Mit dem Inkrafttreten des AI Act setzt die EU erstmals verbindliche Regeln für den Umgang mit Künstlicher Intelligenz. Ziel ist es, Vertrauen zu schaffen, Risiken zu minimieren und den sicheren Einsatz von KI in der Wirtschaft zu fördern. Was viele überrascht: Die Anforderungen gelten nicht nur für große Tech-Konzerne, sondern explizit auch für kleine und mittlere Unternehmen.
Egal ob in der Personalabteilung, im Kundenservice oder in der Produktentwicklung – überall dort, wo KI-Systeme eingesetzt werden, müssen Unternehmen jetzt prüfen, in welche Risikokategorie die Anwendung fällt und welche Pflichten damit verbunden sind.
Wer ist betroffen?
Der AI Act betrifft alle Unternehmen, die KI-basierte Systeme entwickeln, einsetzen oder in Prozesse integrieren – ganz unabhängig von der Unternehmensgröße. Betroffen sind z. B. Anwendungen im Recruiting, bei der Kundenanalyse oder im Support, vor allem wenn dabei generative Sprachmodelle wie ChatGPT oder Copilot genutzt werden.
Auch Unternehmen, die KI-Tools von externen Anbietern verwenden, sind in der Pflicht: Sie müssen nachvollziehen können, wie diese Tools funktionieren und in welche Risikoklasse sie eingeordnet werden.
Risikoklassen entscheiden über Pflichten
Ein zentrales Element des AI Act ist die Einteilung von KI-Systemen in vier Risikokategorien:
- Verbotene Systeme: etwa für Social Scoring oder versteckte Manipulation
- Hochriskant: z. B. bei Kreditvergabe, Personalbewertung oder Bildung
- Begrenzt riskant: etwa Chatbots oder automatisierte Empfehlungssysteme
- Minimales Risiko: z. B. KI in Spamfiltern oder Videospielen
Je höher das Risiko, desto strenger die Pflichten. Wer ein hochriskantes KI-System einsetzt, muss z. B. eine Risikoanalyse durchführen, die Datenherkunft dokumentieren und regelmäßige Audits ermöglichen.
Transparenzpflicht: KI muss erkennbar sein
Ein wichtiger Punkt des AI Acts ist die sogenannte Transparenzpflicht. Nutzerinnen und Nutzer müssen in Zukunft klar erkennen können, wenn sie es mit einem KI-System zu tun haben – zum Beispiel bei automatisch erstellten Texten, Chatbots oder synthetisch generierten Bildern. Auch Deepfakes oder KI-generierte Stimmen dürfen nicht mehr ohne Kennzeichnung eingesetzt werden.
Was passiert bei Verstößen?
Die EU meint es ernst: Wer gegen die Anforderungen des AI Acts verstößt, riskiert hohe Strafen. Bei besonders schweren Verstößen können bis zu 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes fällig werden. Unternehmen sollten sich daher frühzeitig mit dem Gesetz befassen und prüfen, welche Tools betroffen sind.
Fristen und Übergangszeiten
Die ersten Vorgaben des AI Acts gelten bereits seit Februar 2025. Weitere Pflichten – insbesondere für Hochrisiko-Anwendungen – greifen ab August 2026. Für viele Unternehmen bleibt also noch Zeit, sich vorzubereiten. Trotzdem ist es sinnvoll, schon jetzt eine interne Bestandsaufnahme zu starten und Verantwortlichkeiten zu klären.
Handlungsempfehlung für Unternehmen
- Prüft, welche KI-Tools ihr bereits einsetzt
- Lasst euch vom Anbieter die Risikoeinstufung und Dokumentation bestätigen
- Führt eine interne Risikoanalyse für KI-Prozesse durch
- Schult Mitarbeitende im Umgang mit transparenten und sicheren KI-Systemen
- Entwickelt eine KI-Strategie, die Sicherheit und Innovation verbindet
Fazit: Jetzt ist der richtige Zeitpunkt zum Handeln
Der AI Act ist ein Gamechanger – nicht nur rechtlich, sondern auch strategisch. Wer heute klug handelt, kann das Vertrauen von Kunden, Partnern und Mitarbeitenden stärken und gleichzeitig die Weichen für eine verantwortungsvolle KI-Nutzung stellen. Unternehmen, die den Wandel aktiv gestalten, verschaffen sich einen echten Wettbewerbsvorteil.
