Compliance

KI verändert Geschäftsprozesse grundlegend. Damit diese Veränderung sicher, ethisch und
rechtskonform abläuft, orientieren wir uns an den strengsten regulatorischen Standards —
und helfen unseren Kunden, es genauso zu tun.

1. Unser regulatorischer Rahmen

1.1 EU AI Act (KI-Verordnung)

Die Verordnung (EU) 2024/1689 über künstliche Intelligenz — der EU AI Act — ist seit
dem 1. August 2024 in Kraft und wird gestaffelt wirksam:

  • Seit 2. Februar 2025: Verbot inakzeptabler KI-Praktiken (Art. 5) und Pflicht zur KI-Kompetenz (AI Literacy, Art. 4)
  • Ab 2. August 2025: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI, Kapitel V)
  • Ab 2. August 2026: Vollständige Anwendung der Vorschriften für Hochrisiko-KI-Systeme (Anhang III)
  • Ab 2. August 2027: Pflichten für Hochrisiko-KI in regulierten Produkten (Anhang I)

Für den Mittelstand besonders relevant: KI-Systeme im HR-Bereich (Recruiting, Bewerbermanagement,
Leistungsbewertung) sind nach Anhang III als Hochrisiko eingestuft. Unternehmen,
die solche Systeme einsetzen, gelten als „Betreiber“ und haben konkrete Pflichten:

  • Transparenzpflicht gegenüber Betroffenen (Art. 50)
  • Menschliche Aufsicht (Art. 14)
  • Risikomanagement und Dokumentation (Art. 9, 11)
  • Information des Betriebsrats vor Einsatz (BetrVG)
  • Nachweis der KI-Kompetenz aller Mitarbeiter, die mit KI arbeiten (Art. 4)

1.2 DSGVO und Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) bildet das Fundament jeder KI-Compliance in Europa.
Jede Verarbeitung personenbezogener Daten durch KI-Systeme muss:

  • auf einer gültigen Rechtsgrundlage beruhen (Art. 6 DSGVO)
  • den Grundsatz der Datenminimierung einhalten (Art. 5 Abs. 1 lit. c DSGVO)
  • transparent dokumentiert sein (Art. 13, 14 DSGVO)
  • bei automatisierten Einzelentscheidungen das Recht auf menschliche Überprüfung gewährleisten (Art. 22 DSGVO)
  • bei Hochrisiko-Verarbeitung eine Datenschutz-Folgenabschätzung (DSFA) durchlaufen (Art. 35 DSGVO)

Unsere Beratung berücksichtigt stets die Schnittstelle zwischen EU AI Act und DSGVO —
denn beide Regelwerke greifen bei KI-Systemen ineinander.

1.3 Digital-Omnibus-Richtlinie

Die EU-Richtlinie zur Anpassung verbraucherschutzrechtlicher Vorschriften an die
Digitalisierung betrifft auch KI-gestützte Geschäftsmodelle. Relevante Aspekte:

  • Erweiterte Informationspflichten bei personalisierten Preisen durch KI-Algorithmen
  • Transparenzpflichten bei KI-generierten Bewertungen und Rankings
  • Strengere Regeln für Dark Patterns und manipulative KI-Interfaces
  • Anpassung des Gewährleistungsrechts für digitale Produkte und KI-Dienste

1.4 NIST AI Risk Management Framework (AI RMF)

Ergänzend zum europäischen Rechtsrahmen orientieren wir uns am NIST AI RMF 1.0 des
U.S. National Institute of Standards and Technology. Dieses Framework bietet einen
strukturierten Ansatz für KI-Risikomanagement mit vier Kernfunktionen:

  • Govern: Unternehmensweite Governance für KI-Risiken etablieren
  • Map: KI-Risiken in konkreten Anwendungskontexten identifizieren und kartieren
  • Measure: KI-Risiken quantifizieren und bewerten
  • Manage: Risiken priorisieren und mit konkreten Maßnahmen adressieren

Das NIST AI RMF ist branchenübergreifend anwendbar und ergänzt die EU-Regulierung
insbesondere bei der praktischen Umsetzung von Risikobewertungen.

