Skip to the main content.

Daten. Insights. Fortschritt.

Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig exklusive Praxis-Tipps, Trends und Impulse rund um Data Strategy, KI und digitale Transformation – direkt in Ihr Postfach.

AIOS

 
DSGVO_logo EU_AI_Act_Logo

Für Unternehmen, Städte und Kommunen

KI-Plattform AIOS nutzen, um Prozesse zu automatisieren, Daten sicher zu integrieren und Zusammenarbeit zu optimieren.

Daten_Nutzen

 

Informationsbedarfsanalyse

 

Unternehmen

Daten gezielt einsetzen, um Marktchancen zu erkennen und Entscheidungen zu optimieren.

Städte & Kommunen

Daten nutzen, um städtische Entwicklungen zu steuern und Bürgerdienste zu verbessern.

InfoThek-pink

 

Impulse & Austausch

Live-Wissen und Austausch: Von Webinaren bis Kongressen – erleben Sie Datenkompetenz aus erster Hand.

Downloads

Wissen zum Nachlesen und Erleben: Whitepaper, Videos und Cases zeigen Praxis und Mehrwert datengetriebener Lösungen.

Themenspecials

Entdecken Sie Themenspecials rund um Datenplattformen, smarte Städte und Künstliche Intelligenz.

Wir_von_roosi

 

Menschen & Haltung

Unsere Expert:innen, Werte und Nachhaltigkeit - das Fundament für verantwortungsbewussten und zukunftsfähigen Umgang mit Daten.

Stories & Relations

Erfahren Sie mehr über Partner, Projekte und aktuelle News - Insights und Beziehungen aus erster Hand.

6 Min. Lesezeit

Der EU AI Act ist da – was Unternehmen jetzt wirklich tun müssen

Marco Katholitzky : 22.04.26 10:41

Data Governance AI

Seit Februar 2025 ist er verbindlich in Kraft –der EU AI Act, das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Was lange als Brüsseler Zukunftsprojekt abgetan wurde, ist inzwischen harte Realität: Unternehmen, die KI einsetzen, entwickeln oder vertreiben, müssen handeln. Und zwar jetzt.

Die Reaktionen in der Praxis sind gemischt. Manche Unternehmen haben frühzeitig begonnen, sich vorzubereiten. Viele – vor allem im Mittelstand – wissen noch nicht genau, was der AI Act für sie konkret bedeutet. Und nicht wenige hoffen still, dass die Vorschriften irgendwie an ihnen vorbeigehen. Diese Hoffnung ist trügerisch.

Dieser Artikel erklärt, was der EU AI Act wirklich verlangt, welche Missverständnisse in Unternehmen besonders verbreitet sind und welche Schritte jetzt konkret sinnvoll sind – ohne juristisches Fachchinesisch, aber mit dem nötigen Tiefgang.

 

 

AI ACT


Was der EU AI Act ist – und was er nicht ist

Der EU AI Act ist kein Verbot von KI. Er ist auch kein Bürokratiemonster, das Innovation erstickt. Er ist – bei nüchterner Betrachtung – ein Risikorahmen: Je höher das Risiko, das ein KI-System für Menschen darstellt, desto strenger die Anforderungen.

Das Gesetz unterscheidet vier Risikostufen:

Inakzeptables Risiko – verboten KI-Systeme, die grundlegende Rechte verletzen, sind schlicht unzulässig. Dazu gehören Social-Scoring-Systeme staatlicher Behörden, manipulative KI, die Verhalten unbewusst steuert, sowie biometrische Echtzeit-Überwachung im öffentlichen Raum (mit engen Ausnahmen). Diese Verbote gelten seit Februar 2025.

Hohes Risiko – strenge Anforderungen Das ist die Kategorie, die die meisten Unternehmen betrifft. KI-Systeme mit hohem Risiko sind solche, die in sensiblen Bereichen eingesetzt werden und erhebliche Auswirkungen auf Menschen haben können:

  • KI in der Personalentscheidung (Recruiting, Leistungsbewertung, Kündigung)
  • KI in der Kreditvergabe und Bonitätsbewertung
  • KI in medizinischen Diagnose- und Behandlungsentscheidungen
  • KI in der Strafverfolgung und Grenzkontrolle
  • KI in kritischer Infrastruktur (Energie, Wasser, Verkehr)
  • KI in Bildung und Berufsausbildung

Für Hochrisiko-KI gelten ab August 2026 strenge Pflichten: Risikobewertung, Dokumentation, menschliche Aufsicht, Datensatzmanagement und mehr.

