KI-Vertragsanalyse 2026: AI Act, DSGVO, Hosting — Hebel im Überblick

Was ändert sich am 02. August 2026 für KI-Vertrags-Tools?

Mit Geltungsdatum AI Act Art. 50 müssen Anbieter generativer KI-Systeme ihre Outputs technisch markieren (Abs. 2). Wer KI-generierte oder -manipulierte Bilder, Audio- oder Video-Inhalte veröffentlicht, die einen Deepfake darstellen, muss diese sichtbar kennzeichnen (Abs. 4 UAbs. 1). Für KI-Vertragsanalyse-Tools heißt das: klarer Hinweis im Output ("Dies ist eine KI-Analyse, keine Rechtsberatung"). Bußgeld bei Verstoß: bis 15 Mio. EUR oder 3 % des weltweiten Konzernumsatzes (Art. 99 Abs. 4 AI Act).

Die fünf Pflichten ab 02.08.2026

1. Technische Markierung des Outputs (Art. 50 Abs. 2) — z. B. C2PA, SynthID
2. Sichtbare Kennzeichnung für Deepfakes (Abs. 4 UAbs. 1) — klar, eindeutig, barrierefrei
3. Hinweis auf KI-Output bei Texten zu öffentlichen Themen (Abs. 4 UAbs. 2)
4. Informations-Pflicht bei Chatbot-Interaktion (Art. 50 Abs. 1)
5. Risikoklassen-Einordnung nach Anhang III: Verbraucher-Vertragsanalyse meist „begrenztes Risiko“ (Transparenz), hoch nur bei Bonität/Einstellung

Wer kontrolliert KI in Deutschland — Bundesnetzagentur oder BfDI?

Beide haben Zuständigkeiten. Die Bundesnetzagentur wird mit dem KI-MIG (Kabinettsbeschluss 11.02.2026, im parlamentarischen Verfahren) zentrale Aufsichtsbehörde für den EU AI Act und betreibt die KoKIVO-Koordinationsstelle plus AI Service Desk (One-Stop-Shop). Der BfDI bleibt für DSGVO-Verstöße bei KI-Anwendungen zuständig — laut 33. Tätigkeitsbericht (April 2025) gab es 8.670 Beschwerden in 2024 (+11,4 % zum Vorjahr) mit KI als ausdrücklichem Schwerpunkt.

Welche Rechte Sie als Nutzer gegenüber KI-Apps konkret haben — und wie Sie sich bei der Bundesnetzagentur beschweren — lesen Sie im Leitfaden EU AI Act: Welche Rechte haben Sie bei KI-Apps?.

Zuständigkeits-Matrix

• EU AI Act Verstöße (Transparenz, Risikoklassen) → Bundesnetzagentur (nach KI-MIG)
• DSGVO-Verstöße bei KI (Rechtsgrundlage, Betroffenenrechte) → BfDI bzw. Landes-DSB
• Spezialbereiche (Finanz, Medizin) → BaFin / Bundesinstitut für Arzneimittel und Medizinprodukte
• Wettbewerbsverstöße (irreführende KI-Werbung) → Wettbewerbszentrale
• Verbraucher-Beschwerden allgemein → Verbraucherzentralen oder AI Service Desk der EU-Kommission

Darf ein KI-Tool meinen Vertrag „bewerten“ — und was sagt der EuGH dazu?

Automatisierte Bewertung ist eine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO, sobald sie für eine wesentliche Entscheidung herangezogen wird (EuGH, Urteil vom 07.12.2023, Rs. C-634/21, SCHUFA-Scoring). Folge: Rechtsgrundlage erforderlich (Art. 6 DSGVO), und der Betroffene hat ein Recht auf menschliche Überprüfung. Bei SignGuard ist die KI eine Entscheidungs-Hilfe — die finale Bewertung bleibt beim Menschen, plus Erklärung der Risiko-Ampel.

Wo die KI-Prüfung im Alltag reicht und wo ein Anwalt unverzichtbar ist, zeigt der ehrliche Vergleich Anwalt oder KI? 5 Praxistests.

