Der EU AI Act ist die erste umfassende europäische Regelung für den Einsatz künstlicher Intelligenz. Er legt verbindliche Anforderungen und Pflichten für Unternehmen fest, die KI-Systeme entwickeln oder nutzen, abgestuft nach dem jeweiligen Risiko der Anwendungen. Ziel ist es, Innovation zu ermöglichen und gleichzeitig Risiken für Menschenrechte, Sicherheit und Transparenz zu minimieren.
Montagmorgen, kurz nach neun. Ein Bereichsleiter tritt in Ihr Büro: „Wir möchten Lead-Scoring mit einem KI-Tool testen – SaaS-basiert, hat sich andernorts bewährt." Die IT fragt nach dem Anbietervertrag. Der Datenschutzbeauftragte will die Datenflüsse sehen. Und die entscheidende Frage landet wie so häufig bei Ihnen: „Müssen wir dafür einen AI-Act-Check machen?"
Die kurze Antwort lautet: Ja. Jedoch ist die eigentliche Frage eine andere. Denn haben Sie einen strukturierten Prozess dafür?
Unternehmen, die KI geordnet einführen, unterscheiden sich von solchen, die zwischen pauschalen Verboten und unkontrollierter Nutzung pendeln. Beides hat Konsequenzen und beides ist mit einem definierten Rahmen vermeidbar. Welche Schritte jetzt zählen und warum AI Literacy (die Fähigkeit, KI-Systeme zu verstehen, einzuordnen und sicher zu nutzen) der schnellste Hebel ist, zeigen die folgenden Abschnitte.
Was mit dem AI Act auf dem Spiel steht
Der AI Act sieht bei Verstößen sehr hohe Bußgelder vor. Abhängig von der Verstoßkategorie sind dies bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes, je nachdem welches der höhere Betrag ist.
Für die Mehrheit der Unternehmen ist das jedoch nicht das unmittelbarste Risiko. Das eigentliche Problem entsteht früher, denn ohne klare Steuerung wird KI entweder unkontrolliert genutzt oder aus Vorsicht vermieden. Beides untergräbt Lieferfähigkeit, Reputation und interne Entscheidungsgeschwindigkeit. Das sind die konkreten Kosten fehlender Governance. Gemeint sind damit fehlende Regeln, Zuständigkeiten und Prozesse für den KI-Einsatz.
Als europaweite Verordnung muss der EU AI Act schon jetzt umgesetzt werden
Ein verbreitetes Missverständnis sorgt dafür, dass viele Unternehmen auf ein spezifisches „deutsches KI-Gesetz" warten, bevor sie anfangen zu handeln. Der EU AI Act ist jedoch eine EU-Verordnung und gilt in allen Mitgliedstaaten unmittelbar. Somit ist kein nationales Umsetzungsgesetz nötig, damit die Pflichten gelten.
Als praktische Konsequenz daraus ergibt sich, dass die Anforderungen unabhängig von politischen Priorisierungen der Bundesregierung gelten. Nationale Begleitgesetze (z. B. zu Zuständigkeiten, Aufsicht und Sanktionen) ändern nichts daran, dass die Pflichten aus der Verordnung selbst gelten. Sie laufen zeitlich gestaffelt an – und die erste Phase ist bereits abgelaufen.
Zeitplan und Staffelung des AI Acts der Europäischen Union
Der AI Act ist seit 1. August 2024 in Kraft und wird schrittweise anwendbar:
2. Februar 2025: Verbotene Praktiken und AI Literacy:
Verbot bestimmter KI-Anwendungen gilt; Unternehmen müssen Maßnahmen zum Aufbau von KI-Kompetenz ergreifen.
2. August 2025: Governance und GPAI-Modelle:
Pflichten für sogenannte General-Purpose-AI-Modelle (GPAI) – KI-Systeme mit breitem Anwendungsspektrum wie große Sprachmodelle – werden operativ.
2. August 2026: Volle Anwendbarkeit (mit Ausnahmen):
Anforderungen werden breit prüfbar und durchsetzbar.
2. August 2027: Übergang für High-Risk-KI in regulierten Produkten:
Relevant für KI, die in bestehende regulierte Geräte oder Produkte integriert ist.
Der Zeitplan zeigt, wann etwas gilt. Die Risikoklassen bestimmen, wie viel Aufwand dahintersteckt. Die entsprechende Klassifizierung und der damit verbundene Aufwand sind abhängig davon, welche KI Sie im Unternehmen einsetzen.
Risikoklassen beim Einsatz von KI-Tools
Der AI Act klassifiziert KI-Systeme nach ihrem Schadenspotenzial. Daraus leitet sich ab, welche Pflichten gelten. Diese reichen von einfacher Transparenz bis hin zu umfassender Dokumentation und externer Aufsicht.
