KI nutzen reicht nicht mehr. Unternehmen müssen wissen, wo, wie und mit welchem Risiko sie KI einsetzen. Viele Unternehmen verwenden bereits künstliche Intelligenz.
Mitarbeiter schreiben Texte mit ChatGPT. Marketingabteilungen erzeugen Bilder. Personalabteilungen analysieren Bewerbungen. Kunden kommunizieren mit Chatbots. Softwareprodukte enthalten intelligente Funktionen. Maschinen erkennen Fehler, Systeme prognostizieren Nachfrage und Algorithmen bewerten Risiken.
Was bisher häufig als digitales Hilfsmittel betrachtet wurde, wird mit dem EU AI Act zu einer organisatorischen Aufgabe. Die entscheidende Frage lautet nicht mehr nur:
Was können wir mit KI machen?
Sondern:
Welche Verantwortung entsteht dadurch?
Der EU AI Act verpflichtet Unternehmen nicht dazu, jede Nutzung künstlicher Intelligenz zu genehmigen oder in einem komplizierten Verfahren zu registrieren. Er verlangt jedoch, dass Unternehmen ihre KI-Systeme kennen, Risiken richtig einordnen, Mitarbeiter qualifizieren, bestimmte Anwendungen transparent kennzeichnen und bei sensiblen Einsatzbereichen zusätzliche Kontrollen einführen.
Die wichtigste Aufgabe besteht deshalb nicht darin, möglichst schnell ein umfangreiches KI-Handbuch zu schreiben.
Die wichtigste Aufgabe besteht darin, zuerst sichtbar zu machen, wo KI im Unternehmen überhaupt eingesetzt wird.
Wen betrifft der EU AI Act?
Der EU AI Act betrifft nicht nur große Technologiekonzerne oder Unternehmen, die eigene KI-Modelle entwickeln.
Auch ein gewöhnliches Unternehmen kann betroffen sein, sobald es ein KI-System unter eigener Verantwortung verwendet.
Der AI Act unterscheidet dabei insbesondere zwischen verschiedenen Rollen.
Anbieter
Ein Unternehmen ist Anbieter, wenn es ein KI-System oder ein allgemeines KI-Modell entwickelt oder entwickeln lässt und unter eigenem Namen auf den Markt bringt beziehungsweise in Betrieb nimmt.
Das kann auch dann relevant werden, wenn ein bestehendes System wesentlich verändert oder für einen neuen, besonders sensiblen Zweck eingesetzt wird.
Betreiber
Die meisten Unternehmen werden vor allem Betreiber sein.
Ein Betreiber verwendet ein KI-System unter eigener Verantwortung. In der englischen Fassung des AI Act wird dafür der Begriff „Deployer“ verwendet.
Ein Unternehmen ist beispielsweise Betreiber, wenn es:
- einen Chatbot im Kundenservice einsetzt,
- Bewerbungen durch eine KI vorsortieren lässt,
- ein System zur Leistungsmessung von Mitarbeitern verwendet,
- KI für Bonitäts-, Preis- oder Risikobewertungen nutzt,
- mit KI erzeugte Inhalte veröffentlicht,
- Gesichtserkennung, Emotionserkennung oder biometrische Systeme einsetzt,
- Prognose- oder Entscheidungssysteme in betriebliche Prozesse integriert.
Importeur oder Händler
Unternehmen können auch als Importeur oder Händler betroffen sein, wenn sie KI-Systeme von Anbietern außerhalb der EU einführen oder innerhalb der EU vertreiben.
Die rechtlichen Pflichten hängen somit nicht allein von der Technologie ab.
Sie hängen auch davon ab, welche Rolle ein Unternehmen innerhalb der KI-Wertschöpfungskette übernimmt.
Nicht jede KI-Anwendung ist gleich riskant
Der EU AI Act folgt einem risikobasierten Ansatz.
Je stärker ein KI-System in Sicherheit, Grundrechte, Beschäftigung, Bildung, Versorgung oder wichtige Entscheidungen eingreift, desto höher sind die Anforderungen.
