ChatGPT
Claude
Perplexity
Gemini
GrokWas die KI-Verordnung von Hochschulen tatsächlich verlangt
Die KI-Verordnung (Verordnung EU 2024/1689) unterscheidet nach Risikoklasse, was eine Hochschule konkret dokumentieren muss: Für einen Recruiting-Chatbot (begrenztes Risiko) reicht eine Transparenzkennzeichnung nach Artikel 50, für ein automatisiertes Bewerbungsscoring-System (hohes Risiko) ist hingegen ein vollständiges Dokumentationspaket nach den Artikeln 9 bis 15 erforderlich. Der Stichtag für beide Risikoklassen ist der 2. August 2026 — Hochschulen, die an diesem Datum unvorbereitet sind, riskieren Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes.
Dieser Artikel liefert die vollständige Dokumentations-Checkliste für beide Szenarien sowie einen konkreten Zeitplan für den Compliance-Prozess.
Hinweis: Dieser Artikel hat informativen Charakter und ersetzt keine Rechtsberatung. Für eine verbindliche Bewertung Ihrer konkreten Compliance-Pflichten wenden Sie sich an eine auf KI-Regulierung spezialisierte Kanzlei oder Ihren Datenschutzbeauftragten.
Welche KI-Systeme Ihrer Hochschule sind betroffen?
Die erste Aufgabe ist ein vollständiges Inventar aller KI-Systeme, die Ihre Hochschule einsetzt oder plant einzusetzen. Die nachfolgende Tabelle zeigt die für deutsche Hochschulen typischen Systeme, ihre Risikoklasse nach KI-Verordnung und die daraus folgende Dokumentationspflicht:
| KI-System | Risikoklasse | Rechtsgrundlage | Dokumentationspflicht |
|---|---|---|---|
| Chatbot für Studiengangsinformationen und Bewerberfragen | Begrenzt | Art. 50 Abs. 1 | Transparenzkennzeichnung, Datenschutzhinweis |
| Automatisiertes Bewerberscoring / Ranking-Tool | Hoch | Anhang III, Punkt 3a | Vollständiges Dokumentationspaket (Art. 9–15) |
| KI-gestützter Plagiatsdetektor mit Notenrelevanz | Hoch | Anhang III, Punkt 3b | Vollständiges Dokumentationspaket (Art. 9–15) |
| Algorithmus zur Studiengangsempfehlung im CRM | Hoch | Anhang III, Punkt 3b | Vollständiges Dokumentationspaket (Art. 9–15) |
| KI-generierte E-Mails an Bewerberinnen und Bewerber | Begrenzt | Art. 50 Abs. 4 | Kennzeichnung als KI-erzeugter Inhalt |
| Emotionserkennung in Bewerbungsvideos | Verboten seit Feb. 2025 | Art. 5 Abs. 1 lit. f | Sofortige Abschaltung erforderlich |
| Spam-Filter, Rechtschreibkorrektor | Minimal | — | Keine spezifische Pflicht |
| Stundenplan-Optimierer ohne Entscheidungsrelevanz | Minimal | — | Keine spezifische Pflicht |
Wichtiger Hinweis zu Anhang III: Der Omnibus-Beschluss vom Mai 2026 hat die Anwendung von Anhang III auf Hochrisikosysteme auf den 2. Dezember 2027 verschoben. Für Ihre Bewerbungsscoring-Tools bedeutet das: Die Pflichten nach Artikel 29 (Betreiberpflichten) gelten bereits ab August 2026, die vollständigen Anhang-IV-Dokumentationspflichten erst ab Dezember 2027. Der Aufbau der Dokumentationsstruktur jetzt bleibt dennoch strategisch sinnvoll.
Die vollständige Dokumentations-Checkliste
1. Grundlegendes Systemverzeichnis (alle Risikoklassen)
Jede Hochschule sollte — unabhängig von der Risikoklasse der eingesetzten Systeme — ein internes KI-Systemverzeichnis führen. Dieses Verzeichnis ist kein gesetzlich vorgeschriebenes Dokument für Betreiber von Systemen mit begrentzem Risiko, bildet jedoch die Grundlage für alle weitergehenden Compliance-Maßnahmen.
Checkliste Systemverzeichnis:
- Vollständige Liste aller eingesetzten KI-Systeme mit Anbieternamen und Versionsnummer
- Kurzbeschreibung der Funktion jedes Systems (in eigenen Worten, nicht aus dem Anbieterfolder)
- Zugewiesene Risikoklasse nach KI-Verordnung mit Begründung
- Datum der Inbetriebnahme und vorgesehenes Nutzungsende
- Zuständige Person intern für jedes System (System-Owner)
- Letzte Überprüfung der Klassifizierung (mindestens jährlich)
2. Transparenzdokumentation für Chatbots (begrenztes Risiko, Art. 50)
Für einen KI-Chatbot im Hochschuleinsatz — sei es für Bewerbungsberatung, Studiengangsauskunft oder allgemeine FAQ — ist die Transparenzpflicht nach Artikel 50 KI-Verordnung die zentrale Anforderung ab dem 2. August 2026.
