Zum Inhalt springen
DSGVO & Datenschutz

Gesetze erklärt

Die 4 Gesetze für KI im Unternehmen verständlich erklärt — mit Fristen, Pflichten, Bußgeldern und Links zu den Originaltexten.

sebastian@agent-schomerus.de3 Min. Lesezeit
Gesetze erklärt
Teilen:

DSGVO, AI Act, NIS-2, BetrVG: Was jedes Gesetz für deine KI-Nutzung bedeutet

Vier Abkürzungen bestimmen 2026, wie dein Unternehmen KI einsetzen darf. Das Problem: Die meisten Entscheider kennen die DSGVO — aber die drei anderen Gesetze? Fehlanzeige.

Dieser Artikel ist dein Nachschlagewerk. Für jedes der vier Gesetze erkläre ich: Was steckt dahinter, seit wann gilt es, welche Pflichten hast du, was droht bei Verstoß — und wo findest du den Originaltext.

1. DSGVO — Datenschutz-Grundverordnung

Voller Name: Verordnung[7] (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

Seit wann: 25. Mai 2018

Was es regelt: Die DSGVO ist die Grundlage für jeden Umgang mit personenbezogenen Daten in der EU.

Warum es für KI relevant ist: Sobald ein KI-System personenbezogene Daten verarbeitet, greift die DSGVO. Ein Mitarbeiter gibt einen Kundennamen in ChatGPT ein? DSGVO.

Die wichtigsten Artikel für KI:

  • Art. 5 — Grundsätze: Rechtmäßigkeit, Zweckbindung, Datenminimierung

  • Art. 6 — Rechtsgrundlagen für jede Verarbeitung

  • Art. 13/14 — Informationspflichten

  • Art. 22 — Automatisierte Einzelentscheidungen

  • Art. 25 — Privacy by Design

  • Art. 35 — Datenschutz-Folgenabschätzung (DSFA)

Was droht: Bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.

Originaltext: DSGVO auf EUR-Lex | dsgvo-gesetz.de

2. EU AI Act — Europäische KI-Verordnung

Voller Name: Verordnung (EU) 2024/1689 über harmonisierte Vorschriften für Künstliche Intelligenz

Seit wann: In Kraft seit 1. August 2024. Pflichten greifen stufenweise.

Was es regelt: Das weltweit erste Gesetz speziell für KI. Risikobasierter Ansatz: Je höher das Risiko, desto strenger die Anforderungen.

Die wichtigsten Artikel:

  • Art. 4 — KI-Kompetenzpflicht seit Feb. 2025

  • Art. 6 — Klassifizierung als Hochrisiko[6]-KI

  • Art. 9 — Risikomanagement

  • Art. 50 — Transparenzpflichten

Was droht: Bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes.

Originaltext: AI Act auf EUR-Lex | ai-act-law.eu

3. NIS-2 — Netz- und Informationssicherheitsrichtlinie

Voller Name: Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz)

Warum die 2: NIS-1 galt nur für kritische Infrastruktur. NIS-2 ist die verschärfte Version: mehr Sektoren, niedrigere Schwellen, härtere Strafen.

Seit wann: Im deutschen Recht seit 6. Dezember 2025.

Wer ist betroffen: Ab 50 Mitarbeitern ODER 10 Mio. EUR Umsatz. Über 30.000 Unternehmen in Deutschland.

Die wichtigsten Pflichten:

  • Risikomanagement für die gesamte IT inkl. KI

  • Meldepflicht innerhalb von 24 Stunden

  • Geschäftsführer haftet persönlich

  • BSI[3]-Registrierung seit März 2026 Pflicht

Was droht: Bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes.

Originaltext: NIS-2-Umsetzungsgesetz | OpenKRITIS | BSI

4. BetrVG — Betriebsverfassungsgesetz

Seit wann: Ursprünglich 1952, grundlegend überarbeitet 1972, zuletzt 2024.

Was es regelt: Mitbestimmung der Arbeitnehmer. Wenn KI Mitarbeiter überwacht oder Leistung bewertet, muss der Betriebsrat einbezogen werden.