Für Unternehmen lassen sich vier grundlegende Kategorien unterscheiden.
- Verbotene KI-Praktiken
Bestimmte Einsatzformen sind grundsätzlich verboten.
Dazu gehören unter anderem bestimmte manipulative oder täuschende Systeme, Social Scoring, bestimmte Formen biometrischer Kategorisierung sowie Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, soweit keine eng begrenzte Ausnahme greift. Die Verbote gelten bereits seit dem 2. Februar 2025.
Für Unternehmen ist besonders relevant:
Emotionserkennung am Arbeitsplatz ist kein gewöhnliches Analyseinstrument.
Systeme, die aus Gesichtsausdruck, Stimme, Bewegung oder anderen biometrischen Signalen ableiten sollen, ob Mitarbeiter motiviert, gestresst, ehrlich oder engagiert sind, können unter die Verbote fallen.
Dasselbe gilt für Systeme, die Menschen durch manipulative oder täuschende Methoden zu Entscheidungen bewegen und dadurch erheblichen Schaden verursachen können.
- Hochrisiko-KI
Als Hochrisiko-KI können insbesondere Systeme gelten, die in sensiblen Bereichen eingesetzt werden.
Dazu gehören beispielsweise bestimmte Anwendungen in:
- Personalrekrutierung und Mitarbeiterauswahl,
- Entscheidung über Beförderungen oder Kündigungen,
- Zugang zu Bildung und Prüfungsbewertung,
- Kreditwürdigkeitsprüfung,
- Lebens- und Krankenversicherung,
- kritischer Infrastruktur,
- Medizinprodukten und Maschinen,
- biometrischer Identifikation,
- öffentlichen Leistungen und bestimmten staatlichen Verfahren.
Nicht jedes KI-System in diesen Bereichen ist automatisch hochriskant. Entscheidend sind die konkrete Zweckbestimmung, die Funktionsweise und der Einfluss auf die betroffenen Personen.
Die Anwendungsfristen für die Anforderungen an Hochrisiko-KI wurden 2026 verschoben. Für eigenständige Hochrisiko-Systeme ist nun grundsätzlich der 2. Dezember 2027 vorgesehen. Für Hochrisiko-KI, die als Sicherheitskomponente in regulierten Produkten integriert ist, gilt grundsätzlich der 2. August 2028.
Unternehmen sollten diese Verschiebung jedoch nicht als Grund verstehen, nichts zu tun.
Die Einordnung eines Systems, die Auswahl geeigneter Anbieter, die Festlegung menschlicher Aufsicht und die Schaffung sauberer Prozesse benötigen Zeit.
- KI mit besonderen Transparenzpflichten
Einige KI-Systeme sind nicht zwingend hochriskant, müssen aber transparent eingesetzt werden.
Das betrifft insbesondere:
- Chatbots und Systeme, die direkt mit Menschen kommunizieren,
- Deepfakes,
- KI-generierte oder wesentlich manipulierte Inhalte,
- bestimmte KI-generierte Texte zu Themen von öffentlichem Interesse,
- Systeme zur Emotionserkennung oder biometrischen Kategorisierung, soweit deren Einsatz zulässig ist.
Die Transparenzpflichten nach Artikel 50 gelten grundsätzlich ab dem 2. August 2026. Für bestimmte technische Kennzeichnungspflichten bereits auf dem Markt befindlicher Systeme wurden Übergangsregelungen vorgesehen.
- KI mit begrenztem Risiko
Viele alltägliche Anwendungen fallen nicht in die Hochrisiko-Kategorie.
Dazu können beispielsweise gehören:
- Textentwürfe,
- Übersetzungen,
- interne Zusammenfassungen,
- Unterstützung bei Präsentationen,
- einfache Produktempfehlungen,
- Prognosen ohne unmittelbare Entscheidung über Personen,
- Bildgenerierung für erkennbar illustrative Zwecke,
- interne Recherchehilfen,
- Programmierassistenten.
