Mit der Europäischen Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz – kurz: KI-VO ist die sog. Künstliche Intelligenz mittlerweile aus der rechtlichen Grauzone geholt und in ein klares System aus Verboten, Hochrisiko-Pflichten und Transparenzauflagen überführt worden.
Als EU-Verordnung gilt sie seit ihrem Inkrafttreten am 1. August 2024 in allen Mitgliedsstaaten unmittelbar als zwingend anzuwendendes Recht, bedarf also nicht erst noch einer Umsetzung durch den deutschen Gesetzgeber in deutsches Recht.
Die Umsetzung der Verordnung erfolgt jedoch schrittweise:
Einige Bestimmungen, wie verbotsähnliche Regelungen und die Pflicht zur KI-Kompetenz, sind bereits seit dem 2. Februar 2025 anwendbar. Die vollständige Geltung und Durchsetzung der KI-VO in der gesamten EU ist für den 2. August 2026 vorgesehen, während die Vorschriften für produktbezogene Hochrisiko-KI-Systeme erst ab dem 2. August 2027 gelten.
Für Hochschulen ist bis zum vollständigen Inkrafttreten nicht mehr allzu viel Zeit, das Ganze somit bereits aktuell keine abstrakte Theorie oder läßliche Petitesse mehr. Die unmittelbaren Konsequenzen der neuen Gesetzeslage betreffen Vergabepraxis und Verwaltung genauso wie Lehre, Prüfungen, Forschung und Drittmittelkooperationen.
Sehen wir uns das Ganze also einmal im schnellen Überblick an:
Was löst die KI-VO an Hochschulen konkret aus?
Die Verordnung arbeitet risikobasiert. Wirklich verboten sind nur wenige, besonders eingriffsintensive Praktiken, etwa Social-Scoring oder Emotionserkennung am Arbeitsplatz und in der Bildung. Daneben stehen Hochrisiko-Systeme mit strengen Vorgaben, etwa bei Auswahl, Bewertung und Überwachung von Beschäftigten sowie bei Bildungs- und Prüfungsentscheidungen. Alles Übrige unterliegt abgestuften Transparenzpflichten.
Die Anwendbarkeit ist dabei nach folgenden Grundsätzen gestaffelt:
Verbote und Grundregeln greifen zuerst, Hochrisiko-Pflichten später. Für Bestandslösungen gibt es Nachrüstfenster.
Die Übergangszeit ist damit kein Ruheraum, sondern eine Frist zum sauberen Aufsetzen von Governance, Risiko- und Datenprozessen. In der Praxis hat eine schrittweise zeitliche Umsetzung durch Gewährung einer Umsetzungsfrist allerdings auch schon bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) bis Mai 2018 nicht so funktioniert, wie von europäischen Gesetzgeber intendiert. In sehr vielen Fällen entstand seinerzeit Anfang 2018 bei Unternehmen eine echte „Torschlußpanik“, weil die eigentlich großzügig bemessene Umsetzungsfrist von immerhin 2 Jahren davor faktisch nicht genutzt wurde.
Apropos DSGVO – in welchem Verhältnis steht eigentlich das Datenschutzrecht zum neuen „KI-Recht“?
Die kurze grundsätzliche Antwort lautet: Wo die KI-VO das „Ob“ und „Womit“ regelt, entscheidet die DSGVO das „Wie“:
Zweckbindung, Datenminimierung, Rechtsgrundlagen, Betroffenenrechte und Sicherheit der Verarbeitung bleiben der Prüfmaßstab auch für jede KI-gestützte Datenverarbeitung.
Die Schnittstellen sind nicht zufällig: Daten-Governance, Protokollierung, Genauigkeit und Robustheit der Systeme spiegeln datenschutzrechtliche Prinzipien, und die hochschulische Praxis – von Learning-Analytics bis Prüfungsunterstützung – bleibt daran gebunden.
Welche künftigen Anforderungen ergeben sich konkret für die wesentlichen hochschulspezifischen Bereiche?
