Zurück zum Blog
Daten SouveränitätKI-Strategie

KI-Rechtsglossar für luxemburgische Unternehmen: 12 Begriffe vor dem 2. August 2026

Private KILuxemburgDSGVOSME PackagesBeobachtung der Rechtsvorschriften
Juristes luxembourgeois consultant lexique juridique IA entreprise

Von LetzAgents, souveränes KI-Team Luxemburg · Veröffentlicht am 5. Mai 2026 · Aktualisiert am 5. Mai 2026

Im Überblick

  • 12 EU- und US-Texte regeln den Einsatz von KI im Unternehmen in Luxemburg: KI-Gesetze, personenbezogene Daten, Cybersicherheit und Daten-Governance.
  • Stichtag: 2. August 2026, volle Anwendbarkeit des AI Act für Hochrisikosysteme (EU-Verordnung 2024/1689).
  • KI-Kompetenz (AI literacy) durchsetzbar seit 2. Februar 2025: Jeder Betreiber eines KI-Systems muss seinem Personal ein hinreichendes Verständnis sicherstellen (Artikel 4 AI Act).
  • CNPD: nationale Behörde für den AI Act benannt (Gesetzentwurf Nr. 8476), zusätzlich zu ihrer DSGVO-Rolle.

Einleitung: Warum jetzt ein KI-Rechtsglossar?

Sie führen ein luxemburgisches KMU, Sie hören ständig von AI Act, DSGVO, Cloud Act, DORA, NIS2 und Sie suchen einen Ort, an dem all diese Texte nebeneinander stehen. Dieses KI-Rechtsglossar für luxemburgische Unternehmen bündelt die 12 Begriffe des KI-Regulierungsrahmens in Europa und Luxemburg, jeweils in einem Satz definiert, mit KMU-Relevanz und offizieller Quelle.

Der zentrale Stichtag: 2. August 2026, volle Anwendbarkeit des AI Act für Hochrisikosysteme. Um ihn herum stapeln sich rund ein Dutzend Texte, die für jedes Unternehmen gelten, das KI einsetzt (Chatbot, Voice-Agent, interner Copilot, Analysewerkzeug).

1. Die 4 Texte, die KI selbst regeln

Was ist der AI Act?

Der AI Act (EU-Verordnung 2024/1689) ist die europäische Verordnung, die KI-Systeme nach 4 Risikokategorien regelt (inakzeptabel, hoch, begrenzt, minimal), mit Dokumentations-, Transparenz- und Aufsichtspflichten im Verhältnis zum Risiko.

Schlüsseldatum: 2. August 2026, volle Anwendbarkeit des Hochrisiko-Regimes. Die CNPD ist als Referenzbehörde benannt (Gesetzentwurf Nr. 8476). Siehe unseren AI Act 100-Tage-Leitfaden. Quelle: EU-Verordnung 2024/1689.

Was ist AI literacy (KI-Kompetenz)?

AI literacy (Artikel 4 AI Act) ist die Pflicht für jeden Anbieter oder Betreiber von KI-Systemen, seinem Personal ein hinreichendes Niveau an KI-Verständnis zu sichern, angemessen zum Einsatzkontext.

Durchsetzbar seit 2. Februar 2025, Sanktionen anwendbar ab 2. August 2026, ohne Größenschwelle. Für Rechtsanwaltskanzleien und Notare ist die Dokumentation der KI-Schulungen eine Priorität. Quelle: Artikel 4 AI Act.

Was ist der Digital Services Act (DSA)?

Der DSA (EU-Verordnung 2022/2065) regelt digitale Vermittlungsdienste (Plattformen, Marktplätze, Suchmaschinen) mit Moderationspflichten, Transparenz der Empfehlungen und einem verschärften Regime für sehr große Plattformen.

Für ein KMU findet der DSA selten direkt Anwendung, betrifft aber jeden Akteur, der einen öffentlich sichtbaren KI-Chatbot oder KI-Inhalte auf einer abgedeckten Plattform veröffentlicht. Quelle: EU-Verordnung 2022/2065.

Was ist der Digital Markets Act (DMA)?

Der DMA (EU-Verordnung 2022/1925) regelt die Torwächter (Gatekeeper), große strukturbildende digitale Plattformen, um die Bestreitbarkeit der digitalen Märkte zu sichern.

Zielgruppe sind benannte Gatekeeper (Alphabet, Amazon, Apple, Meta, Microsoft, ByteDance, Booking). Ein KMU, das auf Microsoft Copilot oder Google Workspace AI angewiesen ist, profitiert indirekt von den Interoperabilitätspflichten. Quelle: EU-Verordnung 2022/1925.

