← Blog

Compliance EU AI Act 7 Min Lesezeit · 16. März 2026

EU-KI-Verordnung August 2026: Compliance-Checkliste für Entwickler

Die Verpflichtungen der EU-KI-Verordnung für hochrisiko KI-Systeme werden am 2. August 2026 vollständig verbindlich. Für die meisten Entwickler hat dies unmittelbare praktische Auswirkungen auf die Verarbeitung personenbezogener Daten durch KI-Systeme — und das GDPR-Prinzip der Datenminimierung durchzieht direkt Ihren KI-Entwicklungs-Workflow.

2. August 2026 — das Datum, an dem die Verpflichtungen der EU-KI-Verordnung für hochrisiko KI-Systeme gemäß Artikel 6 und Annex III vollständig gültig werden. Wenn Sie KI-Systeme in der EU entwickeln, bereitstellen oder integrieren — oder Daten von EU-Bürgern mit KI verarbeiten — gilt dieses Datum für Sie.
Quelle: EU-KI-Verordnung (Verordnung (EU) 2024/1689), Artikel 113

Was die EU-KI-Verordnung tatsächlich ist

Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) ist der erste umfassende Rechtsrahmen für künstliche Intelligenz weltweit. Sie trat am 1. August 2024 in Kraft und hat einen gestaffelten Umsetzungszeitplan. Die meisten Bestimmungen gelten ab dem 2. August 2026.

Die Verordnung verfolgt einen risikobasierten Ansatz. KI-Systeme werden in vier Risikostufen eingeteilt:

Verboten

Social Scoring durch Regierungen, Echtzeit-Biometrie-Überwachung im öffentlichen Raum, Manipulation von Personen durch unterschwellige Techniken. Verboten seit August 2024.

Hochrisiko

KI in Beschäftigung, Bildung, kritischer Infrastruktur, Gesundheitswesen, Kreditvergabe, Strafverfolgung. Unterliegen Konformitätsbewertungen, technischer Dokumentation, Anforderungen für menschliche Überwachung und Verpflichtungen zur Datenverwaltung. Verbindlich ab 2. August 2026.

Begrenztes Risiko

Chatbots, KI-generierte Inhalte. Transparenzverpflichtungen: Benutzer müssen wissen, dass sie mit einer KI interagieren. Verbindlich ab 2. August 2026.

Minimales Risiko

KI-Spam-Filter, KI-gestützte Videospiele, Inhaltsempfehlungen. Keine verbindlichen Verpflichtungen, aber freiwillige Verhaltenskodizes werden gefördert.

Gilt das für Ihren KI-Coding-Workflow?

Für die meisten Entwickler, die KI-Coding-Assistenten verwenden (Cursor, Claude Desktop, GitHub Copilot, Windsurf), gelten die Hochrisiko-Bestimmungen der KI-Verordnung nicht direkt — es sei denn, Sie erstellen Systeme, die unter Annex III-Kategorien wie HR-Screening-Tools, Kreditbewertungssysteme oder medizinische Gerätesoftware fallen.

Es gibt jedoch einen kritischen Schnittpunkt: Artikel 10 der EU-KI-Verordnung erfordert, dass Trainings- und Testdaten für hochrisiko KI-Systeme Datenverwaltungspraktiken einhalten, einschließlich Datenminimierung. Dies ist eine direkte Entsprechung des GDPR Art. 5(1)(c) — und sie gilt auch, wenn das KI-System selbst von einem Drittanbieter gebaut wird.

Die praktische Auswirkung: Wenn Sie ein HR-Screening-Tool, eine Kreditvergabe-Funktion oder ein beliebiges Annex III-System mit KI entwickeln, müssen Sie Ihre Datenverwaltungspraktiken dokumentieren — einschließlich der Gewährleistung, dass nur minimale, notwendige personenbezogene Daten in Trainings-, Test- und Live-Inferenz-Daten verwendet werden.