Auch hier gelten jedoch weiterhin andere Rechtsgebiete.
Der AI Act ersetzt weder die Datenschutz-Grundverordnung noch das Urheberrecht, Arbeitsrecht, Verbraucherrecht, Wettbewerbsrecht oder Geheimnisschutz.
Eine Anwendung kann deshalb nach dem AI Act ein geringes Risiko darstellen und trotzdem aus Datenschutz- oder Vertraulichkeitsgründen problematisch sein.
Was Unternehmen jetzt konkret tun müssen
- Ein vollständiges KI-Inventar erstellen
Der erste Schritt ist eine Bestandsaufnahme.
Unternehmen sollten dokumentieren, welche KI-Systeme offiziell oder inoffiziell eingesetzt werden.
Dabei reicht es nicht, nur die von der IT-Abteilung beschafften Programme zu erfassen. Viele Anwendungen entstehen als sogenannte Schatten-KI.
Mitarbeiter verwenden öffentlich zugängliche Tools, Browser-Erweiterungen, KI-Funktionen in bestehenden Softwareprodukten oder private Konten, ohne dass das Unternehmen davon weiß.
Für jedes System sollten mindestens folgende Informationen erfasst werden:
- Name des Systems und Anbieter,
- verantwortliche Abteilung,
- konkreter Verwendungszweck,
- verwendete Daten,
- betroffene Personen,
- erzeugte Ergebnisse,
- Einfluss auf Entscheidungen,
- mögliche Weiterverwendung der Eingaben durch den Anbieter,
- Speicherort und Vertragsmodell,
- vorhandene menschliche Kontrolle,
- mögliche Risikokategorie nach dem AI Act.
Eine einfache Tabelle ist zu Beginn ausreichend.
Entscheidend ist nicht die Form, sondern die Vollständigkeit.
Ein Unternehmen kann nur jene KI-Risiken steuern, die es kennt.
- Für jede Anwendung einen verantwortlichen Eigentümer bestimmen
Jedes relevante KI-System sollte einer Person oder Funktion zugeordnet werden.
Diese Person muss nicht alle technischen Details verstehen. Sie sollte jedoch wissen:
- warum das System eingesetzt wird,
- welche Daten verarbeitet werden,
- welche Entscheidungen davon beeinflusst werden,
- welche Fehler entstehen können,
- wer bei Problemen eingreifen kann,
- wann das System überprüft oder abgeschaltet werden muss.
Ohne klare Verantwortung entsteht ein typisches organisatorisches Vakuum.
Die IT betrachtet das System als Fachanwendung. Die Fachabteilung betrachtet es als technisches Werkzeug. Der Datenschutz kennt den konkreten Einsatz nicht. Die Geschäftsleitung geht davon aus, dass der Anbieter für alles verantwortlich ist.
Der AI Act durchbricht diese Logik.
Auch wenn ein externes System eingesetzt wird, bleibt das verwendende Unternehmen für seinen konkreten Einsatz verantwortlich.
- Mitarbeiter im Umgang mit KI qualifizieren
Seit dem 2. Februar 2025 müssen Anbieter und Betreiber von KI-Systemen Maßnahmen treffen, um bei Mitarbeitern und anderen beteiligten Personen ein ausreichendes Maß an KI-Kompetenz sicherzustellen.
Dabei verlangt der AI Act keine identische Standardschulung für alle.
Der notwendige Wissensstand richtet sich nach:
- der technischen Erfahrung der Personen,
- ihrer Ausbildung und Funktion,
- dem konkreten Einsatzbereich,
- den Risiken des Systems,
- den Personen, die von der Anwendung betroffen sind.
Ein Mitarbeiter, der KI zur sprachlichen Verbesserung interner Texte verwendet, benötigt eine andere Schulung als eine Personalverantwortliche, die KI-gestützte Bewerberbewertungen interpretiert.
Die Europäische Kommission nennt keine pauschale Mindestdauer und schreibt kein bestimmtes Zertifikat vor. Unternehmen sollten aber nachvollziehbar dokumentieren können, welche Maßnahmen sie ergriffen haben.