Begrenztes Risiko – Transparenzpflichten Hier geht es vor allem um Offenlegung. Wer mit einem KI-System interagiert, muss wissen, dass es sich um KI handelt. Chatbots, KI-generierte Texte und synthetische Medien fallen in diese Kategorie.

Minimales Risiko – keine besonderen Pflichten Der weitaus größte Teil aller KI-Anwendungen – Spamfilter, Empfehlungsalgorithmen, einfache Automatisierungen – fällt hier rein. Keine spezifischen Anforderungen, freiwillige Verhaltenskodizes empfohlen.


Der Zeitplan: Was wann gilt

Viele Unternehmen haben das Gefühl, noch Zeit zu haben. Das täuscht. Der AI Act folgt einem gestaffelten Einführungsplan, der bereits läuft:

Februar 2025 – in Kraft getreten Die Verbote für inakzeptable Risiken gelten. Wer Social Scoring betreibt oder verbotene biometrische Systeme einsetzt, ist bereits heute im Rechtsbruch.

August 2025 – GPAI-Regelungen Anforderungen für Anbieter sogenannter General Purpose AI Models (GPAI) – also große Sprachmodelle wie GPT oder Claude – sind seit August 2025 verbindlich. Betroffen sind vor allem Anbieter, die solche Modelle in Europa vermarkten. Für Unternehmen, die diese Modelle nutzen, gelten abgestufte Pflichten.

August 2026 – Hochrisiko-KI Ab diesem Datum gelten die vollen Anforderungen für Hochrisiko-KI-Systeme. Das ist der wichtigste Stichtag für die meisten Unternehmen – und er rückt näher, als es sich anfühlt.

2027 – Weitere Bereiche Bestimmte eingebettete KI-Systeme und spezifische Sektoren folgen mit weiteren Übergangsfristen.

Wer heute noch nichts unternommen hat, hat für Hochrisiko-KI noch etwas mehr als ein Jahr. Das klingt komfortabel – ist es aber nicht, wenn man bedenkt, dass vollständige Compliance umfangreiche Dokumentation, technische Anpassungen und organisatorische Veränderungen erfordert.


Die drei häufigsten Missverständnisse in Unternehmen

In der Beratungspraxis begegnen uns immer wieder dieselben Fehlannahmen. Sie sind verständlich – aber gefährlich.

Missverständnis 1: „Wir setzen KI nur intern ein, das betrifft uns nicht."

Falsch. Der AI Act unterscheidet nicht zwischen internem und externem Einsatz. Ein KI-System, das intern zur Leistungsbewertung von Mitarbeitenden genutzt wird, ist genauso reguliert wie eines, das Kundenentscheidungen trifft. Entscheidend ist das Risiko – nicht die Sichtbarkeit nach außen.

Missverständnis 2: „Wir kaufen KI ein, nicht entwickeln sie – also sind wir nicht verantwortlich."

Teilweise falsch. Der AI Act unterscheidet zwischen Anbietern (die KI entwickeln) und Betreibern (die KI einsetzen). Betreiber tragen eigene Pflichten: Sie müssen sicherstellen, dass das eingesetzte System für den vorgesehenen Zweck geeignet ist, sie müssen Risiken bewerten und Mitarbeitende schulen. „Ich habe das System nur eingekauft" ist keine ausreichende Verteidigung.

Missverständnis 3: „Das ist ein IT-Thema."

Grundlegend falsch. Compliance mit dem AI Act ist eine Führungsaufgabe. Sie erfordert die Zusammenarbeit von Rechtsabteilung, HR, IT, Datenschutz und Fachabteilungen. Wer das Thema allein in die IT-Abteilung delegiert, wird scheitern – weil die notwendigen Entscheidungen über Risikotoleranz, Prozessverantwortung und Dokumentationspflichten auf Managementebene getroffen werden müssen.


