EU AI Act: Was Unternehmen jetzt wissen und umsetzen müssen

Künstliche Intelligenz hat längst Einzug in den Alltag von Unternehmen gehalten – vom automatisierten Kundenservice über intelligente HR-Tools bis hin zu komplexen Datenanalysen. Was lange als Zukunftstechnologie galt, ist heute Standardwerkzeug. Aber mit der wachsenden Nutzung steigt auch die Verantwortung im Umgang mit diesen Systemen. Die Europäische Union reagiert darauf mit dem EU AI Act – einem Gesetzeswerk, das erstmals einen einheitlichen Rechtsrahmen für die Entwicklung, den Einsatz und die Kontrolle von KI schaffen soll.

Besonders für Unternehmen stellt sich jetzt die Frage: Was bedeutet das neue Gesetz konkret für uns? Welche Anforderungen müssen wir erfüllen – und wie bleiben wir compliant? In diesem Beitrag fassen wir die wichtigsten Inhalte, Pflichten und Handlungsempfehlungen für Unternehmen zusammen. Dabei richten wir den Fokus auf praxisnahe Orientierung – speziell für alle, die keine großen Rechtsabteilungen oder internen KI-Experten beschäftigen.

Ein neuer Ordnungsrahmen für eine transformative Technologie

Der EU AI Act verfolgt ein zentrales Ziel: den sicheren, transparenten und menschenzentrierten Einsatz von künstlicher Intelligenz in der EU zu gewährleisten. Anders als bei früheren Regulierungen geht es hier nicht um pauschale Verbote, sondern um ein fein austariertes System der Risikobewertung. Der Rechtsrahmen unterscheidet zwischen verschiedenen Risikoklassen – von minimalen Risiken bis hin zu Anwendungen, die ein inakzeptables Risiko für Grundrechte oder gesellschaftliche Stabilität darstellen. Im Zentrum steht ein risikobasierter Ansatz, der sich daran orientiert, wie potenziell gefährlich ein KI-System im jeweiligen Anwendungskontext ist. Der große Vorteil dieses Modells: Es ermöglicht den Einsatz von KI, setzt aber dort klare Grenzen, wo die Technologie erhebliche negative Auswirkungen auf Menschen haben kann – etwa im Bereich des Social Scorings, der biometrischen Überwachung oder automatisierten Entscheidungsfindung ohne menschliche Kontrollinstanz. Dabei zeigt sich: Die meisten Systeme, die heute in Unternehmen eingesetzt werden – etwa Chatbots, Spracherkennung oder automatisierte Textgenerierung – fallen in die Kategorie "minimales Risiko". Das bedeutet: Sie dürfen weiterhin genutzt werden, allerdings unter Berücksichtigung bestimmter Sorgfaltspflichten.

Die Risikoklassen im Überblick: Was gilt für welche KI?

Der EU AI Act unterscheidet vier zentrale Risikostufen:

1. Verbotene-KI-Systeme

   Dazu zählen etwa Systeme zur Echtzeit-Überwachung oder solche, die Menschen anhand von Verhalten, Aussehen oder anderen persönlichen Merkmalen bewerten (Social Scoring). Diese Anwendungen sind in der EU grundsätzlich nicht erlaubt.

2. Hochrisiko-Systeme

   Systeme, die im Bildungs-, Gesundheits- oder Finanzwesen eingesetzt werden und direkte Auswirkungen auf Lebensverhältnisse haben, gelten als hochrisikobehaftet. Unternehmen, die solche Systeme entwickeln oder einsetzen, müssen umfangreiche Nachweispflichten erfüllen – inklusive Dokumentation, Monitoring und ggf. externer Zertifizierung.

3. Begrenztes Risiko

   Diese Systeme – z. B. KI-gestützte Empfehlungstools oder digitale Assistenten – müssen bestimmte Transparenzpflichten einhalten. Nutzerinnen und Nutzer sollen klar erkennen können, dass sie es mit einem KI-System zu tun haben.

4. Minimales Risiko

   Der Großteil der heute verbreiteten KI-Anwendungen – wie einfache Chatbots oder Analyse-Tools – fällt unter diese Kategorie. Hier sind keine besonderen regulatorischen Maßnahmen erforderlich, es gelten jedoch grundlegende Anforderungen an Sorgfalt und Transparenz.

Für Unternehmen ist vor allem relevant, dass nicht nur das System selbst, sondern auch dessen Nutzungskontext über die Risikoklasse entscheidet. Ein und dasselbe Tool kann je nach Einsatzgebiet unterschiedlichen Anforderungen unterliegen. Deshalb ist eine saubere Klassifizierung und Dokumentation der eigenen Systeme unerlässlich.

Was Unternehmen jetzt tun müssen

Die konkreten Anforderungen an Unternehmen hängen stark davon ab, ob man als Entwickler, Betreiber oder Nutzer eines KI-Systems auftritt. Für die meisten Unternehmen gilt: Sie nutzen bestehende Lösungen – etwa von Softwareanbietern oder Plattformen – und sind damit nicht direkt für deren technische Ausgestaltung verantwortlich. Trotzdem haben sie Verantwortung für den Einsatz und die Auswahl dieser Tools.

