Der EU AI Act. Was Unternehmen zum ersten Mal sehen, wenn sie hinschauen müssen

Der EU AI Act zwingt Unternehmen, ihre KI-Nutzung offenzulegen, einzustufen und zu kontrollieren. Die meisten lesen das als Pflicht.

Wer genauer hinsieht, erkennt darin drei Dinge, die kein Berater und keine Befragung liefern kann: die eigene Entscheidungsarchitektur, die echten Engpässe der Mitarbeiter und eine Marktposition, die fast niemand besetzt.


Die Lage

Viele Unternehmen verwenden bereits künstliche Intelligenz. Mitarbeiter schreiben Texte mit ChatGPT, Marketingabteilungen erzeugen Bilder, Personalabteilungen analysieren Bewerbungen, Kunden kommunizieren mit Chatbots, Systeme prognostizieren Nachfrage und bewerten Risiken.

Was bisher als digitales Hilfsmittel galt, wird mit dem EU AI Act zur organisatorischen Aufgabe. Die Frage lautet nicht mehr nur: Was können wir mit KI machen? Sondern: Welche Verantwortung entsteht dadurch?

Wen es betrifft. Der AI Act betrifft nicht nur Technologiekonzerne. Jedes Unternehmen, das ein KI-System unter eigener Verantwortung verwendet, ist Betreiber im Sinne der Verordnung. Das gilt für den Chatbot im Kundenservice ebenso wie für die KI-gestützte Vorsortierung von Bewerbungen, Bonitäts- und Preisbewertungen oder veröffentlichte KI-Inhalte. Wer Systeme entwickelt oder wesentlich verändert und unter eigenem Namen einsetzt, kann zusätzlich Anbieter sein, mit deutlich weitergehenden Pflichten.

Eine detaillierte Analyse zum AI Act, Inhalt und Pflichten gibt es hier (Link).

Der risikobasierte Ansatz. Der AI Act kennt vier Stufen:

  1. Verbotene Praktiken. Social Scoring, bestimmte manipulative Systeme sowie Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sind seit dem 2. Februar 2025 untersagt. Systeme, die aus Gesicht, Stimme oder Bewegung ableiten sollen, ob Mitarbeiter motiviert oder ehrlich sind, fallen darunter.
  2. Hochrisiko-KI. Systeme in Personalauswahl, Beförderungs- und Kündigungsentscheidungen, Kreditwürdigkeitsprüfung, kritischer Infrastruktur oder biometrischer Identifikation können hochriskant sein. Die Anwendungsfristen wurden 2026 verschoben: für eigenständige Hochrisiko-Systeme auf den 2. Dezember 2027, für Hochrisiko-KI als Sicherheitskomponente regulierter Produkte auf den 2. August 2028.
  3. Transparenzpflichten. Chatbots, Deepfakes und bestimmte KI-generierte Inhalte müssen gekennzeichnet werden. Diese Pflichten nach Artikel 50 gelten grundsätzlich ab dem 2. August 2026. Menschen müssen erkennen können, wenn sie mit einer Maschine kommunizieren oder wenn ein Inhalt einen falschen Eindruck über reale Umstände erzeugen könnte.
  4. Begrenztes Risiko. Textentwürfe, Übersetzungen, interne Recherchen, Programmierassistenten. Hier verlangt der AI Act wenig, aber DSGVO, Urheberrecht und Geheimnisschutz gelten weiter.

Was bereits jetzt gilt. Seit dem 2. Februar 2025 müssen Anbieter und Betreiber sicherstellen, dass Mitarbeiter über ausreichende KI-Kompetenz verfügen. Kein Zertifikat, keine Mindestdauer, aber eine nachweisbare, rollenabhängige Qualifizierung.

Die Sanktionen. Verbotene Praktiken können Geldbußen von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes auslösen. Für andere Verstöße gelten abgestufte Höchstbeträge.

Was konkret zu tun ist. Kein Unternehmen braucht sofort eine KI-Rechtsabteilung. Es braucht fünf Dinge: ein vollständiges Inventar aller eingesetzten KI-Systeme inklusive der inoffiziellen, einen verantwortlichen Eigentümer pro System, eine nachvollziehbare Risikoeinstufung, geschulte Mitarbeiter mit klaren Regeln für Daten und Freigaben, und eine schlanke, konsequent gepflegte Dokumentation.

Soweit die Pflicht. Sie steht in jedem Kanzlei-Newsletter. Interessant wird der AI Act erst dort, wo niemand hinsieht.

Die BTD-Perspektive

Alle stellen dieselbe Frage: Was kostet uns der AI Act? Die richtige Frage lautet: Was sieht ein Unternehmen zum ersten Mal, wenn es gezwungen wird hinzuschauen?

Erstens: Das KI-Inventar ist verdeckt ein Entscheidungsinventar.

Der Regulator verlangt eine Liste der KI-Systeme. Wer diese Liste ernsthaft erstellt, dokumentiert zwangsläufig etwas anderes: welche Daten in welche Entscheidung fließen, wer diese Entscheidung formal trifft und wer sie tatsächlich trifft. In den meisten Unternehmen existiert diese Landkarte nicht. Preise, Bewerberauswahl, Lagerbestände, Kreditlimits, vieles davon läuft längst über Systemvorschläge, die ein Mensch nur noch bestätigt.