2. Unsere Compliance-Dienstleistungen

Wir unterstützen Unternehmen dabei, KI rechtskonform und verantwortungsvoll einzusetzen.
Unsere Leistungen im Überblick:

Leistung Beschreibung Regulatorischer Bezug
AI Literacy Workshop Schulung zur KI-Kompetenz für Mitarbeiter und Führungskräfte. Halbtag (4h) oder Ganztag (8h). Art. 4 EU AI Act
KI-Compliance-Audit Bestandsaufnahme und Risikobewertung aller eingesetzten KI-Systeme. Identifikation von Hochrisiko-Anwendungen nach Anhang III. EU AI Act Anhang III, Art. 9; DSGVO Art. 35
KI-Strategie & Roadmap Strategische Beratung mit Use-Case-Bewertung, Technologie-Stack-Empfehlung und Umsetzungsplan. Zwei Termine. NIST AI RMF (Govern, Map)
KI-Governance-Beratung Aufbau interner Governance-Strukturen: Rollen, Prozesse, Dokumentationsrichtlinien für KI-Einsatz. EU AI Act Art. 9, 11; NIST AI RMF (Govern)
DSGVO & KI Datenschutz-Folgenabschätzung für KI-Systeme, AVV-Erstellung, TOM-Konzepte für KI-Verarbeitung. DSGVO Art. 35, 28, 32
Security by Design Sicherheitsarchitektur für KI-Systeme: Threat Modeling, Zugriffskonzepte, Monitoring. EU AI Act Art. 15; NIST AI RMF (Manage)
HR-KI-Compliance Spezialberatung für KI im Recruiting und Personalmanagement. Betriebsrats-Information, Transparenzkonzepte. EU AI Act Anhang III Nr. 4; BetrVG §§ 87, 90
KI-Prozessautomatisierung Implementierung von Workflows mit n8n, MCP-Servern und Agentic AI — unter Einhaltung regulatorischer Anforderungen. DSGVO; EU AI Act (je nach Risikoklasse)

3. Unsere Prinzipien

3.1 Security by Design

Sicherheit ist kein Nachgedanke, sondern Ausgangspunkt. Jede KI-Architektur, die wir
beraten oder implementieren, wird von Anfang an unter Sicherheitsgesichtspunkten entworfen.
Das bedeutet:

  • Threat Modeling vor der Implementierung
  • Principle of Least Privilege bei Zugriffsrechten
  • Verschlüsselung von Daten in Ruhe und während der Übertragung
  • Regelmäßige Sicherheitsüberprüfungen und Updates

3.2 Europäische Datensouveränität

Wir bevorzugen europäische Lösungen und Infrastruktur. Wo US-amerikanische Dienste
eingesetzt werden, stellen wir sicher, dass geeignete Garantien vorhanden sind
(DPF-Zertifizierung, SCCs, ergänzende technische Maßnahmen).

3.3 Transparenz und Nachvollziehbarkeit

KI-Entscheidungen müssen erklärbar sein — gegenüber Nutzern, Betroffenen und
Aufsichtsbehörden. Wir setzen auf dokumentierte Prozesse, auditierbare Entscheidungswege
und klare Kommunikation.

3.4 Menschliche Aufsicht

KI unterstützt, ersetzt aber keine menschliche Entscheidung — insbesondere nicht in
Hochrisikobereichen. Wir helfen Unternehmen, effektive Human-in-the-Loop-Prozesse
zu etablieren.

4. Zertifizierungen und Partnerschaften

  • Günther Kriele — Zertifizierter KI-Manager, Google AI Leader, Fortinet-/Palo Alto Networks-zertifiziert, ISC²-Mitglied
  • Orange Cyberdefense — Strategische Partnerschaft im Bereich Cybersecurity
  • Praxiserfahrung: KIssing AI (ausgebucht), OTH Weiden Workshop, BidFusion (85 % Zeitersparnis)

5. Kontakt

Sie haben Fragen zu KI-Compliance oder möchten wissen, welche regulatorischen
Anforderungen für Ihr Unternehmen gelten? Wir helfen Ihnen, den Überblick zu behalten.

PUNKTEXE
E-Mail: kontakt@punktexe.de
Web: punktexe.de

Workshop anfragen →


Hinweis: Die Informationen auf dieser Seite dienen der allgemeinen
Orientierung und stellen keine Rechtsberatung dar. Für verbindliche rechtliche
Bewertungen wenden Sie sich bitte an einen spezialisierten Rechtsanwalt. Die
regulatorische Landschaft für KI entwickelt sich dynamisch — Stand dieser Seite:
27. März 2026.

Nach oben scrollen