KI-Governance und Compliance in der EU ist die Disziplin, jeden KI-Einsatz auf die Regelwerke abzubilden, die ihn berühren, und die Evidenz zu produzieren, die Procurement, Recht, Betriebsrat und externe Auditoren wirklich verlangen. Die Regelwerke sind keine Zukunftsmusik mehr. Das Hochrisiko-Regime der KI-Verordnung startet am 2. August 2026. Die EDPB-Konsultation zur DPIA-Vorlage schließt am 9. Juni 2026. NIS2 ist seit Dezember 2025 in Kraft. Die KI-Kompetenz-Pflicht nach Art. 4 läuft seit Februar 2025. Wir kümmern uns drum
ist keine belastbare Antwort mehr.
Was sich 2026 verschoben hat, ist die Asymmetrie der Vorbereitung. Wer seine Kaskade regulatorischer Pflichten in fünf Minuten benennen kann, auf eine ausgefüllte DPIA zeigt, den verantwortlichen Datenschutzbeauftragten beim Namen nennt und eine funktionierende Betriebsvereinbarung vorlegt, gewinnt Enterprise-Aufträge. Wer eine Compliance-Person, die sich das gerade anschaut
anbietet, verliert sie. Auditoren akzeptieren keine Versprechen. Sie verlangen Evidenz. Und die Evidenz muss vor dem Audit existieren, nicht danach.
Dieser Themenbereich ist der Navigations-Hub für jedes KI-Compliance-Thema, das HR, People Analytics, Mitarbeiterkommunikation und Teamdaten berührt. Jeder Artikel unten ist so geschrieben, dass ihn ein Procurement-Prüfer, ein Datenschutzbeauftragter oder ein Betriebsrat in eigene Dokumente übernehmen kann. Nutze sie als Bausteine: Verlinke aus deiner KI-Policy-Vorlage darauf, übernimm Formulierungen in deine AVV (Auftragsverarbeitungsvertrag), arbeite Passagen in den Entwurf deiner Betriebsvereinbarung ein. Das Ziel ist nicht, Compliance leichter zu machen — sondern sie verteidigbar zu machen.
Was bedeutet KI-Governance und Compliance in der EU?
KI-Governance ist die interne Disziplin: Du entscheidest, welche KI du einsetzt, für wen, mit welchen Daten und unter welchen Kontrollen. KI-Compliance ist der externe Nachweis, dass diese Disziplin real ist und einem Regulator standhält. Beide sind verschieden, aber untrennbar. Governance ohne Compliance ist ein Foliensatz. Compliance ohne Governance ist Theater.
In der EU berühren sechs Regelwerke jeden KI-Einsatz im Unternehmen, der Mitarbeiter- oder Kundendaten verarbeitet. Die DSGVO regelt die Verarbeitung personenbezogener Daten, Einwilligung und Betroffenenrechte. Die KI-Verordnung klassifiziert KI-Systeme nach Risiko und definiert Pflichten je Klasse. NIS2 setzt den Cybersicherheits-Standard für wesentliche und wichtige Einrichtungen. Branchenspezifische Regeln (DORA für Finanz, MDR für Medizin und so weiter) legen weitere Schichten darüber. Branchenspezifische Selbstregulierung (Bitkom-Leitfäden, IG-Metall-Positionen) setzt die Erwartungslinie. Länderspezifische Umsetzungen (NIS2UmsuCG in Deutschland, das FADP in der Schweiz, die ADV-Anpassungen in Österreich) prägen die nationale Auslegung.
Die richtige Frage lautet nicht Welches Regelwerk gilt?
, sondern: Welche Pflichten löst dieser KI-Einsatz über alle Regelwerke hinweg aus, und welche Evidenz produziere ich pro Pflicht?
Die Artikel in diesem Themenbereich bilden konkrete Einsätze — HR-Coaching, Pulse-Befragungen, Mitarbeiter-Chat, Empfehlungen — auf die ausgelösten Pflichten und die Dokumente ab, die du bereits in der Akte haben solltest. Nutze sie als Checkliste vor jedem Anbieter-Gespräch, jedem internen KI-Rollout und jedem externen Audit.