Eine praktische Basisschulung sollte mindestens behandeln:
- Funktionsweise und Grenzen generativer KI,
- mögliche Halluzinationen und sachliche Fehler,
- Datenschutz und vertrauliche Informationen,
- Urheber- und Nutzungsrechte,
- Diskriminierungs- und Verzerrungsrisiken,
- notwendige menschliche Prüfung,
- interne Freigaberegeln,
- Kennzeichnungspflichten,
- Vorgehen bei Fehlern und Vorfällen.
Eine Schulung allein reicht jedoch nicht.
Mitarbeiter brauchen zusätzlich klare Regeln für den Arbeitsalltag.
- Eine interne KI-Richtlinie einführen
Eine brauchbare KI-Richtlinie sollte keine abstrakte Grundsatzerklärung sein.
Sie sollte konkrete Fragen beantworten.
Welche Systeme dürfen verwendet werden?
Das Unternehmen sollte festlegen, welche KI-Dienste genehmigt, eingeschränkt oder verboten sind.
Dabei kann zwischen drei Kategorien unterschieden werden:
- freigegebene Systeme,
- Systeme, die nur nach Rücksprache genutzt werden dürfen,
- nicht zugelassene Systeme.
- Welche Daten dürfen eingegeben werden?
Mitarbeiter müssen wissen, ob sie folgende Informationen in ein KI-System eingeben dürfen:
- personenbezogene Daten,
- Kundendaten,
- Gesundheitsdaten,
- Bewerbungsunterlagen,
- Geschäftsgeheimnisse,
- unveröffentlichte Produktinformationen,
- Quellcode,
- Verträge,
- Zugangsdaten,
- interne Finanzdaten.
Die praktische Grundregel sollte lauten:
Keine sensiblen oder vertraulichen Daten in öffentliche KI-Systeme eingeben, solange keine ausdrückliche Freigabe und geeignete vertragliche Absicherung bestehen.
Welche Ergebnisse müssen überprüft werden?
Die Richtlinie sollte festlegen, dass KI-Ausgaben nicht ungeprüft übernommen werden dürfen, wenn sie:
- veröffentlicht werden,
- rechtliche oder finanzielle Aussagen enthalten,
- Kunden beraten,
- Personalentscheidungen beeinflussen,
- sicherheitsrelevant sind,
- Preise oder Verträge verändern,
- reale Personen oder Unternehmen betreffen.
Wer darf Entscheidungen treffen?
KI kann vorbereiten, sortieren, strukturieren und Empfehlungen geben.
Bei erheblichen Auswirkungen auf Personen sollte jedoch klar geregelt sein, wer die endgültige Entscheidung trifft und welche Informationen dafür geprüft werden müssen.
- Prüfen, ob eine Anwendung verboten oder hochriskant ist
Jedes System sollte anhand eines einfachen Fragenkatalogs bewertet werden.
Betrifft die KI Beschäftigte oder Bewerber?
Systeme zur Auswahl, Bewertung, Überwachung, Beförderung oder Kündigung von Mitarbeitern können als hochriskant gelten.
Emotionserkennung am Arbeitsplatz kann grundsätzlich verboten sein.
Entscheidet die KI über Zugang zu wichtigen Leistungen?
Dazu können Kredite, Versicherungen, Bildung, medizinische Versorgung oder öffentliche Leistungen gehören.
Ist die KI Teil eines sicherheitsrelevanten Produktes?
Bei Maschinen, Medizinprodukten, Fahrzeugen oder anderen regulierten Produkten können besondere Anforderungen entstehen.
Werden biometrische Daten verwendet?
Gesicht, Stimme, Bewegung oder andere körperliche Merkmale können besondere Risiken auslösen.
Beeinflusst das System eine Entscheidung wesentlich?
Ein System ist nicht allein deshalb unproblematisch, weil ein Mensch formal noch auf „Bestätigen“ klickt.
