Was Unternehmen jetzt umsetzen müssen, um Bußgelder zu vermeiden und rechtskonform mit KI-Anwendungen zu arbeiten.
Künstliche Intelligenz ist längst kein bloßes Experimentierfeld mehr. Während der Fokus zuletzt im Zeichen des Ausprobierens stand, markiert die kommende Zeit den Übergang zu einer verbindlichen Regulierung. Mit dem EU AI Act (KI-Verordnung) hat die EU das weltweit erste umfassende Gesetz für Künstliche Intelligenz geschaffen. Für Unternehmen bedeutet das: Wer KI nutzt, entwickelt oder vertreibt, muss sich jetzt strukturiert auf die neuen Pflichten vorbereiten. Die Übergangsphase läuft.
Der AI Act ist dabei weit mehr als ein bürokratisches Hindernis. Er bietet die Chance, „AI made in Europe“ als Qualitätssiegel für Vertrauen und Sicherheit zu etablieren.
Die Risikoklassen: Wo steht Ihr Unternehmen?
Der EU AI Act folgt einem risikobasierten Ansatz. Je potenziell stärker eine KI-Anwendung Grundrechte oder Sicherheit beeinträchtigen kann, desto strenger sind die Anforderungen.
1. Unannehmbares Risiko (verbotene Praktiken)
Der AI Act untersagt bestimmte KI-Praktiken grundsätzlich. Dazu zählen unter anderem Social Scoring durch Behörden, biometrische Echtzeit-Überwachung im öffentlichen Raum sowie stark manipulative Techniken. Unternehmen stehen in der Pflicht sicherzustellen, dass weder offiziell eingesetzte Systeme noch „Schatten-KI“ in diese Verbotskategorie fallen.
2. Hochrisiko-KI (strenge Pflichten)
Für Hochrisiko-Systeme gelten stufenweise umfangreiche Pflichten, die in der Breite wirksam werden. Dazu gehören unter anderem KI-Anwendungen in Bereichen wie:
- Personalmanagement: Systeme zur Auswahl von Bewerberinnen und Bewerbern oder zur Leistungsbewertung.
- Kreditwürdigkeit und Finanzdienstleistungen: Algorithmen, die Entscheidungen über Darlehen, Versicherungsprämien oder ähnliche Produkte unterstützen.
- Bildung: Systeme zur Bewertung von Prüfungsleistungen oder zur Zugangsauswahl.
Hier sind insbesondere Risikomanagement, Daten- und Modellqualität, technische Dokumentation, Transparenz sowie menschliche Aufsicht vorgeschrieben.
Fristen, Rollen und Verantwortlichkeiten
Für die Umsetzung reicht es nicht, den EU AI Act irgendwo in der Rechtsabteilung abzulegen. Unternehmen brauchen zuerst ein sauberes Rollenmodell: Wer beschafft KI-Systeme, wer betreibt sie, wer dokumentiert Risiken, wer entscheidet über Freigaben? Der AI Act unterscheidet unter anderem Anbieter, Betreiber, Importeure und Händler. Viele Mittelständler sind im Alltag vor allem Betreiber, weil sie fertige KI-Funktionen in HR, Marketing, Support oder Controlling einsetzen. Trotzdem können Pflichten entstehen, wenn ein System zweckentfremdet, wesentlich verändert oder unter eigenem Namen weitergegeben wird.
Ein praktischer Startpunkt ist ein KI-Inventar. Es sollte nicht nur große Modelle erfassen, sondern auch unscheinbare Funktionen in Standardsoftware: automatische Bewerberauswahl, Lead-Scoring, Prognosen im Einkauf, Chatbots im Kundenservice oder generative Assistenten in der Content-Produktion. Erst wenn klar ist, wo KI tatsächlich arbeitet, lässt sich prüfen, ob eine Anwendung verboten, hochriskant, transparenzpflichtig oder weitgehend frei nutzbar ist. Genau hier scheitern viele Programme, weil die Fachbereiche Tools schneller einkaufen, als Compliance sie bewerten kann.