2. Die 4 Texte, die personenbezogene Daten regeln

Was ist die DSGVO?

Die DSGVO (EU-Verordnung 2016/679) regelt die Verarbeitung personenbezogener Daten von EU-Einwohnern seit dem 25. Mai 2018, mit einem Sanktionsregime von bis zu 4 % des weltweiten Jahresumsatzes.

Strukturelle Grundlage jeder KI-Compliance. Die CNPD ist die nationale Behörde. Jeder KI-Baustein, der personenbezogene Daten verarbeitet, fällt zusätzlich zum AI Act unter die DSGVO. Quelle: EU-Verordnung 2016/679.

Was ist das Schrems-II-Urteil?

Das Schrems-II-Urteil (EuGH, C-311/18, 16. Juli 2020) hat das Privacy Shield für ungültig erklärt, weil die US-Überwachungsgesetze kein Schutzniveau gewährleisten, das dem der DSGVO gleichwertig ist.

Deshalb erfordert jede Übermittlung personenbezogener Daten in die USA ein gültiges DPF oder verstärkte Standardvertragsklauseln. Ausgangspunkt jeder Souveränitätsanalyse. Siehe unseren Anwendungsfall Daten mit privater KI schützen. Quelle: Urteil C-311/18.

Was ist der Cloud Act?

Der Cloud Act (H.R.4943, 23. März 2018) ist das US-Gesetz, das US-Behörden ermöglicht, einen Anbieter US-amerikanischer Nationalität zur Herausgabe der von ihm gehosteten Daten zu verpflichten, unabhängig vom physischen Hostingland, einschließlich eines EU-Rechenzentrums.

Ein US-KI-Anbieter bleibt auch mit einem Rechenzentrum in Dublin oder Frankfurt US-zugriffspflichtig. Strukturelles Argument für KI, die von einem nicht-US-amerikanischen Akteur gehostet wird. Siehe unseren Vergleich DSGVO, Cloud Act und AI Act. Quelle: H.R.4943.

Was ist das Data Privacy Framework (DPF)?

Das DPF (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023) erlaubt die Übermittlung personenbezogener Daten aus der EU an DPF-zertifizierte US-Unternehmen, unter Zusagen zur Begrenzung des Zugriffs durch US-Behörden.

Die Prüfung der DPF-Zertifizierung eines US-Anbieters ist eine operative Voraussetzung. Sie bedeutet keine Immunität gegenüber dem Cloud Act. Das DPF steht unter gerichtlicher Beobachtung, mehrere Klagen sind beim Gericht der EU anhängig. Quelle: CNPD-Dossier USA-Übermittlungen.

Übermittlung personenbezogener Daten von der EU in die USA, die 3 aufeinanderfolgenden Rechtsrahmen: Schrems II (2020, Übermittlung für ungültig erklärt), DPF (2023, Angemessenheitsrahmen), Cloud Act (2018, US-Anforderung).
Schrems II (2020), DPF (2023) und Cloud Act (2018): drei kumulative Rahmen für Übermittlungen zwischen EU und USA.

💡 Gut zu wissen: Schrems II, Cloud Act und DPF überlagern sich. Eine DPF-zertifizierte US-KI bleibt dem Cloud Act unterworfen: Das DPF erlaubt die Übermittlung, es schützt nicht vor einer Anforderung einer US-Behörde an den Anbieter.

3. Die 4 Texte, die Infrastruktur und Daten-Governance regeln

Was ist DORA?

DORA (EU-Verordnung 2022/2554) ist die europäische Verordnung zur digitalen operationalen Resilienz, die Finanzakteuren einen Governance-Rahmen für IKT-Risiken, Resilienztests und eine Aufsicht über kritische Dienstleister vorschreibt.

Anwendbar seit 17. Januar 2025. Betrifft PSF-Treuhänder, Vermögensverwalter und regulierte Family Offices sowie deren kritische KI-Dienstleister über das Regime der wesentlichen Drittparteien. Quelle: EU-Verordnung 2022/2554.

Was ist NIS2?

NIS2 (EU-Richtlinie 2022/2555) ist die europäische Cybersicherheitsrichtlinie, die den Anwendungsbereich von NIS1 auf weitere Sektoren ausdehnt (Gesundheit, Handel, Verwaltung, digitale Dienste) und die Pflichten zum Risikomanagement und zur Meldung von Vorfällen verschärft.