Entscheidend ist, ob die Person tatsächlich in der Lage ist, die Empfehlung kritisch zu prüfen und zu überstimmen.
Eine rein symbolische menschliche Freigabe ist keine wirksame menschliche Aufsicht.
- Menschliche Kontrolle praktisch organisieren
Bei sensiblen KI-Anwendungen muss menschliche Aufsicht mehr sein als ein Satz in einer Richtlinie.
Die verantwortlichen Personen müssen:
- ausreichend qualifiziert sein,
- die Funktionsweise und Grenzen des Systems verstehen,
- Ergebnisse interpretieren können,
- Abweichungen erkennen,
- Entscheidungen überstimmen können,
- bei Risiken den Einsatz stoppen können,
- genügend Zeit und organisatorische Unterstützung erhalten.
Für Betreiber von Hochrisiko-KI verlangt Artikel 26 ausdrücklich, dass die menschliche Aufsicht Personen übertragen wird, die über die notwendige Kompetenz, Ausbildung, Befugnis und Unterstützung verfügen.
Ein Unternehmen sollte deshalb festlegen:
- welche Ergebnisse kontrolliert werden,
- nach welchen Kriterien geprüft wird,
- wann eine zweite Person einbezogen wird,
- wann eine Entscheidung nicht automatisiert getroffen werden darf,
- wie Einwände betroffener Personen behandelt werden,
- wie Fehler dokumentiert werden.
- KI-generierte Inhalte richtig kennzeichnen
Eine der praktisch wichtigsten Neuerungen betrifft die Transparenz gegenüber Kunden, Nutzern und Öffentlichkeit.
Dabei gilt keine pauschale Regel, nach der jede Nutzung von KI sichtbar gemacht werden muss.
Entscheidend ist die Art des Inhalts und das mögliche Täuschungsrisiko.
Chatbots
Menschen müssen grundsätzlich erkennen können, wenn sie mit einem KI-System kommunizieren.
Ein Chatbot sollte daher klar als KI-gestützter oder automatisierter Assistent bezeichnet werden, sofern dies aus dem Kontext nicht ohnehin offensichtlich ist.
Ein möglicher Hinweis lautet:
„Sie kommunizieren mit einem KI-gestützten Assistenten.“
Der Hinweis sollte rechtzeitig erfolgen und nicht erst in einer versteckten Datenschutzerklärung erscheinen.
Deepfakes
Bild-, Audio- oder Videoinhalte, die reale Personen, Orte, Objekte oder Ereignisse täuschend echt darstellen oder manipulieren, müssen grundsätzlich als künstlich erzeugt oder verändert offengelegt werden.
Das betrifft beispielsweise:
- eine künstlich erzeugte Aussage einer realen Person,
- eine erfundene, aber fotorealistische Nachrichtenszene,
- ein manipuliertes Video eines Geschäftsführers,
- die realistische Darstellung eines Ereignisses, das nie stattgefunden hat.
Ein möglicher Hinweis lautet:
„Dieser Inhalt wurde mithilfe künstlicher Intelligenz erzeugt oder verändert.“
Bei künstlerischen, satirischen oder fiktionalen Werken darf die Kennzeichnung so gestaltet werden, dass sie die Wahrnehmung des Werkes nicht unangemessen beeinträchtigt.
KI-generierte Texte von öffentlichem Interesse
Wer KI-generierte oder wesentlich manipulierte Texte veröffentlicht, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, muss den KI-Einsatz grundsätzlich offenlegen.
Eine wichtige Ausnahme besteht, wenn der Inhalt einem menschlichen redaktionellen Prüfprozess unterzogen wurde und eine Person oder Organisation die redaktionelle Verantwortung übernimmt.
Das bedeutet:
Ein Unternehmen muss nicht automatisch jeden Blogartikel kennzeichnen, bei dem KI zur Recherche, Strukturierung oder sprachlichen Verbesserung eingesetzt wurde.
Je stärker ein Text jedoch automatisiert erzeugt und ohne echte redaktionelle Kontrolle veröffentlicht wird, desto eher entsteht eine Kennzeichnungspflicht.