Der AI Act selbst benennt das Problem präzise: Eine rein symbolische menschliche Freigabe ist keine wirksame Aufsicht. Ein Klick auf Bestätigen ist keine Entscheidung, wenn niemand die Empfehlung prüfen und überstimmen kann. Das Inventar macht sichtbar, wie viele vermeintlich menschliche Entscheidungen im Unternehmen in Wahrheit ungeprüfte Automatismen sind. Kein Unternehmen hätte diese Analyse freiwillig bezahlt. Jetzt verordnet sie die EU, und die meisten füllen die Tabelle aus, ohne zu lesen, was darin steht.

Zweitens: Schatten-KI ist keine Risikoliste. Sie ist revealed preference.

Jedes Compliance-Papier behandelt Schatten-KI als Gefahr: Mitarbeiter nutzen Tools ohne Freigabe, Daten fließen unkontrolliert ab. Das stimmt. Aber es übersieht das Signal.

Menschen sagen in Befragungen, was erwartet wird, und tun im Alltag, was funktioniert. Nicht rational, aber vorhersagbar. Jedes heimlich genutzte Tool markiert deshalb einen Prozess, den das Unternehmen nicht gelöst hat: Berichte, die zu lange dauern, Übersetzungen, die niemand macht, Datenaufbereitung, die keiner verantwortet. Die Mitarbeiter haben mit ihrem Verhalten bereits abgestimmt, wo die echten Engpässe liegen.

Kein Workshop und keine Prozessanalyse liefert dieses Signal in dieser Ehrlichkeit, denn hier hat niemand einen Anreiz zu beschönigen. Die Schatten-KI-Liste, die der AI Act erzwingt, ist die präziseste interne Marktforschung, die ein Unternehmen je bekommen wird. Wer sie nur als Verbotsliste behandelt, wirft die Daten weg und behält das Risiko.

Drittens: Die Reaktionsverteilung ist bimodal. Die Mitte ist leer.

Vorhersagbar passiert Folgendes: Die Mehrheit der Unternehmen ignoriert den AI Act, bis etwas passiert. Eine Minderheit baut in Panik überdimensionierte Compliance-Apparate, die niemand nutzt. Beide Reaktionen sind emotional. Angst vor Aufwand auf der einen Seite, Angst vor Strafe auf der anderen.

Die Position dazwischen bleibt fast unbesetzt: schlank, dokumentiert, funktionierend. Genau diese Position wird ab 2026 und 2027 zum Verkaufsargument. Ausschreibungen, Konzerneinkäufer, Versicherer und B2B-Lieferketten werden KI-Governance-Nachweise verlangen, so wie sie heute ISO-Zertifikate und Datenschutzerklärungen verlangen. Wer den Nachweis hat, gewinnt Aufträge, für die andere gar nicht mehr in Frage kommen.

Damit wandert Compliance von der Kostenseite auf die Umsatzseite. Aber nur für die, die früh und ruhig rechnen statt hoffen. Der Vorsprung entsteht nicht durch mehr Aufwand, sondern durch besseres Timing bei einer Aufgabe, die alle anderen entweder verdrängen oder überdimensionieren.

Die Asymmetrie in einem Satz: Der AI Act kostet alle dasselbe. Aber nur wer die Landkarte liest, statt die Tabelle abzuheften, bekommt für denselben Preis ein Entscheidungsaudit, eine Engpass-Diagnose und ein Vertriebsargument dazu.


Wie divendus hilft

Wir behandeln den AI Act nicht als Rechtsprojekt, sondern als Entscheidungsprojekt, mit der Compliance als Nebenprodukt.

KI-Inventar als Entscheidungsaudit. Wir erfassen alle Systeme, offizielle wie inoffizielle, und stufen sie nach dem AI Act ein. Gleichzeitig kartieren wir, welche Entscheidungen im Unternehmen tatsächlich von Systemvorschlägen abhängen und wo menschliche Aufsicht nur symbolisch existiert. Das Ergebnis ist rechtlich verwertbar und strategisch lesbar.

Schatten-KI als Engpass-Diagnose. Statt inoffizielle Tools nur zu verbieten, werten wir aus, was ihre Nutzung über die echten Engpässe verrät, und entscheiden pro Fall: sauber freigeben, durch eine bessere Lösung ersetzen oder begründet untersagen.

Schlanke Governance statt Handbuch. Risikoeinstufung, interne KI-Richtlinie, rollenabhängige Schulung und Dokumentation, dimensioniert nach tatsächlichem Risiko. Ein Textassistent braucht andere Kontrollen als ein System, das Bewerber bewertet.

Governance als Vertriebsargument. Wir bereiten die Nachweise so auf, dass sie in Ausschreibungen, Lieferantenaudits und B2B-Verhandlungen einsetzbar sind, bevor sie dort verlangt werden.

Der AI Act zwingt jedes Unternehmen, genauer hinzusehen. Die meisten werden hinsehen und nichts erkennen. Wer die Landkarte liest, entscheidet besser als der Wettbewerb, der nur die Tabelle ausfüllt.

Wer besser entscheidet, gewinnt.