Checkliste Transparenz-Dokumentation:
- Schriftlich festgehaltene Identifikationspflicht: Chatbot kennzeichnet sich beim ersten Kontakt eindeutig als KI-System
- Formulierungsnachweis für die Eröffnungsnachricht (z. B. „Ich bin der KI-Assistent der [Hochschulname]. Ein menschlicher Berater steht Ihnen auf Wunsch zur Verfügung.")
- Screenshot oder technischer Nachweis der dauerhaften KI-Kennzeichnung in der Oberfläche
- Schaltfläche oder Mechanismus für den Wechsel zu einem menschlichen Berater (dokumentiert und getestet)
- Datenschutzhinweis im Chatbot: Rechtsgrundlage, Zweck, Speicherdauer, Link zur vollständigen Datenschutzerklärung
- Nachweis der DSGVO-konformen Datenverarbeitung (Auftragsverarbeitungsvertrag mit dem Chatbot-Anbieter)
- Datum der letzten Prüfung der Transparenzkennzeichnung
Zur DSGVO-Konformität des Chatbots — insbesondere zu Einwilligungen und Datenerhebung — lesen Sie den weiterführenden Artikel DSGVO-konformer Chatbot für Hochschulen.
3. Betreiberdokumentation für Hochrisikosysteme (Art. 26 und 29)
Sobald Ihre Hochschule ein System einsetzt, das Bewerbungen bewertet, rankt oder in die Zulassungsentscheidung einfließt, greift Artikel 29 KI-Verordnung. Als Betreiberin sind Sie — unabhängig davon, ob Sie das System selbst entwickelt haben oder von einem Drittanbieter beziehen — für die Einhaltung der Betreiberpflichten verantwortlich.
Checkliste Betreiberpflichten (Art. 29):
- Verwendung ausschließlich für den vom Anbieter vorgesehenen Zweck (dokumentiert, keine Zweckentfremdung)
- Schriftliches Verfahren zur menschlichen Aufsicht (Art. 14): Wer überprüft automatisierte Empfehlungen? Wie? Mit welcher Frequenz?
- Protokollierungspflicht (Art. 26 Abs. 5): Aufbewahrung der vom System automatisch erzeugten Protokolle für die Dauer der Nutzung plus drei Jahre
- Meldeverfahren für schwerwiegende Vorfälle an den Anbieter und — soweit einschlägig — an die zuständige Marktüberwachungsbehörde (BfDI in Deutschland für datenschutzrelevante KI-Systeme)
- Überprüfung der Konformitätsdokumentation des Anbieters (Konformitätserklärung, EU-Datenbankregistrierung nach Art. 71, Prüfbericht zu Verzerrungsrisiken)
- Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, da Hochrisiko-KI-Systeme in aller Regel eine DSFA auslösen
- Aufbewahrungsfrist für alle Betreiberdokumente: 10 Jahre nach Außerbetriebnahme des Systems (Art. 26 Abs. 5 i. V. m. Erwägungsgrund 79)
4. Technische Dokumentation (für Anbieter, Prüfpflicht für Betreiber)
Die eigentliche technische Dokumentation nach Anhang IV der KI-Verordnung liegt beim Anbieter des Systems, nicht bei der Hochschule als Betreiberin. Ihre Pflicht als Betreiberin besteht jedoch darin, diese Dokumentation zu prüfen und gegebenenfalls anzufordern.
