Was der AI Act konkret bedeutet

Mit dem EU AI Act führt die Europäische Union erstmals ein umfassendes Regelwerk für den Einsatz von künstlicher Intelligenz im Unternehmen ein. Ziel ist es, den technologischen Fortschritt zu fördern und gleichzeitig Risiken für Menschen, Gesellschaft und Grundrechte wirksam zu begrenzen. Der Ansatz unterscheidet zwischen ­verbotenen, hochriskanten, begrenzt riskanten und geringfügig riskanten KI-Systemen.

Generative KI oder Chatbots fallen in der Regel unter die Kategorie „begrenztes Risiko“

Während Anwendungen mit unannehmbarem Risiko – etwa biometrische Massen­überwachung – grundsätzlich untersagt sind, unterliegen hochriskante Systeme, etwa im Justiz-, Medizin- oder Personalbereich, strengen Pflichten hinsichtlich Transparenz, Kontrolle und ­Dokumentation. Generative KI oder Chatbots fallen in der Regel unter die Kategorie „begrenztes Risiko“ und unterliegen damit bestimmten Transparenzanforderungen wie der Kennzeichnung, dass Inhalte durch KI erzeugt wurden.
Die Verordnung ist am 1. August 2024 in Kraft getreten. Erste verbindliche Pflichten gelten seit Februar 2025 – darunter insbesondere Schulungen für ­Mitarbeiter, die mit KI-Systemen in Berührung kommen. Weitere Anforderungen treten gestaffelt seit August 2025 bis 2027 in Kraft. Bei Verstößen drohen hohe Geldstrafen – je nach Schwere bis zu 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes.

Wer ist betroffen vom AI-Act?

Die Verordnung betrifft alle Unternehmen, die KI-Systeme entwickeln, bereitstellen oder einsetzen – unabhängig von Branche, Größe oder Standort. Auch wer KI nicht offiziell eingeführt hat, sollte genau hinsehen: Der informelle Einsatz von Tools wie ChatGPT oder Microsoft CoPilot oder automatisierten Auswertungssystemen fallen ebenfalls unter die Verordnung. Es reicht schon, dass Azubis ihr Berichtsheft oder Vorstände ihre ­Social-Media-Beiträge mit KI schreiben. Damit gilt: Jedes Unternehmen, das KI nutzt, muss sich mit den Pflichten des AI Acts auseinandersetzen. Wie stark man betroffen ist, hängt von der konkreten Anwendung ab.

Zentrale Pflichten im AI-Act: Identifizieren, Bewerten, Schulen

Unternehmen müssen künftig alle eingesetzten KI-Systeme erfassen und deren Risiken bewerten. Zudem sind Maßnahmen zur Sicherstellung von Transparenz, Nachvollziehbarkeit und Datenschutz ­erforderlich. Besonders hervorgehoben wird dabei die Schulung der Mitarbeiter: Je nach Rolle reicht ein grundlegendes Verständnis bis hin zu vertieften Kenntnissen bei sensiblen Anwendungen. Ziel ist es, dass Beschäftigte KI-Ergebnisse einordnen und verantwortungsvoll damit umgehen können. Die Schulungspflicht ist nicht einmalig, sondern muss regelmäßig erfüllt werden – analog zu ­Arbeitsschutz- oder Datenschutzunterweisungen.

Tabellen anlegen zur Dokumentation

Der Dokumentationspflicht kann man beispielsweise nachkommen, indem man Tabellen anlegt: Pro Abteilung werden die eingesetzten KI-Systeme mitsamt Funktion/Zweck, Anbieter, verarbeiteten Daten und ­Nutzerkreis aufgelistet. Diese simple Dokumentation (etwa in einer Excelliste) hilft, den Überblick zu behalten und dient als Grundlage für Risiko­analysen sowie als Nachweis gegenüber Aufsichtsbehörden. Wichtig ist, die Liste regelmäßig zu aktualisieren, da immer wieder neue KI-Tools im Unternehmen auftauchen können.

