Der EU AI Act ist seit Februar 2025 geltendes Recht. Die DSGVO-Bußgelder haben im vergangenen Jahr die Zwei-Milliarden-Euro-Marke überschritten. Wer heute Nutzerforschung mit KI-Unterstützung betreibt, bewegt sich auf einem Spielfeld mit neuen Regeln.
Die meisten Artikel über KI-Regulierung lesen sich, als wären sie von Anwälten für Anwälte geschrieben. Dieser hier erklärt, was sich konkret geändert hat, was für die Forschungspraxis relevant ist und wo die typischen Stolperfallen liegen.
Die drei Wellen des EU AI Act
Der EU AI Act kam nicht auf einen Schlag, sondern wurde in Wellen ausgerollt.
Im Februar 2025 traten die verbotenen KI-Praktiken in Kraft. Wer Emotionserkennungssoftware in der Arbeitsplatzforschung oder im Bildungsbereich eingesetzt hat, dem wurde diese Tür zugeschlagen. Das Verbot ist kategorisch: keine Gesichtsanalyse zur Ableitung emotionaler Zustände in diesen Kontexten.
Im August 2025 folgten die Regeln für General Purpose AI. Anbieter von Modellen wie Claude oder GPT haben jetzt Transparenzpflichten. Sie müssen dokumentieren, was ins Training geflossen ist, und offenlegen, wenn jemand mit einer KI interagiert.
Im August 2026 kommt dann das volle Gewicht der Hochrisiko-Anforderungen. Das sind noch sieben Monate. Wer Forschung betreibt, die Einstellungsentscheidungen, Kreditvergabe oder Bildungsbewertungen berührt, sollte jetzt anfangen, sich vorzubereiten.
Was erlaubt bleibt und was nicht
Emotionserkennung ist am Arbeitsplatz und in Schulen verboten. Wer geplant hatte, Gesichtsanalyse-Software einzusetzen, um Nutzerreaktionen bei Mitarbeiterforschung oder Tests von Bildungsprodukten zu messen: Das ist nicht mehr möglich. Es spielt keine Rolle, ob Teilnehmer einwilligen. Die Praktik selbst ist in diesen Kontexten untersagt. Medizinische Anwendungen und Sicherheitsszenarien bilden die einzigen Ausnahmen.
Textbasierte Sentiment-Analyse bleibt erlaubt. Was Menschen schreiben oder sagen zu analysieren, Themen zu extrahieren, positive oder negative Stimmungen aus Sprache zu identifizieren: all das ist weiterhin legal. Der entscheidende Unterschied liegt darin, dass du Inhalte analysierst, nicht biometrische Signale. Eine saubere Einwilligung nach DSGVO brauchst du natürlich trotzdem.
KI-geführte Interviews erfordern Offenlegung. Artikel 50 des AI Act schreibt vor, dass Nutzer informiert werden müssen, wenn sie mit einem KI-System interagieren. Wer einen KI-Moderator für Interviews einsetzt, darf nicht so tun, als wäre es ein Mensch. Das ist nicht nur ethisch geboten, sondern jetzt Gesetz.
Die Forschungsausnahme ist enger als viele denken. Artikel 2 enthält zwar Ausnahmen für wissenschaftliche Forschung, aber die gelten primär für die Entwicklung und das Testen von KI-Systemen selbst. User Research mit KI-Tools durchzuführen qualifiziert nicht automatisch. Das sollte man sorgfältig prüfen, bevor man sich darauf verlässt.
Die drei häufigsten Stolperfallen
Nach über zwei Jahrzehnten in diesem Feld sehe ich Teams immer wieder in dieselben Fallen tappen. Die Regulierung hat die Einsätze nur erhöht.
Schlampige Einwilligung. Die DSGVO verlangt informierte Einwilligung in klarer Sprache, freiwillig erteilt, mit einer verständlichen Erklärung, welche Daten gesammelt werden und warum. Die meisten Einwilligungsformulare sind entweder zu vage oder versteckt in juristischem Kauderwelsch, das niemand liest. Wenn der Einwilligungsprozess den "Würde meine Mutter das verstehen?"-Test nicht besteht, ist er wahrscheinlich nicht compliant.