Unzulässiges Risiko
Kurz erklärt: Verboten ohne Ausnahme
Typische Beispiele: Social Scoring durch staatliche Stellen; anlasslose Echtzeit-Biometrie im öffentlichen Raum; Manipulation durch Ausnutzen von Schwächen Quelle: BNetzA – Verbotene Praktiken).
Hohes Risiko
Kurz erklärt: Strenge Pflichten: Dokumentation, menschliche Aufsicht, Konformitätsbewertung
Typische Beispiele: KI im Bewerbungsprozess (automatisiertes CV-Scoring, Interview-Analyse); Bonitätsprüfung; medizinische Diagnose-Tools
Mittleres Risiko
Kurz erklärt: Transparenzpflichten
Typische Beispiele: Chatbots (müssen sich als KI zu erkennen geben); KI-generierte Inhalte (müssen gekennzeichnet werden)
Minimales Risko
Kurz erklärt: Grundsätzlich zulässig
Typische Beispiele: Spam-Filter, Produktempfehlungen, KI-gestützte Textentwürfe
In welche Risikoklasse ein Unternehmen eingeordnet wird, ist keine Ermessensentscheidung nach Bauchgefühl. Die Klassifizierung muss begründet, dokumentiert und im Zweifel gegenüber Aufsichtsbehörden erklärbar sein.
7 Schritte, die Unternehmen jetzt konkret umsetzen sollten
In unserem Whitepaper stellen wir Ihnen eine Roadmap mit klaren Handlungsempfehlungen sowie nützlichen Links und einer Checkliste zur Verfügung. Wir zeigen Ihnen, welche Aspekte bezüglich des KI-Inventars in Ihrem Unternehmen wichtig sind, wie sie einen “No-Go”-Check durchführen, wie Sie Ihre Risikoklasse festlegen, was es bei der Dokumentation zu beachten gibt, wie Inhalte auf unterschiedliche Zielgruppen abgestimmt werden, wie Sie Governance-Strukturen aufsetzen und wie Sie einen Erklärbarkeits-Check bestehen.
Zudem fassen wir Ihnen die wichtigsten Punkte des EU AI Acts verständlich und übersichtlich dar, sodass Sie zügig mit der Umsetzung beginnen können und auch eine fundierte Schulung setzt kein hohes Budget voraus. Sie setzt lediglich klare Inhalte, einen Rollenzuschnitt und verbindliche Umsetzung voraus.
Es gibt auch Kritik am EU AI Act
Rund um den AI Act gibt es berechtigte Einwände. Der Umsetzungsaufwand ist erheblich, und die Sorge, dass eine weitreichende Regulierung innovationshemmend wirkt, findet sich auch in den laufenden Debatten um die Leitlinien für General-Purpose-AI-Modelle. Dieser Kontext ändert jedoch nichts an der Rechtslage. Er unterstreicht aber, warum eine pragmatische, schrittweise Umsetzung – ohne den Anspruch sofortiger Vollständigkeit – der handlungsfähigere Ansatz ist.
Den AI Act als Governance-Rahmen nutzen und nicht nur als Compliance-Pflicht
Unternehmen, die den AI Act ausschließlich als regulatorische Last behandeln, werden ihn als solche erfahren: kostspielig, zeitaufwändig, ohne greifbaren Mehrwert. Wer ihn als strukturierten Rahmen für KI-Entscheidungen nutzt, gewinnt mit Wiederholbarkeit etwas anderes. Freigaben müssen nicht bei jedem neuen Use Case neu verhandelt werden, da sie einem definierten Prozess folgen.
Der AI Act schreibt nicht vor, welche KI Sie einsetzen sollen. Er verlangt, dass Sie erklären können, warum Sie es tun. Das ist ein wesentlicher Unterschied und er macht eine fundierte Vorbereitung praktikabler als auf den ersten Blick erkennbar.
Der wirkungsvollste Einstieg ist in den meisten Unternehmen mit AI Literacy derselbe. Nicht als Pflichtübung, die KI-Nutzung lediglich reglementiert, sondern als Grundlage für einen verantwortungsvollen Umgang mit KI. Mitarbeitende, die verstehen, wie KI funktioniert (und wo ihre Grenzen liegen), gehen souveräner mit ihr um. Aus der Praxis wissen wir, dass Zurückhaltung und Skepsis in gut konzipierten Formaten häufig einem echten Interesse an konkreten Anwendungen weichen. KI-Einführungen, die alle Beteiligten mitnehmen, schaffen mehr Akzeptanz und vermeiden stille Umgehungslösungen.
Mit der drAIving License bietet accantec Unternehmen eine KI-Kompetenzschulung, die genau hier ansetzt. Sie ist praxisnah, setzt keinerlei Vorkenntnisse voraus und ist in der Praxis bereits vielfach erprobt – auch bei Unternehmen mit Betriebsrat.