Kernpflichten umfassen u. a.:

• Verifizierung der Risikoklasse von eingesetzten Systemen

• Nachweis der Sorgfaltspflicht im Auswahlprozess von Anbietern

• Schulung und Aufklärung der Mitarbeitenden über den korrekten Umgang mit KI

• Transparenz gegenüber Endnutzer:innen, wenn KI zum Einsatz kommt

Hilfreich sind dabei Tools wie der EU AI Risk Navigator (u. a. vom TÜV Süd), mit dem Unternehmen ihre Systeme anhand eines strukturierten Fragebogens vorklassifizieren können. Auch sogenannte AI-Compliance-Sheets, die Anbieter zur Verfügung stellen, helfen dabei, eine erste Einschätzung zur Einstufung und Konformität eines KI-Systems zu gewinnen.

Der KI-Kompass als strukturierter Einstieg

Gerade für kleine und mittlere Unternehmen sowie öffentliche Einrichtungen stellt sich oft nicht nur die Frage der Einhaltung gesetzlicher Vorgaben – sondern vor allem: Wo kann KI in unserem Alltag überhaupt sinnvoll eingesetzt werden? Welche Anwendungsfälle bringen echten Mehrwert, ohne gleich riesige Investitionen oder Spezialwissen zu erfordern?

Um hier Orientierung zu schaffen, haben wir den KI-Kompass entwickelt – ein strukturiertes Beratungs- und Umsetzungsformat, das Organisationen Schritt für Schritt dabei unterstützt, den eigenen Status Quo zu erfassen, konkrete KI-Potenziale zu identifizieren und umsetzbare Use Cases bis zur Pilotierung zu entwickeln. Der KI-Kompass bietet einen klar definierten Fahrplan – vom Readiness-Check über die Ideenentwicklung bis hin zur Priorisierung und prototypischen Umsetzung der vielversprechendsten Lösungen. Dabei werden nicht nur technische Aspekte, sondern auch Schulungsbedarfe, Change Management und Investitionsabschätzung systematisch berücksichtigt.

Das Ergebnis: Eine fundierte, realistische KI-Roadmap, die zur eigenen Organisation passt – und mit der Sie nicht nur gesetzeskonform, sondern zukunftsgerichtet arbeiten können.

👉 Jetzt mehr erfahren: unser KI-Kompass-Workshop

Organisation und Governance: Wer trägt die Verantwortung?

Auch wenn der AI Act keine Pflicht zur Benennung eines speziellen Beauftragten vorsieht, empfiehlt es sich für Unternehmen, intern eine klare Governance-Struktur zu etablieren. Das kann bedeuten, dass ein „EU AI Act Verantwortlicher“ benannt wird – vergleichbar mit einem Datenschutzbeauftragten – oder dass ein interdisziplinäres Team regelmäßig die eingesetzten Systeme überprüft und dokumentiert. Gerade in kleineren Unternehmen kann es zudem sinnvoll sein, auf externe Expertise zurückzugreifen – etwa durch spezialisierte Berater oder technische Partner mit KI- und Compliance-Know-how. Die EU empfiehlt ausdrücklich, ein sogenanntes „Steering Board“ einzurichten, das technische, rechtliche und ethische Fragen gemeinsam bewertet.

Und wenn’s schief geht? Risiken und Sanktionen bei Verstößen

Auch wenn die finale Festlegung der Sanktionen zum Zeitpunkt der Veröffentlichung noch nicht in allen Details vorliegt, ist bereits klar: Verstöße gegen den AI Act können empfindliche Strafen nach sich ziehen. Die Bußgeldrahmen orientieren sich teilweise an der DSGVO – mit potenziellen Summen im Millionenbereich. Das bedeutet für Unternehmen: Je früher sie sich mit den Anforderungen auseinandersetzen, desto besser sind sie abgesichert – rechtlich wie reputativ.

Der AI Act ist Chance und Verpflichtung zugleich

Der EU AI Act ist kein Innovationsverhinderungsgesetz – im Gegenteil: Er schafft Klarheit, Struktur und Vertrauen für den Einsatz von KI in Europa. Für Unternehmen bedeutet das in erster Linie, Verantwortung zu übernehmen und die eigenen Prozesse transparent zu gestalten. Wer jetzt handelt, kann nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen von Kund:innen, Partnern und Mitarbeitenden stärken. Ob Sie KI schon nutzen oder deren Einführung planen: Nutzen Sie die Zeit bis zur vollständigen Inkraftsetzung, um Ihre Systeme zu prüfen, Risiken einzuordnen und Compliance-Maßnahmen zu etablieren. Der AI Act bietet dafür nicht nur Pflichten – sondern auch einen klaren Rahmen für nachhaltige Innovation.

Sie möchten KI langfristig und strategisch im Unternehmen verankern? Unser Whitepaper zur Künstlichen Intelligenz zeigt, wie Unternehmen KI-Modelle, Anwendungsfelder und konkrete Strategien erfolgreich in die Praxis bringen.