Die wichtigsten Paragraphen:

  • § 87 Abs. 1 Nr. 6 — Mitbestimmung bei technischer Überwachung

  • § 90 — Unterrichtung vor Einführung neuer Technik

  • § 95 — Auswahlrichtlinien bei KI-Personalauswahl

  • § 80 Abs. 3 — Externer Sachverständiger auf Kosten des AG

Was droht: Keine Bußgelder, aber Unterlassungsanspruch: KI-Einführung kann gestoppt werden.

Originaltext: BetrVG auf gesetze-im-internet.de | BMAS

Fazit: Vier Gesetze, ein Ziel

Die drei wichtigsten Sofortmaßnahmen:

  1. Wissen, was läuft: KI-Inventar erstellen

  2. Regeln aufstellen: KI-Richtlinie verabschieden

  3. Menschen befähigen: Mitarbeiter schulen

Im nächsten Artikel zeige ich die 5 konkreten Schritte, um KI DSGVO-konform einzusetzen.

Teilen:

Quellen & Referenzen (8)

  1. 1
    Kiteworks — DSGVO-Bußgelder erreichen 7,1 Milliarden EUR
    kiteworks.comAbgerufen: 27.03.2026
  2. 2
    Bitkom — Durchbruch bei Künstlicher Intelligenz (Sept. 2025)
    bitkom.orgAbgerufen: 27.03.2026
  3. 3
    BSI — NIS-2-regulierte Unternehmen
    bsi.bund.deAbgerufen: 27.03.2026
  4. 4
    IHK Köln — Verpflichtung im AI-Act: KI-Kompetenz im Unternehmen
    ihk.deAbgerufen: 27.03.2026
  5. 5
    Haufe Akademie — KI-Schulungspflicht: Was der EU AI Act fordert
    haufe-akademie.deAbgerufen: 27.03.2026
  6. 6
    ADVISORI — EU AI Act Hochrisiko-Pflichten August 2026
    advisori.deAbgerufen: 27.03.2026
  7. 7
    EU — AI Act Verordnung (EU) 2024/1689
    eur-lex.europa.euAbgerufen: 27.03.2026
  8. 8
    EU AI Act — Implementation Timeline
    artificialintelligenceact.euAbgerufen: 27.03.2026

Häufig gestellte Fragen

Was ist der Unterschied zwischen DSGVO und AI Act?

Die DSGVO regelt den Schutz personenbezogener Daten — egal ob mit oder ohne KI. Der AI Act reguliert KI-Systeme als Technologie — egal ob mit oder ohne personenbezogene Daten. Sobald ein KI-System personenbezogene Daten verarbeitet, gelten beide gleichzeitig.

Gilt NIS-2 auch für kleine Unternehmen?

Grundsätzlich nein. NIS-2 betrifft Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in bestimmten Sektoren. Aber: Wenn du als Zulieferer für ein betroffenes Unternehmen arbeitest, können dessen Sicherheitsanforderungen auf dich durchschlagen.

Muss der Betriebsrat bei jeder KI-Nutzung zustimmen?

Nicht bei jeder. Das BetrVG greift vor allem dann, wenn KI das Verhalten oder die Leistung von Mitarbeitern überwachen kann (§ 87 Abs. 1 Nr. 6). Ein Mitarbeiter der ChatGPT für E-Mails nutzt, ist kein Mitbestimmungsfall. Ein KI-System das Arbeitszeiten analysiert, schon.

Können die Bußgelder aus verschiedenen Gesetzen kumulieren?

Ja. Ein einziger Vorfall kann mehrere Gesetze gleichzeitig verletzen. Beispiel: Kundendaten in einem nicht genehmigten KI-Tool = DSGVO-Verstoß + AI Act (fehlende Schulung) + NIS-2 (mangelhaftes Risikomanagement). Theoretisch kumuliert das auf bis zu 65 Millionen Euro.

Wo finde ich Hilfe bei der Umsetzung?

Die IHKs bieten kostenlose Erstberatung. Die DSK-Orientierungshilfe KI ist ein praxisnaher Leitfaden. Für NIS-2 gibt es die BSI-Plattform mit Selbstcheck-Tools. Und der Bitkom-Praxisleitfaden „KI & Datenschutz" ist kostenlos als PDF verfügbar.

Kommentare

Noch keine Kommentare. Sei der Erste!

Kommentar schreiben

Wird nicht veröffentlicht.