Checkliste Anbieterdokumentation (Betreiber-Prüfpflicht):
- Konformitätserklärung des Anbieters angefordert und archiviert
- Bestätigung der EU-Datenbankregistrierung (Art. 71) schriftlich vorliegend
- Beschreibung des Trainingsansatzes und der Datensätze (Anhang IV, Punkt 2) eingesehen
- Bericht zu Verzerrungsrisiken (Bias-Audit) für relevante Bevölkerungsgruppen angefordert — insbesondere für Bewerbende aus unterrepräsentierten Gruppen (Bildungsaufsteiger, internationale Studierende, Bewerberinnen und Bewerber ohne Abitur über den zweiten Bildungsweg)
- Vertragsklausel, die den Anbieter verpflichtet, Aktualisierungen der Konformitätsdokumentation unverzüglich bereitzustellen
- Prüfung, ob das System für den konkreten Einsatzkontext Ihrer Hochschule vorgesehen ist (Out-of-scope-Nutzung macht die Hochschule zum Anbieter mit allen damit verbundenen Pflichten)
5. KMU-Vereinfachungen nutzen
Hochschulen mit weniger als 250 Mitarbeiterinnen und Mitarbeitern profitieren von den Vereinfachungsregeln der KI-Verordnung für kleine und mittlere Unternehmen. Privatuniversitäten und Fachhochschulen, die diese Schwelle unterschreiten, können von reduzierten Dokumentationslasten profitieren — konkret bei der internen Dokumentationstiefe und bei einigen Nachweispflichten gegenüber der Marktüberwachungsbehörde. Die Kernpflichten (Transparenz, Protokollierung, menschliche Aufsicht) gelten jedoch unabhängig von der Betriebsgröße.
Checkliste KMU-Status:
- Mitarbeiterzahl der Hochschule ermittelt und dokumentiert
- Bei < 250 Mitarbeitenden: KMU-Status schriftlich festgehalten
- Rechtliche Einschätzung, welche Vereinfachungen im konkreten Fall anwendbar sind (idealerweise mit Datenschutzbeauftragtem abgestimmt)
Zeitplan für Ihre Hochschule
Der folgende Zeitplan zeigt die wichtigsten Meilensteine auf dem Weg zur KI-Verordnungs-Konformität bis August 2026:
| Frist | Meilenstein | Zuständigkeit | Status |
|---|---|---|---|
| Sofort | KI-Systemverzeichnis erstellen | IT / Datenschutzbeauftragter | ☐ |
| Sofort | Emotionserkennung in Bewerbungsvideos abschalten (verboten seit Feb. 2025) | IT / Rechtsabteilung | ☐ |
| Juli 2026 | Transparenzkennzeichnung des Chatbots überprüfen und nachweisen | IT / Marketing | ☐ |
| 2. Aug. 2026 | Stichtag: Transparenzpflichten (Art. 50) und Betreiberpflichten (Art. 29) wirksam | Hochschulleitung | ☐ |
| Sep. 2026 | Anbieterdokumentation für alle Hochrisikosysteme vollständig angefordert | Einkauf / Rechtsabteilung | ☐ |
| Okt. 2026 | DSFA für Hochrisikosysteme abgeschlossen oder beauftragt | Datenschutzbeauftragter | ☐ |
| 2. Dez. 2027 | Vollständige Anhang-IV-Dokumentation für Hochrisikosysteme wirksam | Datenschutzbeauftragter / IT | ☐ |
| Laufend | Jährliche Überprüfung des Systemverzeichnisses und der Konformitätsdokumentation | Datenschutzbeauftragter | ☐ |
Was das für Ihren Recruiting-Chatbot bedeutet
Für die meisten deutschen Hochschulen ist der KI-Chatbot das praktisch relevanteste System unter der KI-Verordnung — und zugleich dasjenige, für das der Dokumentationsaufwand am geringsten ist. 72 % der Fragen an Hochschul-Chatbots sind einfache FAQ-Anfragen, die automatisiert werden können (Quelle: Skolbot-Datenanalyse, 12.000 Gespräche, 2025–2026). Das bedeutet: Ein erheblicher Teil der Studienberatungskapazitäten lässt sich durch einen gut konfigurierten Chatbot entlasten — ohne dass die KI-Verordnung diesen Einsatz übermäßig bürokratisiert.
Die Dokumentationspflicht für einen Chatbot mit begrentzem Risiko beschränkt sich im Wesentlichen auf:
- Den Nachweis der Transparenzkennzeichnung (Artikel 50)
- Den Auftragsverarbeitungsvertrag mit dem Chatbot-Anbieter (DSGVO, Art. 28)
- Den Datenschutzhinweis innerhalb des Chatbots
Ein KI-Chatbot antwortet in 3 Sekunden rund um die Uhr, gegenüber 72 Stunden für ein Kontaktformular (Quelle: Skolbot-Audit 2025). Die Reaktionszeit auf Studierendenanfragen ist einer der entscheidenden Faktoren für die Conversion-Rate im Bewerbungsprozess — und ein Chatbot, der die Compliance-Anforderungen der KI-Verordnung einhält, muss deswegen nicht langsamer oder weniger nützlich sein.
Der entscheidende Schritt ist die Wahl eines Anbieters, der die KI-Verordnungs-Konformität bereits mitbringt: mit klar ausgewiesener Risikoklassifizierung, vollständiger Konformitätserklärung und einem Auftragsverarbeitungsvertrag, der den DSGVO-Anforderungen entspricht. Wie Sie einen DSGVO- und KI-VO-konformen Chatbot-Anbieter auswählen, erklärt der Artikel DSGVO-konformer Chatbot für Hochschulen: Anbieter im Vergleich.
