Erik Weber
Zurück zur Übersicht

EU AI Act für Unternehmen: Was Sie jetzt wissen müssen

EU AI Act für Unternehmen: Was Sie jetzt wissen müssen

Einleitung

Stellen Sie sich vor, Sie kommen morgens ins Büro und auf Ihrem Schreibtisch liegt ein 100-seitiges EU-Dokument mit dem Titel "Verordnung über künstliche Intelligenz". Dazu eine Post-it-Note: "Bitte kümmern." Herzlichen Glückwunsch - willkommen im Club. Genau das passiert gerade in Tausenden von Unternehmen in Deutschland.

Der EU AI Act ist seit August 2024 in Kraft. Er regelt, wie Unternehmen mit KI umgehen dürfen und müssen. Dieser Artikel erklärt, was dahintersteckt - ohne Juristendeutsch.

TL;DR

Der EU AI Act teilt KI-Anwendungen in vier Risikoklassen ein. Je höher das Risiko, desto mehr Pflichten.

  • Bestimmte KI-Anwendungen sind verboten
  • Hochrisiko-Anwendungen brauchen Dokumentation, Aufsicht und einen Verantwortlichen
  • Alle Unternehmen müssen KI-Kompetenz bei ihren Mitarbeitenden sicherstellen
  • Der erste praktische Schritt ist eine Bestandsaufnahme: Welche KI nutzen Sie überhaupt?

Was ist der EU AI Act?

Der EU AI Act ist ein Gesetz der Europäischen Union, das den Einsatz von künstlicher Intelligenz regelt. Er gilt für alle Unternehmen, die KI in der EU einsetzen - unabhängig davon, ob sie die KI selbst entwickelt haben oder einfach ein fertiges Produkt nutzen.

Das Ziel: KI soll sicher, transparent und nachvollziehbar eingesetzt werden. Bei Verstößen drohen Bußgelder in drei Stufen: bis zu 35 Millionen Euro (oder 7 % des Jahresumsatzes) für verbotene KI-Praktiken, bis zu 15 Millionen Euro (3 %) für andere schwere Verstöße und bis zu 7,5 Millionen Euro (1,5 %) für Falschangaben.

Wichtig: Sie müssen keine KI entwickeln, um betroffen zu sein. Wer KI kauft, mietet oder nutzt - zum Beispiel einen Chatbot, ein Analyse-Tool oder eine Recruiting-Software - fällt in der Regel unter das Gesetz.

Die vier Risikoklassen

Das Herzstück des EU AI Acts ist eine Einteilung in vier Risikoklassen. Die Klasse bestimmt, welche Pflichten auf Sie zukommen.

Übersicht der vier Risikoklassen des EU AI Acts

1. Verbotene KI

Manche KI-Anwendungen sind schlicht nicht erlaubt. Dazu gehören zum Beispiel Systeme, die Menschen unbewusst manipulieren, oder die automatische Erkennung von Emotionen am Arbeitsplatz ohne triftigen Grund. Diese Verbote gelten seit Februar 2025.

2. Hochrisiko-KI

Hier wird es für viele Unternehmen konkret. Hochrisiko-KI ist in Bereichen im Einsatz, wo Entscheidungen erhebliche Folgen für Menschen haben - zum Beispiel:

  • Personalauswahl und Bewerberbewertung
  • Kreditvergabe und Bonitätsprüfung
  • Zugang zu Bildung oder Sozialleistungen
  • Sicherheitsrelevante Produktionsprozesse

Wer Hochrisiko-KI einsetzt, braucht ab August 2026 unter anderem: eine technische Dokumentation, einen Prozess zur menschlichen Aufsicht und einen nachweisbaren Umgang mit Risiken.

3. KI mit begrenztem Risiko

Zum Beispiel Chatbots oder KI-generierte Texte und Bilder. Hier gilt vor allem Transparenz: Nutzer müssen klar erkennen können, dass sie mit einer KI interagieren oder KI-generierten Inhalt sehen. Wer das nicht kennzeichnet, verstößt bereits gegen den AI Act - auch wenn das System harmlos wirkt.