KI-generierte Marketingbilder
Nicht jedes KI-Bild benötigt automatisch einen sichtbaren Hinweis.
Ein abstraktes Motiv oder eine offensichtlich fiktionale Illustration ist nicht dasselbe wie ein Deepfake.
Unternehmen sollten jedoch kennzeichnen, wenn ein Bild einen falschen Eindruck über reale Umstände erzeugen könnte.
Das ist etwa relevant, wenn:
- ein nicht existierendes Produkt fotorealistisch dargestellt wird,
- ein Hotelzimmer größer oder anders gezeigt wird, als es tatsächlich ist,
- eine reale Person scheinbar ein Produkt empfiehlt,
- ein künstliches Ereignis wie eine echte Aufnahme wirkt,
- eine Produktionsstätte dargestellt wird, die so nicht existiert.
Der AI Act ist dabei nur ein Teil der rechtlichen Bewertung.
Auch Verbraucherrecht und Wettbewerbsrecht können täuschende Darstellungen untersagen.
- Datenschutz und AI Act gemeinsam prüfen
KI-Compliance darf nicht getrennt vom Datenschutz betrachtet werden.
Sobald personenbezogene Daten verarbeitet werden, müssen Unternehmen zusätzlich prüfen:
- Gibt es eine Rechtsgrundlage?
- Werden nur notwendige Daten verarbeitet?
- Wurden betroffene Personen ausreichend informiert?
- Werden Daten für das Training des Anbieters verwendet?
- Erfolgt eine Übermittlung in Drittstaaten?
- Wie lange werden Eingaben und Ausgaben gespeichert?
- Sind Auftragsverarbeitungsverträge erforderlich?
- Ist eine Datenschutz-Folgenabschätzung notwendig?
- Besteht eine automatisierte Entscheidung im Sinne von Artikel 22 DSGVO?
Besonders sensibel sind Systeme, die Menschen bewerten, kategorisieren, überwachen oder Entscheidungen über sie vorbereiten.
Eine Grundrechte-Folgenabschätzung nach dem AI Act und eine Datenschutz-Folgenabschätzung nach der DSGVO können sich überschneiden, sind aber nicht automatisch identisch.
Bestimmte öffentliche Stellen, private Anbieter öffentlicher Dienste und Betreiber bestimmter Hochrisiko-Systeme müssen vor dem Einsatz eine Grundrechte-Folgenabschätzung durchführen. Diese umfasst unter anderem den Einsatzkontext, betroffene Personengruppen, mögliche Schäden und Maßnahmen zur menschlichen Aufsicht.
- Verträge mit KI-Anbietern überprüfen
Unternehmen sollten sich nicht allein auf Werbeversprechen eines Anbieters verlassen.
Vor der Beschaffung eines KI-Systems sollten mindestens folgende Punkte geprüft werden:
- Welche Daten verarbeitet das System?
- Wo werden die Daten gespeichert?
- Werden Eingaben oder Ausgaben zum Training verwendet?
- Welche Unterauftragnehmer werden eingesetzt?
- Welche Sicherheitsmaßnahmen bestehen?
- Welche Protokolle und Dokumentationen stellt der Anbieter bereit?
- Wie werden Änderungen des Modells kommuniziert?
- Welche Funktionen zur menschlichen Kontrolle bestehen?
- Lassen sich Ergebnisse und Vorgänge protokollieren?
- Unterstützt das System technische Kennzeichnungen?
- Wie werden Vorfälle gemeldet?
- Welche Haftungsbeschränkungen enthält der Vertrag?
- Kann das Unternehmen seine Daten bei Vertragsende löschen oder exportieren?
- Werden die Anforderungen des AI Act vertraglich berücksichtigt?
Bei möglichen Hochrisiko-Anwendungen sollte außerdem geprüft werden, ob das System für den vorgesehenen Zweck entwickelt und dokumentiert wurde.
Ein System einfach für einen anderen, sensibleren Zweck einzusetzen, kann die rechtliche Rolle des Unternehmens verändern.
