über Einzelpersonen.
Die Überschneidung mit der DSGVO
Hier wird es komplex. KI-Agenten, die personenbezogene Daten verarbeiten, lösen in der Regel mehrere Hochrisiko-Kriterien gleichzeitig aus: Profiling, automatisierte Entscheidungsfindung, Einsatz innovativer Technologie und Verarbeitung in großem Umfang. Das bedeutet, dass Sie Compliance-Pflichten sowohl unter der DSGVO als auch unter der KI-Verordnung haben.
Die gute Nachricht: Die EU hat diese Rahmenwerke so konzipiert, dass sie zusammenwirken. Eine FRIA (Fundamental Rights Impact Assessment) gemäß der KI-Verordnung kann Ihre bestehende DSFA (Datenschutz-Folgenabschätzung) gemäß der DSGVO ergänzen, anstatt sie zu ersetzen.
DSFA und FRIA: die zwei Bewertungen, die Sie durchführen müssen
Vor dem Einsatz eines Hochrisiko-KI-Agenten nach dem 2. August 2026 benötigen Sie zwei formelle Bewertungen:
1. Datenschutz-Folgenabschätzung (DSFA) — Artikel 35 DSGVO
Eine DSFA ist seit 2018 gemäß der DSGVO vorgeschrieben, aber viele Unternehmen haben keine speziell für ihre KI-Agenten durchgeführt. Die Bewertung muss Folgendes abdecken:
- Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
- Bewertung der Notwendigkeit und Verhältnismäßigkeit — warum KI gegenüber einfacheren Methoden erforderlich ist
- Risiken für betroffene Personen — welcher Schaden durch Fehler, Voreingenommenheit oder Datenschutzverletzungen entstehen könnte
- Abhilfemaßnahmen — vorhandene technische und organisatorische Schutzmaßnahmen
Achten Sie bei KI-Agenten besonders auf die automatisierte Entscheidungsfindung (Artikel 22), die Datenminimierung (erfassen Sie mehr Daten als nötig?) und das Recht auf menschliche Überprüfung automatisierter Entscheidungen.
2. Fundamental Rights Impact Assessment (FRIA) — Artikel 27 der KI-Verordnung
Die FRIA ist neu und zielt speziell auf KI-Systeme ab. Sie geht über den Datenschutz hinaus und bewertet Auswirkungen auf Grundrechte, darunter:
- Nichtdiskriminierung und Gleichheit
- Meinungsfreiheit
- Recht auf einen wirksamen Rechtsbehelf
- Rechte des Kindes (falls das System Minderjährige betrifft)
- Verbraucherschutz
Praktischer Ansatz: Führen Sie zuerst Ihre DSFA durch und erweitern Sie diese dann um die breiteren Grundrechtsdimensionen, die die FRIA erfordert. Dieser einheitliche Ansatz wird ausdrücklich von der KI-Verordnung unterstützt und vermeidet Doppelarbeit.
Zeitplan für die Durchführung
Wenn Sie einen Einsatz vor dem 2. August 2026 planen, bedeutet die 6-monatige Aufbewahrungspflicht, dass Sie spätestens im Februar 2026 mit der Erfassung von Compliance-Nachweisen hätten beginnen sollen. Wenn Sie noch nicht begonnen haben, starten Sie sofort — eine gründliche DSFA plus FRIA dauert 8 bis 12 Wochen für ein komplexes KI-Agenten-System.
Checkliste für die Compliance vor dem Einsatz
Bis zum 2. August 2026 muss Folgendes für jedes Hochrisiko-KI-System abgeschlossen sein:
Technische Dokumentation (Anhang IV)
- Systembeschreibung einschließlich Verwendungszweck, Fähigkeiten und Einschränkungen
- Dokumentation des Risikomanagementprozesses mit identifizierten Risiken und Abhilfemaßnahmen
- Dokumentation der Daten-Governance für Trainings-, Validierungs- und Testdaten
- Design- und Entwicklungsmethodik einschließlich Modellarchitektur und Trainingsansatz
- Leistungskennzahlen einschließlich Genauigkeit, Robustheit und Cybersicherheitsmaßnahmen
- Mechanismen zur menschlichen Aufsicht und Gebrauchsanweisungen
Konformitätsbewertung
- Selbstbewertung oder Drittbewertung je nach Systemkategorie
- EU-Konformitätserklärung, unterzeichnet von einem bevollmächtigten Vertreter
- CE-Kennzeichnung am System oder in der Dokumentation
- Registrierung in der KI-Datenbank der EU (für öffentlich zugängliche Hochrisiko-Systeme)
Laufende Pflichten
- System zur Marktüberwachung nach dem Inverkehrbringen eingerichtet
- Verfahren zur Meldung schwerwiegender Vorfälle
- Protokollierungssystem, das Aufzeichnungen mindestens 6 Monate aufbewahrt
- Regelmäßige Audits zu Genauigkeit und Voreingenommenheit
Benötigen Sie Hilfe bei der Erstellung Ihrer Compliance-Dokumentation? Unser Team für Cybersicherheit und KI-Compliance kann DSFA- und FRIA-Bewertungen für Ihre KI-Agenten-Einsätze durchführen. Erfahren Sie mehr über unsere Cybersicherheitsdienste oder kontaktieren Sie uns.
