Wurzelwerk.works · KI-Compliance Factsheet

VERSTEHEN · 01 / 03

Seite 1 · Verstehen

KI rechtssicher nutzen.

Ein 3-seitiges Praxis-Factsheet für Organisationen, Teams und KI-Anwender — Verstehen, Prüfen, Entscheiden.

FormatA4 · 3 Seiten

Stand05 / 2026

GeltungEU · DACH

Was bringt mir diese Seite? Sie kennen am Ende die wichtigsten Rechtsrahmen, die KI-Risikoklassen und wissen, worauf KI-Compliance aufbaut.

KI-Compliance beginnt nicht erst bei großen KI-Projekten. Schon Prompts, externe Tools, personenbezogene Daten und KI-generierte Inhalte können rechtliche Pflichten auslösen.

Auf einen Blick

3 KERNTHEMEN

Rechtsrahmen kennen

AI Act, DSGVO, Urheberrecht, Arbeitsrecht, Cybersecurity, KI-MIG.

Risiken einordnen

Risiko hängt von Use Case, Daten, Output und Zielgruppe ab.

Vorgehen dokumentieren

Prüfen, freigeben, schulen, überwachen — wiederholbar.

Rechtsrahmen-Landkarte

06 BEREICHE → 1 SYSTEM

KI-Compliance Organisationen

EU-KI-Verordnung

Risikoklassen
Pflichten
Transparenz

Stuft KI-Systeme nach Risiko ein und legt verbindliche Pflichten für Anbieter und Betreiber fest.

DSGVO

Personenbezug
Rechtsgrundlage
Betroffenenrechte

Greift, sobald personenbezogene Daten in Prompts, Trainingsdaten oder Outputs vorkommen.

Cybersecurity

Sichere Systeme
Robustheit
Incident-Mgmt.

Sichere Konfiguration, Schutz vor Prompt-Injection und Reaktion auf Sicherheitsvorfälle.

Urheberrecht

Trainingsdaten
Prompts
Outputs

Lizenzen, TDM-Vorbehalt und Schutzfähigkeit von KI-Outputs müssen geprüft werden.

Arbeitsrecht

Mitarbeitende
Betriebsrat
Transparenz

Mitbestimmung, Verhaltens- und Leistungskontrolle sowie Information der Beschäftigten.

Deutschland · KI-MIG

Bundesnetzagentur
Marktaufsicht
Reallabore

Nationale Umsetzung des AI Act inkl. Behördenstruktur und Innovationsräumen.

Risikoampel nach AI Act

RISIKO BESTIMMT PFLICHTENTIEFE

Unannehmbares Risiko

Z. B. Social Scoring, manipulative Systeme — verboten.

Verboten

Hochrisiko-KI

Risikomanagement, Doku, menschliche Aufsicht.

Strenge Pflichten

Begrenztes Risiko

KI-Interaktion und Inhalte kennzeichnen.

Transparenzpflichten

Minimales Risiko

Freiwillige Standards — Governance empfohlen.

Freiwillig

Wurzelwerk.works · KI-Compliance Factsheet

PRÜFEN · 02 / 03

Seite 2 · Prüfen

KI-Compliance-Selbstcheck.

Haken Sie jeden erledigten Schritt ab. Je mehr Punkte erfüllt sind, desto belastbarer ist Ihre KI-Compliance-Basis.

FormatSelbstcheck

Punkte10

Bearbeitung~ 15 min

Was bringt mir diese Seite? Sie sehen sofort, wie weit Ihre Organisation bei der KI-Compliance steht und welche Schritte noch offen sind.

01 KI-Use-Case beschriebenZweck, Nutzergruppe und Einsatzkontext sind klar dokumentiert. 02 Rolle geklärtAnbieter, Betreiber, Händler, Einführer oder Produkthersteller? 03 Risikoklasse bestimmtVerboten, Hochrisiko, begrenztes oder minimales Risiko? 04 DSGVO geprüftWerden personenbezogene Daten verarbeitet? Gibt es eine Rechtsgrundlage? 05 Externe Anbieter geprüftNutzungsbedingungen, Datenverarbeitung, Training, Speicherort, AV-Vertrag. 06 Prompts abgesichertKeine sensiblen Daten, Geschäftsgeheimnisse oder fremden Inhalte ohne Freigabe. 07 Outputs kontrolliertFakten, Urheber-, Marken-, Persönlichkeitsrechte und Irreführung geprüft. 08 Transparenz umgesetztKI-Interaktion, KI-generierte Inhalte oder Deepfakes werden gekennzeichnet. 09 Mitarbeitende geschultKI-Kompetenz, interne Richtlinien und Eskalationswege sind bekannt. 10 Monitoring eingerichtetFehler, Beschwerden, Updates, Risiken und Änderungen werden überwacht.

Compliance-Fortschritt

0/10

erledigt

0–30 %

Grundlagen fehlenEinsatz nicht freigeben.

