Volljurist und Compliance-Experte
January 5, 2026
5 Minuten
.svg)
Der EU AI Act verlangt eine Erweiterung klassischer Data-Governance-Frameworks um Fairness, Repräsentativität und Bias-Kontrollen.
Technisch saubere Daten reichen nicht aus, wenn sie statistisch verzerrte oder diskriminierende Ergebnisse erzeugen.
Technisch saubere Daten reichen nicht aus, wenn sie statistisch verzerrte oder diskriminierende Ergebnisse erzeugen.
Metadaten, Datenherkunft und Vorverarbeitung müssen für KI-Systeme vollständig und prüfbar dokumentiert werden.
Stellen Sie sich vor, Sie haben jahrelang das Fundament Ihres Hauses perfektioniert. Alles ist stabil, jeder Stein sitzt, und Sie haben einen klaren Plan, wie dieses Haus instand gehalten wird. In der Datenwelt ist dieses Fundament Ihre Data Governance – vielleicht aufgebaut nach bewährten Standards wie DAMA-DMBOK.
Doch plötzlich ändern sich die Bauvorschriften drastisch. Es reicht nicht mehr, dass das Fundament stabil ist; es muss jetzt erdbebensicher sein, feuerfest und energieeffizient. Genau das passiert gerade mit dem EU AI Act. Für Unternehmen, die KI-Systeme entwickeln oder nutzen, ändern sich die Spielregeln fundamental.
Viele Data-Teams stehen nun vor der Frage: Müssen wir alles abreißen und neu bauen? Die beruhigende Antwort lautet: Nein. Aber Sie müssen anbauen. In diesem Artikel schauen wir uns an, wie Sie Ihre bestehende Data Governance nehmen und sie fit für die Ära der KI-Regulierung machen.
Klassische Data Governance konzentriert sich oft auf Fragen wie: "Wem gehören diese Daten?", "Sind die Datenformate konsistent?" oder "Ist der Zugriff sicher?". Das sind wichtige Fragen, die auch weiterhin Relevanz haben. Der EU KI Act, insbesondere Artikel 10 für Hochrisiko-KI-Systeme, stellt jedoch völlig neue Fragen an Ihre Daten.
Hier geht es nicht mehr nur um technische Korrektheit, sondern um inhaltliche Repräsentativität und ethische Unbedenklichkeit. Ein Datensatz kann technisch einwandfrei sein (keine fehlenden Werte, richtiges Format) und dennoch gegen den AI Act verstoßen, weil er beispielsweise bestimmte demografische Gruppen nicht repräsentiert und somit zu diskriminierenden Ergebnissen führt.
Traditionelle Frameworks sind oft für Business Intelligence (BI) optimiert – also für den Rückspiegel. KI schaut jedoch nach vorne. Für KI-Modelle ist die AI-Datenqualität entscheidend, um Vorhersagen zu treffen.
Der AI Act fordert explizit, dass Trainings-, Validierungs- und Testdaten relevant, repräsentativ, fehlerfrei und vollständig sein müssen. Ein klassisches Governance-Modell hat vielleicht keine Metriken für "Bias" (Voreingenommenheit) oder "Verzerrung". Genau hier müssen wir ansetzen.
Die gute Nachricht ist, dass Sie die Strukturen wahrscheinlich schon haben. Wir müssen sie nur neu befüllen. Lassen Sie uns die Anpassung anhand konkreter Dimensionen durchgehen.
Im DMBOK-Framework ist Datenqualität ein zentraler Pfeiler. Um den AI Act zu erfüllen, müssen Sie Ihre Definition von Qualität erweitern.
Sie müssen neue Qualitätsprüfungen (Quality Gates) einführen, bevor Daten in das Training eines Modells fließen. Dies ist ein kritischer Punkt für jede AI Act Konformitätsbewertung. Wenn Sie hier schlampen, kann das gesamte Modell die Zertifizierung verfehlen.
Dokumentation ist oft das ungeliebte Stiefkind. Der AI Act macht sie zur Pflichtkür. Sie müssen nicht nur wissen, woher die Daten kommen (Lineage), sondern auch, wie sie für das Training aufbereitet wurden.
Erweitern Sie Ihren Datenkatalog um folgende Attribute für KI-relevante Datensätze:
Die Anpassung ist kein einmaliges Projekt. Der AI Act verlangt ein kontinuierliches Monitoring über den gesamten Lebenszyklus des KI-Systems. Das bedeutet, Ihr Governance-Framework muss dynamischer werden.
Ein oft übersehener Aspekt bei der technischen Diskussion ist der Faktor Mensch. Der AI Act schreibt Human Oversight (menschliche Aufsicht) vor.