4. KI mit minimalem Risiko

Spam-Filter, einfache Empfehlungssysteme, KI in Videospielen - hier gibt es keine besonderen Pflichten. Der Großteil der KI-Anwendungen fällt in diese Kategorie.

Was Unternehmen jetzt konkret tun müssen

Was Unternehmen jetzt konkret für den EU AI Act tun müssen

Unabhängig davon, welche Risikoklasse auf Sie zutrifft: Es gibt vier Dinge, die für fast alle Unternehmen relevant sind.

1. Bestandsaufnahme: Welche KI nutzen Sie?

Das klingt einfacher, als es ist. In der Praxis - ich habe das selbst bei der KI-Einführung in einem Finanzunternehmen erlebt - unterschätzen die meisten Betriebe, wie viel KI bereits im Einsatz ist.

Wir haben damals eine Bestandsaufnahme über alle Abteilungen gemacht. Zuerst auf Systemebene: Jeder Systemverantwortliche musste angeben, ob sein System KI nutzt. Dann auf Prozessebene: Wo kommt KI in den täglichen Abläufen vor?

Das war ein großer Aufwand. Der wichtigste Pro-Tipp daraus: Wer seine Systeme und Prozesse vorher kennt - also weiß, was er wo einsetzt - hat beim Start einen erheblichen Vorsprung. Das lohnt sich also doppelt.

2. Risikoklasse bestimmen

Sobald Sie wissen, welche KI-Anwendungen Sie nutzen, prüfen Sie für jede: In welche Risikoklasse fällt sie? Bitkom bietet dafür ein kostenloses Online-Tool an, das Sie durch die Einordnung führt.

3. Verantwortlichkeiten klären

Der EU AI Act verlangt klare Zuständigkeiten. Jemand im Unternehmen muss das Thema KI-Compliance verantworten und den Überblick behalten. Das muss keine Vollzeitstelle sein - aber es braucht eine benannte Person oder ein kleines Team.

In der Praxis landet diese Rolle oft im IT- oder Compliance-Bereich. Bei mehreren KI-Anwendungen empfiehlt sich zusätzlich ein Ansprechpartner je Fachbereich.

Anbieter oder Nutzer? Eine wichtige Frage dabei: Stellen Sie die KI selbst bereit oder nutzen Sie sie nur? Als reiner Nutzer (Betreiber) tragen Sie weniger Pflichten als ein Anbieter, der KI entwickelt oder vertreibt. Die meisten Mittelständler sind Betreiber - das erleichtert die Situation deutlich.

4. KI-Kompetenz aufbauen

Artikel 4 des EU AI Acts schreibt vor: Mitarbeitende, die mit KI arbeiten, müssen ausreichend geschult sein. Das bedeutet nicht, dass jeder Entwickler werden muss. Es geht darum, dass die Menschen, die KI im Alltag nutzen, verstehen was das Tool macht, wo es Fehler machen kann und wann ein Mensch eingreifen sollte.

Wann gilt was? Der Zeitplan im Überblick

Zeitplan: Wann welche Pflichten des EU AI Acts in Kraft treten

DatumWas tritt in Kraft
1. August 2024EU AI Act tritt formell in Kraft; die meisten Pflichten gelten aber noch nicht sofort
2. Februar 2025Verbote für unzulässige KI-Praktiken gelten; KI-Kompetenzpflichten greifen
2. August 2025Regeln für General-Purpose-AI-Modelle (z.B. große Sprachmodelle) gelten
2. August 2026Die meisten übrigen Vorschriften gelten, darunter Hochrisiko-KI und Transparenzpflichten
2. August 2027Weitere Hochrisiko-Pflichten für bestimmte Produktbereiche (Anhang I) greifen

Das gibt Unternehmen noch Zeit - aber wer jetzt mit der Bestandsaufnahme beginnt, vermeidet Stress kurz vor der Deadline.

Welche Unterlagen sollten Sie jetzt anlegen?

