Zur Blogübersicht

Mai 2026

Compliance beim KI-Einsatz in der Entwicklung: EU AI Act, DSGVO, Auftragsverarbeitung

Welche Compliance-Anforderungen beim KI-Einsatz in der Entwicklung gelten und wie Sie sie erfüllen: EU AI Act, DSGVO und Auftragsverarbeitung, verständlich zusammengefasst.

Jan Bettinger
COO & CPO
Compliance bei KI in der Entwicklung

Solange KI in der Entwicklung nur ein Experiment einzelner Entwickler ist, denkt niemand an Compliance. Sobald sie aber zum festen Bestandteil der Arbeit wird, ist sie ein rechtliches Thema, das im Ernstfall die Geschäftsführung trifft. Zwei Regelwerke sind dabei zentral: die DSGVO, wenn personenbezogene Daten im Spiel sind und der EU AI Act, der den Einsatz von KI grundsätzlich reguliert.

Die gute Nachricht: Wer beides von Anfang an mitdenkt, vermeidet teure Nachbesserungen und rechtliche Risiken, ohne den KI-Einsatz auszubremsen. Dieser Beitrag fasst die wichtigsten Anforderungen verständlich zusammen. Er ergänzt den Überblick aus KI in der Entwicklung sicher einsetzen und die allgemeine Einordnung in Was der EU AI Act für den LLM-Einsatz bedeutet.

DSGVO: sobald echte Daten im Spiel sind

Personenbezogene Daten in Prompts lösen die vollen Pflichten der DSGVO aus.

Das passiert im Entwicklungsalltag schneller als gedacht, etwa wenn zum Debuggen echte Datensätze statt anonymisierter Beispiele genutzt werden oder wenn ein Testfall mit realen Kundendaten läuft. Nötig sind dann eine Rechtsgrundlage und, bei externen Diensten, eine geprüfte Auftragsverarbeitung. Die einfachste Vorsichtsmaßnahme ist, in der Entwicklung grundsätzlich mit anonymisierten oder synthetischen Daten zu arbeiten. Wie sich Datenschutz beim KI-Einsatz sauber verankern lässt, zeigen wir in Datenschutz und LLMs.

EU AI Act: Einordnung und Nachweis

Der EU AI Act verlangt, den KI-Einsatz nach Risiko einzuordnen und nachvollziehbar zu machen.

Je nach Anwendungsfall gehören dazu Transparenz gegenüber Betroffenen, eine Dokumentation der Funktionsweise und eine Bewertung der Risiken. Für den Entwicklungskontext heißt das vor allem, den Überblick zu behalten, welche Tools wofür genutzt werden und wie sie arbeiten. Ein KI-Assistent, der Entwicklern Code vorschlägt, ist regulatorisch etwas anderes als ein KI-System, das später über Menschen entscheidet und diese Unterscheidung sollte dokumentiert sein. Wichtig ist, dass diese Einordnung kein einmaliger Akt bleibt: Wird ein Werkzeug, das anfangs nur unterstützend gedacht war, nach und nach in Entscheidungen eingebunden, kann sich auch seine regulatorische Bewertung verschieben. Eine schlanke, aber laufend gepflegte Übersicht der eingesetzten Werkzeuge und ihres Zwecks ist daher meist wertvoller als ein umfangreiches Dokument, das nach dem ersten Projekt veraltet.

Die zentralen Pflichten im Überblick

Drei Punkte sollten in jedem Projekt geklärt sein.

Thema Anforderung
Rechtsgrundlage Grundlage für die Verarbeitung personenbezogener Daten
Auftragsverarbeitung geprüfter Vertrag mit externen Dienstanbietern
Dokumentation nachvollziehbare Beschreibung des KI-Einsatzes

Warum eine kontrollierte Umgebung die Compliance erleichtert

Bekannte Datenflüsse sind leichter nachzuweisen als eine Blackbox.

In einer kontrollierten oder lokal betriebenen Umgebung ist klar, welche Daten wohin fließen und wie das Modell arbeitet. Das vereinfacht sowohl die DSGVO-Nachweise als auch die Anforderungen des EU AI Act erheblich. Läuft das Modell zudem lokal, ohne dass Daten nach außen gelangen, entfällt die Frage nach der Auftragsverarbeitung für diese Fälle ganz. Wie eine solche Umgebung aussieht, beschreiben wir in Die sichere KI-Entwicklungsumgebung.