Strafen: Was passiert bei Nicht-Compliance
Die KI-Verordnung der EU führt eine gestufte Sanktionsstruktur ein, die sich mit den DSGVO-Bußgeldern kumuliert:
| Verstoß | Höchststrafe |
|---|---|
| Verbotene KI-Praktiken (Social Scoring, Manipulation) | 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes |
| Hochrisiko-Nichteinhaltung (fehlende Dokumentation, keine FRIA) | 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes |
| Bereitstellung falscher Informationen an Behörden | 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes |
| Kombiniert mit DSGVO-Verstoß | Bis zu 55 Millionen Euro (kumulierte Strafen) |
Strafenkumulation erklärt
Ein einzelner KI-Agent, der personenbezogene Daten ohne ordnungsgemäße Dokumentation verarbeitet, kann auslösen:
- DSGVO-Bußgeld für fehlende DSFA: bis zu 20 Millionen Euro (Artikel 83)
- Bußgeld gemäß KI-Verordnung für fehlende FRIA und Konformitätsbewertung: bis zu 15 Millionen Euro
- Bußgeld gemäß KI-Verordnung für fehlende technische Dokumentation: bis zu 15 Millionen Euro
Diese Bußgelder sind keine Alternativen — sie können kumulativ für dasselbe System verhängt werden. Nationale Durchsetzungsbehörden sind jetzt operativ, wobei Finnland im Januar 2026 als erster Mitgliedstaat vollständig aktiv wurde.
Erwägungen für KMU
Die KI-Verordnung sieht eine gewisse Erleichterung für KMU vor: Bußgelder werden nach dem niedrigeren Wert berechnet — dem absoluten Betrag oder dem Umsatzprozentsatz, je nachdem, was verhältnismäßiger ist. Die Compliance-Pflichten bleiben jedoch unabhängig von der Unternehmensgröße gleich.
Fragen an Ihren KI-Agenten-Anbieter
Wenn Sie KI-Agenten-Plattformen von Drittanbietern nutzen, ist Compliance eine geteilte Verantwortung. Überprüfen Sie diese Punkte, bevor Sie Unternehmensverträge unterzeichnen oder verlängern:
Datenverarbeitung
- Wo werden Daten verarbeitet und gespeichert? Sind rein europäische Optionen verfügbar?
- Wer sind die Unterauftragsverarbeiter des Anbieters und wo befinden sie sich?
- Können Sie das Recht auf Löschung über alle Agenten-Interaktionen und Trainingsdaten durchsetzen?
- Stellt der Anbieter einen DSGVO-konformen Auftragsverarbeitungsvertrag bereit?
Bereitschaft für die KI-Verordnung
- Hat der Anbieter die Konformitätsbewertung für sein System abgeschlossen oder begonnen?
- Ist die technische Dokumentation gemäß Anhang IV verfügbar?
- Bietet die Plattform Audit-Trails für alle KI-gesteuerten Entscheidungen?
- Hat der Anbieter die CE-Kennzeichnungsdokumentation für Hochrisiko-Einsätze vorbereitet?
- Welche Transparenzmaßnahmen gibt es für Personen, die mit dem KI-Agenten interagieren?
Praktische Warnsignale
Seien Sie vorsichtig, wenn ein Anbieter diese Fragen nicht klar beantworten kann, behauptet, sein System sei „nicht hochriskant" ohne eine dokumentierte Klassifizierungsanalyse, oder sich ausschließlich auf „vertragliche Compliance" stützt, ohne technische Maßnahmen nachzuweisen.
