Der Countdown läuft
Aktualisiert für 2026
Die Frist des EU-KI-Gesetzes ist real. Die Regeln aus Artikel 10 gelten ab dem 2. August 2026. Wenn Ihr Team ein Hochrisiko-KI-System baut oder betreibt, müssen Sie jetzt handeln. Die Zeit ist knapp.
Die Bußgelder übersteigen die DSGVO. Das Maximum beträgt €35 Millionen oder 7 % des weltweiten Jahresumsatzes. Die DSGVO ist bei €20 Millionen oder 4 % gedeckelt. Kein anderes KI-Gesetz hat höhere Bußgelder.
Welche KI-Systeme sind hochriskant?
Das KI-Gesetz ordnet Systeme nach Risiko ein. Hochrisikosysteme (Anhang III) umfassen KI, die eingesetzt wird in:
- Bildung — Schulzugang oder Schülerbewertung
- Beschäftigung — Lebenslauf-Screening, Vorstellungsgesprächs-Bewertung, Mitarbeiterüberwachung
- Grundlegende Dienste — Kreditbewertung, Versicherungspreisgestaltung, Notfallversand
- Strafverfolgung — Verbrechensvorhersage, biometrische Identifikation
- Gesundheitswesen — Medizingerätesoftware, Patientenverwaltung
- Infrastruktur — Verwaltung von Energie, Wasser oder Verkehr
- Justiz — Rechtsrecherche-Tools, Strafempfehlungssysteme
Sind Sie in einem dieser Bereiche tätig? Dann gilt Artikel 10 für Sie.
Artikel 10: Vier Hauptregeln
Artikel 10 legt Regeln für Datensätze fest, die von Hochrisiko-KI-Systemen verwendet werden. Hier sind die vier wichtigsten.
1. Schriftliche Governance
Datensätze müssen „angemessene Datenverwaltungs- und Managementpraktiken" befolgen. Sie benötigen schriftliche Schritte für Erfassung, Qualitätsprüfungen und laufende Überprüfung.
2. Bias-Tests
Aufzeichnungen müssen auf „mögliche Verzerrungen" geprüft werden, die zu unfairen Ergebnissen führen könnten. Aktive Tests sind erforderlich. Absichtliche Verzerrungen zu vermeiden reicht nicht aus.
3. Genauigkeit und Abdeckung
Datensätze müssen „relevant, ausreichend repräsentativ und fehlerfrei" sein. Web-Crawls, die bestimmte Gruppen auslassen, können diesen Standard verfehlen.
4. Besondere Kategorien
Artikel 10(5) ist die direkteste Regel. Wenn ein Hochrisikosystem besondere Kategorien von Aufzeichnungen verwendet — Gesundheit, Ethnizität, Religion, Politik, Biometrie — dürfen diese nur verarbeitet werden, wenn dies „streng erforderlich" für Bias-Prüfungen ist. Sie müssen auch „angemessene Schutzmaßnahmen" anwenden. Datenschwärzung ist eine der stärksten Schutzmaßnahmen.
Fazit: Die meisten KI-Modelldatensätze enthalten persönliche Aufzeichnungen. Artikel 10 verlangt das Minimum mit starken technischen Schutzmaßnahmen.
Weitere Details finden Sie auf unserer rechtlichen Compliance-Seite und in unserer Sicherheitsübersicht.
Bußgeldebenen
Das EU-KI-Gesetz hat drei Bußgeldebenen. Alle übersteigen die DSGVO für denselben Verstoßtyp:
| Regulierung | Max. Bußgeld | Umsatzobergrenze |
|---|---|---|
| DSGVO | €20 Millionen | 4 % Weltumsatz |
| EU-KI-Gesetz (Hochrisiko) | €15 Millionen | 3 % Weltumsatz |
| EU-KI-Gesetz (verboten) | €35 Millionen | 7 % Weltumsatz |
Datensatz-Verstöße fallen in die Hochrisiko-Ebene (€15M / 3 %). Wenn ein Regulierer feststellt, dass die Verwendung persönlicher Aufzeichnungen ohne Schutzmaßnahmen eine verbotene Praxis ist, gilt die oberste Ebene.
Reale Beispiele: €500M Umsatz × 3 % = €15M Bußgeld. €5B Umsatz × 3 % = €150M Bußgeld.