Die luxemburgische Umsetzung läuft. Betrifft "wesentliche" und "wichtige" Einrichtungen ab der Schwelle eines mittelgroßen Unternehmens. Ein KI-Einsatz innerhalb einer NIS2-Einrichtung erbt die damit verbundenen Cyber-Pflichten. Para-öffentliche Einrichtungen und Verwaltungen sind besonders betroffen. Quelle: EU-Richtlinie 2022/2555.

Was ist der Data Act?

Der Data Act (EU-Verordnung 2023/2854) betrifft den fairen Zugang zu Daten, die von vernetzten Geräten und digitalen Diensten erzeugt werden, verpflichtet zum Teilen mit dem Nutzer und regelt B2B-Verträge.

Anwendbar seit 12. September 2025. Betrifft KMU, die vernetzte Geräte herstellen oder einsetzen (Industrie, vernetzte Gesundheit, Versicherungstelematik). Quelle: EU-Verordnung 2023/2854.

Was ist der Data Governance Act (DGA)?

Der DGA (EU-Verordnung 2022/868) schafft einen Rahmen für die Wiederverwendung geschützter Daten des öffentlichen Sektors sowie für Datenvermittlungsdienste (europäische Datenräume).

Anwendbar seit 24. September 2023. Nützlich für ein KMU, das über europäische Datenräume auf sektorspezifische Daten (Gesundheit, Mobilität, Finanzen) zugreifen möchte. Quelle: EU-Verordnung 2022/868.

4. Welche Behörde in Luxemburg wofür zuständig ist

Text

Hauptbehörde

Geltungsbereich

AI Act

CNPD (Gesetzentwurf Nr. 8476)

KI-Systeme, Regulierungssandbox

DSGVO, DPF, Schrems II

CNPD

Personenbezogene Daten, internationale Übermittlungen

DORA

CSSF

Finanzakteure, PSF, Vermögensverwalter

NIS2

HCPN und sektorale Behörden

Wesentliche und wichtige Einrichtungen

DSA, DMA, Data Act, DGA

Ministerium für Digitalisierung und ILR

Plattformen, Gatekeeper, Datenteilung

5. Compliance finanzieren: SME Packages Digital und AI

Luxemburg bietet zwei Förderprogramme, zugänglich über guichet.public.lu. Das SME Package Digital adressiert Investitionen in die digitale Transformation (Speicher, Sicherheit, Management-Tools). Das SME Package AI adressiert KI-Projekte: Dokumentation der AI-Act-Compliance, Schulung zur KI-Kompetenz, Beratungsbegleitung.

SME Package Digital und SME Package AI in Luxemburg: zwei kumulierbare Förderprogramme über guichet.public.lu zur Finanzierung der KI-Compliance von KMU.
SME Package Digital und SME Package AI: zwei kumulierbare Programme über guichet.public.lu zur Mitfinanzierung der AI-Act-Compliance.

Die Kombination beider Förderungen mit einem souveränen KI-Projekt bildet eine kohärente Linie, um den 2. August 2026 vorzubereiten. Arztpraxen, die der strengen DSGVO und je nach Einsatz dem AI Act unterliegen, finden hier einen echten Hebel.

6. Wo anfangen

Angesichts dieses Stapels besteht der erste Schritt aus 3 Handlungen: Ihre bestehenden KI-Nutzungen kartieren (Werkzeuge, Daten, Dienstleister), die Texte identifizieren, die Sie binden (nicht alle betreffen Sie), einen Compliance-Pfad bis zum 2. August 2026 planen.

Zur Vertiefung verknüpft unser Vergleich DSGVO, Cloud Act und AI Act diese drei Gesetze an einem konkreten KI-Geschäftsfall, und unser AI Act 100-Tage-Leitfaden führt die operative Vorbereitung aus. Siehe auch warum eine souveräne KI in Luxemburg.

Ein KI-Projekt zu umreißen? Ein kostenloses KI-Audit identifiziert in einer Sitzung die Texte, die Sie betreffen.

📞 Kostenloses KI-Audit anfragen

FAQ: Ihre Fragen zum KI-Rechtsrahmen in Luxemburg

1. Welches Schlüsseldatum gilt für den AI Act in Luxemburg?

Der 2. August 2026 markiert die volle Anwendbarkeit des Hochrisiko-Regimes des AI Act (EU-Verordnung 2024/1689). Die Sanktionen werden anwendbar, auch für die AI literacy, die seit dem 2. Februar 2025 durchsetzbar ist. Die CNPD ist die Referenzbehörde. Die Compliance vorzubereiten ist keine Option, sondern eine Kalenderpflicht.