KI-Kompetenz wird zur operativen Pflicht
Ein oft unterschätzter Punkt ist die KI-Kompetenz. Unternehmen müssen Beschäftigte, die KI-Systeme einsetzen oder beaufsichtigen, angemessen befähigen. Das ist mehr als ein einstündiges Awareness-Webinar. Teams müssen wissen, welche Ergebnisse sie nicht blind übernehmen dürfen, welche Daten nicht in externe Systeme gehören und wann menschliche Prüfung wirklich erforderlich ist. Wer etwa eine KI-gestützte Vorauswahl im Recruiting nutzt, muss erklären können, wie Eingaben, Ausschlusskriterien und menschliche Kontrolle zusammenspielen.
Damit wird Governance sehr konkret: Beschaffungschecklisten, Freigabeworkflows, Modellkarten, Protokollierung, Löschkonzepte und Eskalationswege gehören zusammen. Wer schon ein Datenschutzmanagement betreibt, kann darauf aufbauen. Der Unterschied: Der AI Act fragt stärker nach Produktsicherheit, technischer Robustheit und Zweckbestimmung. Datenschutz beantwortet also nicht automatisch alle Fragen. Der Abgleich mit bestehenden Anforderungen aus der KI-Regulierung hilft, die Lücke zwischen DSGVO, IT-Sicherheit und Modell-Governance sichtbar zu machen.
Dokumentation muss prüfbar sein
Prüfbar heißt: Eine sachkundige dritte Person muss nachvollziehen können, warum ein System eingesetzt wird, welche Risiken bewertet wurden, welche Datenklassen verarbeitet werden, welche Schutzmaßnahmen greifen und wann eine erneute Prüfung nötig ist. Screenshots aus Anbieter-Dashboards reichen dafür selten. Besser sind versionierte Unterlagen, Verantwortliche pro System und klare Schwellenwerte für Änderungen. Wenn ein Anbieter ein Modell austauscht, ein neues Feature aktiviert oder die Trainingsgrundlage ändert, darf das nicht unbemerkt in produktive Entscheidungen hineinlaufen.
Besonders sensibel sind Schnittstellen zu personenbezogenen Daten. Hier überschneiden sich AI Act, DSGVO, Arbeitsrecht und Informationssicherheit. Unternehmen sollten deshalb nicht in Abteilungen denken, sondern in Entscheidungsprozessen: Welche Person oder welches Team ist betroffen, welche Wirkung hat der Output, und kann ein Mensch die Entscheidung nachvollziehbar korrigieren? Diese Perspektive macht die Umsetzung zwar anstrengender, aber deutlich belastbarer.
3. Begrenztes Risiko (Transparenzpflichten)
Für bestimmte KI-Systeme mit begrenztem Risiko, wie etwa Chatbots oder Tools zur Erzeugung synthetischer Inhalte (z. B. Deepfakes), gelten vor allem Transparenzanforderungen. Nutzerinnen und Nutzer müssen erkennen können, dass sie mit einer KI interagieren beziehungsweise dass Inhalte künstlich erzeugt wurden. Ein klarer Hinweis wie „Sie kommunizieren mit einem KI-System“ wird in solchen Fällen zum Standard.
Compliance-Check: Strategien für den Mittelstand
Beschaffung und Betrieb: Der unterschätzte Alltagstest
Der kritischste Moment liegt oft nicht in der Rechtsanalyse, sondern im Einkauf. Viele KI-Funktionen kommen als Feature-Update in bestehende Software: ein CRM bewertet Leads neu, eine HR-Suite sortiert Bewerbungen vor, ein Support-System priorisiert Beschwerden automatisch. Wenn Beschaffung, Datenschutz und Fachbereich nicht dieselben Fragen stellen, entsteht genau die Schatten-KI, die später teuer wird. Deshalb sollte jede KI-Beschaffung einen kurzen, verbindlichen Prüfpfad haben: Zweck, Datenarten, Anbieterrolle, Risikoklasse, Speicherort, Protokollierung, menschliche Kontrolle und Exit-Möglichkeit.