Die KI-Verordnung + GDPR-Schnittstelle: Wo Datenschutz auf KI-Governance trifft

Die EU-KI-Verordnung wurde entwickelt, um GDPR zu ergänzen, nicht zu ersetzen. Die beiden Verordnungen sind ausdrücklich aufeinander abgestimmt: Die KI-Verordnung erklärt in Präambel 9, dass sie das GDPR „nicht beeinträchtigt" und dass beide parallel gelten. In der Praxis bedeutet dies:

GDPR-Verpflichtung

Rechtmäßige Grundlage für die Verarbeitung
Datenminimierung (Art. 5(1)(c))
Zweckbindung
Auftragsverarbeitungsvereinbarungen (Art. 28)
Rechte von Betroffenen
Verstoßbenachrichtigung (72h)

EU-KI-Verordnung Zusatz

Technische Dokumentation
Datenverwaltung für Trainingsdaten
Genauigkeits- & Robustheitstests
Maßnahmen für menschliche Überwachung
Konformitätsbewertung (hochrisiko)
EU-Registrierung für hochrisiko-Systeme

GPAI-Modell-Verpflichtungen (ab August 2025)

General Purpose AI (GPAI) Modelle — Modelle wie GPT-4, Claude und Gemini, die eine breite Palette von Aufgaben erfüllen können — haben ihre eigenen Verpflichtungen gemäß Kapitel V der KI-Verordnung, die ab dem 2. August 2025 anwendbar sind:

GPAI-Modell-Provider müssen Zusammenfassungen der verwendeten Trainingsdaten verwalten und veröffentlichen (Art. 53)
GPAI-Modelle mit systemischem Risiko (geschätztes Trainings-Computing über 10²⁵ FLOPs) unterliegen zusätzlichen Verpflichtungen einschließlich Modellbewertungen, kontroversialen Tests und Incident Reporting
Nachgelagerte Integratoren (Unternehmen, die Produkte auf GPAI-Modellen aufbauen) müssen ihre eigene Risikobewertung durchführen, wie die Fähigkeiten des GPAI-Modells mit ihrem spezifischen Anwendungsfall interagieren

Für Entwickler, die Claude, GPT-4 oder Gemini in Produkte integrieren, schafft dies eine neue Due-Diligence-Verpflichtung: Sie müssen bewerten, welche personenbezogenen Daten in das GPAI-Modell fließen und ob diese Datenverarbeitung sowohl GDPR als auch KI-Verordnungsanforderungen erfüllt.

Wie anonymize.dev die EU-KI-Verordnungs-Compliance unterstützt

anonymize.dev adressiert direkt mehrere der schwierigsten KI-Verordnungs- und GDPR-Compliance-Anforderungen für Entwicklungsteams:

Art. 10

Datenverwaltung für Trainings- & Testdaten

Artikel 10 der KI-Verordnung erfordert, dass Trainings- und Testdaten Datenminimierungsanforderungen erfüllen. Durch die Anonymisierung von Daten, bevor sie KI-Workflows eingeben — Entfernung von echten Namen, E-Mails und IDs — stellen Sie sicher, dass selbst wenn Daten zur Modellverbesserung verwendet werden, dies nicht die Verarbeitung personenbezogener Daten darstellt.

Art. 25 GDPR

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

GDPR Art. 25 erfordert, dass der Datenschutz von Anfang an in das Systemdesign integriert wird („Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen"). Anonymisierung auf MCP-Ebene ist eine technische Umsetzung von Datenschutz durch Technik — PII-Schutz ist strukturell, nicht prozedural.

Art. 44 GDPR

Internationale Datenübermittlung

Wenn Daten vor Erreichen eines in den USA ansässigen KI-Providers anonymisiert werden, sind sie keine „personenbezogenen Daten" mehr nach GDPR. Dies beseitigt die internationale Übermittlungsverpflichtung vollständig — keine Standardvertragsklauseln erforderlich für die anonymisierten Prompts.

KI-Verordnung Dok.

Technische Dokumentationsnachweise

Die KI-Verordnung erfordert technische Dokumentation, die Datenverwaltungsmaßnahmen zeigt. anonymize.dev bietet Audit-Logs aller Anonymisierungsvorgänge — erkannte Entity-Typen, angewandte Operatoren, Zeitstempel — die in Ihre technische Dokumentation als Nachweis von Datenminimierungskontrollen aufgenommen werden können.

