Zum Hauptinhalt springen
Zurück zum Blog
Compliance

EU AI Act ab 02.08.2026 — Compliance-Checkliste für Wohnheim-Software

Veröffentlicht am 9. April 202611 Min. LesezeitAli Levin

Stichtag 02.08.2026 — was passiert?

Der EU AI Act (Verordnung 2024/1689) ist am 1. August 2024 in Kraft getreten und wird am 2. August 2026 vollumfänglich anwendbar. Ab diesem Datum gelten die Pflichten für High-Risk-AI-Systeme — und Wohnheim-Software, die KI-gestützte Bewerber-Bewertungen, Mietzahlungs-Scores oder Schadens-Vorhersagen einsetzt, fällt mit hoher Wahrscheinlichkeit darunter.

Die Timeline:

  • 02.02.2025: Verbote für unzulässige Praktiken (Social Scoring, manipulative KI) sind bereits aktiv.
  • 02.08.2025: Pflichten für General-Purpose-AI-Modelle (Foundation Models) gelten.
  • 02.08.2026: Pflichten für High-Risk-AI-Systeme gelten vollständig (Hauptschwerpunkt für Wohnheim-Software).
  • 02.08.2027: Übergangsfrist endet für High-Risk-Systeme, die in regulierten Produkten eingebettet sind.

Sozialträger, NGOs und kommunale Einrichtungen, die KI-haltige Software einsetzen, sind aus zwei Rollen heraus betroffen: als Deployer (Anwender) der Software und manchmal auch als Provider, wenn sie eigene Modelle finetunen oder eigenentwickelte Module einsetzen.

Risk-Klassifizierung: Welche Stufe gilt für Wohnheim-Software?

Der AI Act unterteilt KI-Systeme in vier Risiko-Klassen:

  • Verboten: manipulative oder ausbeuterische KI — z. B. Social-Scoring von Bewohnern, emotionale Manipulation Vulnerabler.
  • High-Risk (Art. 6): KI in sensitiven Bereichen — z. B. Zugang zu Sozialleistungen, Bewerber-Auswahl, Bonitäts-Scoring.
  • Limited Risk: Transparenz-Pflicht — Chatbots im Bewohner-Kontakt, generative Inhalte.
  • Minimal Risk: frei — Spam-Filter, Dokumentensuche, Auto-Vervollständigung.

Annex III der Verordnung listet die High-Risk-Bereiche explizit auf — und gleich mehrere davon sind für Wohnheim-Software relevant:

  • 5.(a): KI zur Bewertung der Anspruchsberechtigung auf öffentliche Sozialleistungen.
  • 5.(b): KI-gestütztes Bonitäts-Scoring oder Bewertung der Kreditwürdigkeit (außer Betrugsdetektion).
  • 6.(a): KI im Beschäftigungs-/Bewerbungs-Kontext (Personal-Auswahl, Aufgaben-Zuweisung).
  • 3.(a): KI in Bildung und Berufsausbildung — relevant für Studierendenwohnheime mit Auswahlverfahren.

Wer in seiner Wohnheim-Software eines dieser Module einsetzt, betreibt ab 02.08.2026 ein High-Risk-AI-System und muss die volle Pflichtenliste erfüllen.

High-Risk-Use-Cases im Wohnheim-Alltag identifizieren

Die folgenden Funktionen sind in Verdacht, High-Risk zu sein — auch wenn sie auf den ersten Blick harmlos wirken:

