← Insights
Artikel·EU AI Act

DSGVO-Ampel für KI im Mittelstand · was Geschäftsführer im Sommer 2026 wirklich nachweisen müssen

Bloos & Hollstein·15.09.2026·8 Min

Seit Februar 2025 ist die KI-Kompetenz-Pflicht aus Artikel 4 EU AI Act in Kraft, im Sommer 2026 schauen die ersten Behörden genauer hin. Geschäftsführungen im Mittelstand fragen uns: Was müssen wir konkret nachweisen, was ist Panikmache, und wie bekommen wir das in den Arbeitsalltag, ohne ein zweites DSGVO-Theater zu inszenieren?

Die Frage, die jede Geschäftsführung gerade stellt

Drei Welten überlagern sich in fast jedem Erstgespräch. DSGVO ist seit 2018 vertraut, aber bei jedem neuen KI-Werkzeug stellt sich die Frage neu. Der EU AI Act ist seit August 2024 in Kraft, Artikel 4 zur KI-Kompetenz operativ scharf seit Februar 2025. Und der eigene Datenschutzbeauftragte schickt Mail-Ketten mit dreistelliger Seitenzahl, die niemand liest.

Wir sind hier nicht in der Rolle der Pioniere. Fraunhofer und appliedAI haben den EU AI Act im Detail besetzt, mit Prüfkatalogen und Hochrisiko-Klassifikationen. Wir sortieren das Stück ein, das im Mittelstand wirklich beißt: die tägliche Frage, ob ein Dokument in ChatGPT darf, und der Nachweis, dass die eigenen Leute wissen, was sie tun.

Die kurze Antwort
Drei Ampeln reichen für 90 Prozent aller Dokumenten-Entscheidungen. A öffentlich, B intern mit Auftragsverarbeitungsvertrag, C personenbezogen mit Datenschutzfolgenabschätzung oder eigenem Stack. Plus ein nachweisbarer Schulungs-Pfad für alle Beschäftigten, die mit KI-Werkzeugen arbeiten. Das ist der Pflicht-Teil. Alles weitere ist Kür.

Was Artikel 4 EU AI Act wirklich verlangt

Der Text ist kurz und in der Sache klar. Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihre Beschäftigten und alle Personen, die in ihrem Auftrag mit KI-Systemen arbeiten, über ein ausreichendes Maß an KI-Kompetenz verfügen. Ausreichend bedeutet: passend zur Rolle, zum Vorwissen und zum konkreten Anwendungsfall.

Drei Konsequenzen ergeben sich daraus operativ.

  • Erstens, es trifft fast jede Geschäftsführung im Mittelstand. Wer Microsoft Copilot, ChatGPT Enterprise, Claude for Work oder ein lokal gehostetes Modell einsetzt, ist Betreiber im Sinne der Verordnung. Das schließt auch den Vertriebsmitarbeiter ein, der gelegentlich ein Angebot in ChatGPT umformulieren lässt.
  • Zweitens, es geht um persönliche KI-Kompetenz im Arbeitsalltag, nicht um ein Zertifikat im Aktenschrank. Eine zweistündige Schulung ohne Anwendungsbezug erfüllt die Pflicht formal, aber sie hält einer ernsthaften Prüfung nicht stand, wenn ein Vorfall passiert.
  • Drittens, der Nachweis muss dokumentiert sein. Wer geschult, wann, mit welchen Inhalten, für welche Rolle. Keine Wissenschaft, aber ohne diese Spur ist die Pflicht nicht erfüllbar.

Die DSGVO-Ampel A/B/C im Detail

Wir arbeiten in unseren Lehrgängen mit einer Faustregel, die in 30 Sekunden anwendbar ist. Sie ersetzt keine rechtliche Prüfung im Einzelfall, aber sie reduziert die täglichen Mikro-Entscheidungen auf eine Frage: Welche Ampel zeigt dieses Dokument?

Ampel A · öffentlich

Inhalte, die ohnehin auf Ihrer Webseite stehen oder stehen könnten. Allgemeine Branchenwissens-Fragen, Textentwürfe ohne Mandantenbezug, Programmier-Schnipsel ohne Kunden-IDs. Hier ist jeder seriöse Anbieter zulässig, auch die kostenlose Version. Der einzige Risiko-Punkt ist Verwechslung: Was Sie für harmlos halten, könnte ein Wettbewerber als Strategie-Hinweis lesen.

Ampel B · intern

Alles, was im Unternehmen kursiert, aber keine personenbezogenen Daten enthält. Interne Berichte, Lieferantenkonditionen, technische Spezifikationen, Strategie-Notizen. Hier braucht es einen Business-Tier-Vertrag mit Auftragsverarbeitungsvertrag, EU-Region und der vertraglichen Zusage, dass Eingaben nicht zum Training verwendet werden. Konkret: Microsoft 365 Copilot, ChatGPT Enterprise oder Team, Claude for Work, oder ein eigener Tenant auf Azure OpenAI.

