EU AI Act 2024/1689 und DSGVO Art. 22: Wie das EU-Recht die BI-/Analytics-Welt 2025–2027 rahmt

Wer im Frühjahr 2026 die rechtliche Lage der BI- und Analytics-Welt in der Europäischen Union sortiert, blickt auf eine bemerkenswerte Verdichtung. Innerhalb von zwei Jahren — von Anfang 2024 bis Anfang 2026 — sind drei Regelwerke in Kraft getreten oder anwendbar geworden, die zusammen einen veränderten Rahmen für die Verarbeitung großer Datenmengen, für automatisierte Entscheidungen und für den Einsatz von Künstlicher Intelligenz in unternehmens­internen Datenprozessen setzen. Es lohnt sich, diese drei Regelwerke gemeinsam zu lesen — vor allem für IT-Leiter, BI-Architekten und Datenschutz­beauftragte, die ihre Datenplattformen zukunfts­sicher aufstellen wollen.

Die DSGVO als Fundament: Art. 22 und die alte Frage automatisierter Entscheidungen

Bevor der AI Act in den Blick kommt, lohnt der Rückblick auf die Datenschutz-Grundverordnung. Die DSGVO trat am 24. Mai 2016 in Kraft und ist seit dem 25. Mai 2018 unmittelbar anwendbar. Ihr Artikel 22 — eine Bestimmung, die in der BI-Welt jahrelang randständig blieb — gewinnt mit jedem KI-gestützten Bewertungs­system an Bedeutung. Art. 22 Abs. 1 DSGVO regelt, dass eine betroffene Person das Recht habe, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige.

In der klassischen BI-Praxis war Art. 22 lange Zeit von begrenzter Bedeutung — Dashboards visualisieren, sie entscheiden nicht. Mit dem Einzug von KI-gestützten Scoring- und Empfehlungs­systemen in die operative Geschäftslogik hat sich das verschoben. Ein KI-System, das einem Bewerber automatisiert einen Job verweigert, ein automatisiertes Bonitäts­bewertungs­system, das einen Kredit ablehnt, eine algorithmische Personalentscheidung im HR-Bereich — all das fällt potenziell unter Art. 22 DSGVO und unterliegt strengen Voraussetzungen.

Der Europäische Gerichtshof hat in seiner Entscheidung vom 7. Dezember 2023 in der Rechtssache C-634/21 (SCHUFA Holding AG) klargestellt, dass die Erstellung eines Wahrscheinlichkeits­werts durch ein Auskunfteiunternehmen bereits eine „automatisierte Entscheidung im Einzelfall” im Sinne von Art. 22 DSGVO darstellt, wenn dieser Wert für die Entscheidung eines Dritten — etwa einer Bank über die Kredit­vergabe — maßgeblich ist. Das Urteil hat in der DACH-Daten­wirtschaft erhebliche Wellen geschlagen und die Frage automatisierter Entscheidungen wieder ins Zentrum gerückt.

Der AI Act: Verordnung 2024/1689 und die gestaffelte Anwendung

Die Verordnung (EU) 2024/1689 — der EU AI Act — trat am 1. August 2024 in Kraft. Ihre Anwendung folgt einem gestaffelten Zeitplan, der in der DACH-Compliance-Praxis sorgfältig zu beachten ist:

• Seit dem 2. Februar 2025 gelten die Verbote bestimmter KI-Praktiken nach Art. 5 — insbesondere des Social-Scoring durch staatliche Stellen, der Echtzeit-Fernidentifizierung durch biometrische Systeme im öffentlichen Raum (mit eng definierten Ausnahmen) und bestimmter Manipulations­techniken.
• Seit dem 2. August 2025 gelten die Vorschriften für General-Purpose-AI-Modelle (Art. 51 ff.) und die Anforderungen an die Marktaufsicht.
• Ab dem 2. August 2026 werden die Hauptvorschriften für Hochrisiko-KI-Systeme nach Annex III anwendbar — die für die BI- und Analytics-Welt relevanteste Schwelle.
• Ab dem 2. August 2027 gelten die vollständigen Vorschriften für Hochrisiko-KI-Systeme, die in Produkten integriert sind, die unter die Konformitäts­bewertungs­verordnungen nach Annex I fallen.

Für die Analytics-Welt ist die Klassifizierung „Hochrisiko” nach Annex III von zentraler Bedeutung. Diese Klassifizierung erfasse unter anderem KI-Systeme zur Beurteilung der Kreditwürdigkeit, KI-Systeme im Bildungsbereich (etwa zur Bewertung von Lernleistungen), KI-Systeme im Bereich Beschäftigung und Arbeitnehmer­führung (Rekrutierung, Bewerber­auswahl, Leistungs­bewertung), KI-Systeme im Bereich kritischer Infrastruktur und KI-Systeme im Strafverfolgungs­bereich. Wer in einem deutschen Unternehmen ein KI-gestütztes HR-Analytics-Werkzeug einsetzt, sollte vor dem 2. August 2026 eine sorgfältige Klassifizierungs­prüfung durchführen.