  • Automatische Platz-Zuweisung mit ML-Modell. Wenn die Software Bewerber automatisch nach Profil und Verfügbarkeit auf Plätze verteilt und dabei lernende Modelle einsetzt — High-Risk (Annex III Nr. 5.a).
  • Mietausfall-Vorhersage. Modelle, die anhand von Zahlungs-Historie, Beschäftigungsstatus und persönlichen Merkmalen die Wahrscheinlichkeit eines Zahlungsausfalls prognostizieren — High-Risk (Annex III Nr. 5.b, Bonität).
  • Schadens-Bewertung über Bilderkennung. Wenn Bewohner Schadensfotos hochladen und KI automatisch Kategorie und Kostenrahmen bestimmt — meist Limited Risk, kann aber High-Risk werden, wenn es ohne Human-Review zu Mietminderungen oder Kautionsabzügen führt.
  • Vulnerabilitäts-Klassifizierung. KI, die anhand von Stammdaten erkennt, ob ein Bewohner einer vulnerablen Gruppe zuzuordnen ist (LGBTIQ+, Trauma, Pflegebedarf) — High-Risk.
  • Belegungs-Optimierung mit harten Effekten auf Bewohner. Algorithmen, die Bewohner umverteilen, um Auslastung zu maximieren — Limited Risk, aber High-Risk wenn Bewohner-Wechsel automatisiert erzwungen werden.
  • KI-gestützte Mitarbeiter-Auswahl. Wenn die Software Schichtpläne oder Bewerbungen für Hausmeister/Sozialarbeiter automatisiert vorsortiert — High-Risk (Annex III Nr. 6.a).

Compliance-Pflichten für High-Risk-Systeme

Die Pflichten gelten ab 02.08.2026 und unterscheiden sich nach Rolle:

Pflichten für Provider (Software-Hersteller)

  • Risiko-Management-System (Art. 9): Kontinuierlich den gesamten Lebenszyklus dokumentieren.
  • Daten-Governance (Art. 10): Trainings-, Validierungs- und Testdaten müssen repräsentativ, fehlerfrei und vollständig sein.
  • Technische Dokumentation (Art. 11, Annex IV): Detailliertes Dossier vor Inverkehrbringen.
  • Logging (Art. 12), Transparenz (Art. 13), Human Oversight (Art. 14), Genauigkeit/Robustheit/Cybersecurity (Art. 15).
  • Konformitätsbewertung (Art. 43) + CE-Kennzeichnung und EU-Datenbank-Eintrag (Art. 49, 60).

Pflichten für Deployer (Sozialträger als Anwender)

  • Anweisungen befolgen (Art. 26.1): Software gemäß Provider-Dokumentation einsetzen.
  • Human Oversight sicherstellen (Art. 26.2): Geschultes Personal muss Entscheidungen überwachen können.
  • Eingangsdaten prüfen (Art. 26.4): Verantwortung für Qualität und Repräsentativität der eingespeisten Daten.
  • Logs aufbewahren (Art. 26.6): Mindestens 6 Monate.
  • DSFA durchführen (Art. 26.9): Datenschutz-Folgenabschätzung vor Einsatz, insbesondere bei sensiblen Daten.
  • Betroffene informieren (Art. 26.11): Bewohner und Bewerber müssen über KI-Einsatz informiert werden.
  • Fundamental Rights Impact Assessment (Art. 27): Pflicht für öffentliche Stellen und Sozialträger, die High-Risk-AI einsetzen.

Die FRIA (Fundamental Rights Impact Assessment) ist neu im Vergleich zur DSFA und betrifft genau die Sozialträger und NGOs, die in der Wohnheimverwaltung KI einsetzen.

12-Punkte-Checkliste: Ist Ihre Software AI-Act-ready?

