KI Verordnung: Den EU AI Act verstehen und umsetzen

1. Warum der EU AI Act jetzt relevant für dein Unternehmen ist
2. Ziele und Grundprinzipien der KI Verordnung
3. Die vier Risikoklassen im Überblick
4. So setzt du die Anforderungen Schritt für Schritt um
5. Abgrenzung zur DSGVO: Gemeinsamkeiten und Unterschiede
6. Strafen bei Verstößen: So hoch können die Konsequenzen ausfallen
7. Umsetzung starten: Von der Bestandsaufnahme zur Risikobewertung
8. Tools zur Umsetzung in der Praxis
9. Unser Fazit: Warum sich Compliance lohnt

Seit dem 1. August 2024 ist der EU AI Act in Kraft. Und davon ist fast jedes Unternehmen in der EU betroffen. Also höchstwahrscheinlich auch deins. Als weltweit erstes umfassendes Gesetz zur Regulierung von Künstlicher Intelligenz, definiert er klare Anforderungen an die Entwicklung, Nutzung und den Vertrieb von KI-Systemen innerhalb der EU. Dieser Artikel erklärt, was dein Unternehmen jetzt wissen und tun muss. Denn viele Unternehmen haben die Auswirkungen dieser KI Verordnung noch gar nicht auf dem Schirm.

Warum der EU AI Act jetzt relevant für dein Unternehmen ist

Worum geht’s: Ob KI-unterstützte HR-Software, smarte Chatbots oder automatisierte Empfehlungssysteme - die Arbeit mit fast allen KI-Anwendungen unterliegt künftig neuen Pflichten.

Das sorgt für Verunsicherung bei den Kunden, viel Verwirrung beim Studieren der von der EU herausgegebenen Unterlagen, all derweil die Stichtage zur Umsetzung der KI Verordnung näher rücken. Je nach Risikostufe der jeweiligen KI-Anwendung gelten nämlich unterschiedliche Anforderungen an Transparenz, Sicherheit und Kontrolle. Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes geahndet werden.

“Wann tritt das in Kraft?”: Mit Blick auf die Übergangsfristen – die vollständige Umsetzungspflicht greift ab dem 2. August 2026, für bestehende Systeme gilt unterbestimmten Voraussetzungen eine Bestandsschutzregelung, die einen gleitenden Übergang ermöglicht.

Und die Zahlen lügen nicht: Laut Statista stehen über 50 % der Unternehmen vor großen Herausforderungen bei der Umsetzung wirksamer Datenschutz-Strategien – ein Risiko, das sich durch die KI Verordnung noch verstärkt.

Ziele und Grundprinzipien der KI Verordnung

Der EU AI Act verfolgt drei zentrale Ziele:

• Grundrechtsschutz stärken: Persönlichkeitsrechte und Datenschutz wahren
• Vertrauenswürdige KI fördern: Sicherheit und Nachvollziehbarkeit sicherstellen
• Binnenmarkt harmonisieren: Einheitliche Rahmenbedingungen schaffen

Somit ein ähnlicher Tenor wie die meisten EU-Verordnungen - diesmal jedoch auf Daten und Künstliche Intelligenz abzielend.

Den Dreiklang “Grundrechte - Vertrauenswürdigkeit - Harmonisierung der Marktteilnahme” kannst du dir jedoch gerne als Gedankenstütze merken; er beschreibt ziemlich treffend die Grundidee der KI Verordnung.

Die KI Verordnung selbst basiert auf einem risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung, desto strenger die Regulierung. Dreh- und Angelpunkt ist die Einteilung jeder in eurem Unternehmen genutzten KI-Anwendung in Risikokategorien.

Die vier Risikoklassen im Überblick

Jede KI-Anwendung muss einer von vier Risikokategorien zugeordnet werden:

• Verbotene KI-Systeme: (z. B. jegliche Art von Social-Scoring-Tools, Echtzeit-Gesichtserkennung im öffentlichen Raum)
• Hochrisiko-KI-Systeme: (z. B. Kreditwürdigkeitsprüfungen, Bewerbungsfilter, biometrische Zugangskontrollen)
• Begrenztes Risiko: (z. B. Chatbots, Textgeneratoren, KI-gestützte Empfehlungssysteme) – diese müssen klar als KI erkennbar gemacht werden
• Minimales Risiko: (z. B. Spamfilter, Rechtschreibkorrektur, Übersetzungstools)