Für den übergreifenden Datenschutzrahmen, in den sich die KI-Verordnung einfügt, lesen Sie den DSGVO-Leitfaden für Studierendendaten sowie den Artikel zur KI-Verordnung: Risikoklassifizierung für Hochschulen und Schulen.
FAQ — KI-Verordnung und Dokumentationspflichten für Hochschulen
Gilt die KI-Verordnung auch für kleine Privatuniversitäten?
Ja. Die KI-Verordnung gilt für jede Einrichtung, die ein KI-System in der EU einsetzt — unabhängig von Größe, Rechtsform oder öffentlichem oder privatem Träger. Hochschulen unter 250 Mitarbeiterinnen und Mitarbeitern profitieren von einigen KMU-Vereinfachungen, sind jedoch von den Kernpflichten (Transparenz nach Art. 50, Betreiberpflichten nach Art. 29) nicht befreit. Das BfDI ist in Deutschland die zuständige Marktüberwachungsbehörde für datenschutzrelevante KI-Systeme; die Zuständigkeiten werden derzeit durch das KI-Durchführungsgesetz des Bundes konkretisiert.
Muss meine Hochschule ein KI-System beim BfDI oder einer anderen Behörde registrieren?
Für Betreiberinnen von Hochrisiko-KI-Systemen sieht Artikel 26 Abs. 2 KI-Verordnung eine Registrierung im EU-KI-Datenbankportal vor. Dies gilt jedoch nicht für Systeme mit begrentzem Risiko (wie einen Standard-Chatbot). Die Registrierungspflicht liegt primär beim Anbieter; als Betreiberin müssen Sie sicherstellen, dass der Anbieter registriert ist, und dies nachweisen können.
Was passiert, wenn ein externer Anbieter keine Konformitätsdokumentation liefert?
Dann müssen Sie das System ersetzen oder den Einsatz einstellen, bis die Dokumentation vorliegt. Die KI-Verordnung macht die Hochschule als Betreiberin mitverantwortlich für die Konformität des genutzten Systems. Ein Anbieter, der keine Konformitätserklärung und keine EU-Datenbankregistrierung vorlegen kann, ist entweder nicht konform oder hat das System nicht korrekt klassifiziert — beides ist für die Hochschule ein unakzeptables Risiko. Nehmen Sie die Anforderung der Dokumentation in Ausschreibungen und Vertragsverhandlungen als Standardpunkt auf.
Wie unterscheiden sich die Dokumentationspflichten von denen der DSGVO?
Die KI-Verordnung und die DSGVO sind kumulative Regime — sie gelten gleichzeitig und ergänzen sich. Die DSGVO regelt den Umgang mit personenbezogenen Daten (Rechtsgrundlage, Betroffenenrechte, Auftragsverarbeitung). Die KI-Verordnung regelt das KI-System als solches: Risikomanagement, technische Dokumentation, Transparenz, menschliche Aufsicht. Wenn ein KI-System personenbezogene Daten verarbeitet — was bei Chatbots und Bewerbungstools regelmäßig der Fall ist —, greifen beide Verordnungen gleichzeitig. Die DSFA nach Art. 35 DSGVO und die KI-VO-Compliance lassen sich in der Praxis sinnvoll zusammenführen. Mehr zu den datenschutzrechtlichen Grundlagen finden Sie im DSGVO-Leitfaden für Studierendendaten.
Compliance mit der KI-Verordnung ist für Hochschulen kein Selbstzweck. Es ist die Grundlage, auf der Sie KI-Systeme einsetzen können, ohne das Vertrauen Ihrer Studieninteressierten, Ihrer Akkreditierungsgeber und Ihrer Regulierungsbehörden zu riskieren. Ein KI-Chatbot, der die Anforderungen nach Artikel 50 erfüllt, ist kein bürokratisch überlastetes System — er ist die Minimalanforderung für einen rechtssicheren digitalen Erstkontakt mit Bewerberinnen und Bewerbern. Die Checkliste in diesem Artikel gibt Ihnen die Struktur, um diesen Zustand bis zum 2. August 2026 zu erreichen.
Weiterführende Informationen zur KI-Verordnung im Hochschulkontext finden Sie in der offiziellen KI-Verordnung im Amtsblatt der EU, auf der Website des BfDI sowie beim Digital-Strategie-Portal der Europäischen Kommission.
Testen Sie Skolbot für Ihre Hochschule in 30 Sekunden
