Website-Pflichtencheckvon Jurono
KIRechtDatenschutzTechnikNews

EU AI Act: Was Entwicklerteams jetzt für KI-Features dokumentieren sollten

Die Regeln für General-Purpose-AI-Modelle sind in der EU scharfgestellt. Für kleine Softwareteams heißt das: Modellwahl, Datenflüsse und Verantwortlichkeiten gehören sauber dokumentiert.

Von Jurono
Aktualisiert: 19. Juni 2026

Seit dem AI Act ist KI-Compliance kein Thema mehr, das nur große Modellanbieter betrifft. Wer KI-Funktionen in Websites, SaaS-Produkte, interne Tools oder Agenturprojekte einbaut, hängt plötzlich an einer längeren Lieferkette: Modellanbieter, API-Provider, eigene Anwendung, Kundendaten, Logging, Support und oft auch Drittanbieter-Automationen.

Die gute Nachricht: Die meisten kleinen Teams sind nicht selbst Anbieter eines General-Purpose-AI-Modells. Die unbequeme Nachricht: Sie müssen trotzdem erklären können, welches Modell sie einsetzen, wofür es genutzt wird, welche Daten hineinfließen und welche Risiken dadurch entstehen.

Was sich rund um GPAI geändert hat

Die Europäische Kommission hat den General-Purpose AI Code of Practice am 10. Juli 2025 veröffentlicht. Er soll Anbietern allgemeiner KI-Modelle helfen, Pflichten zu Sicherheit, Transparenz und Urheberrecht aus dem AI Act umzusetzen. Die Kommission beschreibt den Code als freiwilliges Werkzeug; wer ihn unterzeichnet und einhält, kann damit leichter zeigen, dass die entsprechenden AI-Act-Pflichten erfüllt werden.

Die GPAI-Regeln gelten seit dem 2. August 2025. Für neue Modelle beginnt die Durchsetzung durch das AI Office ein Jahr später, für bereits vorher vermarktete Modelle zwei Jahre später. Das klingt weit weg, ist für Produktteams aber praktisch schon relevant: Einkaufsentscheidungen, Modellwechsel und Architekturentscheidungen von heute bestimmen, wie sauber ein Projekt 2026 oder 2027 erklärbar ist.

Was das für Softwareprojekte bedeutet

Wenn ein Projekt Chatbots, Textgeneratoren, automatische Zusammenfassungen, Code-Assistenten, Klassifizierungen oder agentische Workflows nutzt, sollte das Team nicht erst bei einer Kundenfrage anfangen zu suchen. Sinnvoll ist eine kleine, gepflegte KI-Akte im Projekt.

Darin sollten mindestens diese Punkte stehen:

  • Zweck des KI-Features: Was soll die Funktion konkret tun — und was ausdrücklich nicht?
  • Modell und Anbieter: Welches Modell, welche API, welche Region, welche vertraglichen Einstellungen?
  • Datenflüsse: Welche personenbezogenen Daten, Kundendaten, Logdaten oder Dateien werden an den Anbieter gesendet?
  • Speicherung und Logging: Werden Prompts, Antworten, Dateien oder Metadaten gespeichert?
  • Menschliche Kontrolle: Wo prüft ein Mensch Ergebnisse, bevor sie an Nutzer:innen oder Kund:innen gehen?
  • Fallbacks: Was passiert, wenn die KI falsche, unsichere oder gar keine Antwort liefert?
  • Quellen und Rechte: Werden Inhalte generiert, übernommen, zusammengefasst oder aus externen Quellen verarbeitet?

Das ist keine Bürokratie zum Selbstzweck. Es schützt das Team später vor der typischen Horror-Szene: Feature ist live, Kunde fragt nach Datenschutz und AI Act, und alle schauen sich an wie in Folge 8 kurz vor dem Staffelfinale.

Datenschutz bleibt der zweite Bossfight

Der AI Act ersetzt die DSGVO nicht. Wenn personenbezogene Daten in Prompts landen, braucht das Projekt weiterhin eine tragfähige Rechtsgrundlage, transparente Informationen, Auftragsverarbeitungsverträge, sinnvolle Löschkonzepte und technische Schutzmaßnahmen.