Was konkret verlangt wird: Die Kernpflichten für Hochrisiko-KI

Für Unternehmen, die Hochrisiko-KI einsetzen oder entwickeln, ist der Anforderungskatalog umfangreich. Hier die wichtigsten Pflichten im Überblick:

Risikomanagementsystem Ein kontinuierliches System zur Identifikation, Bewertung und Minimierung von Risiken muss etabliert und dokumentiert sein. Es reicht nicht, einmal eine Risikoanalyse zu machen – das System muss laufend aktualisiert werden.

Datenqualität und Datensatzmanagement Die Trainingsdaten, Validierungsdaten und Testdaten müssen bestimmten Qualitätsanforderungen genügen. Biases müssen erkannt und dokumentiert werden. Für Unternehmen, die Modelle von Drittanbietern einsetzen, bedeutet das: Sie müssen verstehen, womit das Modell trainiert wurde.

Technische Dokumentation Eine umfassende technische Dokumentation muss vorliegen und auf Anfrage von Behörden zugänglich sein. Diese umfasst die Systembeschreibung, den Anwendungsbereich, die verwendeten Daten, die technische Architektur und die Ergebnisse von Tests.

Transparenz gegenüber Nutzern Betreiber von Hochrisiko-KI müssen sicherstellen, dass die betroffenen Personen wissen, dass sie mit einem KI-System interagieren oder dass Entscheidungen KI-gestützt sind. In bestimmten Fällen besteht ein Recht auf Erklärung.

Menschliche Aufsicht Hochrisiko-KI muss so konzipiert sein, dass sie von Menschen überwacht, korrigiert oder deaktiviert werden kann. Das ist kein rein technisches Thema – es erfordert auch klare organisatorische Prozesse: Wer überwacht? Nach welchen Kriterien? Was passiert bei Auffälligkeiten?

Robustheit, Genauigkeit, Cybersicherheit Das System muss nachweislich präzise, robust gegenüber Fehleingaben und gegen unbefugten Zugriff geschützt sein.

Konformitätsbewertung und CE-Kennzeichnung Für bestimmte Hochrisiko-Kategorien ist eine formale Konformitätsbewertung erforderlich – entweder durch Selbstbewertung oder durch eine notifizierte Stelle. Das Ergebnis ist eine EU-Konformitätserklärung und ggf. eine CE-Kennzeichnung.

Registrierung in der EU-Datenbank Hochrisiko-KI-Systeme müssen in einer zentralen EU-Datenbank registriert werden.


Was Unternehmen jetzt konkret tun sollten

Compliance mit dem AI Act ist kein Sprint – es ist ein strukturierter Prozess. Hier sind die Schritte, die jetzt sinnvoll sind:

Schritt 1: KI-Inventar erstellen

Bevor irgendetwas anderes passiert, müssen Unternehmen wissen, welche KI-Systeme sie überhaupt einsetzen. Das klingt trivial, ist es aber nicht. In vielen Unternehmen werden KI-Tools dezentral eingekauft, von einzelnen Abteilungen genutzt oder als Feature in bestehende Softwareprodukte eingebettet – oft ohne zentrale Kenntnis der IT oder des Managements.

  • Welche KI-Systeme sind im Einsatz (inkl. eingebetteter KI in Standardsoftware)?
  • Wer hat sie beschafft, wer nutzt sie, für welchen Zweck?
  • Von welchen Anbietern stammen sie, und welche Dokumentation liegt vor?

Schritt 2: Risikoklassifizierung durchführen

Für jedes identifizierte System muss bewertet werden: In welche Risikokategorie fällt es? Diese Bewertung sollte nicht allein von der IT-Abteilung vorgenommen werden, sondern unter Einbeziehung von Datenschutz, Recht und den jeweiligen Fachabteilungen.

Ein wichtiger Hinweis: Dieselbe KI-Technologie kann je nach Anwendungsfall in unterschiedliche Risikokategorien fallen. Ein Sprachmodell, das für die interne Wissenssuche genutzt wird, ist anders zu bewerten als dasselbe Modell, das Personalentscheidungen unterstützt.