Ampel C · personenbezogen

Sobald Personen identifizierbar werden, gilt die DSGVO im vollen Umfang. Bewerbungsunterlagen, Mitarbeiterbeurteilungen, Krankheitsfälle, Kundendaten mit Namen, Lieferanten-Ansprechpartner mit Telefonnummern. Hier reicht der Business-Vertrag nicht. Es braucht eine Datenschutzfolgenabschätzung oder, sauberer, einen Stack im eigenen Verantwortungsbereich, der nach sechs Wochen ohne uns weiterläuft und auditierbar bleibt.

Drei Wochen später sagte der Disponent: „Ich frage mich beim Tippen automatisch, welche Farbe das hier ist." Das ist mehr Schulungseffekt als zwei externe Webinare.

Spedition, 80 Mitarbeitende, AIM-Lehrgang K1 Mai 2026

Was eine Lizenz-Rechnung wirklich bedeutet

Die Versuchung ist groß, die Pflicht mit Lizenzen abzukaufen. Microsoft 365 Copilot kostet rund 30 EUR pro Nutzer und Monat im Jahresvertrag. Bei 60 Mitarbeitenden sind das rund 21.600 EUR pro Jahr. ChatGPT Enterprise liegt ähnlich, je nach Verhandlungsspielraum. Das ist eine reale Zahl, die auf einen realen Tisch gehört.

Was diese Lizenz leistet: Sie bekommen die vertragliche Zusage, dass Eingaben nicht zum Modell-Training fließen. Sie bekommen EU-Region als wählbare Default-Einstellung. Sie bekommen Audit-Logs, die ein Datenschutzbeauftragter lesen kann. Sie bekommen die Möglichkeit, Ampel B sauber zu betreiben.

Was die Lizenz nicht leistet
Sie ersetzt keine Schulung nach Artikel 4. Sie ersetzt keine Datenschutzfolgenabschätzung für Ampel C. Sie ersetzt nicht die Entscheidung, welche Dokumente überhaupt durch das Werkzeug laufen dürfen. Wer 21.600 EUR ausgibt und glaubt, damit sei die Compliance erledigt, hat eine teure Komfort-Lösung mit weiterhin offener Flanke.

Der Nachweis-Pfad für Artikel 4 in vier Bausteinen

Wir empfehlen unseren Lehrgangs-Teilnehmern einen pragmatischen Aufbau, der in 60 bis 90 Tagen steht und einer Prüfung standhält.

  • Erstens, eine kurze schriftliche KI-Leitlinie. Zwei bis vier Seiten, nicht 40. Wer darf was mit welchen Werkzeugen. Die Ampel A/B/C ist der Kern, der Rest sind Rollen und Eskalationswege.
  • Zweitens, eine Pflicht-Schulung für alle, die KI-Werkzeuge nutzen. Inhalte: was die Werkzeuge können, was sie nicht können, welche Risiken realistisch sind, wie die Ampel funktioniert. Ein bis zwei Stunden Live, mit Beispielen aus dem Haus, dokumentiert pro Person.
  • Drittens, eine rollen-spezifische Vertiefung für Schlüsselfunktionen. HR, Vertrieb, Buchhaltung, IT. Hier wird konkret, welche Dokumenten-Typen in der jeweiligen Rolle vorkommen und wie sie zu behandeln sind.
  • Viertens, eine jährliche Auffrischung mit Update zu neuen Werkzeugen und neuen Vorfällen. Das ist die Schleife, die aus dem Pflicht-Stück eine lebende Praxis macht.

Wann diese Ampel-Logik NICHT passt

Die Faustregel ist bewusst grob. Drei Szenarien verlangen mehr als die Ampel.

Hochrisiko-Anwendungen nach EU AI Act

Wer KI in Personalauswahl, Kreditvergabe, kritischer Infrastruktur oder biometrischer Identifizierung einsetzt, fällt in den Hochrisiko-Bereich. Hier reicht keine Ampel, hier greifen die ausführlichen Pflichten aus Kapitel III der Verordnung. Vor jedem solchen Einsatz gehört die Frage auf den Tisch, ob die Anwendung wirklich Hochrisiko ist, und wenn ja, der volle Prüfkatalog aus den Fraunhofer- oder appliedAI-Materialien.