Die sechs Regelwerke, die jeden KI-Einsatz in der EU berühren
| Regelwerk | Was es regelt | Schlüsselpflicht für HR-KI | Stichtag / Status |
|---|---|---|---|
| DSGVO | Verarbeitung personenbezogener Daten, Einwilligung, Betroffenenrechte | DPIA vor dem Einsatz; Rechtsgrundlage dokumentiert; AVV mit dem Anbieter | In Kraft seit 2018 |
| KI-Verordnung | Risikobasierte Klassifizierung von KI-Systemen und zugehörige Pflichten | Anhang III stuft HR als Hochrisiko ein; Konformitätsbewertung plus Technische Dokumentation | 2. August 2026 (Hochrisiko-Regime greift) |
| NIS2 | Cybersicherheit für wesentliche und wichtige Einrichtungen | Meldepflicht bei Vorfällen, Lieferkettensicherheit; KI-Werkzeuge sind Teil der Lieferkette | NIS2UmsuCG in Deutschland in Kraft seit Dezember 2025 |
| Branchenspezifische Regeln | DORA (Finanz), MDR (Medizin), ePrivacy (Telekommunikation) | Branchenspezifische Risikoberichte und Resilienz-Nachweise | Variiert; DORA in Kraft seit Januar 2025 |
| Nationale Umsetzungen | Länderspezifische Umsetzung der EU-Regelwerke | Aufsicht durch nationale Datenschutzbehörden (BfDI, ÖDSB, EDÖB); FADP in der Schweiz, ADV-Anpassungen in Österreich | Laufend in Entwicklung |
| Mitbestimmung (DE / AT) | Zustimmung des Betriebsrats bei KI-Werkzeugen, die Mitarbeitende betreffen | Betriebsvereinbarung KI vor dem Rollout (BetrVG §87); Bitkom-Leitfaden Februar 2026 | In Kraft; Durchsetzung nimmt zu |
Kostenlose KI-Governance-Bewertung starten
Bilde deine aktuellen KI-Einsätze gegen alle sechs Regelwerke ab. Die Bewertung zeigt dir, welche Pflichten ausgelöst werden, wo die Evidenz fehlt und was du zuerst angehen solltest. Acht Minuten, strukturierter KI-Report, ohne Anmeldung.
Was du vor jedem KI-Audit in der Akte haben musst
Auditoren beginnen nicht mit dem KI-Werkzeug. Sie beginnen mit den Dokumenten. Je schneller du das richtige Dokument aus einem beschrifteten Ordner ziehst, desto schneller endet das Audit mit einem grünen Haken. Die meisten KI-Audits im Unternehmen scheitern nicht, weil die KI selbst regelwidrig wäre — sondern weil die Dokumente verstreut, veraltet oder nie verfasst sind. Die Checkliste unten ist das, was ernsthafte Verantwortliche bereits in der Akte haben, bevor die Audit-Ankündigung eintrifft. Nicht danach.
Für jeden KI-Einsatz in deiner Organisation — Chat, Pulse-Befragungen, Empfehlungen, Coaching, People Analytics — solltest du Folgendes vorhalten: eine dokumentierte Rechtsgrundlage nach Art. 6 DSGVO; eine DPIA nach Art. 35 DSGVO, sobald personenbezogene Daten in größerem Umfang verarbeitet werden; eine AVV (Auftragsverarbeitungsvertrag) mit dem Anbieter nach Art. 28; eine Risikoklassifizierung nach der KI-Verordnung samt Begründung (Anhang-III-Prüfung); ein Paket zur Technischen Dokumentation für Hochrisiko-Systeme nach Anhang IV; eine AIBOM, die die zugrunde liegenden Modelle und Datenquellen ausweist; eine Betriebsvereinbarung, sobald Mitarbeitende betroffen sind (BetrVG §87); und eine NIS2-Notiz zur Lieferkette, falls du als wesentliche oder wichtige Einrichtung eingestuft bist.
Die Artikel unten zeigen dir, wie du jedes dieser Dokumente produzierst, wie gute und schlechte Fassungen aussehen und was Auditoren 2026 konkret verlangen. Behandle sie als Vorlagen und durchgearbeitete Beispiele, nicht als Rechtsberatung. Das Ziel ist, dich auf dem kürzesten Weg von haben wir nicht gemacht
zu hier ist das Dokument
zu bringen.