Wer frühzeitig anfängt, muss später nicht unter Druck arbeiten. Das ist ein realistisches Minimum, das die meisten Mittelständler stemmen können:

  • KI-Inventar: Liste aller KI-Anwendungen im Unternehmen, intern wie zugekauft
  • Risikoeinstufung: Für jede Anwendung festhalten, in welche Klasse sie fällt
  • Interne Nutzungsrichtlinie: Was darf mit welcher KI gemacht werden, welche Daten nicht
  • Schulungsnachweise: Wer wurde zum Thema KI geschult und wann
  • Anbieterunterlagen: Technische Dokumentation und Konformitätsnachweise von KI-Lieferanten einfordern
  • Bei Hochrisiko zusätzlich: Dokumentation der menschlichen Aufsicht, Testprotokolle, Prozess für Vorfälle

Diese sechs Punkte sind kein Garant für vollständige Compliance - aber sie sind ein solider Ausgangspunkt und zeigen im Zweifelsfall, dass Sie das Thema ernst nehmen.

Häufige Missverständnisse

  • "Wir entwickeln keine KI, also betrifft uns das nicht." Falsch. Wer KI nutzt - auch zugekaufte Software - fällt unter das Gesetz.
  • "Wir sind zu klein für den EU AI Act." Auch KMU sind betroffen, sobald sie KI einsetzen. Die Anforderungen sind aber proportional zum Risiko.
  • "Das ist erst 2026 relevant." Die Verbote gelten bereits seit Februar 2025. Und die Vorbereitung auf 2026 braucht Zeit.

Weiterführende Artikel

(folgen in dieser Serie)

  • Der Ernstfall: Wie läuft Prüfung ab und was brauche ich mindestens als Unternehmen?
  • KI-Verantwortlichen benennen: Rolle, Aufgaben, praktische Umsetzung
  • Use-Case-Dokumentation: So erfassen Sie Ihre KI-Anwendungen strukturiert
  • KI-Kompetenz aufbauen: Wie kann ich mein Unternehmen schulen?

FAQ

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Sobald ein Unternehmen KI einsetzt - auch eingekaufte oder gemietete Systeme - ist es betroffen. Allerdings sind die Anforderungen abhängig von der Risikoklasse der genutzten KI. Wer nur Tools mit minimalem Risiko nutzt, hat kaum Aufwand.

Was passiert, wenn wir nichts tun?

Bei Verstößen drohen Bußgelder je nach Schwere: bis zu 35 Millionen Euro für verbotene KI-Praktiken, bis zu 15 Millionen für andere Verstöße. Aufsichtsbehörden können zudem den Einsatz nicht-konformer Hochrisiko-Systeme untersagen.

Wir kaufen KI als Software ein - wer ist verantwortlich, der Anbieter oder wir?

Beide. Der Anbieter ist für die technische Konformität seines Systems verantwortlich. Sie als Anwender sind verantwortlich für den korrekten Einsatz, die Aufsicht und - bei Hochrisiko-Systemen - für Dokumentation und Nachweise auf Ihrer Seite.

Wo fangen wir am besten an?

Mit der Bestandsaufnahme. Erst wissen, was man hat - dann einordnen, dann handeln.

Müssen wir KI-Kompetenz schon heute nachweisen?

Ja. Die Pflicht aus Artikel 4 gilt seit dem 2. Februar 2025. Unternehmen müssen sicherstellen, dass Mitarbeitende, die KI einsetzen, ausreichend geschult sind.

Gilt für unseren Chatbot automatisch nur minimales Risiko?

Nicht unbedingt. Für Systeme, die direkt mit Menschen interagieren, können Transparenzpflichten nach Artikel 50 greifen - zum Beispiel die Pflicht, KI als solche erkennbar zu machen. Das ist kein Hochrisiko, aber auch nicht ohne Pflichten.

Fazit

Der EU AI Act klingt nach Bürokratie. Und ja, ein Teil davon ist es. Aber im Kern steht eine vernünftige Frage: Wissen Sie, welche KI in Ihrem Unternehmen läuft und was sie tut? Wer das beantworten kann, hat das Schwierigste schon geschafft. Alles andere - Einordnung, Dokumentation, Verantwortlichkeiten - ist dann ein strukturierter nächster Schritt.

Autor: Erik Weber

Kontakt

Der beste Weg, mich zu erreichen ist per E-Mail:

info@easy-automation.ai