Stark regulierte Branchen

Banken, Versicherungen, Pharma, Medizinprodukte. Hier überlagern sich BaFin-, MaRisk-, GxP- oder MDR-Anforderungen mit DSGVO und EU AI Act. Die Ampel ist als Sortier-Werkzeug weiterhin nützlich, aber jede Ampel-C-Entscheidung verlangt eine zweite Prüfung gegen die Branchen-Regulatorik.

Cross-Border-Konstellationen

Sobald Tochtergesellschaften in den USA, in der Schweiz oder im Vereinigten Königreich Daten austauschen, wird das Vertragswerk komplexer. Standardvertragsklauseln, Transfer Impact Assessment, Adequacy Decisions. Hier braucht es eine fachkundige Begleitung, nicht nur eine Faustregel im Haus.

Drei Fragen, bevor Sie die nächste KI-Lizenz unterschreiben

Wir empfehlen jeder Geschäftsführung, vor der nächsten Compliance-Investition drei Fragen sauber zu beantworten.

  1. Welche unserer Dokumente fallen in Ampel C, und wie viele davon laufen heute schon ungeprüft durch öffentliche KI-Werkzeuge? Wer das nicht weiß, kauft an der Realität vorbei.
  2. Welche Rollen in unserem Haus brauchen welche Tiefe an KI-Kompetenz im Arbeitsalltag, damit Artikel 4 nicht nur formal erfüllt, sondern auch belastbar ist? Vertrieb, HR und IT sind selten gleich.
  3. Welcher Pfad führt uns dahin, dass unsere KI-Lösungen nach sechs Wochen ohne uns weiterlaufen, also ohne externe Berater im Haus? Wer diese Frage nicht beantwortet, baut Abhängigkeit, nicht Infrastruktur.

Was wir konkret in den Lehrgängen tun

In unseren Sessions in Hamburg, Frankfurt und Köln behandeln wir die DSGVO-Ampel im AIM Online 2 als Akt 2, gleich nach dem Werkzeug-Überblick. Die Teilnehmer bauen ihre eigene Ampel-Variante für das eigene Haus, in einer 45-Minuten-Übung. Das Ergebnis ist eine A5-Karte, die in das eigene Onboarding wandert, und ein Entwurf für die KI-Leitlinie, der vom Datenschutzbeauftragten überarbeitet, aber nicht erfunden werden muss.

Die Artikel-4-Pflicht behandeln wir parallel als nachweisbaren Schulungs-Pfad. Wer den Lehrgang abschließt, hat für sich selbst und für eine klar definierte Multiplikatoren-Rolle den Nachweis erbracht. Die Dokumentation liegt am Ende als PDF im eigenen Haus, nicht in unserer Cloud.

Wir bauen KI-Infrastruktur, die im Haus gebaut ist und nach sechs Wochen ohne uns weiterläuft. Compliance ist dabei kein Selbstzweck, sondern eine Voraussetzung dafür, dass die gebauten Workflows auch in zwei Jahren noch betrieben werden dürfen. Eine Lösung, die rechtlich kippt, ist keine Lösung, sondern eine Schuldenwette gegen die Zukunft.

Wir glauben an Output, nicht an Output-Theater. Eine 80-seitige KI-Richtlinie, die niemand liest, ist Output-Theater. Eine A5-Karte am Arbeitsplatz, die täglich gelesen wird, ist Output. Die DSGVO-Ampel ist der Versuch, diesen Unterschied auf eine handhabbare Faustregel zu bringen.

Fazit · eine ruhige Schublade im Herbst

Der Sommer 2026 ist kein Anlass für Panik, aber er ist ein Anlass für Klarheit. Artikel 4 EU AI Act ist scharf, die DSGVO bleibt scharf, und beides wird in den nächsten Quartalen operativ geprüfter als bisher. Wer jetzt aufräumt, hat im Herbst eine ruhige Schublade.

Drei Ampeln und vier Bausteine reichen für den Großteil des Mittelstands. Hochrisiko-Fälle, regulierte Branchen und Cross-Border-Konstellationen brauchen mehr, aber das ist die Minderheit. Die Mehrheit braucht eine handhabbare Faustregel und einen dokumentierten Schulungs-Pfad. Nicht mehr, nicht weniger.

Wenn Sie den Aufbau am eigenen Haus sortieren wollen, ist der AIM-Lehrgang der Ort dafür. Und wenn Sie zunächst nur einmal prüfen wollen, wo Sie heute stehen, reicht ein zweistündiges Strategie-Gespräch.

Lesen ist ein Schritt

Vom Artikel in die Praxis.

Die DSGVO-Ampel und der Artikel-4-Nachweis-Pfad werden im AIM-Lehrgang am eigenen Haus gebaut, mit Ihren Dokumenten, Ihren Rollen, Ihrer Leitlinie. Damit aus der Pflicht eine ruhige Schublade wird und kein zweites Compliance-Theater.