Auch der Betrieb braucht feste Routinen. Ein System, das heute nur Texte zusammenfasst, kann morgen Entscheidungen vorbereiten, wenn ein Anbieter neue Automationen aktiviert. Verantwortliche sollten deshalb regelmäßig prüfen, ob sich Zweck, Datenbasis oder Output-Wirkung verändert haben. Das gilt besonders bei generativen KI-Diensten, deren Funktionsumfang schnell wächst. Ein guter AI-Act-Prozess ist daher kein einmaliges Projekt, sondern ein wiederkehrender Kontrollzyklus mit klaren Verantwortlichkeiten.
Was sofort auf die To-do-Liste gehört
Kurzfristig sollten Unternehmen drei Dinge erledigen. Erstens: ein vollständiges KI-Register aufbauen, das auch eingekaufte Software-Funktionen enthält. Zweitens: für jede Anwendung eine einfache Risikoeinstufung dokumentieren, inklusive Begründung. Drittens: Mitarbeitende schulen, die KI-Ergebnisse übernehmen oder kontrollieren. Diese drei Schritte lösen nicht alle Pflichten, schaffen aber die Grundlage für alles Weitere. Ohne Register keine Risikoklasse. Ohne Risikoklasse keine passende Dokumentation. Ohne Schulung keine wirksame menschliche Aufsicht.
Der pragmatische Vorteil: Diese Arbeit verbessert nicht nur Compliance, sondern auch die Qualität der KI-Nutzung. Teams erkennen schneller, welche Systeme nützlich sind, welche unnötig Risiken erzeugen und welche Anbieter keine belastbaren Informationen liefern. Genau dort wird der EU AI Act vom Pflichtprogramm zum Werkzeug für bessere Technologieentscheidungen.
Für kleinere Unternehmen reicht dafür am Anfang oft ein schlankes Verfahren. Eine Tabelle mit Systemname, Anbieter, Zweck, Datenarten, Risikoklasse, Verantwortlichem und nächstem Prüftermin ist besser als ein perfektes Governance-Handbuch, das niemand nutzt. Wichtig ist, dass jede neue KI-Anwendung vor dem Produktivstart durch diesen Filter läuft. Danach können Reifegrad, Dokumentation und Automatisierung Schritt für Schritt wachsen.
Besonders hilfreich ist ein Ampelmodell: grün für einfache Assistenzfunktionen ohne Personenbezug, gelb für Tools mit personenbezogenen Daten oder Entscheidungsunterstützung, rot für Anwendungen mit erheblicher Wirkung auf Menschen. So sehen Fachbereiche sofort, wann sie Legal, Datenschutz oder IT-Sicherheit einbeziehen müssen. Das reduziert Reibung, weil nicht jede harmlose Assistenzfunktion denselben Freigabeaufwand auslöst wie ein entscheidungsrelevantes System. Diese Klarheit spart später viel Abstimmungsaufwand im Team.
Compliance-Check: Strategien für den Mittelstand
Die größte Herausforderung für kleine und mittlere Unternehmen ist oft die Bestandsaufnahme, da in vielen eingekauften Software-Lösungen bereits KI steckt. Dies betrifft teilweise auch Funktionen, die in Richtung Hochrisiko gehen.
