Mit dem AI Act hat die Europäische Union das weltweit erste umfassende Regelwerk für Künstliche Intelligenz geschaffen. Die gute Nachricht: Die Verordnung verbietet KI nicht, sie sortiert sie — nach Risiko. Die schlechte Nachricht: Viele Unternehmen nutzen bereits KI-Systeme, ohne sie je systematisch erfasst zu haben. Genau dort beginnt Compliance.
Das Risikoklassen-Modell verstehen
Der AI Act unterscheidet vier Stufen. Verbotene Praktiken wie Social Scoring spielen im Geschäftsalltag kaum eine Rolle. Hochrisiko-Systeme — etwa KI in der Personalauswahl, Kreditvergabe oder kritischen Infrastruktur — unterliegen strengen Anforderungen an Risikomanagement, Datenqualität, Dokumentation und menschliche Aufsicht. Systeme mit begrenztem Risiko wie Chatbots brauchen vor allem Transparenz: Nutzer müssen erkennen können, dass sie mit einer Maschine interagieren. Der große Rest gilt als minimales Risiko und bleibt weitgehend unreguliert.
Der blinde Fleck: KI, die schon da ist
In Projekten stellen wir regelmäßig fest: Die spannendste Frage ist nicht, welche KI ein Unternehmen einführen will, sondern welche es längst nutzt. Der Bewerbungsfilter im Recruiting-Tool, die Betrugserkennung im Zahlungsdienstleister, die Priorisierung im Ticketsystem — KI steckt heute in gekaufter Standardsoftware. Der erste Schritt zur Compliance ist deshalb ein KI-Inventar: Welche Systeme sind im Einsatz, was tun sie, wer ist verantwortlich, in welche Risikoklasse fallen sie?
Auch Anwender haben Pflichten
Ein verbreitetes Missverständnis lautet: Der AI Act betrifft nur Hersteller. Tatsächlich adressiert die Verordnung auch Betreiber — also Unternehmen, die KI-Systeme einsetzen. Bei Hochrisiko-Systemen gehören dazu etwa die bestimmungsgemäße Nutzung, die Sicherstellung menschlicher Aufsicht und die Sorgfalt bei Eingabedaten. Und unabhängig von der Risikoklasse gilt: Mitarbeitende, die mit KI arbeiten, müssen über ausreichende KI-Kompetenz verfügen — Schulung wird zur Pflicht, nicht zur Kür.
Governance schlank aufsetzen
Für die meisten mittelständischen Unternehmen braucht es kein KI-Compliance-Büro, sondern drei Bausteine: das erwähnte Inventar mit Risikoeinstufung, eine kurze interne Richtlinie für Beschaffung und Einsatz von KI und einen klaren Freigabeprozess für neue Anwendungsfälle. Wer das mit bestehenden Strukturen aus Datenschutz und Informationssicherheit verzahnt, vermeidet Doppelarbeit — DSGVO und AI Act überschneiden sich an vielen Stellen ohnehin.
Fazit
Der AI Act belohnt Unternehmen, die wissen, was ihre KI tut. Ein sauberes Inventar, klare Verantwortlichkeiten und geschulte Mitarbeitende decken den Großteil der Pflichten ab — und schaffen nebenbei die Grundlage, KI überhaupt strategisch zu nutzen. Wie wir dabei vorgehen, zeigen wir Ihnen gern: Kontakt aufnehmen.