Compliance
AI Agent Legal Framework — EU AI Act Compliance
Von der Risikobewertung bis zum fertigen Compliance-Paket: Wie KMUs digitale Mitarbeiter gesetzeskonform einsetzen.
Ab August 2026 müssen Unternehmen, die AI-Agenten mit Kundenkontakt einsetzen, umfangreiche Compliance-Anforderungen erfüllen. Dieses Framework verbindet EU AI Act und DSGVO zu einem praktischen Prozess: Risikobewertung, Dokumentengenerierung, Killswitch-Konfiguration und manipulationssichere Hash Chain. Ein Wizard führt durch den gesamten Prozess.
Das Problem: Zwei Gesetze, kein Werkzeug
Wer einen AI-Agenten produktiv einsetzt, muss zwei Regelwerke gleichzeitig erfüllen: den EU AI Act (Transparenz, Risikobewertung, Logging) und die DSGVO (Datenschutz, Verarbeitungsverzeichnis, Betroffenenrechte). Für Grossunternehmen gibt es teure Compliance-Plattformen (50.000+ EUR/Jahr). Für KMUs existiert Stand März 2026 kein vergleichbares Produkt.
Das Ergebnis: Die meisten KMUs ignorieren das Thema oder erstellen Dokumente manuell in Word — ohne Zusammenhang zwischen den Dokumenten und ohne Verbindung zur tatsächlichen Agent-Konfiguration.
Die Transparenzpflichten des EU AI Act (Art. 50) gelten ab diesem Datum. Die DSGVO-Pflichten (Art. 30, 35) gelten bereits JETZT für jeden, der personenbezogene Daten verarbeitet. Verstoss: bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes.
Rechtsgrundlagen im Überblick
| Anforderung | Rechtsquelle | Deadline | Max. Strafe |
|---|---|---|---|
| AI-Kennzeichnung bei Erstkontakt | EU AI Act Art. 50(1) | 02.08.2026 | 15 Mio. EUR / 3% |
| Maschinenlesbare Content-Markierung | EU AI Act Art. 50(2) | 02.08.2026 | 15 Mio. EUR / 3% |
| Human Oversight / Killswitch | EU AI Act Art. 14 | 02.08.2026 | 15 Mio. EUR / 3% |
| Automatisches Log Retention (min. 6 Monate) | EU AI Act Art. 12 | 02.08.2026 | 15 Mio. EUR / 3% |
| Verarbeitungsverzeichnis | DSGVO Art. 30 | JETZT | 20 Mio. EUR / 4% |
| DPIA vor Inbetriebnahme | DSGVO Art. 35 | JETZT | 20 Mio. EUR / 4% |
| Recht auf menschliche Überprüfung | DSGVO Art. 22 | JETZT | 20 Mio. EUR / 4% |
In Österreich ist die KI-Servicestelle bei der RTR die nationale AI-Behörde. Die DSB (Datenschutzbehörde) ist für DSGVO-Enforcement zuständig. Compliance-Dokumente müssen auf Deutsch verfügbar sein und innerhalb von 72 Stunden vorgelegt werden können.
Der Wizard-Ansatz: Dokumente und Konfiguration aus einem Prozess
Das Kernprinzip: Compliance-Dokumente und Agent-Konfiguration werden im selben Prozess erzeugt. Nicht zuerst den Agent aufsetzen und dann die Dokumentation nachziehen — sondern beides gleichzeitig. Nur so stimmen Realität und Dokumentation überein.