- Dokumentation und Nachweise aufbauen
KI-Governance darf nicht nur tatsächlich existieren.
Sie muss im Zweifel auch nachweisbar sein.
Unternehmen sollten deshalb mindestens folgende Unterlagen führen:
- KI-Inventar,
- Einstufung der Systeme,
- Freigabeentscheidungen,
- Schulungsnachweise,
- interne KI-Richtlinie,
- Verantwortlichkeiten,
- Verträge und Anbieterinformationen,
- Datenschutzprüfungen,
- Prüfprotokolle,
- Kennzeichnungsvorgaben,
- Vorfallsmeldungen,
- Änderungen des Systems,
- Ergebnisse regelmäßiger Überprüfungen.
Für gewöhnliche Anwendungen muss daraus kein bürokratisches Großprojekt entstehen.
Eine schlanke, konsequent gepflegte Dokumentation ist wertvoller als ein umfangreiches Handbuch, das niemand verwendet.
- Einen Prozess für Fehler und Vorfälle schaffen
KI-Systeme können falsche, diskriminierende, sicherheitskritische oder irreführende Ergebnisse erzeugen.
Unternehmen benötigen deshalb einen klaren Meldeweg.
Mitarbeiter sollten wissen:
- wo Fehler gemeldet werden,
- wer den Vorfall bewertet,
- wann das System vorübergehend gestoppt wird,
- wann Datenschutz, Rechtsabteilung oder Geschäftsleitung einzubeziehen sind,
- wann der Anbieter informiert werden muss,
- wie betroffene Personen benachrichtigt werden,
- wie Korrekturmaßnahmen dokumentiert werden.
Ein solcher Prozess ist nicht nur eine Compliance-Maßnahme.
Er verhindert, dass einzelne Fehler unbemerkt zu systematischen Fehlentscheidungen werden.
KMU benötigen nicht automatisch eine eigene KI-Rechtsabteilung.
Sie brauchen vor allem fünf Dinge:
- Eine Übersicht aller eingesetzten KI-Systeme.
- Klare Regeln für Daten, Freigaben und menschliche Kontrolle.
- Eine nachvollziehbare Risikoeinstufung.
- Geschulte Mitarbeiter.
- Dokumentierte Verantwortlichkeiten und Entscheidungen.
Der größte Fehler besteht darin, entweder gar nichts zu tun oder sofort ein überdimensioniertes Compliance-System aufzubauen.
Die bessere Lösung liegt dazwischen.
Unternehmen sollten die Anforderungen dort vertiefen, wo KI tatsächlich Einfluss auf Menschen, Sicherheit, Rechte oder wichtige Entscheidungen hat.
Ein Textassistent benötigt nicht dieselben Kontrollen wie ein System, das Bewerber bewertet.
Ein internes Prognosetool benötigt nicht dieselben Maßnahmen wie ein Algorithmus, der Kredite ablehnt.
Ein erkennbar künstliches Illustrationsbild ist nicht dasselbe wie ein täuschend echtes Video einer realen Person.
Welche Strafen drohen?
Verstöße gegen den AI Act können erhebliche Sanktionen auslösen.
Für verbotene KI-Praktiken sind Geldbußen von bis zu 35 Millionen Euro oder bei Unternehmen bis zu 7% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vorgesehen. Bei anderen Verstößen gelten abgestufte Höchstbeträge.
Die konkrete Sanktion hängt unter anderem ab von:
- Art und Schwere des Verstoßes,
- Dauer und Folgen,
- Zahl der betroffenen Personen,
- entstandenen Schäden,
- Vorsatz oder Fahrlässigkeit,
- Kooperation mit den Behörden,
- früheren Verstößen,
- Größe und wirtschaftlicher Leistungsfähigkeit des Unternehmens.
Für Unternehmen sollte das Bußgeld jedoch nicht der einzige Grund sein, sich mit dem AI Act zu beschäftigen.