Daten zu lange aufbewahren. Die Studie ist seit sechs Monaten abgeschlossen. Die Aufnahmen liegen immer noch auf einem geteilten Laufwerk. Die Transkripte existieren in drei verschiedenen Tools. Niemand weiß, wer Zugriff hat. Genau solche Situationen werden zu DSGVO-Verstößen. Aufbewahrungsfristen sollten vor Beginn der Datenerhebung festgelegt werden.
KI-Einsatz verschweigen. Du nutzt ein KI-Tool für Transkription, für erste Codierung oder für die Interviews selbst. Teilnehmer sollten das wissen. Nicht weil es beängstigend wäre, sondern weil Transparenz jetzt gesetzlich vorgeschrieben ist und schon immer ethisch geboten war.
Wie QUALLEE das umsetzt
Als ich angefangen habe, QUALLEE zu bauen, war mir klar, dass Compliance kein Nachgedanke sein darf. Zu viele Tools behandeln Datenschutz als Feature, das man später hinzufügt.
Unsere Server stehen in Deutschland. Forschungsdaten werden auf EU-Servern gespeichert. Bei der KI-gestützten Analyse nutzen wir APIs von Anthropic (Claude) und OpenAI – beide Anbieter verarbeiten Daten unter EU-konformen Data Processing Agreements und nutzen sie nicht für das Training ihrer Modelle. Die Rohdaten verlassen unsere Server nicht; nur die für die Analyse notwendigen Textinhalte werden verschlüsselt an die KI-APIs übermittelt.
Wir nutzen keine biometrische Analyse. Keine Gesichtserkennung, keine Emotionserkennung aus Video- oder Audiosignalen. Unsere KI analysiert, was Teilnehmer sagen, nicht wie ihre Gesichter dabei aussehen. Das ist nicht nur eine rechtliche Entscheidung, sondern auch eine methodische: Text enthüllt Motivation. Gesichtsausdrücke sind notorisch unzuverlässig, wenn es darum geht, innere Zustände abzuleiten.
Jedes QUALLEE-Interview macht klar, dass Teilnehmer mit einer KI sprechen. Keine Täuschung, keine Unklarheit. Diese Transparenz verbessert sogar die Datenqualität. Teilnehmer teilen oft offener mit KI-Interviewern, weil sie sich nicht um soziale Bewertung sorgen müssen.
Datenaufbewahrung ist ins System eingebaut. Die Aufbewahrungsfrist wird beim Erstellen eines Projekts festgelegt. Wenn sie abläuft, werden die Daten wirklich gelöscht, nicht nur versteckt.
Regulierung als Mindeststandard
Der EU AI Act und die DSGVO zwingen die Branche dazu, Dinge zu tun, die wir sowieso hätten tun sollen. Echte Einwilligung einholen. Transparent über Methoden sein. Daten nicht länger aufbewahren als nötig. Die Menschen respektieren, die an Forschung teilnehmen.
Das sind keine Hindernisse für gute Forschung, sondern Voraussetzungen dafür.
Teams, die Compliance als Mindeststandard behandeln, dem man widerwillig genügt, werden immer hinterherhinken. Teams, die ethische Praktiken von Anfang an in ihren Workflow einbauen, werden feststellen, dass Regulierung kaum eine Bremse ist.
User Research ging immer darum, Menschen zu verstehen. Sie mit Respekt zu behandeln ist nicht nur gesetzlich vorgeschrieben; es ist die Vertrauensgrundlage, die gute Forschung überhaupt erst möglich macht.
Selbst ausprobieren
QUALLEE führt KI-gestützte Interviews durch, die von Anfang an compliant sind. Server in Deutschland, keine Biometrie, volle Transparenz. Ein Interview dauert etwa 20–30 Minuten.