8-Schritt Wizard:
Agent Identity
Name, E-Mail, Firma, Rolle und Aufgaben definieren
Risk Assessment
Fragebogen: Limited Risk oder High Risk? 10-15 Fragen
Scope & Berechtigungen
Welche Systeme? Read/Write/Create pro System
DSGVO Compliance
DPIA, Verarbeitungsverzeichnis, Privacy Notice (auto-befüllt)
EU AI Act Compliance
Art. 50 Transparency Kit: E-Mail-Signatur, Social Bio, Voice-Ansage
Killswitch & Human Oversight
3-Level Killswitch: PAUSE, STOP, DECOMMISSION
Agent-Konfiguration generieren
SOUL.md, Network Policy, Vault, Start-Script
Compliance-Paket finalisieren
PDF-Export, Hash Chain, Git Commit, ERP-Tracking
Risikobewertung: Limited Risk vs. High Risk
Der EU AI Act unterscheidet zwischen Risikoklassen. Die meisten KMU-Agenten (Kundenservice, E-Mail, Social Media) fallen unter "Limited Risk" — mit Transparenzpflichten, aber ohne die schweren Auflagen für Hochrisiko-Systeme.
| Frage | Wenn JA... | Risikoklasse |
|---|---|---|
| Trifft der Agent Entscheidungen mit rechtlicher Wirkung? | High Risk (Annex III) | HIGH |
| Verarbeitet der Agent biometrische Daten? | High Risk oder verboten | HIGH |
| Bewertet der Agent Personen (Scoring, Profiling)? | High Risk | HIGH |
| Interagiert der Agent nur mit Kunden (Info, Support)? | Limited Risk | LIMITED |
| Erstellt der Agent nur Inhalte (Text, Bild)? | Limited Risk | LIMITED |
Ein Agent, der E-Mails beantwortet, Social Media postet oder Kundenanfragen weiterleitet, ist typischerweise Limited Risk. Das bedeutet: Transparenzpflichten (Kennzeichnung), aber keine DPIA nach EU AI Act Art. 9 und keine Konformitätsbewertung. Die DSGVO-DPIA kann trotzdem nötig sein.
Die Compliance-Dokumente
Ein vollständiges Compliance-Paket besteht aus mindestens 7 Dokumenten. Jedes Dokument hat eine klare Rechtsgrundlage und einen definierten Zweck.
| Dokument | Rechtsquelle | Zweck |
|---|---|---|
| Risk Assessment | AI Act Art. 6 | Limited vs. High Risk Einstufung mit Begründung |
| DPIA | DSGVO Art. 35 | Datenschutz-Folgenabschätzung, vorbefüllt mit Agent-Scope |
| Verarbeitungsverzeichnis | DSGVO Art. 30 | Alle Datenverarbeitungen des Agents |
| Privacy Notice | DSGVO Art. 13/14 | Information für betroffene Personen |
| Art. 50 Transparency Kit | AI Act Art. 50 | E-Mail-Signatur, Social Bio, Voice-Ansage, Meta-Tags |
| Killswitch & Oversight | AI Act Art. 14 | 3-Level Killswitch, Verantwortliche, Eskalation |
| Log Policy | AI Act Art. 12 | Was wird geloggt, Aufbewahrung, Zugriff |
| Escalation Policy | DSGVO Art. 22 | Recht auf menschliche Überprüfung |
| Onboarding-Protokoll | Gesamt | Wer, was, wann, Killswitch-Verantwortliche, Freigabe |
3-Level Killswitch: Human Oversight nach Art. 14
Der EU AI Act verlangt, dass Menschen AI-Systeme jederzeit stoppen können. Ein gestuftes Killswitch-System macht das praktikabel.
| Level | Aktion | Wann einsetzen |
|---|---|---|
| Level 1: PAUSE | Agent stoppt, sichert State, wartet auf Resume | Agent verhält sich unerwartet, Situation unklar |
| Level 2: STOP | Sofort beenden, alle laufenden Aktionen abbrechen | Agent macht Fehler, die Schaden anrichten könnten |
| Level 3: DECOMMISSION | Permanent deaktivieren, Keys revoken, Logs archivieren | Agent wird nicht mehr gebraucht oder ist kompromittiert |
Das wird im Wizard definiert. Typisch: Der Owner (Geschäftsführer) kann alle 3 Level. Team-Mitglieder können Level 1 (PAUSE). Automatische Systeme können Level 1 bei Anomalie-Erkennung auslösen. Level 3 (DECOMMISSION) sollte immer manuell sein.