Schritt 3: Governance-Strukturen aufbauen

Compliance mit dem AI Act braucht klare Verantwortlichkeiten. Unternehmen sollten:

  • Eine oder mehrere Personen benennen, die für AI-Compliance verantwortlich sind (in größeren Unternehmen ggf. eine dedizierte Rolle oder ein AI-Governance-Team)
  • Interne Richtlinien für den KI-Einsatz entwickeln
  • Prozesse für die Beschaffung neuer KI-Systeme definieren (inkl. Compliance-Prüfung vor dem Kauf)
  • Schulungsprogramme für Mitarbeitende etablieren

Schritt 4: Dokumentation aufbauen

Für Hochrisiko-Systeme muss die technische und prozessuale Dokumentation aufgebaut werden. Das ist zeitaufwendig – insbesondere wenn eingekaufte Systeme betroffen sind, bei denen Informationen vom Anbieter eingeholt werden müssen. Frühzeitig anfangen zahlt sich aus.

Schritt 5: Lieferanten und Anbieter prüfen

Wer KI einkauft, trägt Mitverantwortung. Unternehmen sollten ihre KI-Anbieter aktiv auf deren Compliance-Status hin prüfen und in Verträgen festschreiben, welche Dokumentation und Informationen sie als Betreiber benötigen. Anbieter, die keine belastbaren Antworten geben können, sind ein Risiko – technisch und rechtlich.


Die Konsequenzen bei Nicht-Compliance

Der AI Act ist kein zahnloser Tiger. Die Bußgeldrahmen sind erheblich:

  • Verstöße gegen die Verbote für inakzeptable Risiken: bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes
  • Verstöße gegen die Pflichten für Hochrisiko-KI: bis zu 15 Millionen Euro oder 3 % des globalen Jahresumsatzes
  • Falsche oder unvollständige Angaben gegenüber Behörden: bis zu 7,5 Millionen Euro oder 1 % des globalen Jahresumsatzes

Hinzu kommen Reputationsschäden, mögliche zivilrechtliche Haftung und – bei KI mit Auswirkungen auf Arbeitnehmer – arbeitsrechtliche Konsequenzen.


Wie eine KI-Plattform bei Compliance unterstützt

Ein strukturierter Ansatz zur AI-Compliance ist ohne die richtige technische Infrastruktur kaum umsetzbar. roosi AIOS wurde von Grund auf mit den Anforderungen des EU AI Act im Blick konzipiert:

  • Audit-Trails: Jede Entscheidung und Aktion von KI-Systemen wird lückenlos protokolliert und ist nachvollziehbar
  • Zugriffs- und Rollenmanagement: Klare Steuerung, wer welches KI-System nutzen darf und wer Aufsichtsfunktionen hat
  • Dokumentationsunterstützung: Strukturierte Vorlagen und Prozesse für die technische Dokumentation von KI-Systemen
  • DSGVO-konforme Datenverarbeitung: Datenschutz und AI Act-Compliance greifen ineinandererzählen
  • Human-in-the-Loop-Mechanismen: Konfigurierbare Kontrollpunkte für kritische Entscheidungen

Compliance ist kein Wettbewerbsnachteil. Unternehmen, die frühzeitig in belastbare Governance-Strukturen investieren, schaffen Vertrauen – bei Kunden, Partnern und Mitarbeitenden.


Fazit: Der AI Act ist eine Chance zur Professionalisierung

Es wäre bequem, den EU AI Act als lästige Regulierung zu betrachten, die Innovation bremst. Aber diese Sichtweise greift zu kurz.

Der AI Act zwingt Unternehmen, sich ernsthaft mit der Frage auseinanderzusetzen, welche KI-Systeme sie einsetzen, welche Risiken damit verbunden sind und wer dafür Verantwortung trägt. Das sind Fragen, die verantwortungsvoll handelnde Unternehmen ohnehin beantworten sollten.

Wer jetzt handelt, baut nicht nur Compliance auf – er baut Vertrauen. In die eigenen Systeme, in die eigene Organisation und in die Technologie, die in den nächsten Jahren eine immer größere Rolle spielen wird.

 Die Unternehmen, die 2026 gut aufgestellt sind, werden nicht die sein, die am wenigsten KI einsetzen. Es werden die sein, die KI am strukturiertesten, transparentesten und verantwortungsvollsten einsetzen. 

 Sie möchten wissen, wo Ihr Unternehmen beim Thema AI-Compliance heute steht? Unsere Experten begleiten Sie von der ersten Bestandsaufnahme bis zur vollständigen Compliance-Struktur – pragmatisch, verständlich und auf Ihren konkreten Kontext zugeschnitten. Kontaktieren sie uns jetzt.