Warum Datenschwärzung die Lösung ist
Ordnungsgemäß geschwärzte Aufzeichnungen fallen nicht in den DSGVO-Geltungsbereich. Das nimmt den größten Teil der Last aus Artikel 10 weg.
Die schwierigsten Regeln — Behandlung besonderer Kategorien, Bias-Überwachung, Betroffenenrechte — gelten nur, wenn ein Datensatz persönliche Aufzeichnungen enthält. Entfernen Sie diese Aufzeichnungen zuerst. Die Last verschwindet weitgehend.
Die CNIL (französische Datenschutzbehörde) hat dies Anfang 2026 klargestellt. Ihre KI-Leitlinien besagen: Datenschwärzung personenbezogener Informationen, die für die Modellleistung nicht erforderlich sind, ist die primäre technische Maßnahme für Artikel 10.
Dies ist keine Randansicht. Es ist die Mainstream-Position des führenden KI-Regulators der EU.
Was Datenschwärzung in der Praxis bedeutet
Das Schwärzen von KI-Modelldatensätzen ist nicht dasselbe wie das Schwärzen von Live-Produktionsdaten. Modelldatensätze können enthalten:
- Dokumente mit personenbezogenen Daten — Verträge, E-Mails, Berichte, Support-Tickets
- Strukturierte Aufzeichnungen — Kundentabellen zum Aufbau prädiktiver Modelle
- Beschriftete Inhalte — Bilder oder Text mit Anmerkungen, die persönliche Daten enthalten
- Synthetische Aufzeichnungen — wo die Erzeugung persönliche Muster bewahren kann
Sie müssen personenbezogene Daten in all diesen Formaten erkennen. Das Verpassen einer Art setzt den gesamten Datensatz frei.
Die anonym.legal API verarbeitet große KI-Datensätze im Stapelbetrieb. Sie erkennt 285+ Entitätstypen in 48 Sprachen. Für europäische KI-Unternehmen mit mehrsprachigen Datensätzen ist sprachübergreifende Abdeckung entscheidend.
Mehr zur Entitätserkennung finden Sie im Token-System-Leitfaden und in der Entitätstypen-Referenz.
Praktische Schritte: Schwärzung Ihres Datensatzes
Schritt 1: Erst prüfen
Führen Sie einen Erkennungsdurchlauf durch, bevor Sie etwas schwärzen. Das zeigt Ihnen, welche personenbezogenen Daten vorhanden sind:
curl -X POST https://anonym.legal/api/presidio/analyze \
-H "Authorization: Bearer YOUR_API_KEY" \
-H "Content-Type: application/json" \
-d '{
"text": "'"$(cat document.txt)"'",
"language": "de"
}'
Schritt 2: Stapelweise schwärzen
Für große Datensätze verwenden Sie den Batch-Endpunkt:
import requests
import os
from pathlib import Path
def scrub_batch(documents: list[dict]) -> list[dict]:
response = requests.post(
"https://anonym.legal/api/presidio/anonymize-batch",
json={"items": documents, "language": "de"},
headers={"Authorization": f"Bearer {os.environ['ANONYM_API_KEY']}"}
)
return response.json()["results"]
source_dir = Path("./dataset")
docs = [
{"id": f.name, "text": f.read_text()}
for f in source_dir.glob("*.txt")
]
batch_size = 50
for i in range(0, len(docs), batch_size):
results = scrub_batch(docs[i:i+batch_size])
for result in results:
out = source_dir / "clean" / result["id"]
out.write_text(result["text"])
print(f"Fertig: {result['id']} — {len(result['items'])} Entitäten entfernt")
Schritt 3: Alles dokumentieren
Artikel 10 erfordert schriftliche Aufzeichnungen. Bewahren Sie für jeden Datensatz Folgendes auf:
- Das verwendete Erkennungsmodell und die Version
- Welche Entitätstypen gefunden wurden und wie jeder ersetzt wurde
- Anzahl der entfernten Entitäten pro Datensatz
- Datum der Schwärzung und verwendete Datensatzversion
Dies erfüllt die „Datenverwaltungs- und Managementpraktiken" aus Artikel 10(2)(a).
Häufige Fragen
Schadet Schwärzung der Modellqualität?