Schatten-KI: das unterschätzte Risiko

Das größte Compliance-Problem entsteht dort, wo niemand hinschaut.

Entwickler sind es gewohnt, sich selbst die besten Werkzeuge zu suchen. Genau das führt dazu, dass frei verfügbare KI-Dienste oft schon breit im Einsatz sind, bevor eine Freigabe oder Prüfung überhaupt stattgefunden hat. Aus Compliance-Sicht ist das doppelt heikel: Es fließen möglicherweise personenbezogene Daten oder vertraulicher Code an Dienste ohne geprüfte Auftragsverarbeitung und weil die Nutzung inoffiziell läuft, fehlt jede Dokumentation, die der EU AI Act und die DSGVO verlangen. Ein Verbot allein löst das selten, weil der Bedarf real ist und die Nutzung dann nur unsichtbarer wird. Wirksamer ist ein freigegebener, kontrollierter Weg, der so gut ist, dass niemand auf inoffizielle Werkzeuge ausweichen muss. Wie dieses Muster entsteht und was dagegen hilft, beschreiben wir in Schatten-KI im Unternehmen.

Geistiges Eigentum und vertraulicher Code

Neben personenbezogenen Daten steht bei KI in der Entwicklung das eigene geistige Eigentum auf dem Spiel.

Wird Quellcode, Architekturwissen oder ein Geschäftsgeheimnis in einen öffentlichen Dienst gegeben, verlässt es die Kontrolle des Unternehmens und je nach Nutzungsbedingungen ist unklar, wie es weiterverwendet wird. Das ist zwar nicht immer ein DSGVO-Thema, aber ein handfestes Compliance- und Wettbewerbsrisiko, das im selben Atemzug mitgedacht gehört. Auch die umgekehrte Frage stellt sich: Wie verlässlich lässt sich nachvollziehen, woraus generierter Code stammt und ob er frei verwendbar ist. Beides spricht dafür, KI so einzusetzen, dass sensibler Code die kontrollierte Umgebung nicht verlässt. Diese Aspekte vertiefen wir in KI-Coding-Assistenten und IP.

Wie Aliru unterstützt

Wir richten den KI-Einsatz so ein, dass er die Anforderungen erfüllt und dokumentierbar bleibt.

Von der Auftragsverarbeitung über die Umgebung bis zur Dokumentation sorgen wir dafür, dass Ihr KI-Einsatz in der Entwicklung compliant ist, ohne dass Ihre Entwickler an Tempo verlieren. Sprechen Sie mit uns über Compliance bei KI in der Entwicklung.

Häufig gestellte Fragen

Gilt die DSGVO auch beim KI-Einsatz in der Entwicklung?

Ja, sobald personenbezogene Daten verarbeitet werden, etwa echte Kundendaten in Test- oder Debug-Szenarien. Dann braucht es eine Rechtsgrundlage und, bei externen Diensten, eine geprüfte Auftragsverarbeitung.

Was verlangt der EU AI Act von Unternehmen?

Der EU AI Act ordnet Anwendungen nach Risiko ein und verlangt je nach Fall Transparenz, Dokumentation und eine Risikobewertung. Unternehmen müssen einordnen können, wofür sie KI einsetzen und wie das System arbeitet.

Brauchen wir einen Auftragsverarbeitungsvertrag für KI-Tools?

Für externe Dienste, die personenbezogene Daten verarbeiten, ja. Ohne geprüften Vertrag fehlt die rechtliche Grundlage. Bei lokal betriebenen Lösungen, bei denen keine Daten nach außen fließen, stellt sich die Frage anders.

Wie erleichtert eine kontrollierte Umgebung die Compliance?

Weil Datenflüsse und Modellverhalten bekannt und dokumentierbar sind. Eine Blackbox aus einem öffentlichen Dienst erschwert Nachweise, eine kontrollierte oder lokale Umgebung macht sie deutlich einfacher.

Dynamics 365.
Einfach mit Aliru.

Ihre Ansprechpartner

Julian Kissel

CEO

Jan Bettinger

Kundenberater

Kontaktformular

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.