Zur KI-Verordnung kursieren derzeit zwei Erzählungen. Die eine: „Betrifft nur Tech-Konzerne." Die andere: „Jedes Unternehmen, das KI nutzt, braucht jetzt ein Compliance-Programm." Beide sind falsch - und beide führen zu schlechten Entscheidungen. Die Verordnung ist risikobasiert: Sie verbietet wenige Anwendungen ganz, stellt einige unter strenge Auflagen und lässt die meisten bewusst weitgehend unangetastet. Die Kunst liegt darin zu wissen, in welcher Kategorie man sich bewegt.
Was ab August 2026 gilt
Die KI-Verordnung ist seit August 2024 in Kraft und wird stufenweise wirksam. Verbotene Praktiken und die Pflicht zur KI-Kompetenz gelten bereits seit Februar 2025. Am 2. August 2026 kommen die Pflichten für Hochrisiko-Systeme hinzu - und mit ihnen die Sanktionen. Hochrisiko heißt dabei nicht „besonders mächtige KI", sondern: KI in Anwendungsfeldern, in denen Fehlentscheidungen Menschen unmittelbar treffen. Die Verordnung zählt diese Felder abschließend auf - darunter Bewerbungsauswahl, die Bewertung von Leistung und Verhalten Beschäftigter, Kreditvergabe und biometrische Systeme.
Wo Vereine und Verbände tatsächlich hinschauen sollten
Nicht das Monitoring ist für die meisten Organisationen der kritische Punkt - es sind die eigenen, alltäglichen Anwendungen:
- Bewerbungsauswahl. Wer KI Bewerbungen filtern, bewerten oder vorsortieren lässt - auch in der Geschäftsstelle - bewegt sich in einer Hochrisiko-Kategorie. Das gilt unabhängig davon, ob das Werkzeug ein spezialisiertes HR-System ist oder ein allgemeiner Chatbot, der faktisch dafür eingesetzt wird.
- Leistungs- und Verhaltensbewertung. Profispieler sind Beschäftigte. Je nach Ausgestaltung kann KI-gestützte Bewertung von Leistung oder Verhalten im Beschäftigungsverhältnis prüfpflichtig werden. Wer solche Systeme einsetzt oder einführen will, sollte die Einordnung dokumentiert haben.
- Fan-Chatbots. Wer Fans mit einem KI-System kommunizieren lässt, muss kenntlich machen, dass sie mit einer KI sprechen.
- KI-Kompetenz. Die Pflicht, Mitarbeitende im Umgang mit KI zu schulen, gilt bereits - für jede Organisation, in der beruflich mit KI gearbeitet wird. Sie ist mit überschaubarem Aufwand erfüllbar, muss aber dokumentiert sein.
Der gemeinsame Nenner: ein Inventar. Welche KI-Systeme sind im Einsatz, wofür, mit welchen Daten? Wer diese Liste hat, kann jede weitere Frage in Minuten beantworten. Wer sie nicht hat, rät.
KI in der Analyse von Online-Hass: was sie leistet - und wo die Grenzen liegen
Bei einer Hass-Welle entstehen in Stunden tausende Beiträge. Kein Team liest das manuell in der Zeit, in der es darauf ankommt. KI leistet hier, was sie gut kann: Masse vorsortieren, Muster erkennen, Auffälligkeiten sichtbar machen, die auf koordiniertes Verhalten hindeuten können. Was sie nicht leistet: die Bewertung ersetzen.
Die Grenzen sind doppelt. Rechtlich: Die Analyse öffentlicher Textbeiträge ist keine Biometrie und keine Emotionserkennung im Sinne der Verordnung - aber der Datenschutz gilt immer, und gerade wenn Beiträge politische Haltungen erkennen lassen, gehört eine Datenschutz-Folgenabschätzung vor den Start eines solchen Systems, nicht nach den ersten Vorfall. Methodisch: Eine KI-Einschätzung, die kein Mensch geprüft hat, ist eine Behauptung. In einer Akte, die einer kritischen Prüfung standhalten soll, hat sie nichts verloren.