Der Ordner mit acht Dokumenten. Lege pro KI-Einsatz einen Ordner an, mit acht benannten Dateien: Rechtsgrundlage.md, DPIA.pdf, AVV.pdf, KI-Verordnung-Klassifikation.md, Technische-Dokumentation.pdf, AIBOM.md, Betriebsvereinbarung.pdf, NIS2-Lieferketten-Notiz.md. Der Ordner ist dein audit-fertiges Paket. Leere Plätze sind Lücken. Gefüllte Plätze sind Evidenz.
Die Artikel im Themenbereich
Jeder Artikel unten ist ein Arbeitsdokument zu einer konkreten Compliance-Fläche. Sie sind so geschrieben, dass du sie zitieren, paraphrasieren und in eigene interne Dokumente übernehmen kannst. Lies in der Reihenfolge, die zu deinem akuten Bedarf passt.
Wenn du bei null anfängst, beginne mit der DSGVO- und KI-Verordnung-Compliance-Checkliste. Wenn du Anbieter bewertest, lies den Vergleich von Compliance-Software für DSGVO und KI-Verordnung sowie die Anforderungen an Audit-Protokoll und RBAC. Wenn du dem Betriebsrat gegenüberstehst, lies Vertrauen der Mitarbeitenden in KI und Vertraulichkeit und die Artikel zur Betriebsvereinbarungs-Vorlage. Wenn du im Mittelstand sitzt, ist der Praxisleitfaden zur KI-Verordnung und DSGVO für KMU der richtige Einstieg. Wenn du es mit Schatten-KI zu tun hast, sieh dir das Audit zur Schatten-KI im Unternehmen und den Vergleich von Werkzeugen zur Schatten-KI-Erkennung an. Wenn du in der Schweiz arbeitest, beginnt es bei Schweizer FADP gegenüber DSGVO in der KI-Compliance.
Wenn du die strategische Gegen-Argumentation suchst, zeigt dir Unternehmensrisiken von OpenClaw, warum ein Sicherheitsreview generisches OpenClaw ablehnen wird — und wie ein durchdacht konzipiertes OpenClaw diese Lücken schließt. Wenn du dich mit Datenresidenz beschäftigst, behandelt Europäische KI-Datensouveränität das Problem EU-Region auf US-Cloud reicht nicht
.
KI-Readiness-Check durchführen
Acht Minuten, strukturierter KI-generierter Report: Wo steht deine Organisation in Governance, Compliance, Audit-Protokoll-Bereitschaft und Integrationsarchitektur?
Kernaussagen
1. Sechs Regelwerke, ein Ordner. DSGVO, KI-Verordnung, NIS2, Branche, Nation, Mitbestimmung. Bilde jeden Einsatz gegen alle sechs ab.
2. Die Stichtage 2026 sind real. KI-Verordnung am 2. August; EDPB-DPIA-Vorlage am 9. Juni; NIS2 bereits in Kraft; Pflicht zur KI-Kompetenz nach Art. 4 seit Februar 2025.
3. Der Ordner mit acht Dokumenten ist dein audit-fertiges Paket. Rechtsgrundlage, DPIA, AVV, KI-Verordnung-Klassifikation, Technische Dokumentation, AIBOM, Betriebsvereinbarung, NIS2-Lieferketten-Notiz. Leere Plätze gleich Lücken.
4. Die Asymmetrie entscheidet über den Abschluss. Der Procurement-Prüfer, der die sechs Regelwerke in fünf Minuten benennen kann, ist der, der den Deal nach Hause bringt. Die Artikel unten machen aus dir genau diesen Prüfer.
5. Compliance heißt Evidenz produzieren, nicht Foliensätze. Auditoren glauben Versprechen nicht. Sie lesen Dokumente.
![DSGVO & KI-Verordnung: Die Compliance-Checkliste für KI-Teamassistenten [2026]](https://www.teamazing.com/wp-content/uploads/2026/03/ai-governance-in-companies.jpg)
![KI-Vertrauen der Mitarbeitenden: Die Linie zwischen Entwicklung und Überwachung [2026]](https://www.teamazing.com/wp-content/uploads/2026/04/employee-ai-trust-confidentiality.jpg)
