Was 2026 für KI-Compliance in Deutschland bringt: Fristen, Pflichten, Risiken
2026 ist das Jahr, in dem KI-Regulierung in Deutschland ernst wird. Nicht weil ein einzelnes Gesetz in Kraft tritt, sondern weil mehrere Entwicklungen gleichzeitig zusammenlaufen. Regulierung, Durchsetzung und Marktveränderungen treffen aufeinander. Und die meisten Unternehmen sind nicht vorbereitet.
Ich schreibe das nicht, um Panik zu verbreiten. Sondern weil ich sehe, dass viele Unternehmer diese Fristen nicht auf dem Schirm haben. Oder sie kennen einzelne Termine, sehen aber nicht das Gesamtbild.
Hier ist die Zeitschiene.
2. Februar 2025: KI-Kompetenzpflicht gilt bereits
Dieser Termin liegt in der Vergangenheit, aber er gehört hierher, weil viele Unternehmen ihn verpasst haben. Seit dem 2. Februar 2025 müssen alle Unternehmen, die KI einsetzen, sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das steht in Artikel 4 der KI-Verordnung (EU) 2024/1689.
Ich habe das in einem eigenen Beitrag ausführlich aufgeschlüsselt. Die Kurzversion: Es gibt kein vorgeschriebenes Schulungsformat. Aber die Pflicht ist verbindlich, unabhängig von der Unternehmensgröße. Und die Durchsetzung kommt im August.
Was das konkret heißt: Wenn Ihre Mitarbeiter KI-Tools nutzen, ob offiziell eingeführt oder als Shadow AI, müssen Sie nachweisen können, dass diese Mitarbeiter wissen, was sie tun. Welche Tools sie verwenden, wie diese Tools Daten verarbeiten, wo die Grenzen liegen, welche internen Regeln gelten.
15. April 2026: Microsoft entfernt kostenloses Copilot Chat
Am 15. April 2026 hat Microsoft die kostenlose Copilot Chat Funktion aus den Office-Anwendungen entfernt. Kein kostenloser Copilot mehr in Word, Excel, PowerPoint und Outlook für Business-Nutzer. Wer die KI-Funktionen weiter nutzen möchte, braucht eine kostenpflichtige Copilot-Lizenz.
Warum ist das relevant für Compliance? Weil diese Änderung eine Welle von Copilot-Lizenzierungen auslöst. Unternehmen, die bisher mit der kostenlosen Version experimentiert haben, stehen vor einer Entscheidung: Lizenzen kaufen oder darauf verzichten. Und viele werden kaufen.
Das Problem: Copilot mit Lizenz hat Zugriff auf Ihre gesamte Microsoft-365-Umgebung. SharePoint, OneDrive, Teams, Exchange, alles, worauf der Benutzer Zugriff hat. Wenn Berechtigungen in SharePoint nicht sauber konfiguriert sind, sieht Copilot Dokumente, die der Benutzer gar nicht sehen sollte. Ich habe das Oversharing-Problem bei Copilot und SharePoint ausführlich beschrieben.
Viele Unternehmen werden in den kommenden Wochen Copilot-Lizenzen ausrollen. Ohne DSFA. Ohne Berechtigungsprüfung. Ohne Sensitivity Labels. Das ist der perfekte Sturm für Datenschutzvorfälle.
2. August 2026: EU AI Act Durchsetzung für Hochrisiko-KI
Das ist der Termin, den sich jeder merken sollte. Ab dem 2. August 2026 beginnt die nationale Durchsetzung des EU AI Act für Hochrisiko-KI-Systeme. Bis dahin müssen die Mitgliedstaaten Aufsichtsbehörden benannt und Sanktionsregelungen eingeführt haben.
Art. 99 der KI-Verordnung erlaubt Geldbußen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für die schwerwiegendsten Verstöße. Das ist ein höherer Rahmen als bei der DSGVO.
Was als Hochrisiko-KI gilt, ist im Gesetz definiert. Für Kanzleien und Finanzberater sind bestimmte Anwendungsfälle relevant: KI-Systeme, die bei der Rechtspflege eingesetzt werden, KI für Kreditwürdigkeitsprüfungen, KI in Personalentscheidungen. Wenn Sie Copilot oder andere KI-Tools für solche Zwecke einsetzen, könnten zusätzliche Pflichten greifen: ein Risikomanagementsystem, Anforderungen an die Datenqualität, technische Dokumentation, Transparenzpflichten gegenüber den Nutzern.
Auch die Kompetenzpflicht aus Artikel 4 wird ab diesem Datum durchgesetzt. Aufsichtsbehörden können prüfen und sanktionieren.
Laufend 2026: DSGVO-Aufsicht fokussiert auf KI
Die Datenschutz-Aufsichtsbehörden haben KI als Prüfungsschwerpunkt benannt. Die DSK (Datenschutzkonferenz), der BfDI (Bundesbeauftragte für den Datenschutz) und mehrere Landesbeauftragte haben das angekündigt. Konkret bedeutet das: verstärkte Prüfungen, ob Unternehmen für KI-Tools DSFAs durchgeführt haben, ob Auftragsverarbeitungsverträge existieren, ob die Verarbeitungsverzeichnisse aktuell sind.