Diese Checkliste arbeitet jeder Sozialträger bis spätestens Juli 2026 durch:

  1. KI-Inventar erstellt. Alle Software-Module dokumentiert, in denen KI/ML eingesetzt wird (auch versteckt — z. B. in Drittanbieter-APIs).
  2. Risk-Klassifizierung pro Modul. Jedes Modul ist eingestuft (verboten / High-Risk / Limited / Minimal) — schriftlich, mit Begründung.
  3. Provider-Dokumentation eingeholt. Für jedes High-Risk-Modul liegt die Provider-Dokumentation nach Annex IV vor.
  4. CE-Kennzeichnung geprüft. Software-Hersteller hat CE-Konformitätserklärung ausgestellt.
  5. Anweisungen für Anwender liegen schriftlich vor. Mitarbeiter wissen, wie das System einzusetzen ist und wo seine Grenzen liegen.
  6. Human Oversight definiert. Klar zugewiesene Verantwortlichkeit, wer KI-Entscheidungen überprüft und ggf. revidiert.
  7. Personal geschult. Nachweisbare Schulung des Personals zum Umgang mit dem System.
  8. Datenschutz-Folgenabschätzung (DSFA) durchgeführt. Nach Art. 35 DSGVO + AI-Act-spezifische Punkte.
  9. Fundamental Rights Impact Assessment (FRIA) erstellt. Pflicht für öffentliche Stellen und Sozialträger.
  10. Logging aktiviert und Aufbewahrung sichergestellt. Mindestens 6 Monate, revisionssicher.
  11. Bewohner-Information aufbereitet. Klare Sprache, mehrsprachig, vor erstem KI-Kontakt.
  12. Audit-Cycles geplant. Mindestens jährliche Überprüfung — aktive Modelle entwickeln Drift.

Wie HOMES das adressiert

HOMES wurde von Anfang an mit Compliance-First-Architektur entwickelt:

  • Transparente KI-Module. Jede KI-Funktion ist im System gekennzeichnet, mit verlinkter Modell-Dokumentation und Risk-Klassifizierung.
  • Human-Oversight-by-Default. KI-Vorschläge sind immer Vorschläge — keine automatisierte Entscheidung ohne dokumentierte Bestätigung durch geschultes Personal.
  • Audit-Trail integriert. Alle KI-Interaktionen werden mit Eingaben, Modell-Output und finaler menschlicher Entscheidung geloggt.
  • DSFA- und FRIA-Vorlagen. Sozialträger erhalten vorbereitete Templates, die die spezifischen Wohnheim-Use-Cases abdecken.
  • Klassifizierung als Limited-Risk. HOMES setzt KI bewusst nur in Limited-Risk-Bereichen ein (Volltextsuche, Auto-Kategorisierung von Dokumenten) und vermeidet High-Risk-Funktionen wie automatisches Tenant-Scoring oder Bewerber-Filterung. Damit fällt der Großteil der Compliance-Last weg.

Wer dagegen Software mit eingebauten Bewerber-Scoring-Modellen einsetzt, hat ab 02.08.2026 die volle High-Risk-Pflichtenliste am Hals.

Audit-Cycles und Dokumentations-Templates

Audit-Cycle (jährlich):

  1. Q1 — KI-Inventar überprüfen, neue Module einsortieren.
  2. Q2 — DSFA und FRIA aktualisieren, Drift-Analyse der Modelle.
  3. Q3 — Schulungen auffrischen, Bewohner-Info-Materialien überarbeiten.
  4. Q4 — Externer Compliance-Check, Berichte für Aufsichtsbehörden vorbereiten.

Dokumentations-Templates, die jeder Sozialträger braucht:

  • KI-Inventar-Liste (lebendes Dokument)
  • Risk-Assessment pro System
  • DSFA nach Art. 35 DSGVO + AI-Act-Punkte
  • FRIA nach Art. 27 AI Act
  • Schulungsnachweise
  • Incident-Log (für KI-bezogene Vorfälle)
  • Bewohner-Informationsblatt zu KI-Einsatz
  • Provider-Verträge mit AI-Act-Klauseln

White-Paper: AI-Act-Compliance-Pack für Wohnheim-Betreiber kostenlos anfordern →

Jetzt handeln

Der AI Act ist keine ferne Bedrohung mehr — der 02.08.2026 ist nur noch wenige Monate entfernt. Wer bis dahin nicht durch ist, riskiert Bußgelder bis 35 Mio. € oder 7 % Weltumsatz, Vertragsverlust mit dem LAF und ggf. Klagen von Bewohnern, deren Grundrechte durch undokumentierte KI-Entscheidungen verletzt wurden. Verwandt: DSGVO Art. 9 in Wohnheimen.