Hash Chain: Manipulationssichere Dokumentation
Compliance-Dokumente müssen nachweisbar unverändert sein. Eine SHA-256 Hash Chain stellt sicher, dass jede Änderung nachvollziehbar ist. Wird ein altes Dokument manipuliert, brechen alle nachfolgenden Hashes.
Prinzip der Hash Chain:
Dokument v1 → SHA-256: a1b2c3... (previous: null)
Dokument v2 → SHA-256: d4e5f6... (previous: a1b2c3...)
Dokument v3 → SHA-256: g7h8i9... (previous: d4e5f6...)
Manipulation von v1?
→ Hash von v1 ändert sich
→ previous_hash von v2 stimmt nicht mehr
→ Kette ist gebrochen = Manipulation erkanntEine Hash Chain ist KEINE Blockchain. Sie läuft lokal, braucht kein Netzwerk und keine Kryptographie-Infrastruktur. Sie beweist nur, dass Dokumente nicht nachträglich verändert wurden. Für rechtsverbindliche elektronische Signaturen braucht man ID Austria / eIDAS — das ist ein separates Thema.
Marktlage: Kein KMU-Produkt vorhanden
Stand März 2026 gibt es für KMUs kein Compliance-Tool, das speziell auf AI-Agenten zugeschnitten ist.
| Anbieter | Zielgruppe | Kosten/Jahr | Agent-spezifisch? |
|---|---|---|---|
| Credo AI | Enterprise | 50.000+ EUR | Ja, aber nicht für KMU |
| Holistic AI | Enterprise | 50.000+ EUR | Teilweise |
| OneTrust | Enterprise | 50.000+ EUR | Nein, generisch |
| AI Agent Legal Framework | KMU | Open Source (Engine) | Ja, inkl. Agent-Konfiguration |
Studien zeigen: Nur 56 von 100 DACH-KMUs kennen den EU AI Act (verglichen mit 82 von 100 bei der DSGVO). Das Bewusstsein ist niedrig, die Deadline nahe. Wer jetzt anfängt, hat einen Vorsprung.
Das Wichtigste
- ✓EU AI Act Art. 50 Deadline: 2. August 2026. Transparenzpflichten für ALLE AI-Systeme mit Kundenkontakt.
- ✓DSGVO-Pflichten (Art. 30, 35) gelten bereits JETZT. Eine DPIA ist vor der Inbetriebnahme eines AI-Agenten Pflicht.
- ✓Compliance-Dokumente und Agent-Konfiguration müssen im selben Prozess entstehen — sonst stimmt die Doku nicht mit der Realität überein.
- ✓3-Level Killswitch (PAUSE, STOP, DECOMMISSION) ist der praktische Weg zur Human Oversight nach Art. 14.
- ✓Hash Chain (SHA-256) macht Compliance-Dokumente manipulationssicher — ohne Blockchain, lokal ausführbar.
- ✓Für KMUs existiert aktuell kein Compliance-Tool. Wer jetzt handelt, hat Vorsprung vor der Deadline.
Quellen
- Basis-Spec: Interne Design-Spezifikation — AI Agent Legal Framework Design (intern)
- EU AI Act (Verordnung 2024/1689) — Volltext auf EUR-Lex
- EU AI Act Überblick — Risikoklassen und Pflichten
- Datenschutz-Folgenabschätzung (DPIA) — Wann Pflicht, wie durchführen
- DSGVO Grundlagen — Art. 30, Art. 35
War dieser Artikel hilfreich?
Nächster Schritt: Compliance in den Betrieb bringen
Nutze fertige DSGVO-Templates, Checklisten und Praxis-Guides für AI-Systeme, die dokumentiert und auditierbar sein müssen.
- Lokal und self-hosted gedacht
- Dokumentiert und auditierbar
- Aus eigener Runtime entwickelt
- Made in Austria