Die fünf zentralen DSGVO-Risiken bei KI-Vertragstools

1. Rechtsgrundlage Art. 6 DSGVO — Vertrag (lit. b), berechtigtes Interesse (lit. f), Einwilligung (lit. a); für Trainings-Daten reicht lit. b in der Regel nicht
2. Besondere Kategorien Art. 9 DSGVO — Arbeits-, Versicherungs-, Gesundheits-Verträge enthalten oft sensible Daten; ohne ausdrückliche Einwilligung darf eine Cloud-KI nicht analysieren
3. Automatisierte Entscheidung Art. 22 DSGVO — Risiko-Ampel auf rot → Nutzer unterzeichnet nicht → vertragliche Wirkung. EuGH C-634/21 verlangt menschliche Erklärung
4. Datenresidenz — US-Hosting löst Schrems-II-Pflichten aus (Standardvertragsklauseln + TIA + Zusatzmaßnahmen)
5. Betroffenenrechte Art. 15-17 DSGVO — anwendbar auf Input und Output, nach Hamburger Thesen 07/2024 nicht auf Modell-Gewichte selbst

Wie erkenne ich, ob eine Vertrags-KI DSGVO-konform arbeitet?

Vier Pflicht-Checks: EU-Hosting (Datenresidenz im EWR, keine US-Sub-Prozessoren ohne SCC + TIA), Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit allen Sub-Prozessoren offengelegt, kein Training auf Nutzer-Daten (No-Training-API oder Opt-out by default), klare Rechtsgrundlage Art. 6 DSGVO dokumentiert (Vertragsdurchführung lit. b oder Einwilligung lit. a).

Checkliste für die Auswahl einer KI-Vertragsanalyse

EU- vs. US-Hosting: Was der Schrems-II-Test bedeutet

Wer US-Hosting nutzt (auch über EU-Tochter), muss eine Transfer Impact Assessment (TIA) durchführen, Standard Contractual Clauses (SCC) abschließen und Zusatzmaßnahmen treffen — sonst greift Art. 44 DSGVO (Datenübermittlung in Drittland nur bei angemessenem Schutzniveau). Grundlage ist das Schrems-II-Urteil vom 16.07.2020 (EuGH C-311/18), das den EU-US-Privacy-Shield für nichtig erklärte und den Datenexporteur zur Drittland-Schutzniveau-Prüfung verpflichtet. Der Schrems-IV-EuGH-Beschluss vom 04.10.2024 (C-446/21) hat das Speicherbegrenzungs-Prinzip zusätzlich verschärft. Wichtig zur Erwartungs-Kalibrierung: EuGH C-300/21 vom 04.05.2023 (Österreichische Post) stellte klar, dass ein bloßer DSGVO-Verstoß nicht automatisch zu Schadensersatz nach Art. 82 DSGVO führt — Betroffene müssen einen tatsächlichen (auch immateriellen) Schaden nachweisen. Vertiefend: KI-Hosting EU vs. USA →.

Welche Entscheidungen prägen das KI-Recht 2023-2026?

Drei Behörden-/Gerichts-Entscheidungen und drei Aufsichts-Standards setzen den Rahmen: EuGH C-634/21 (SCHUFA-Scoring), Garante OpenAI (Trainings-Daten ohne Rechtsgrundlage), EDPB Opinion 28/2024 (KI-Modelle und pbD), plus DSK-Orientierungshilfen, BfDI 33. Tätigkeitsbericht und BSI-Kriterienkatalog.