Das trifft Unternehmen aller Größen. Die Aufsichtsbehörden prüfen nicht nur Großkonzerne. Beschwerden von Betroffenen, Meldungen von Datenschutzvorfällen oder Routinekontrollen können auch bei einer Kanzlei mit fünf Mitarbeitern landen.
Die DSGVO-Anforderungen für KI-Tools wie Copilot sind nichts grundsätzlich Neues. DSFA, AVV, Rechtsgrundlage, Verarbeitungsverzeichnis. Aber bei KI-Tools werden diese Anforderungen besonders genau geprüft, weil die Risiken höher sind als bei herkömmlicher Datenverarbeitung.
NIS2 und KI: die übersehene Verbindung
Die NIS2-Richtlinie (Network and Information Security Directive) ist eigentlich ein Cybersicherheitsgesetz. Aber sie hat Auswirkungen auf KI-Compliance. NIS2 verpflichtet bestimmte Unternehmen und Organisationen dazu, Risiken in ihrer Lieferkette zu managen. KI-Tools sind Teil der Lieferkette.
Wenn Ihr Unternehmen in den Anwendungsbereich von NIS2 fällt (und der ist breiter als viele denken), müssen Sie die Risiken Ihrer KI-Anbieter bewerten. Wo werden Daten verarbeitet? Welche Subunternehmer sind beteiligt? Wie sieht das Sicherheitskonzept des Anbieters aus?
Für die meisten Kanzleien und Steuerberater ist NIS2 nicht direkt anwendbar. Aber wenn Sie Kunden beraten oder bedienen, die in den NIS2-Bereich fallen, stellen diese Kunden Ihnen Fragen zu Ihrer eigenen IT-Sicherheit. Auch zur KI-Nutzung.
Die Hochrisiko-Frage bei Copilot
Das ist ein Punkt, über den noch wenig gesprochen wird. Microsoft Copilot ist ein Werkzeug. Ob es als Hochrisiko-KI gilt, hängt nicht vom Tool selbst ab, sondern vom Einsatzzweck.
Wenn eine Kanzlei Copilot nutzt, um E-Mails zusammenzufassen oder Terminvorschläge zu generieren, ist das kein Hochrisiko-Einsatz. Wenn dieselbe Kanzlei Copilot nutzt, um juristische Recherche zu unterstützen, Verträge zu analysieren oder Mitarbeiter-Beurteilungen zu erstellen, bewegen wir uns möglicherweise im Hochrisiko-Bereich.
Die Abgrenzung ist nicht immer eindeutig. Und genau da liegt das Risiko: Viele Unternehmen wissen nicht, ob ihre KI-Nutzung unter Hochrisiko fällt. Ohne diese Einschätzung können sie die Pflichten nicht erfüllen, die ab August 2026 durchgesetzt werden.
Was Sie bis August 2026 haben sollten
Hier die Checkliste. Nicht als theoretische Wunschliste, sondern als das Minimum, das einer Prüfung standhalten muss.
Eine DSFA für jedes KI-Tool, das in Ihrem Unternehmen personenbezogene Daten verarbeitet. Das schließt Copilot ein, aber auch ChatGPT Team, Claude, oder was immer im Einsatz ist.
Eine KI-Nutzungsrichtlinie, die dokumentiert und an alle Mitarbeiter verteilt wurde. Mit Datum, Unterschriften, nachweisbar.
Den Nachweis, dass die KI-Kompetenzpflicht erfüllt ist. Schulung durchgeführt, Teilnahme dokumentiert, Inhalte dokumentiert.
Sensitivity Labels und DLP-Policies, die konfiguriert sind und steuern, welche Daten KI-Tools einbeziehen dürfen.
Ein aktuelles Verarbeitungsverzeichnis, das KI-Verarbeitungen einschließt.
Ein aktuelles Subunternehmer-Register. Wenn Sie Copilot nutzen, verarbeitet Microsoft Daten. Wenn Microsoft Anthropic als Subunternehmer einsetzt (was für bestimmte Funktionen der Fall ist), gehört auch das ins Register.
Weniger als vier Monate
Zwischen heute und dem 2. August 2026 liegen weniger als vier Monate. Das ist nicht viel Zeit, aber es reicht. Die meisten der oben genannten Punkte lassen sich in Tagen umsetzen, nicht in Monaten. Vorausgesetzt, Sie fangen jetzt an.
Wenn Sie nicht sicher sind, wo Ihr Unternehmen steht: Ich biete eine kostenlose 30-Minuten-Einschätzung an. Wir gehen Ihre aktuelle Situation durch und identifizieren die größten Lücken.
Termin buchen: 30 Minuten KI-Compliance-Einschätzung
Jose Lugo ist CISSP-zertifizierter KI-Compliance-Berater mit Sitz in Deutschland. Er unterstützt Steuerberater, Kanzleien und Finanzberater bei der DSGVO-konformen Einführung von KI-Tools. Mehr unter joselugo.de und unter Leistungen.