Die Anforderungen an Hochrisiko-Systeme

Hochrisiko-KI-Systeme nach Annex III unterliegen einem umfangreichen Pflichten­katalog, der in den Kapiteln 2 und 3 des AI Act geregelt ist. Dazu gehören unter anderem ein Risikomanagement­system (Art. 9), eine Datenstandards-Pflicht für Trainings-, Validierungs- und Testdaten (Art. 10), technische Dokumentations­pflichten (Art. 11), Protokollierungs­pflichten (Art. 12), Transparenzpflichten gegenüber den Nutzern (Art. 13), eine menschliche Aufsicht (Art. 14), Anforderungen an Genauigkeit, Robustheit und Cybersicherheit (Art. 15) und ein Konformitäts­bewertungs­verfahren mit CE-Kennzeichnung.

Für die typische BI-Praxis im DACH-Raum bedeutet das: Wer ein KI-Werkzeug einsetzt, das in eine Hochrisiko-Anwendung einfließt, sollte die Lieferanten­kette des Werkzeugs auf Konformität prüfen. Microsoft, Google, Snowflake, Databricks und die übrigen großen Plattform-Anbieter haben in den vergangenen achtzehn Monaten umfangreiche Compliance-Programme aufgesetzt, die Kunden die regulatorische Einordnung erleichtern sollen. Die Verantwortung der Datenpflicht — die Konformitäts­bewertung des eigenen Use Case — bleibt jedoch beim Anwender.

Der Data Act: Verordnung 2023/2854

Eine dritte Säule, die in der BI-Sortierung oft unterbelichtet bleibt, ist der Data Act — die Verordnung (EU) 2023/2854. Sie ist am 11. Januar 2024 in Kraft getreten und seit dem 12. September 2025 vollständig anwendbar. Der Data Act zielt auf die Förderung des Datenzugangs und der Datenmobilität in der EU; er regelt insbesondere den Zugang zu Daten, die in vernetzten Produkten und verbundenen Diensten erzeugt werden (Kapitel II), und schafft eine Pflicht zur fairen Bereitstellung von Daten zwischen Unternehmen (B2B-Datenaustausch, Kapitel III).

Für die BI-Welt ist der Data Act vor allem deshalb interessant, weil er ein neues Regime für die Datenmonetisierung im industriellen Umfeld schafft. Ein Automobil­zulieferer, der bisher die Telemetrie­daten seiner Komponenten als Geschäfts­geheimnis behandelte, muss sich seit September 2025 mit der Frage auseinander­setzen, unter welchen Bedingungen er diese Daten — insbesondere dem Endkunden oder einem unabhängigen Werkstatt­dienstleister — zugänglich machen muss. Die Daten­plattform­strategie eines Industrie­konzerns ist damit nicht mehr nur eine Frage der IT-Architektur, sondern auch des Vertrags­designs.

Die Schnittmenge der drei Regelwerke

Die drei Regelwerke — DSGVO, AI Act, Data Act — überschneiden sich auf eine Weise, die in der Praxis sorgfältige Abstimmung erfordert. Ein KI-gestütztes Analytics-System in einem Versicherungs­unternehmen unterliegt der DSGVO (sofern personenbezogene Daten verarbeitet werden), dem AI Act (sofern die Klassifizierung als Hochrisiko-System einschlägig ist) und potenziell dem Data Act (sofern Telematik­daten aus vernetzten Fahrzeugen verarbeitet werden). Die drei Rechtsregime sind nicht widerspruchsfrei: Der AI Act fordert umfangreiche Datendokumentation, die DSGVO fordert Daten­minimierung; der Data Act fördert Datenzugang, die DSGVO begrenzt ihn.

In der praktischen Compliance-Arbeit hat sich in den vergangenen achtzehn Monaten eine neue Berufsrolle herausgebildet: der AI-Compliance-Officer, oft in Personalunion mit dem Datenschutz­beauftragten und in enger Abstimmung mit dem CISO. Im DACH-Raum sind die Berufsverbände — die Gesellschaft für Datenschutz und Datensicherheit, der Berufsverband der Datenschutzbeauftragten Deutschlands — dabei, die Anforderungs­profile zu definieren.

Was Anwender jetzt tun sollten

Mehrere Schritte seien für DACH-Unternehmen ratsam, die mit BI- und Analytics-Werkzeugen arbeiten:

Erstens, ein KI-Inventar erstellen. Welche Werkzeuge im Unternehmen enthalten KI-Komponenten? Welche dieser Komponenten treffen oder unterstützen Entscheidungen über Personen? Welche fallen unter die Hochrisiko-Klassifizierung nach Annex III des AI Act?