Und je nachdem in welche Kategorie eine Anwendung fällt, muss euer Unternehmen verschiedenen Pflichten nachkommen, um die betreffende Anwendung weiterhin nutzen zu dürfen (vorausgesetzt, sie fällt nicht von vornherein auf ein Verbot). Vor allem Hochrisiko-KI-Systeme sind stark reguliert. (unter Hochrisiko‑KI fallen sämtliche Systeme, die wesentliche Entscheidungen über Menschen treffen; für sie gelten besondere Pflichten wie Risikomanagement, Konformitätsbewertung und Schulungspflichten. Anwendungen mit begrenztem Risiko sind deutlich weiter verbreitet. Auch sie müssen bestimmte Anforderungen erfüllen.).

Anwendungen mit begrenztem Risiko kommen hingegen viel häufiger vor – oft unbemerkt im Arbeitsalltag. Beide Kategorien schauen wir uns im nächsten Abschnitt genauer an.

Wichtig: Auch Systeme mit begrenztem oder minimalem Risiko müssen bestimmte Anforderungen erfüllen, z. B. musst du deine (End)kunden darauf hinweisen, dass die Interaktion mit ihnen unter Hinzunahme von KI erfolgt ist.

Hochrisiko-KI im Unternehmen: Beispiele und Folgen

Als typische Hochrisiko-Bereiche für KI-Einsatz im Unternehmensalltag gelten u.a.:

• Recruiting-Systeme: Wenn KI Bewerberdaten verarbeitet oder Entscheidungen beeinflusst
• Biometrische Zugangskontrollen: Etwa an Labortüren oder Bürogebäuden
• Automatisierte Bonitätsprüfungen: Einschließlich transparenter Entscheidungslogik

Für solche Systeme gelten unter anderem folgende Pflichten:

• Risikomanagement etablieren (Art. 9 des EU AI Acts)
• Konformitätsbewertung durchführen (Art. 43)
• Schulungspflichten nachweisen (Art. 4)
• Transparenzanforderungen umsetzen (Art. 13)
• Zuständigkeiten und Haftungsfragen klären (Art. 71)

Eine Konformitätsbewertung prüft, ob dein KI‑System den gesetzlichen Vorgaben entspricht. Wird sie bestanden, gilt zunächst eine Konformitätsvermutung, das System gilt als gesetzeskonform, bis ein Verstoß nachgewiesen wird.

Ein guter Merksatz ist: “Dein System ist hochrisiko, wenn es über Menschen urteilt”

Anwendungen mit begrenztem Risiko: Häufig vorkommend – und dennoch reguliert

Während Hochrisiko-Systeme in vielen Unternehmen eher selten vorkommen, sind KI-Anwendungen mit begrenztem Risiko deutlich weiter verbreitet. Oft sind sie Teil von Standardsoftware oder werden automatisch in digitalen Prozessen eingesetzt – ohne dass klar ist, dass Künstliche Intelligenz beteiligt ist.

Typische Beispiele für begrenzt riskante KI:

• Chatbots auf Websites oder in Serviceportalen
• Empfehlungssysteme im E-Commerce oder bei Content-Plattformen („Kunden, die das kauften …“)
• KI-gestützte Texterstellung, z. B. Produktbeschreibungen, Social-Media-Posts
• KI-generierte Bilder oder Videos, z. B. für Marketing oder Präsentationen
• Sprachassistenten oder automatische Transkriptionen
• Übersetzungstools mit neuronalen Netzen

Auch wenn diese Anwendungen nicht in sensible Entscheidungsprozesse eingreifen, gelten trotzdem Pflichten zur Transparenz und Kennzeichnung. Es besteht eine Kennzeichnungspflicht: Nutzer*innen müssen klar erkennen, wenn Inhalte oder Empfehlungen durch KI erzeugt wurden oder wenn sie mit einem System interagieren, das KI nutzt.

Was bedeutet das konkret?

Wenn dein Unternehmen solche KI-Systeme einsetzt, musst du sicherstellen:

• Dass klar erkennbar ist, wenn Inhalte oder Empfehlungen durch KI erzeugt oder beeinflusst wurden
• Dass Nutzer:innen informiert werden, sobald sie mit KI interagieren (z. B. in einem Chat)
• Dass die KI nicht gezielt täuscht oder als menschlich „getarnt“ auftritt
• Dass interne Dokumentationen über den Einsatz der KI vorhanden sind (für Prüfungen, Audits, Nachvollziehbarkeit)

Wichtig: Auch „einfache“ KI-Systeme müssen auf Konformität mit dem EU AI Act geprüft werden – und können bei fehlender Kennzeichnung oder Dokumentation rechtliche Folgen nach sich ziehen.