Für Ihr Governance-Framework bedeutet das: Wer darf Entscheidungen über Trainingsdaten treffen? Wer zeichnet ab, dass ein Datensatz "frei von unzulässigen Verzerrungen" ist? Sie müssen neue Rollen und Verantwortlichkeiten definieren – oder bestehende Rollen wie den "Data Steward" mit mehr Kompetenzen und Verantwortung ausstatten. Es geht darum, die Brücke zwischen technischer Datenanalyse und ethisch-rechtlicher Bewertung zu schlagen.
Vielleicht denken Sie jetzt: "Das klingt nach extrem viel manueller Arbeit." Und ja, wenn man versucht, das alles in Excel-Tabellen zu pflegen, ist es das auch. Die Komplexität der Anforderungen – besonders wenn man DSGVO und AI Act parallel betrachtet – schreit förmlich nach Unterstützung.
Moderne AI Act Compliance Software kann hier als Bindeglied fungieren. Sie integriert sich in Ihre bestehende IT-Landschaft und automatisiert die Dokumentation und Überwachung der Qualitätskriterien, die Ihr erweitertes Framework definiert hat.
Um die Transformation greifbar zu machen, haben wir die wichtigsten Punkte zusammengefasst:
Die Anpassung Ihrer Data Governance an den EU AI Act wirkt auf den ersten Blick wie eine gewaltige Hürde. Doch wenn Sie genau hinsehen, ist es eine Chance. Eine Chance, Ihre Daten nicht nur "compliant" zu machen, sondern ihre Qualität so zu steigern, dass auch Ihre KI-Modelle leistungsfähiger und vertrauenswürdiger werden.
Beginnen Sie mit einer Bestandsaufnahme: Wo stehen Ihre aktuellen Governance-Prozesse? Wo sind die blinden Flecken in Bezug auf KI? Sobald Sie diese Lücken identifiziert haben, können Sie sie systematisch schließen. Compliance ist am Ende des Tages kein Hindernis, sondern ein Qualitätsmerkmal für Ihre Technologie.
Da wir wissen, dass dieses Thema viele Fragen aufwirft, haben wir die häufigsten Punkte, die uns in Gesprächen begegnen, hier gesammelt.
Nein. Frameworks wie DAMA-DMBOK sind modular. Sie müssen lediglich das Modul "Datenqualität" und "Metadaten-Management" um die spezifischen Anforderungen des AI Acts erweitern. Betrachten Sie es als Upgrade, nicht als Neubau.
Der Fokus des Artikels 10 im EU AI Act liegt ganz klar auf Hochrisiko-KI-Systemen. Für Daten, die in Systemen mit minimalem Risiko verwendet werden (z.B. Spam-Filter), sind die Anforderungen weniger streng. Ein Datenqualitäts Framework hilft Ihnen zu klassifizieren, welche Daten welchem Risikolevel zugeordnet sind.
Die DSGVO schützt personenbezogene Daten. Der AI Act reguliert die Sicherheit und Grundrechte in Bezug auf das KI-System selbst. Es gibt Überlappungen, aber der AI Act geht tiefer in die technische Funktionsweise und die statistischen Eigenschaften der Daten ein.
Theoretisch ja, wenn Sie über tiefes internes Fachwissen in Recht und Data Science verfügen. In der Praxis nutzen viele Unternehmen jedoch spezialisierte Plattformen, um die Zertifizierung von Hochrisikosystemen effizient und sicher zu gestalten.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Viele Unternehmen managen ISO 9001 und ISO 27001 noch getrennt und verlieren dadurch Effizienz und Überblick. Erfahren Sie, wie ein Integriertes Managementsystem (IMS) Qualität und Informationssicherheit vereint, Prozesse verschlankt, Risiken zentral steuert und Ihre Organisation nachhaltiger, sicherer und wettbewerbsfähiger macht.
Viele Unternehmen investieren in Sicherheitstools – doch NIS2 macht klar: Einzelne Lösungen reichen nicht. Der Schlüssel liegt in der Integration. In diesem Leitfaden erfahren Sie, wie SIEM, IAM und Automatisierung zusammenspielen, um NIS2-Compliance effizient zu erreichen und Ihre Sicherheitsarchitektur nachhaltig zu stärken.
Der EU AI Act verändert die Haftung für KI grundlegend und führt eine Beweislastumkehr bei Schäden durch Hochrisiko-Systeme ein. Dieser Artikel zeigt, wann Unternehmen für KI-Fehler haften, wie Schadensersatzansprüche leichter durchgesetzt werden können und warum saubere Dokumentation zur wichtigsten Absicherung wird. Erfahren Sie, wie Compliance, Transparenz und Human-in-the-Loop Ihr Haftungsrisiko senken und Vertrauen in KI schaffen.
.svg)
.svg)
.svg){kind=small}