Entwickler-Checkliste vor August 2026

Nutzen Sie diese Checkliste, um Ihre Bereitschaft vor dem Durchsetzungsdatum 2. August 2026 zu bewerten:

1. Bestimmen Sie den Umfang

Identifizieren Sie, welche KI-Systeme in Ihrem Produktportfolio unter Annex III hochrisiko-Kategorien fallen (Screening für Beschäftigung, Kreditvergabe, Aufnahme in Bildungseinrichtungen, Gesundheitswesen, Strafverfolgung, kritische Infrastruktur, Biometrie, Verwaltung der Justiz, demokratische Prozesse) Bestimmen Sie Ihre Rolle: KI-System-Provider (Sie haben es gebaut), Bereitsteller (Sie integrieren ein System eines Drittanbieters) oder beides Überprüfen Sie, ob Ihr KI-Coding-Workflow GPAI-Modelle (Claude, GPT-4, Gemini) umfasst und dokumentieren Sie, wie personenbezogene Daten in diese Modelle fließen Für KI mit begrenztem Risiko (Chatbots, generierte Inhalte): Bestätigen Sie, dass Sie Transparenzkennzeichnungen für Endbenutzer haben

2. Datenverwaltung (Art. 10 KI-Verordnung + GDPR Art. 5)

Überprüfen Sie alle Stellen, an denen echte personenbezogene Daten in Ihren KI-Entwicklungs-Workflow eingeben: Debugging, Test-Fixtures, API-Antwort-Beispiele, Datenbankschema-Exporte Implementieren Sie technische Kontrollen, um zu verhindern, dass echte personenbezogene Daten in KI-Prompts eingeben — z. B. MCP-layer Anonymisierung über anonymize.dev Stellen Sie sicher, dass Test-Datensätze synthetisch oder anonymisiert sind — keine Exporte der Produktionsdatenbank Überprüfen Sie, dass versionskontrollierte Test-Fixtures keine echten personenbezogenen Daten enthalten (Git-Verlauf-Scan empfohlen)

3. Technische Dokumentation (Art. 11 KI-Verordnung — nur hochrisiko)

Erstellen und verwalten Sie technische Dokumentation, die den beabsichtigten Zweck, das Design und die Entwicklungsmethodik des KI-Systems beschreibt Dokumentieren Sie Ihre Datenminimierungskontrollen, einschließlich aller verwendeten PII-Abfangs- oder Anonymisierungstools Dokumentieren Sie menschliche Überwachungsmaßnahmen: Wer kann die KI überstimmen, unter welchen Umständen, und wie werden Entscheidungen protokolliert Für GPAI-Integrationen: Dokumentieren Sie die GPAI-Modellkarte des KI-Providers und die Klassifizierung des systemischen Risikos

4. Organisatorische KI-Governance

Veröffentlichen Sie eine interne KI-Nutzungsrichtlinie, die genehmigte Tools, verbotene Verwendungen und erforderliche Kontrollen angibt Identifizieren Sie genehmigte KI-Tools pro Rolle (Entwickler: Cursor mit anonymize.dev MCP; Analysten: genehmigte BI-Tools; Support: genehmigte CRM-KI-Funktionen) Etablieren Sie einen Prozess für Mitarbeiter, um die Genehmigung neuer KI-Tools anzufordern — mit einer realistischen Bearbeitungszeit, um Shadow-AI-Anreize zu reduzieren Aktualisieren Sie Ihre Datenschutzerklärung und ROPA (Verzeichnis der Verarbeitungstätigkeiten), um alle KI-Verarbeitungsaktivitäten zu berücksichtigen

EU-KI-Verordnungs-Zeitleiste Referenz

Datum	Was gilt
1. Aug. 2024	KI-Verordnung tritt in Kraft
2. Feb. 2025	Verbotene KI-Praktiken treten in Kraft (Kapitel II)
2. Aug. 2025	GPAI-Modell-Verpflichtungen gelten (Kapitel V + Annex XII)
2. Aug. 2026 ← SIE SIND HIER	Hochrisiko-KI-Verpflichtungen vollständig anwendbar. Transparenzverpflichtungen für KI mit begrenztem Risiko. Vollständige Durchsetzungsbefugnisse aktiv.

Quellen

Verordnung (EU) 2024/1689 — EU Artificial Intelligence Act (Amtsblatt)
EU-KI-Verordnung Artikel 113 — Anwendungsdaten und gestaffelter Umsetzungszeitplan
EU-KI-Verordnung Artikel 6 + Annex III — Hochrisiko-KI-System-Kategorien
EU-KI-Verordnung Artikel 10 — Daten und Datenverwaltung für Trainingsdatensätze
EU-KI-Verordnung Kapitel V — General Purpose AI Modell Verpflichtungen
GDPR Art. 5(1)(c) — Datenminimierungsprinzip
GDPR Art. 25 — Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Datenminimierung beginnt in Ihren KI-Prompts.

Implementieren Sie Datenschutz durch Technik in Ihrem KI-Workflow heute. Kostenlos erhältlich.

Kostenlos registrieren Funktionen ansehen