Der Compliance-Fahrplan für Business-Teams
Der EU AI Act ist seit August 2024 in Kraft. Die Übergangsfristen laufen. Ab August 2026 greifen die meisten Pflichten verbindlich. Für viele Unternehmen klingt das noch weit weg. Es ist es nicht.
Wer ist betroffen?
Jedes Unternehmen, das KI-Systeme in der EU entwickelt, vertreibt oder nutzt. Die Verordnung gilt extraterritorial – auch für Anbieter außerhalb Europas, deren KI-Output in der EU verwendet wird. Microsoft in Seattle? Betroffen. Mittelständler in München, der ChatGPT für Kundenservice nutzt? Ebenfalls.
Die Rolle entscheidet über die Pflichten. Anbieter (Provider) entwickeln oder vertreiben KI-Systeme unter eigenem Namen – sie tragen die umfangreichsten Verpflichtungen. Betreiber (Deployer) nutzen KI-Systeme in eigenen Geschäftsprozessen – auch sie haben Pflichten, vor allem bei Hochrisiko-Systemen. Importeure und Händler bringen Dritt-KI in die EU – sie haften mit.
Die Annahme „Wir nutzen nur externe Tools, das betrifft uns nicht“ ist falsch. Auch wer ausschließlich SaaS-Lösungen einsetzt, muss Transparenzpflichten erfüllen, menschliche Aufsicht gewährleisten und Mitarbeitende schulen.
Was ist Hochrisiko-KI?
Der AI Act klassifiziert KI-Systeme nach Risiko in vier Stufen.
Verboten (unannehmbares Risiko): Social Scoring, Emotionserkennung am Arbeitsplatz oder in Schulen, ungezieltes Scraping von Gesichtsbildern, manipulative KI. Diese Systeme dürfen nicht eingesetzt werden. Punkt. Verstöße kosten bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.
Hochrisiko: KI in kritischer Infrastruktur, Medizingeräten, Personalauswahl, Kreditwürdigkeitsprüfung, Bildungsbewertung, Strafverfolgung. Diese Systeme sind erlaubt, aber streng reguliert. Sie brauchen Konformitätsbewertung, CE-Kennzeichnung, Registrierung in einer EU-Datenbank, Risikomanagement-System, technische Dokumentation, Protokollierung und menschliche Aufsicht.
Begrenztes Risiko: Chatbots, Deepfakes, KI-generierte Inhalte. Hier gilt vor allem Transparenzpflicht – Nutzer müssen erkennen können, dass sie mit KI interagieren.
Minimales Risiko: Spam-Filter, KI-gestützte Videospiele. Keine speziellen Auflagen.
Welche Pflichten gelten konkret?
Für Betreiber von Hochrisiko-KI (die große Mehrheit deutscher Unternehmen fällt in diese Rolle, wenn sie etwa KI-basiertes Recruiting nutzen):
Nutzung gemäß Gebrauchsanweisung des Anbieters. Grundrechtsfolgenabschätzung vor Inbetriebnahme bei sensiblen Anwendungen. Menschliche Aufsicht durch geschultes Personal. Protokollaufbewahrung mindestens sechs Monate. Vorfallmeldung an Anbieter und Behörden bei Risiken oder schwerwiegenden Vorfällen. Informationspflicht gegenüber Mitarbeitenden über KI-Einsatz am Arbeitsplatz.
Für alle Unternehmen, die KI nutzen:
AI-Literacy-Schulungen für Mitarbeitende (seit Februar 2025 Pflicht). Ernennung eines AI-Compliance-Verantwortlichen. Dokumentation aller eingesetzten KI-Systeme – welche Systeme, welche Zwecke, welche Entscheidungen. Transparenzkennzeichnung bei Chatbots und synthetischen Inhalten. Regelmäßige Überprüfung der Systeme auf Bias, Fairness, Datenschutz.
Der Timeline-Fehler
Viele Teams denken: „August 2026, wir haben noch Zeit.“ Drei Irrtümer.
Erstens: Einige Pflichten gelten bereits. Verbotene Praktiken seit Februar 2025. AI-Literacy-Schulungen ebenfalls. GPAI-Regeln (General Purpose AI wie ChatGPT) seit August 2025.
Zweitens: Hochrisiko-KI braucht Vorlauf. Konformitätsbewertung, Dokumentation, Risikomanagement-Systeme aufsetzen – das dauert Monate, nicht Wochen.
Drittens: Für bestimmte produktrechtlich eingebettete Hochrisiko-Systeme (etwa KI-Komponenten in Medizingeräten) verschiebt sich die Frist auf August 2027. Das schafft trügerische Sicherheit – für die meisten Business-Anwendungen gilt 2026.
Was jetzt zu tun ist
Bestandsaufnahme: Welche KI-Systeme sind im Einsatz? Intern entwickelt oder extern bezogen? Welche Entscheidungen treffen sie?
Risikoklassifizierung: Welche Systeme fallen unter Hochrisiko? Anhang III der Verordnung listet Anwendungsfälle konkret auf.
Verantwortlichkeiten klären: Wer ist intern für AI-Governance zuständig? IT? Legal? Compliance? Fachabteilung?
Dokumentation aufbauen: Für jedes System Zweck, Datenquellen, Entscheidungslogik, Fehlerquoten dokumentieren.
Schulungen starten: Mitarbeitende müssen verstehen, was die eingesetzte KI tut und wo ihre Grenzen sind.
Der AI Act ist keine Zukunftsmusik. Er ist geltendes Recht mit gestaffelten Fristen. Wer jetzt anfängt, ist pünktlich. Wer wartet, kommt zu spät.