Verwaltung: Beschaffung, Einsatz, Mitbestimmung
Beschaffung wird fachlich und rechtlich anspruchsvoller. Wer ein KI-System für Personal, Vergabe, Campus-Management oder Service-Chatbots einführt, muss künftig Herstellerangaben zur Zweckbestimmung, Datenqualität, Protokollierung und menschlichen Aufsichtsmechanismen prüfen und vertraglich festziehen.
In Beschäftigtenkontexten ist hochschwellige KI häufig Hochrisiko. Das verlangt Risikomanagement, Dokumentation und Schulung des Bedienpersonals. Daneben greifen Mitbestimmungs- und Transparenzpflichten gegenüber Gremien und Beschäftigten.
Ein „still“ mitgenutztes KI-Feature in Standardsoftware ist keine akzeptable „Hintertür“: Entscheidend ist die tatsächliche Zweckbestimmung im Dienstbetrieb.
Lehre und Prüfungen: Hochrisiko beginnt bei Bewertung und Steuerung
Sobald KI Ergebnisse bewertet, Lernpfade steuert oder Zulassungen mitentscheiden lässt, nähert man sich dem Hochrisikobereich. Nötig sind klare Zweckfestlegung, menschliche Letztentscheidung, Nachvollziehbarkeit der Kriterien und Protokolle. Feedback-Tools ohne formale Außenwirkung sind regelmäßig niedriger eingestuft.
Wichtig bleibt die Rollenklärung: Wer ein Modell erst zum System macht – etwa durch eigene Schnittstellen, Filter oder Finetuning – kann rechtlich zum „Anbieter“ werden, mit voller Pflichtenlast.
Forschung und Drittmittel: Privileg mit Verpflichtungen
Reine Forschung genießt ein Privileg und fällt grundsätzlich zunächst nicht in den Anwendungsbereich der KI-VO. Aber: Spätestens dort, wo Inbetriebnahme mit Blick auf Praxisnutzung beginnt, endet dieses Privileg.
Tests „im Feld“ oder Veröffentlichungen unter eigenem Namen können Anbieterpflichten auslösen – auch im Open-Source-Setting, denn Hochrisiko- und Kernpflichten bleiben relevant. Drittmittelprojekte sollten daher früh festlegen, wer Anbieter ist, welche Lizenz- und Zweckbestimmungen gelten und wie Dokumentation, Datenquellen und Evaluationsprotokolle geführt werden.
Studierende: Transparenz und KI-Kompetenz ohne Überfrachtung
Die KI-VO verlangt „KI-Kompetenz“ für das Personal, das KI einsetzt oder beaufsichtigt. Für Studierende ist zwischen „Zugang“ und „verlangter Nutzung“ zu unterscheiden: Wird der Einsatz vorgeschrieben, braucht es Aufklärung zu Funktionsweise, Grenzen und Risiken der konkreten Anwendung. Wird nur Zugang gewährt, ist die Pflichtlage geringer. Didaktisch sinnvoll bleibt eine niedrigschwellige Einordnung.
Was ist also zu tun?
Erstens: Rollen und Zwecke festnageln. Wer ist Betreiber, wer ggf. Anbieter, wofür genau wird das System eingesetzt, und welche Entscheidungen trifft am Ende ein Mensch?
Zweitens: Datenhaushalt und Protokolle in Ordnung bringen. Ohne saubere Trainings-, Test- und Betriebsdaten sowie Ereignis-Logs scheitern sowohl KI-VO-Konformität als auch DSGVO-Nachweise.
Drittens: Menschen befähigen. Schulungen für Bediener und Aufsicht, klare Anleitungen des Herstellers, interne Leitlinien und Prüfpfade. Ziel muss sein, KI zu einem überprüfbaren Arbeitsmittel zu machen.
Fazit
Hochschulen, die jetzt eine saubere Bestandsaufnahme durchführen, Zweckbestimmungen justieren, Verträge nachschärfen, Schulungen aufsetzen und Pilotierungen dokumentieren, reduzieren ihr Haftungs- und Reputationsrisiko spürbar.
Parallel sichern sie Handlungsfähigkeit bei Forschung, Digitalisierung und Servicequalität.
- Weiterführend & vertiefend zum Thema: Thomas Hoeren, Rechtsgutachten zur Bedeutung der europäischen KI-Verordnung für Hochschulen (August 2025)