Eine KI-Einschätzung, die kein Mensch geprüft und verantwortet hat, ist keine Feststellung - sie ist ein Hinweis, wo ein Mensch hinsehen sollte.
Dieselbe Logik wie die Beweiskette
Wer unsere Arbeit kennt, erkennt das Muster. Bei der Beweiskette zählt nicht, ob Material existiert, sondern ob nachvollziehbar ist, woher es stammt und wie es behandelt wurde. Für KI gilt dasselbe: Es zählt nicht, was ein Modell ausgibt, sondern ob nachvollziehbar ist, welches System mit welcher Aufgabe beteiligt war - und wer das Ergebnis geprüft und verantwortet hat. Governance, Dokumentation, Transparenz: Das ist kein Bürokratie-Anhängsel der Verordnung. Es ist dieselbe Sorgfalt, die Ermittlungsarbeit von Bauchgefühl unterscheidet.
Fünf Fragen an jeden Dienstleister, der mit KI arbeitet
- Wo genau setzen Sie KI ein - und wo bewusst nicht? Die Antwort sollte wie eine Inventarliste klingen, nicht wie ein Werbetext.
- Prüft ein Mensch jede Bewertung, die mich oder Dritte betrifft, bevor sie in einen Bericht geht?
- Wie stellen Sie sicher, dass keine Hochrisiko-Anwendung im Sinne der Verordnung entsteht - und wann haben Sie das zuletzt geprüft?
- Was passiert mit meinen Daten? Wer verarbeitet sie, wo, auf welcher vertraglichen Grundlage?
- Können Sie den Weg von der Roherhebung zum Ergebnis im Zweifel Schritt für Schritt erklären?
Wer auf diese Fragen keine ruhigen Antworten hat, hat sie sich selbst noch nicht gestellt.
Wie wir es halten
Wir setzen KI dort ein, wo sie Masse beherrschbar macht - bei der Vorsortierung und Mustererkennung großer Datenmengen. Jede Bewertung, die in einen Bericht eingeht, prüft und verantwortet ein Mensch. Wir führen ein Inventar unserer KI-Systeme mit Zweck und Risikoeinstufung; keines fällt in eine Hochrisiko-Kategorie der Verordnung, und wir haben dokumentiert, welche künftigen Einsatzformen eine Neubewertung auslösen würden. Nicht, weil ab August ein Bußgeld droht - sondern weil ein Ergebnis, dessen Zustandekommen wir nicht erklären können, für unsere Auftraggeber wertlos wäre.
Häufige Fragen
Gilt die KI-Verordnung auch für kleine Vereine und Unternehmen?
Ja, aber abgestuft. Die Pflicht zur KI-Kompetenz und Transparenzpflichten treffen grundsätzlich jede Organisation, die beruflich KI einsetzt. Die strengen Auflagen gelten nur für Hochrisiko-Anwendungen wie Bewerbungsauswahl oder die Bewertung Beschäftigter.
Ist KI-gestützte Analyse von Online-Hass ein Hochrisiko-System?
Die Analyse öffentlicher Textbeiträge fällt in keine der Hochrisiko-Kategorien der Verordnung. Unabhängig davon gelten die Anforderungen des Datenschutzrechts, einschließlich einer Datenschutz-Folgenabschätzung vor dem Start.
Was ändert sich am 2. August 2026?
Die Pflichten für Hochrisiko-Systeme und der zugehörige Sanktionsrahmen werden wirksam. Verbote und KI-Kompetenz-Pflicht gelten bereits seit Februar 2025.
Was sollte eine Organisation jetzt konkret tun?
Ein Inventar der eingesetzten KI-Systeme anlegen, die Schulung der Mitarbeitenden dokumentieren, kritische Anwendungsfälle (vor allem Personal) identifizieren und Verträge mit Dienstleistern auf den Umgang mit Daten prüfen.
Wenn Sie wissen möchten, wie KI-gestützte Analyse aussieht, wenn ein Mensch sie verantwortet: Darüber sprechen wir gern.
Hinweis: Dieser Beitrag ordnet öffentlich zugängliche Rechtsgrundlagen redaktionell ein und ersetzt keine Rechtsberatung.