Zweitens, die Vertragsklauseln mit Plattform-Anbietern überprüfen. Microsoft, Google, Snowflake und Databricks haben in den vergangenen achtzehn Monaten ihre Standard-Vertragsklauseln angepasst; eine Neuvereinbarung der Compliance-Verantwortlichkeiten ist meist sinnvoll.

Drittens, das Schulungs- und Sensibilisierungs­programm für Datenanalysten anpassen. Eine Datenanalystin, die ein KI-gestütztes Werkzeug einsetzt, muss verstehen, in welchen Fällen ihre Analyse rechtliche Implikationen hat. Die rein technische BI-Ausbildung reicht nicht mehr.

Viertens, eine menschliche Aufsicht (Art. 14 AI Act) für jene KI-Systeme implementieren, die unter die Hochrisiko-Klassifizierung fallen. Das bedeutet konkret: nachvollziehbare Entscheidungswege, dokumentierte Override-Möglichkeiten, geschulte menschliche Aufsichts­personen.

Die Rolle der Aufsichts­behörden im DACH-Raum

Welche Aufsichts­behörde im DACH-Raum für die Durchsetzung des AI Act zuständig ist, war bis weit ins Jahr 2025 hinein Gegenstand politischer Verhandlungen. In Deutschland hat sich nach langer Diskussion die Bundesnetz­agentur als zentrale nationale Behörde herauskristallisiert, die in enger Abstimmung mit den Landes-Datenschutz­behörden und dem Bundes­amt für die Sicherheit in der Informations­technik agiert. In Österreich übernimmt die KommAustria koordinierende Aufgaben; in der Schweiz — wo der AI Act formal nicht gilt, dessen extra­territoriale Wirkung jedoch zahlreiche Schweizer Unternehmen unmittelbar betrifft — wird die Anwendbarkeit in den eidgenössischen Datenschutz­rahmen integriert.

Für die praktische BI-Compliance bedeutet diese Mehrebenen-Struktur, dass eine im DACH-Raum operierende Unternehmens­gruppe sich mit mindestens drei nationalen Behörden­landschaften gleichzeitig auseinander­setzen muss. Die einheitliche Anlaufstelle — der „one-stop-shop”-Mechanismus der DSGVO — gilt im AI Act nicht in derselben Weise. Eine sorgfältige Compliance-Architektur sollte das berücksichtigen.

Konformitätsbewertung in der Lieferanten­kette

Eine in der Praxis oft unter­schätzte Frage betrifft die Konformitäts­bewertung in der Lieferanten­kette. Ein deutscher Mittel­ständler, der ein KI-gestütztes Personal­auswahl­system einsetzt, ist im Sinne des AI Act in der Regel „Betreiber” (Operator); der Anbieter des Werkzeugs ist „Anbieter” (Provider) und trägt die zentralen Konformitäts­pflichten. Was aber, wenn das Werkzeug auf einem Foundation Model eines US-amerikanischen Anbieters basiert, das wiederum als General-Purpose-AI-Modell unter eigene Vorschriften des AI Act fällt?

Diese geschichteten Verantwortungs­strukturen sind in den Art. 25 bis 27 des AI Act geregelt, aber in der praktischen Auslegung noch in vielen Punkten ungeklärt. Die ersten Leit­linien der Europäischen Kommission und des AI Office, das im AI Act vorgesehen ist und seit 2024 schrittweise aufgebaut wird, sollen in den kommenden Monaten Klarheit schaffen. Bis dahin bewegen sich Anwender in einem Auslegungs­raum, der unternehmens­interne Compliance-Entscheidungen erfordert.

Eine vorsichtige Schlussbemerkung

Die rechtliche Lage entwickelt sich weiter. Delegierte Rechtsakte und Durchführungs­akte zum AI Act werden in den kommenden Monaten zahlreiche Detailfragen klären. Die ersten Urteile der nationalen Gerichte und des Europäischen Gerichtshofs zur Anwendung des AI Act stehen noch aus; die Praxis der Aufsichts­behörden — in Deutschland insbesondere des Bundesamtes für die Sicherheit in der Informations­technik und der Datenschutz­behörden der Länder — ist in vielen Fragen noch im Werden.

Wer heute eine BI- und Analytics-Strategie für die nächsten drei Jahre entwirft, sollte den Rechtsrahmen als Eckpfeiler des Architektur­diagramms verstehen — nicht als nachgelagerte Compliance-Pflicht. Das ist ein neuer Ton in einer Disziplin, die sich lange Zeit primär als technische verstand.