Gerade bei KI-Features sind drei Stellen kritisch:

  1. Prompt-Inhalte: Nutzer:innen geben oft mehr Daten ein, als das Interface erwartet.
  2. Support- und Admin-Tools: Interne Teams kopieren Kundendaten schnell in KI-Assistenten, wenn es keine klare Regel gibt.
  3. Logs und Analytics: Debugging ist wichtig, aber rohe Prompts können sensible Daten enthalten.

Für Website-Betreiber und kleine SaaS-Teams reicht deshalb nicht der Satz „Wir nutzen KI“. Besser ist eine klare Produktentscheidung: Welche Daten dürfen in die KI, welche nicht, und wie wird das technisch verhindert?

Praktischer Start: Eine KI-Feature-Checkliste

Für jedes neue KI-Feature lohnt sich vor dem Launch ein kurzer Review:

  • Ist der Zweck im Produkt und in der Datenschutzerklärung verständlich beschrieben?
  • Ist dokumentiert, welcher Anbieter und welches Modell genutzt werden?
  • Sind personenbezogene Daten minimiert oder maskiert?
  • Gibt es eine klare Grenze zwischen Assistenz und automatischer Entscheidung?
  • Können Nutzer:innen erkennen, dass KI beteiligt ist?
  • Sind Prompts, Systemanweisungen und Fehlerfälle versioniert?
  • Gibt es Tests gegen typische Halluzinationen, Prompt-Injection und Datenlecks?

Wer das früh festhält, muss später nicht alles forensisch aus Git-History, Slack-Threads und müden Erinnerungen rekonstruieren.

Fazit

Der AI Act trifft kleine Entwicklerteams meistens nicht als Modellanbieter, aber sehr wohl als Betreiber und Integratoren von KI-Systemen. Die beste Sofortmaßnahme ist keine 80-seitige Policy, sondern saubere technische Dokumentation: Modell, Zweck, Datenfluss, Kontrolle, Risiken, Fallbacks.

Das macht KI-Features nicht nur regulatorisch robuster. Es macht sie auch wartbarer, sicherer und besser erklärbar — also genau das, was produktive Software ohnehin braucht.

Quellen

Hinweis: Dieser Beitrag ist eine technische Einordnung und keine Rechtsberatung.

Jurono Logo

Jurono

Technische Website-Prüfung, Website-Fixes und AI-Code-Rettung für kleine Unternehmen, Praxen, Kanzleien und Gründer:innen in Deutschland.

Passende Angebote

Direkt weiterkommen

Basierend auf den Themen dieses Artikels – ohne lange Suche.

Website Quick Scan

Für alle, die schnell wissen wollen, wo die Website gerade Risiko aufbaut.

249

Technische Ersteinschätzung und klare Prioritäten innerhalb von 2 Werktagen.

  • Schnellcheck auf HTTPS, Tracking, Cookie-Themen und externe Skripte
  • Mobile-, Ladezeit- und Technik-Auffälligkeiten
  • Die wichtigsten Probleme verständlich priorisiert
Website Quick Scan anfragen

AI-Code Triage

Wenn das Projekt startet, aber niemand weiß, warum es dauernd bricht.

390

Code-Sichtung, Build-/Import-Check und Rettungsplan innerhalb von 2 Werktagen.

  • Repo-Check auf kaputte Imports, fehlende Pakete und Build-Fehler
  • Einschätzung: reparieren, neu strukturieren oder wegwerfen
  • Priorisierte Fix-Liste mit Aufwandsschätzung
Mit AI-Code Triage weitermachen

Pflichtencheck Pro

Der gründliche Check, wenn Ihre Website zuverlässig und sauber wirken soll.

549

Prüfung, Bewertung und konkreter Maßnahmenplan innerhalb von 3-5 Werktagen.

  • Alles aus dem Quick Scan, gründlicher eingeordnet
  • Technischer Cookie-/Tracking-Check mit konkreten Fundstellen
  • Impressum/Datenschutz sichtbar geprüft, ohne Rechtsberatung
Pflichtencheck Pro sichern

Unsicher, wo Sie anfangen?

Buchen Sie einen Quick Scan oder eine Triage. Ob und wie es weitergeht, entscheiden Sie danach.

Mit einer Prüfung startenAI-Code-Rettung ansehen

Technische Prüfung und Umsetzung, keine Rechtsberatung. Rechtstexte und verbindliche juristische Bewertung bleiben Aufgabe von Anwält:innen oder Datenschutzberatung.