Compliance-Audit anfragen — wir prüfen Ihre Software gegen die 12-Punkte-Liste →

Quellen: Verordnung (EU) 2024/1689 (AI Act, ABl. 12.07.2024); Bitkom-Praxisleitfaden EU AI Act (2025); BSI-Hinweise zu KI-Sicherheit; Europäische Kommission, AI Act Q&A 2026.

Häufig gestellte Fragen

Ja. Der AI Act kennt keine Größen-Schwelle für High-Risk-Systeme. Wer KI einsetzt, ist betroffen — egal ob 20 oder 2.000 Plätze.

Die DSFA (Datenschutz-Folgenabschätzung) ist seit 2018 Pflicht nach DSGVO und fokussiert auf Datenschutz-Risiken. Die FRIA (Fundamental Rights Impact Assessment) ist neu im AI Act und fokussiert auf alle Grundrechte — Diskriminierung, Würde, Versammlungsfreiheit, faire Verfahren. Bei Wohnheim-KI sind beide nötig und ergänzen sich.

Bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken. Bis zu 15 Mio. Euro / 3 % für andere Verstöße. Kommunale Träger sind nicht ausgenommen.

Nein. Auch wenn der AI Act für Open-Source-Modelle bestimmte Erleichterungen vorsieht (Art. 2.12), bleiben High-Risk-Pflichten bestehen, sobald das Modell in einem High-Risk-Use-Case eingesetzt wird.

Beide gelten parallel. Die DSGVO regelt die Datenverarbeitung, der AI Act regelt das System selbst (Architektur, Robustheit, Transparenz). Wer DSGVO-konform ist, hat einen Teil der AI-Act-Anforderungen bereits erfüllt.

Für Deployer-Pflichten reicht in der Regel eine interne Prüfung mit Compliance-Officer und Datenschutzbeauftragtem. Bei eigenentwickelten KI-Modulen ist je nach Modell ein Notified-Body-Audit Pflicht — das ist aber für die meisten Sozialträger nicht relevant.

Weitere Artikel

Compliance

GStU Berlin: Was das neue Umsetzungsgesetz für Betreiber bedeutet

Das GStU-Umsetzungsgesetz bringt weitreichende Änderungen für Betreiber von Gemeinschaftsunterkünften in Berlin. Digitale Datenlieferung, tagesgenaue Abrechnung und neue Qualitätsstandards — was jetzt zu tun ist.

8. Januar 20268 Min. Lesezeit
Digitalisierung

E-Rechnung 2025: Was Wohnheimbetreiber jetzt wissen müssen

Seit 2025 gilt die E-Rechnungspflicht im B2B-Bereich. Für Wohnheimbetreiber und soziale Träger bedeutet das: XRechnung und ZUGFeRD verstehen, Fristen kennen und die richtige Software einsetzen.

29. Januar 20267 Min. Lesezeit
Wissensdatenbank

DSGVO Art. 9 in Wohnheimen: Umgang mit besonders sensiblen Personendaten

Wohnheimbetreiber verarbeiten regelmäßig besonders sensible Daten nach Art. 9 DSGVO — von Gesundheitsdaten bis hin zu Informationen über Religion oder sexuelle Orientierung. Was erlaubt ist und wie Sie compliant bleiben.

12. Februar 20268 Min. Lesezeit

Bereit, Ihre Unterkunftsverwaltung zu digitalisieren?

Starten Sie jetzt kostenlos mit HOMES und erleben Sie, wie moderne Wohnheimverwaltung Software Ihren Arbeitsalltag vereinfacht. Kein Risiko, keine Verpflichtung.

Kostenlos testen