KI verstehen, Potenzial sicher nutzen

Trotz solcher Anforderungen sollte der Blick auf die Chancen nicht verloren gehen: KI kann Prozesse vereinfachen, Entscheidungen verbessern und Innovation fördern – vorausgesetzt, sie wird mit ­Augenmaß und Verantwortungsbewusstsein eingesetzt. Voraussetzung dafür ist ein fundiertes Verständnis der Technologie auf allen Ebenen des Unternehmens. So gesehen ist die KI-Verordnung eine Chance für Unternehmen, die digitale KI-Zukunft zu meistern.

Checkliste: In 9 Schritten zum AI-Act

  1. Identifizierung aller KI-Anwendungen: Dazu zählen sowohl offiziell eingeführte Software mit KI-Komponente als auch Schatten-IT – etwa extern genutzte KI-Tools wie ChatGPT, die Mitarbeiter eigenmächtig verwenden.
  2. Erfassung relevanter Informationen: Für jedes gefundene KI-System sollten die wichtigsten Eckdaten dokumentiert werden: Wer nutzt es? Wofür? Welcher Anbieter steckt dahinter? Welche Daten fließen ein?
  3. Risikobewertung: Analysieren Sie pro KI-Anwendung, welches Risiko von ihr ausgeht. Handelt es sich um eine ­unkritische Hilfssoftware oder beeinflusst das System wichtige Entscheidungen? Je höher das Risiko für Menschen­rechte, Sicherheit oder Gesundheit, desto umfangreicher die Maßnahmen.
  4. Überprüfung der Compliance: Stellen Sie fest, ob die vorhandenen KI-Systeme den gesetzlichen Vorgaben entsprechen. Werden etwa die Transparenzpflichten erfüllt, wie Hinweise „erstellt mit KI”?
  5. Dokumentation und Transparenz: Dokumentieren Sie sämtliche Erkenntnisse und Entscheidungen. Legen Sie für jede KI-Anwendung eine Dokumentationsakte an, die Zweck, Funktionsweise, Lieferanten, Ergebnisse der Risikoprüfung und getroffene Maßnahmen enthält. Diese Dokumentation dient im Ernstfall als Nachweis gegenüber Be­hörden und sorgt intern für Transparenz.
  6. Schulung der Mitarbeiter: Schulen Sie alle relevanten Mitarbeiter. Dies umfasst technische Grundlagen (was kann das KI-System, was nicht?), rechtliche und ethische Leit­linien (Datenschutz, Diskriminierung) und den sicheren Betrieb (Kontrolle von KI-Ergebnissen, Eingaberegeln).
  7. Prozesse und Systeme anpassen: Passen Sie ­bestehende Prozesse, Richtlinien und IT- Systeme an, um KI-Integration zu erleichtern und Risiken zu kontrollieren. Das kann bedeuten: neue Freigabeprozesse einzuführen, Verantwortlichkeiten für KI-Prüfung zu definieren oder IT-Security-Richtlinien zu erweitern. Gegebenenfalls ist auch eine interne KI-Governance-Struktur hilfreich.
  8. Best Practices implementieren: Etablieren Sie interne Leitlinien und Best Practices für den KI-Einsatz. Zum Beispiel: Qualitätsprüfungen von KI-Ergebnissen (vier-­Augen-Prinzip bei wichtigen Outputs), Einschränkungen für ­sensible Anwendungen (kein Einsatz von generativer KI bei vertraulichen Daten ohne Freigabe) oder Vorlagen für ­datenschutzfreundliche KI-Entwicklung. Nutzen Sie be­stehende Branchenempfehlungen.
  9. Kontroll- und Monitoringmechanismen etablieren: Richten Sie laufende Monitoring-Prozesse ein. Überprüfen Sie regelmäßig, ob KI-Systeme wie erwartet funktionieren, ob neue Risiken auftreten oder ob sich gesetzliche Anforderungen ändern. Dazu gehören auch Meldewege bei Fehlern.
Lars Kroll, SO.real GmbH, Stuttgart, für Magazin Wirtschaft, Rubrik Rat&Tat