Ein wichtiger Praxispunkt ist hierbei, dass Unternehmen, die KI-Systeme in ihrem Betrieb einsetzen, eine Mitverantwortung für deren rechtskonforme Nutzung tragen. Dies gilt selbst dann, wenn die Technologie von einem Drittanbieter stammt. Das betrifft insbesondere Software in Bereichen wie Buchhaltung oder HR, da diese ohnehin regelmäßig an neue gesetzliche Vorgaben angepasst werden muss. Um hier den Überblick zu behalten, sind praxisnahe Ressourcen wie dieses E-Book zu aktuellen Gesetzesänderungen hilfreich. Es unterstützt Verantwortliche dabei, regulatorische Neuerungen strukturiert zu erfassen und rechtzeitig in die betrieblichen Prozesse zu integrieren.

Q&A: Die drängendsten Fragen zum AI Act
Frage: Müssen wir auch für einfache Schreibassistenten ein Risikomanagement einführen?
Antwort: Für KI-Systeme mit minimalem Risiko, wozu beispielsweise reine Rechtschreib- oder Grammatik-Hilfen ohne Entscheidungscharakter zählen, sieht der EU AI Act keine spezifischen Pflichten vor. In diesen Fällen werden lediglich freiwillige Verhaltenskodizes empfohlen. Sobald ein Schreibassistent jedoch Entscheidungen vorbereitet oder maßgeblich beeinflusst, etwa in HR- oder Compliance-Prozessen, sollte geprüft werden, ob strengere Regeln greifen.
Frage: Was passiert, wenn wir ein KI-Tool eines US-Anbieters nutzen?
Antwort: Der AI Act gilt für alle KI-Systeme, die in der EU in Verkehr gebracht oder genutzt werden, unabhängig vom Sitz des Anbieters. Unternehmen in der EU müssen daher sicherstellen, dass eingesetzte Systeme die Anforderungen der Verordnung erfüllen. Dies kann durch geeignete Informationen, vertragliche Zusicherungen sowie technische Prüfungen seitens des Anbieters erfolgen.
Frage: Wie hängen DSGVO und AI Act zusammen?
Antwort: Beide Regelwerke ergänzen sich gegenseitig. Während der AI Act vor allem die Sicherheit, Governance und Transparenz von KI-Systemen adressiert, regelt die DSGVO weiterhin den Schutz personenbezogener Daten. Compliance-Verantwortliche müssen daher beide Perspektiven, also Produkttechnik und Datenschutz, gemeinsam im Blick behalten.
Praxistransfer: Von der Regulierung zur Anwendung
Die rechtlichen Leitplanken des EU AI Acts bilden das notwendige Fundament für den Einsatz künstlicher Intelligenz in Europa. Doch die Einhaltung der neuen Verordnung ist nur der erste Schritt zu einer erfolgreichen digitalen Strategie. In der täglichen Unternehmenspraxis müssen diese Anforderungen mit bestehenden Gesetzen wie der DSGVO harmonisiert werden, um sowohl rechtssicher als auch effizient zu arbeiten.
Wie eine solche Umsetzung konkret aussehen kann, zeigt unser vertiefender Hintergrundbericht über DSGVO-konforme AI-Workflows im Marketing. Dort erfahren Sie, wie die Synergie aus Datenschutz und technologischer Innovation in einem der dynamischsten Geschäftsbereiche gelingt.
Wort zum Schluss: KI-Governance als Wettbewerbsvorteil
Der EU AI Act fungiert als notwendiges Leitplankensystem für eine digitalisierte Wirtschaft. Unternehmen mit einer frühzeitigen AI-Governance schützen sich vor Sanktionen und stärken gleichzeitig das Vertrauen von Kunden sowie Partnern, da ethischer KI-Einsatz zunehmend kaufentscheidend wirkt.
In einem dynamischen Umfeld aus Technologie und Recht bleibt kontinuierliche Information die beste Versicherung. Wer Klassifizierung sowie Dokumentation sorgfältig umsetzt, nutzt die Innovationskraft der KI sicher und erzielt ein klares Plus an Wettbewerbsfähigkeit.





Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.
Mitreden & diskutieren
Ihre Meinung zählt — teilen Sie Gedanken, Fragen oder Erfahrungen zu diesem Artikel.