Merksatz für die Praxis: Transparenz ist Pflicht – auch bei alltäglicher KI.

So setzt du die Anforderungen Schritt für Schritt um

Wer compliant sein will, muss wissen, was er im Unternehmen überhaupt nutzt. Die unserer Erfahrung nach einfachste Vorgehensweise, um das festzustellen, besteht darin:

1. Eine Inventur durchzuführen: Alle KI-Systeme identifizieren, inkl. interner Tools, SaaS-Plattformen oder Eigenentwicklungen. Hierbei wichtig, und gerne übersehen: Welche Alt-Systeme habe ich noch im Unternehmen, die vielleicht nicht mehr aktiv genutzt werden, aber dennoch vorhanden sind, mitsamt dazugehöriger Daten?
2. Alle Rollen, die das eigene Unternehmen übernimmt, aufzulisten: Bist du Anbieter*in, Nutzer*in, Importeur*in oder Händler*in? Obacht: gemäß EU-AI-Act existieren noch weitere, seltener vorkommende Rollen, die ein Unternehmen einnehmen kann (z.B.: Bevollmächtigte*r oder Produkthersteller*in) - hier ist es dennoch wichtig, sich Gewissheit zu verschaffen
3. Die Risikobewertung vorzunehmen: Prüfung auf Hochrisiko oder Verbot. Die ersten zwei Punkte könnt ihr in der Regel weitestgehend autonom bewältigen (hierzu später mehr); spätestens ab dem Punkt “Risikobewertung” ist es sinnvoll, euch einen externen Fachpartner ins Boot zu holen.

Abgrenzung zur DSGVO: Gemeinsamkeiten und Unterschiede

Zwar überschneiden sich viele Anforderungen (z. B. Transparenz, Grundrechtsschutz), doch der AI Act geht darüber hinaus. Die Verordnung hat einen systemweiten Anwendungsbereich, sie greift also auch dort, wo keine personenbezogenen Daten verarbeitet werden.

Hier die wichtigsten Neuerungen:

• Systemweiter Anwendungsbereich: Die KI Verordnung greift systemweit, nicht nur bei personenbezogenen Daten.
• Eigenständige Haftungsregeln: Die Frage, wer bei der Nutzung von KI-Systemen haftet, wird in der KI Verordnung umfassender geregelt. Das gilt besonders für besagte Hochrisiko-Anwendungen.
• Dokumentations- und Schulungspflichten: die Dokumentation über alle genutzten KI-Systeme spielt eine wichtigere Rolle als bisher und kann im Streitfall entscheidend sein. An der Schnittstelle zwischen DSGVO und KI Verordnung ergeben sich neue Anforderungen, insbesondere bei der Verarbeitung sensibler Daten undautomatisierten Entscheidungen. Aspekte dazu werden in der Betrachtung zu KI und Datenschutz aufgegriffen.
• Pflicht zur Kennzeichnung von jeglichem KI-Einsatz oder automatisierten Entscheidungen: auch hier gelten von nun an strengere Haftungsregeln.

Strafen bei Verstößen: So hoch können die Konsequenzen ausfallen

Das wichtigste in einem Satz: Ein Verstoß gegen den EU-AI-Act kann zu einer Geldbuße von bis zu 35 Mio. € Bußgeld oder 7 % des Jahresumsatzes führen - je nachdem welcher Betrag höher ist.

Zusätzlich drohen Warnungen, Einschränkungen oder Unterlassungsverfügungen. Schon fehlende Dokumentationen, unterlassene Schulungen oder falsch eingestufte Systeme können als Verstöße gewertet werden.

Umsetzung starten: Von der Bestandsaufnahme zur Risikobewertung

Um die Anforderungen des EU AI Act zu erfüllen, braucht dein Unternehmen vor allem eines: einen klaren Überblick. Der Einstieg gelingt am besten mit einem strukturierten Framework: dem sogenannten „Lagebild KI“. Es hilft dir, potenziell betroffene Systeme frühzeitig zu identifizieren und regulatorische Risiken einzuordnen.