2. Was ist der Unterschied zwischen DSGVO und AI Act?

Die DSGVO (EU-Verordnung 2016/679) regelt seit 2018 die Verarbeitung personenbezogener Daten. Der AI Act (EU-Verordnung 2024/1689) regelt KI-Systeme in 4 Risikokategorien. Die beiden überlagern sich: Eine KI, die personenbezogene Daten verarbeitet, fällt unter beide Regime. Die CNPD ist für beide die nationale Behörde.

3. Was bedeutet der Cloud Act für ein europäisches Unternehmen?

Der Cloud Act (H.R.4943, 23. März 2018) erlaubt US-Behörden, einen Anbieter US-amerikanischer Nationalität zur Herausgabe der von ihm gehosteten Daten zu zwingen, auch in einem EU-Rechenzentrum. Ein US-KI-Anbieter bleibt mit einem Rechenzentrum in Dublin oder Frankfurt US-zugriffspflichtig. Das ist das strukturelle Argument für KI, die von einem nicht-US-amerikanischen Akteur für sensible Verarbeitungen gehostet wird.

4. Reicht die DPF-Zertifizierung aus, um eine US-KI zu nutzen?

Die DPF-Zertifizierung erlaubt seit dem 10. Juli 2023 die Übermittlung aus der EU an einen zertifizierten US-Anbieter. Sie neutralisiert nicht den Cloud Act: Eine US-Behörde kann die Daten weiterhin vom Anbieter verlangen. Das DPF steht unter gerichtlicher Beobachtung. Die Zertifizierung zu prüfen ist eine Voraussetzung, ersetzt jedoch keine Souveränitätsanalyse.

5. Was bedeutet die NIS2-Richtlinie für ein luxemburgisches KMU?

NIS2 (EU-Richtlinie 2022/2555) ist die europäische Cybersicherheitsrichtlinie, die derzeit in Luxemburg umgesetzt wird. Sie betrifft "wesentliche" und "wichtige" Einrichtungen (Gesundheit, Handel, Verwaltung, digitale Dienste), ab der Schwelle eines mittleren Unternehmens. Ein KI-Einsatz innerhalb einer NIS2-Einrichtung erbt die Pflichten zur Cybersicherheit und zur Meldung von Vorfällen. Den Geltungsbereich zu prüfen ist eine Voraussetzung für jedes sensible KI-Projekt.

Über diesen Artikel

LetzAgents, luxemburgisches Team, spezialisiert auf souveräne KI für KMU und mittelständische Unternehmen, begleitet die Kartierung der KI-Nutzungen, die AI-Act-Compliance, die KI-Kompetenz und die Wahl einer in Europa gehosteten Infrastruktur.

Dieser Artikel stützt sich auf die zitierten offiziellen Texte (EUR-Lex, Congress.gov, Curia EuGH), die thematischen CNPD-Dossiers und den offiziellen AI-Act-Kalender. Stand: 5. Mai 2026.

Schlagwörter

ki-rechtsglossar luxemburg, ai act dsgvo cloud act glossar, ki-rechtsbegriffe kmu, ki-compliance luxemburg definitionen, dora nis2 data act unternehmen, schrems ii data privacy framework ki, cnpd ai act behoerde luxemburg, ai literacy luxemburg, sme packages ki-compliance

Entdecken Sie unsere anderen Artikel

Médecin luxembourgeois consultation IA cabinet médical conformité CNPD AI Act
Kundendienst·

KI in der Arztpraxis in Luxemburg: 5 konkrete Nutzen, die mit CNPD und AI Act konform bleiben

5 konkrete KI-Anwendungen für eine Arztpraxis in Luxemburg, konform mit CNPD, DSGVO-Sonderkategorie und AI Act, mit den einzufordernden technischen Schutzmaßnahmen.

Weiterlesen
Avocat luxembourgeois relisant dossier client assistant IA secret professionnel
Daten Souveränität·

KI für Anwälte und Notare in Luxemburg: 5 konkrete Anwendungsfälle, die das Berufsgeheimnis wahren

5 konkrete KI-Anwendungsfälle für Anwaltskanzleien und Notariate in Luxemburg, konform mit Artikel 458 des Strafgesetzbuchs und dem CCBE-Leitfaden vom 2. Oktober 2025.

Weiterlesen
Dirigeant PME luxembourgeois arbitrant AI Act Cloud Act RGPD IA entreprise
Daten Souveränität·

AI Act, Cloud Act, DSGVO: welches Gesetz gilt wirklich für Ihre Unternehmens-KI in Luxemburg?

Drei Gesetze regeln Ihre Unternehmens-KI in Luxemburg. AI Act, Cloud Act, DSGVO: welches gilt wann? Klärungsleitfaden für KMU-Führungskräfte.

Weiterlesen
Alle Artikel ansehen