90-Tage-Compliance-Roadmap
Für Unternehmen, die vor dem 2. August 2026 Compliance erreichen müssen:
Wochen 1-2: Bestandsaufnahme und Klassifizierung
- Alle KI-Agenten in Ihrer Organisation katalogisieren (einschließlich Schatten-KI)
- Jedes System gemäß den Risikokategorien der KI-Verordnung klassifizieren
- Systeme identifizieren, die personenbezogene Daten verarbeiten (wodurch doppelte DSGVO- + KI-Verordnung-Pflichten ausgelöst werden)
- Compliance-Verantwortliche für jedes Hochrisiko-System benennen
Wochen 3-6: Bewertungsphase
- DSFA für jeden Hochrisiko-KI-Agenten durchführen, der personenbezogene Daten verarbeitet
- Jede DSFA zu einer FRIA erweitern, die die Grundrechtsdimensionen abdeckt
- Risikominderungsmaßnahmen für identifizierte Risiken dokumentieren
- Rechtsberatung zur Überprüfung der Bewertungsqualität einschalten
Wochen 7-10: Dokumentation und technische Maßnahmen
- Technische Dokumentation gemäß Anhang IV für jedes Hochrisiko-System erstellen
- Erforderliche Protokollierungs- und Überwachungssysteme implementieren
- Verfahren zur menschlichen Aufsicht etablieren
- Workflows zur Vorfallmeldung erstellen
Wochen 11-12: Konformität und Registrierung
- Konformitätsbewertungsverfahren abschließen
- EU-Konformitätserklärung vorbereiten
- Systeme in der KI-Datenbank der EU registrieren (sofern erforderlich)
- Abschlussüberprüfung mit Rechts- und Compliance-Teams durchführen
Nach dem Start
- Vierteljährliche Audits zu Voreingenommenheit und Genauigkeit einplanen
- Aktualisierungen der regulatorischen Leitlinien nationaler Behörden verfolgen
- Dokumentation nach jeder wesentlichen Systemänderung aktualisieren
- Teams in Verfahren zur Vorfallmeldung schulen
Aktueller Durchsetzungsstand in Europa
Die Durchsetzung ist nicht mehr theoretisch. Nationale zuständige Behörden werden im gesamten ersten Halbjahr 2026 aktiv:
- Finnland : erster Mitgliedstaat mit voll operativer Durchsetzung (Januar 2026)
- Frankreich : die CNIL führt die Durchsetzung der KI-Verordnung parallel zum Datenschutz
- Deutschland : Koordinierung der Durchsetzung auf Bundes- und Landesebene
- Spanien : die AEPD integriert die Durchsetzung der KI-Verordnung in den bestehenden DSGVO-Rahmen
- Italien : der Garante per la protezione dei dati entwickelt KI-spezifische Leitlinien
Unternehmen, die in mehreren EU-Mitgliedstaaten tätig sind, sollten sich auf Durchsetzungsmaßnahmen jeder nationalen Behörde vorbereiten, nicht nur der ihres Niederlassungslandes.
Fazit
Die Frist am 2. August 2026 ist weniger als vier Monate entfernt. Die doppelte Compliance-Last von DSGVO und KI-Verordnung der EU ist real, die Strafen sind erheblich (bis zu 55 Millionen Euro für ein einzelnes System) und die Durchsetzungsbehörden sind operativ. Unternehmen, die jetzt handeln — Bewertungen durchführen, Dokumentation vorbereiten und laufende Überwachung einrichten — werden nicht nur Strafen vermeiden, sondern auch das Vertrauen von Kunden und Partnern in einer zunehmend regulierten KI-Landschaft stärken.
Die wichtigsten Maßnahmen sind klar:
- Klassifizieren Sie Ihre KI-Agenten sofort gemäß dem Risikorahmen der KI-Verordnung
- Beginnen Sie jetzt mit den DSFA- und FRIA-Bewertungen, falls noch nicht geschehen
- Überprüfen Sie, ob Ihre Lieferantenverträge Bestimmungen zur KI-Verordnung-Compliance enthalten
- Richten Sie Protokollierung, Überwachung und Vorfallmeldung vor der Frist ein
Benötigen Sie Compliance-Unterstützung für Ihre KI-Agenten-Einsätze? Kontaktieren Sie unser Team für eine DSGVO- und KI-Verordnung-Bereitschaftsbewertung. Wir helfen Unternehmen, den doppelten Compliance-Rahmen mit praktischer, fristorientierter Beratung zu navigieren.
