Die Zeiten, in denen KI-Einsatz im Unternehmen ein rein technisches Thema war, sind vorbei. Mit dem EU AI Act tritt das weltweit erste umfassende KI-Gesetz in Kraft — und deutsche Unternehmen sind direkt betroffen. Was du wissen musst und wie du dein Unternehmen vorbereiten kannst.
Was ist der EU AI Act?
Der EU AI Act ist eine EU-Verordnung, die KI-Systeme nach ihrem Risikograd klassifiziert und entsprechende Anforderungen an Hersteller und Betreiber stellt. Das Gesetz gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen — unabhängig davon, ob sie selbst entwickeln oder Drittanbieter-Tools nutzen.
Die Verordnung ist seit August 2024 formal in Kraft, wird aber schrittweise angewendet:
- August 2024: Inkrafttreten
- Februar 2025: Verbotene KI-Praktiken gelten
- August 2026: Anforderungen für Hochrisiko-KI gelten vollständig
Die vier Risikoklassen
Der EU AI Act teilt KI-Systeme in vier Kategorien ein:
1. Unannehmbares Risiko (verboten)
KI-Systeme, die manipulative Techniken nutzen, Personen nach sozialen Merkmalen bewerten (Social Scoring) oder Gesichtserkennung in öffentlichen Räumen einsetzen. Diese sind ab Februar 2025 verboten.
2. Hohes Risiko
KI-Systeme in kritischen Bereichen wie Personalentscheidungen, Kreditvergabe, Strafverfolgung oder medizinischen Diagnosen. Hier gelten strenge Anforderungen: Risikobewertung, Dokumentation, menschliche Aufsicht und hohe Transparenz.
3. Begrenztes Risiko
Chatbots und andere KI-Systeme mit Nutzerkontakt müssen als KI erkennbar sein. Transparenz ist Pflicht.
4. Minimales Risiko
KI-Systeme wie E-Mail-Filter oder einfache Empfehlungssysteme — hier gibt es keine spezifischen Anforderungen.
Was bedeutet das konkret für dein Unternehmen?
Wenn du KI im HR-Bereich einsetzt (Bewerbungsfilterung, Performance-Management), fällst du wahrscheinlich in die Hochrisiko-Kategorie — mehr dazu im Usecase Bewerbersichtung mit KI. Gleiches gilt für KI-gestützte Kreditentscheidungen oder medizinische Anwendungen.
Auch wenn du “nur” Tools von Drittanbietern (wie ChatGPT, Claude oder branchenspezifische KI-Software) nutzt, bist du als Betreiber mitverantwortlich. Konkret bedeutet das:
- Inventar erstellen: Welche KI-Systeme setzt du ein?
- Risikoklasse bestimmen: Welche Kategorie trifft zu?
- Dokumentation aufbauen: Wie funktioniert das System? Welche Daten werden genutzt?
- Menschliche Aufsicht sicherstellen: Gibt es einen Prozess zur Überprüfung von KI-Entscheidungen?
- Mitarbeiter schulen: Wissen deine Teams, wie sie KI verantwortungsvoll nutzen?
Wer haftet, wenn etwas schiefläuft?
Eine zentrale Frage, die viele Unternehmen beschäftigt: Was passiert, wenn eine KI-Entscheidung falsch ist und Schaden verursacht? Dazu haben wir einen separaten Artikel geschrieben: Wer haftet, wenn KI Fehler macht?
Praktische Schritte für sofort
Du musst nicht warten, bis die Fristen laufen. Diese Maßnahmen kannst du jetzt angehen:
Bestandsaufnahme: Liste alle KI-Systeme auf, die dein Unternehmen nutzt oder plant zu nutzen. Kategorisiere sie nach Verwendungszweck und Risikoklasse.
Datenschutz-Check: Prüfe, ob deine KI-Anwendungen mit der DSGVO konform sind. Werden personenbezogene Daten verarbeitet? Gibt es eine Auftragsverarbeitungsvereinbarung mit dem Anbieter? Für vertragsrechtliche Aspekte bietet der Usecase Vertragsanalyse mit KI praktische Orientierung.
Governance-Struktur: Wer ist in deinem Unternehmen für KI-Compliance verantwortlich? Dieser Verantwortliche sollte früh benannt werden.
Mitarbeitertraining: Mehr dazu findest du in unserem Artikel zu KI-Schulungen für Teams.
Strafen bei Verstößen
Die Sanktionen im EU AI Act sind empfindlich:
- Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für Verstöße gegen verbotene KI-Praktiken
- Bis zu 15 Millionen Euro oder 3% des Umsatzes für andere Verstöße
Das zeigt: KI-Compliance ist kein “nice to have”, sondern geschäftskritisch.
Fazit
Der EU AI Act bringt Unternehmen mehr Verantwortung — aber auch mehr Klarheit. Wer sich jetzt vorbereitet, hat einen Wettbewerbsvorteil gegenüber denen, die zu spät reagieren. Starte mit der Bestandsaufnahme, prüfe deine Risikoklassen und baue eine interne KI-Governance auf.
Bleib über die Entwicklungen informiert: Abonniere unseren Newsletter für aktuelle Updates zu KI-Recht und Compliance.
Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Bei konkreten rechtlichen Fragen wende dich an einen spezialisierten Anwalt.