• Automatisierte Bonitäts-Scores brauchen klare Grundlage — Sie können Widerspruch einlegenWenn ein Unternehmen Sie ablehnt und sich dabei maßgeblich auf einen automatisierten Score (SCHUFA, KI-Bewerbungs-Filter, KI-Risiko-Ampel) stützt, gilt das als „ausschließlich automatisierte Entscheidung". Sie haben Anspruch auf menschliche Überprüfung und Erklärung — Einwilligung oder Gesetzes-Grundlage sind Pflicht (Art. 22 DSGVO · EuGH C-634/21, 07.12.2023).
• 15 Mio. € Bußgeld gegen ChatGPT — auch KI-Anbieter müssen DSGVO erfüllenDie italienische Datenschutz-Behörde sanktionierte OpenAI: keine klare Rechtsgrundlage für das Training, verspätete Meldung eines Daten-Vorfalls, mangelnder Jugendschutz. Heißt für Sie: Auch große KI-Anbieter müssen Ihre Rechte respektieren — Beschwerde-Wege funktionieren (Garante Italia n. 755/2024, 02.11.2024).
• KI-Modelle sind nicht automatisch anonym — Sie können Auskunft verlangenDer Europäische Datenschutz-Ausschuss legt einen 3-Schritt-Test fest, wann ein KI-Modell als anonym gilt. Bei rechtswidrigem Training drohen Bußgelder und Lösch-/Re-Training-Anordnungen. Sie können prüfen lassen, ob und wie Ihre Daten enthalten sind (EDPB Opinion 28/2024, 17.12.2024).
• Behörden-Leitfaden „KI und Datenschutz" — Maßstab für seriöse AnbieterDie deutschen Datenschutz-Aufsichts-Behörden erklären, wie Unternehmen KI rechtskonform einsetzen müssen — inklusive konkreter technischer Anforderungen für LLMs und Chatbots. Wenn Sie eine KI-Dienstleistung einkaufen, können Sie sich auf diese Standards berufen (DSK Orientierungshilfe, 06.05.2024 + Update Juni 2025).
• BSI-Kriterienkatalog: was sichere generative KI können mussDas Bundesamt für Sicherheit in der Informationstechnik adressiert konkret Prompt-Injection, Daten-Leakage und Output-Validierung. Noch unverbindlich, aber als Mindest-Standard im Aufbau — gut als Vergleichs-Maßstab bei der Auswahl Ihrer KI-Tools (BSI Kriterienkatalog, 24.06.2025).

Datenschutz, Hosting, Technik — die wichtigsten KI-Hebel

Drei Felder dominieren KI-Praxis-Fragen: Datenschutz (Rechtsgrundlage, AVV, Lösch-Pfade), Hosting (EU vs. USA, Schrems-II, Datenresidenz), Technik (OCR-Sicherheit, kein Training, Sanitizer gegen Prompt Injection). Wer diese drei Hebel kennt, kann seriöse KI-Tools von Hochrisiko-Anbietern unterscheiden.

Was Sie tun können, wenn ein KI-Tool Daten missbraucht

Drei Stufen: erstens die Beschwerde beim Anbieter (Datenschutz-Kontakt nach Art. 13 DSGVO Pflicht). Zweitens — bei DSGVO-Verstoß — die Beschwerde beim BfDI oder bei der Landes-Datenschutzbehörde. Drittens — bei AI Act-Verstoß ab 02.08.2026 — die BNetzA / AI Service Desk.

Welche Pflichten gelten für mich als Nutzer eines KI-Vertrags-Tools?

Drei Pflicht-Felder für Anwender: Transparenz-Hinweis kommunizieren (wenn Sie die KI-Analyse mit Dritten teilen, kennzeichnen Sie als KI-Output), Bewusstsein für Limits (KI-Analyse ersetzt keine Rechtsberatung — bei konkretem Streit Anwalt), finale Entscheidung treffen (Sie unterschreiben oder kündigen, nicht die KI).

Drei Praxis-Hebel für Nutzer

• Sensible Inhalte: Verträge mit besonders sensiblen Daten (Gesundheit, Religion, Gewerkschafts-Zugehörigkeit) vor Upload anonymisieren oder geschwärzt einreichen
• Output kritisch hinterfragen: KI-Risiko-Ampel ist Indiz, kein Urteil — bei Unsicherheit Quellen-Verweise prüfen
• Lösch-Recht nutzen: nach Analyse Konto bzw. Vertragsmanager-Eintrag löschen, wenn der Vertrag nicht weiter aufbewahrt werden muss

Wohin kann ich mich beschweren?

Bei DSGVO-Verstoß: BfDI Konsultations- und Beschwerdepfad oder Landes-Datenschutzbehörde. Bei AI-Act-Verstoß ab 02.08.2026: Bundesnetzagentur / EU AI Act Service Desk Art. 50. Bei Verbraucher-Streit: Verbraucherzentrale.

👉 Verwandt: AGB-Recht (Klausel-Inhaltskontrolle) · Vertragsmanagement (Verträge digital DSGVO-konform ablegen)

Mehr aus dem KI-Ratgeber

Häufige Fragen