40–70 %

Teilweise vorbereitetOffene Punkte schließen.

80–100 %

Gute BasisFreigabe und Monitoring möglich.

→ Nächster Schritt

Offene Punkte priorisieren, Verantwortliche festlegen und Nachweise dokumentieren.

KI-Compliance in 7 Schritten

PROZESS · WIEDERHOLBAR

Use Case beschreiben

Welches KI-Tool, welche Aufgabe, welche Zielgruppe? Kontext klar dokumentieren.

Rolle klären

Anbieter, Betreiber, Händler oder Einführer? Rolle gemäß EU AI Act festlegen.

Risikoklasse bestimmen

Verboten, hochriskant, begrenztes oder minimales Risiko nach AI Act einstufen.

Datenschutz & Urheberrecht

DSGVO-Anforderungen und urheberrechtliche Einschränkungen bei Trainingsdaten und Outputs prüfen.

Transparenz & Aufsicht

KI-generierte Inhalte kennzeichnen und menschliche Kontrollpunkte im Prozess definieren.

Doku, Schulung & Freigabe

Nachweise erstellen, Beteiligte schulen und formale Freigabe erteilen.

Monitoring & Updates

Laufendes Monitoring einrichten, Beschwerden dokumentieren und Prozesse aktuell halten.

Wurzelwerk.works · KI-Compliance Factsheet

ENTSCHEIDEN · 03 / 03

Seite 3 · Entscheiden

Prompt-Check: Darf das ins KI-Tool?

Nutzen Sie dieses Diagramm vor der Eingabe in externe KI-Tools — bei personenbezogenen Daten, internen Dokumenten, Geschäftsgeheimnissen oder geschützten Inhalten.

FormatEntscheidungs-Flow

Schritte4 Fragen

ErgebnisGo / Stop

Was bringt mir diese Seite? Sie haben einen klaren Entscheidungsweg, ob ein konkreter Prompt in ein KI-Tool darf — inklusive Schnellregeln.

Fortschritt

0 / 4 beantwortet

01 · Frage Werden personenbezogene Daten verarbeitet?

Nur mit Rechtsgrundlage verarbeiten oder Daten anonymisieren. Im Zweifel: Prompt nicht eingeben.

Keine personenbezogenen Daten — weiter zur nächsten Frage.

02 · Frage Enthält der Prompt Geschäftsgeheimnisse oder interne Informationen?

Stop. Nicht in externe Tools eingeben — Eingabe stoppen oder vorab Freigabe einholen.

Keine sensiblen internen Inhalte — weiter zur nächsten Frage.

03 · Frage Sind fremde, urheberrechtlich geschützte Inhalte enthalten?

Rechte und Zweck prüfen — Lizenz, TDM-Vorbehalt oder Zitatzweck. Ohne Klarheit: nicht verwenden.

Keine fremden geschützten Inhalte — weiter zur nächsten Frage.

04 · Frage Nutzt der Anbieter die Eingaben für das Training?

Besonders hohe Vorsicht — keine sensiblen Inhalte eingeben oder Tool wechseln (Opt-out / Enterprise-Tarif).

Anbieter trainiert nicht auf Eingaben — Endpunkt erreicht.

Endpunkt · Noch nicht freigegeben

Beantworten Sie alle 4 Fragen, um eine Empfehlung zu erhalten.

Erst wenn jede Frage mit NEIN beantwortet ist, gilt der Prompt als freigegeben.

Schnellregeln für Anwender

DO · DON'T

DODas sollten Sie tun

Prompts anonymisieren.
Nur freigegebene Tools nutzen.
Anbieterbedingungen beachten.
Outputs vor Veröffentlichung prüfen.
Bei Unsicherheit nachfragen.

DON'TDas sollten Sie vermeiden

Kundendaten ungeprüft eingeben.
Interne Verträge / Strategien hochladen.
Fremde Inhalte als eigene Vorlage nutzen.
KI-Outputs ungeprüft veröffentlichen.
Deepfakes ohne Kennzeichnung nutzen.

Wenn unsicher, dann nicht eingeben.

Unklare Datenlage, fehlende Freigabe oder sensible Informationen sprechen gegen die Nutzung externer KI-Tools.

Rechtlicher Hinweis Dieses Factsheet dient ausschließlich der allgemeinen Information und Weiterbildung. Es stellt keine Rechtsberatung dar und ersetzt keine Prüfung des Einzelfalls durch qualifizierte Rechtsberatung. Rechtslage, Behördenpraxis und technische Standards können sich ändern.

Autor & Quellen Justin Kollautz · Wurzelwerk · justin.kollautz@wurzelwerk.works
Projekt: KI-Rechtsrahmen DE/EU · Stand: 05/2026
Quellen: EU-KI-VO/AI Act · DSGVO · KI-MIG · Urheberrecht · Cybersecurity.