In vier Schritten zur ersten Analyse:

1. KI-Systeme erfassen

Dokumentiere alle KI-basierten Systeme und Tools, die du einsetzt – intern, extern oder in deiner Softwarelandschaft eingebettet.

2. Rollen bestimmen

Kläre, welche Rolle dein Unternehmen einnimmt: Anbieter, Nutzer, Importeur oder Händler (vgl. Art. 3 EU AI Act). Auch Mischformen sind möglich.

3. Ersteinschätzung der Risiken vornehmen

Prüfe, ob einzelne Systeme unter Hochrisiko, begrenztes oder minimales Risiko fallen – und welche Anforderungen damit verbunden sind.

4. Datenverarbeitung analysieren

Bewerte, wie in deinem Unternehmen Daten erhoben, verarbeitet und gespeichert werden – insbesondere im Hinblick auf Transparenz, Dokumentation und Governance.

Hiernach wirst du schon ein viel genaueres Bild davon haben, wo du auf dem Weg zur Compliance stehst.

Selbst wenn dein Unternehmen bisher keine KI-Systeme bewusst entwickelt hat, können in deinen bestehenden Prozessen KI-Anwendungen enthalten sein, oft ohne dass sie klar als KI benannt worden sind. Verschiedene Umsetzungsszenarien zeigen, wie Unternehmen technische und organisatorische Maßnahmen miteinander verzahnen, unter anderem in Analysen zur Einhaltung des EU-KI-Gesetzes.

Tools zur Umsetzung in der Praxis

Viele der beschriebenen Schritte, von der Erfassung der KI-Systeme bis zur Schulungsdokumentation, lassen sich mit digitalen Tools effizienter umsetzen. Auf OMR Reviews findest du Softwarelösungen wie neuroflashoder Creaitor, mit denen du KI-generierte Inhalte transparent kennzeichnen kannst. Auch Consent-Management-Tools wie Cookiebot by Usercentricsoder Usercentrics helfen dabei, Transparenz- und Einwilligungspflichten zu erfüllen – etwa bei Chatbots oder Empfehlungssystemen.

Für eine strukturierte Risikoanalyse und zentrale KI-Dokumentation kannst du auf Lösungen wie heyData setzen: Mit unserem Tool lassen sich KI-Systeme erfassen, Risikoklassen zuordnen, Rollen dokumentieren und Schulungspflichten automatisiert nachweisen. So wird aus der rechtlichen Anforderung ein handhabbarer Prozess – nachvollziehbar, auditfähig und zeitsparend.

Die Umsetzung des AI Act ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess – von der Erhebung über die Bewertung bis zur Kontrolle. Ohne passende Software-Lösungen ist dieser Aufwand kaum effizient zu bewältigen.

Anwendungsbereiche für digitale Unterstützung:

• Risikobewertung: Tools können KI-Systeme systematisch und schnell erfassen, kategorisieren und geeignete Maßnahmen ableiten – inklusive automatisierter Dokumentation.
• Transparenz- und Nachweispflichten: Software ermöglicht es, Trainingsdaten, Entscheidungswege und Systemänderungen revisionssicher zu dokumentieren – relevant für Audits und Prüfungen.
• Schulungsmanagement: Digitale Lernplattformen helfen, Schulungsinhalte gezielt zu vermitteln und Teilnahmen nachvollziehbar zu dokumentieren.
• Konformitätsbewertung: Vorlagen, automatisierte Checklisten und Fristenmanagement unterstützen die Umsetzung aller technischer und rechtlicher Anforderungen.

Unser Fazit: Warum sich Compliance lohnt

Der EU AI Act ist kein regulatorisches Pflichtprogramm, um Unternehmen zu gängeln, sondern er bietet Unternehmen die Chance, sichere und verantwortungsvolle KI-Entwicklung zu einem Wettbewerbsvorteil zu machen. Durch klare Regeln, nachvollziehbare Prozesse und transparente Kommunikation wird Vertrauen geschaffen – bei Kund*innen, Partner*innenn, Mitarbeiter*innen und allen anderen Marktteilnehmer*innen. Die EU setzt hier Maßstäbe für faire, innovationsfreundliche und menschenzentrierte KI.

Unternehmen, die frühzeitig handeln, positionieren sich nachhaltig und zukunftsorientiert. Und das nach einer klaren, transparenten Roadmap auf die sich alle Marktteilnehmer*innen rechtzeitig einstellen können.