Schlecht kontrollierte KI kann schon vorher Schäden verursachen:
- falsche Entscheidungen,
- Diskriminierung,
- Verlust vertraulicher Daten,
- irreführende Kommunikation,
- Sicherheitsprobleme,
- Imageschäden,
- Abhängigkeit von ungeeigneten Anbietern,
- Verlust des Vertrauens von Mitarbeitern und Kunden.
- Der AI Act ist kein Verbot von Innovation
Der EU AI Act verbietet Unternehmen nicht, KI einzusetzen. Er zwingt sie jedoch dazu, genauer hinzusehen.
- Wo wird KI verwendet?
- Welche Daten fließen hinein?
- Welche Entscheidungen entstehen daraus?
- Welche Menschen sind betroffen?
- Wer trägt Verantwortung?
- Was passiert, wenn das System falschliegt?
Diese Fragen sollten gute Unternehmen ohnehin beantworten können. Der AI Act macht daraus nun eine verbindliche Managementaufgabe.
Dabei liegt die größte Gefahr nicht im Einsatz künstlicher Intelligenz. Sie liegt im unkontrollierten Einsatz.
Unternehmen brauchen deshalb nicht weniger KI. Sie brauchen bessere Systeme für Auswahl, Verantwortung, Kontrolle und Entscheidung.
Denn intelligente Technologie allein macht ein Unternehmen noch nicht intelligent.

Weiterführende Erklärungen:
Betreiber
Ein Betreiber, im AI Act meist Deployer genannt, ist ein Unternehmen oder eine Organisation, die ein KI-System im eigenen Verantwortungsbereich nutzt.
Beispiele:
- ein Unternehmen nutzt KI zur Bewerberauswahl
- eine Bank nutzt KI zur Kreditprüfung
- ein Hotel nutzt einen KI-Chatbot für Gästeanfragen
- ein Betrieb verwendet Copilot, ChatGPT oder ein anderes KI-Tool für interne Aufgaben
- eine Firma setzt KI zur Qualitätskontrolle, Prognose oder Kundenbewertung ein
Der Betreiber entwickelt die KI also nicht selbst. Er setzt sie praktisch ein.
Typische Pflichten können sein:
- Mitarbeitende schulen
- den Einsatz und Zweck der KI dokumentieren
- menschliche Kontrolle sicherstellen
- Eingabedaten korrekt verwenden
- Ergebnisse überwachen
- bei Hochrisiko-Systemen zusätzliche Vorgaben einhalten
Für die meisten Unternehmen ist Betreiber die wichtigste Rolle, weil sie KI-Tools einkaufen und verwenden, aber nicht selbst entwickeln.
Importeur:
Ein Importeur bringt ein KI-System eines Anbieters aus einem Nicht-EU-Land erstmals in den EU-Markt.
Beispiel: Ein italienisches Unternehmen importiert eine KI-gestützte Kamera eines US-Herstellers und verkauft sie in der EU.
Typische Aufgabe: prüfen, ob der Hersteller die erforderlichen Unterlagen, Kennzeichnungen und Konformitätsanforderungen erfüllt.
Händler
Ein Händler, rechtlich meist „Distributor“, verkauft oder vertreibt ein KI-System innerhalb der EU weiter, ohne selbst Hersteller oder Importeur zu sein.
Beispiel: Ein IT-Händler verkauft eine bereits in der EU verfügbare KI-Recruiting-Software oder ein KI-fähiges Gerät an Unternehmen.
Typische Aufgabe: vor dem Verkauf kontrollieren, ob Kennzeichnungen, Dokumente und Herstellerangaben vorhanden sind.
Wichtig: Wer ein KI-System unter dem eigenen Namen verkauft, wesentlich verändert oder dessen Zweck ändert, kann rechtlich selbst zum Anbieter bzw. Provider werden. Dann gelten deutlich umfangreichere Pflichten.
Hinweis: Dieser Beitrag basiert auf eigenen Thesen, Erfahrungen und Analysen. KI wurde unterstützend im redaktionellen Prozess eingesetzt.