In den meisten Fällen nein. Das Modell lernt Muster aus der Textstruktur, nicht aus persönlichen Details. Namen, Telefonnummern und Adressen können durch Platzhalter wie [NAME] oder [TELEFON] ersetzt werden, und das Modell lernt dieselben Muster. Viele Forschungsteams haben festgestellt, dass geschwärzte Datensätze Modelle gleicher Qualität erzeugen.
Was ist mit nicht-deutschsprachigen Datensätzen?
Die API unterstützt 48 Sprachen. Gemischte Datensätze werden ebenfalls unterstützt — Sie können die Sprache pro Dokument in der Batch-Anfrage angeben. Besuchen Sie die FAQ für eine vollständige Sprachliste.
Colorado KI-Gesetz: Zwei Fristen
Colorados KI-Gesetz tritt am 30. Juni 2026 in Kraft — fünf Wochen vor der EU-Frist. Es setzt ähnliche Datensatzregeln für „Hochrisiko-KI-Systeme" nach staatlichem Recht. Der Hauptfokus liegt auf algorithmischer Diskriminierung.
Teams in der EU und Colorado stehen gleichzeitig vor zwei Fristen. Das Schwärzen Ihrer Datensätze hilft, beide Gesetze zu erfüllen: Artikel 10 (EU) und Colorados Anti-Bias-Regeln. Die technischen Schritte sind dieselben.
Jetzt handeln
Fünf Monate reichen — wenn Sie heute beginnen. Es reicht nicht, wenn Sie bis Juni warten.
Ein praktischer Zeitplan:
- Wochen 1–2: Prüfen Sie Ihre Datensätze — finden Sie heraus, welche persönlichen Aufzeichnungen vorhanden sind
- Wochen 3–6: Erstellen und testen Sie Ihre Schwärzungspipeline
- Wochen 7–10: Schreiben Sie Ihre Governance-Aufzeichnungen; holen Sie rechtliche Überprüfung ein
- Wochen 11–16: Validieren — bestätigen Sie, dass geschwärzte Datensätze die Qualitätsanforderungen von Artikel 10 erfüllen
- 2. August: Durchsetzungsdatum — konforme Praktiken in Betrieb
Die anonym.legal API lässt sich ohne große Änderungen in Ihre bestehende Pipeline integrieren. Prüfen Sie die Preise für Volumenplanungen. Die FAQ beantwortet häufige Fragen zu Artikel 10.
Das EU-KI-Gesetz ist bereit für die Durchsetzung. Wird Ihre Organisation bis zum 2. August bereit sein?
Starten Sie mit der DSGVO-Compliance-Checkliste →
Grenzen und offene Fragen
Die Datenschwärzung für KI-Gesetz-Konformität entwickelt sich noch. Hier sind die wichtigsten Lücken.
Schwellenwerte sind nicht definiert. Das EU-KI-Gesetz sagt nicht, welches Schwärzungsniveau „ausreichend" ist. Bis das Europäische KI-Büro Leitlinien herausgibt, bestehen rechtliche Unsicherheiten.
Reidentifizierungsrisiko bleibt bestehen. Forschungen zeigen, dass große Sprachmodelle Inhalte aus ihren Datensätzen auswendig lernen und reproduzieren können. Schwärzung vor der Modellentwicklung löst dieses Problem nicht vollständig.
Synthetische Daten haben Grenzen. Synthetische Erzeugung bewahrt statistische Muster, kann aber subtile Verzerrungen hinzufügen oder seltene Grenzfälle verpassen.
Artikel 10 wird noch interpretiert. Der Begriff „angemessene technische Maßnahmen" bedarf der Auslegung. Frühe DPA-Durchsetzung in EU-Mitgliedstaaten hat sich noch nicht auf klare Standards geeinigt. Beobachten Sie EDPB-Leitlinien und Entscheidungen der Mitgliedstaaten während 2026.
Quellen
- EU-KI-Gesetz, Verordnung (EU) 2024/1689, Artikel 9–17, ABl. L 2024/1689
- EU-KI-Gesetz, Artikel 10 — Daten und Datenverwaltung
- CNIL KI-Datensatz-Leitlinien, Januar 2026
- Colorado KI-Gesetz, SB 205, gültig ab 30. Juni 2026
- EU-KI-Gesetz-Zeitplan: verbotene Praktiken ab 2. Februar 2025; Hochrisikosysteme ab 2. August 2026