Beyond Prompt AI Studio

AI verantwortungsvoll einsetzen

Der EU AI Act – was Unternehmen wirklich betrifft

Kaum ein Regelwerk erzeugt gerade so viel diffuse Nervosität wie der EU AI Act – und kaum eines wird so oft falsch verstanden. „Das kostet Millionen Strafe“ und „dann müssen wir alles zertifizieren lassen“ stimmen für die allermeisten Unternehmen schlicht nicht. Dieses Modul ordnet ein, was wirklich zählt.

Breiter = hier landen typischerweise mehr Anwendungen

Tippe auf eine Stufe, um Beispiele und Pflichten zu sehen.

Vier Beispiele – zum Merken

Kein zweites Datenschutzgesetz

Der wichtigste erste Punkt: Der AI Act ist kein zweites Datenschutzgesetz. Die DSGVO (siehe Modul 7) fragt, ob personenbezogene Daten rechtmäßig verarbeitet werden. Der AI Act fragt etwas anderes – ob ein KI-System als Produkt sicher, nachvollziehbar und fair eingesetzt wird. Es ist Produktsicherheitsrecht, näher an einer Maschinen- oder Spielzeugrichtlinie als an der DSGVO – abgestuft nach dem Risiko, das von einem System ausgeht. Dasselbe System kann beide Regelwerke gleichzeitig auslösen, aber mit unterschiedlicher Logik.

Die Risikopyramide

Der AI Act staffelt alle Pflichten nach Risiko in vier Stufen: verboten, hochriskant, begrenztes Risiko, minimales Risiko. Die entscheidende und selten klar ausgesprochene Erkenntnis: Der typische Unternehmens-Einsatz von KI – ein Team nutzt einen Chat-Assistenten, ein Chatbot beantwortet Standardfragen, eine Automatisierung sortiert E-Mails – landet fast immer in den unteren beiden Stufen. Nicht aus Glück, sondern weil „Hochrisiko“ im Gesetz sehr eng und über eine konkrete Liste definiert ist. Der erste sinnvolle Schritt ist deshalb kein Compliance-Projekt, sondern eine ehrliche Inventur: Welche KI-Systeme setzen wir wo ein, und in welche Stufe fällt jedes?

Wichtiger als das Risiko: deine Rolle

Der Aufwand, den der AI Act dir tatsächlich abverlangt, hängt weniger vom Risiko ab als von deiner Rolle. Das Gesetz unterscheidet vor allem den Anbieter (entwickelt ein KI-System und bringt es unter eigenem Namen auf den Markt) und den Betreiber (nutzt ein KI-System für eigene Zwecke). Wer KI einkauft und einsetzt, ist Betreiber – und hat selbst im Hochrisiko-Fall deutlich leichtere Pflichten. Die schweren Pflichten wie technische Dokumentation, Konformitätsbewertung und CE-Kennzeichnung treffen fast nur Anbieter. Die vielzitierte CE-Kennzeichnung ist Aufgabe dessen, der das System herstellt, nicht dessen, der es benutzt.

Die Falle: unbemerkt zum Anbieter werden

Die praktisch wichtigste, am wenigsten diskutierte Erkenntnis: Man kann die Grenze vom Betreiber zum Anbieter überschreiten, ohne es zu merken – etwa indem man ein Hochrisiko-System unter eigenem Namen einsetzt, es wesentlich verändert oder ein Modell nachtrainiert. Dann greifen plötzlich die schweren Anbieter-Pflichten. Für Unternehmen, die eigene Anwendungen auf KI bauen, gehört diese Linie an den Anfang eines Projekts, nicht in eine nachträgliche Prüfung, wenn Architektur und Branding längst stehen.

Die eine Pflicht, die schon heute gilt

Während alle auf die großen Hochrisiko-Fristen starren, ist eine Pflicht längst in Kraft und trifft ausnahmslos jedes Unternehmen, das KI einsetzt – unabhängig von der Risikostufe: die AI-Kompetenz-Pflicht (AI Literacy). Kern: Unternehmen müssen dafür sorgen, dass ihre Mitarbeitenden ausreichend kompetent mit den eingesetzten KI-Systemen umgehen – nicht als Zertifikat, aber als nachweisbar getroffene Maßnahme. Es genügt in der Regel nicht, den Leuten einfach die Bedienungsanleitung zu geben. Diese Pflicht ist im Verhältnis zu ihrer Wirkung günstig umzusetzen (strukturierte, dokumentierte interne Schulung) und wird von fast allen übersehen. Wer im ganzen AI Act nur eine Sache anpackt, sollte es diese sein.

Warum das für dich als Entscheider zählt

Der AI Act verlangt für den Normalfall weit weniger, als die Schlagzeilen vermuten lassen – aber er verlangt, die eigene Lage zu kennen: Welche Systeme, welche Risikostufe, welche Rolle? Der Rechtsrahmen selbst wird gerade laufend angepasst (Fristen verschieben sich, Formulierungen werden entschärft), weshalb „wir warten, bis alles final ist“ die falsche Strategie ist – ein Teil gilt längst. Die kluge Konsequenz ist nicht Stillstand, sondern flexibel zu bauen: KI so einzuführen, dass sich Rolle, Einstufung und Nachweise nachrüsten lassen. Die konkreten Fristen, Bußgeldhöhen und Artikel findest du im verlinkten Artikel – dieses Modul gibt dir das dauerhafte Gerüst dahinter.

Das Wichtigste in Kürze

  • Der EU AI Act ist Produktsicherheitsrecht für KI, kein Datenschutzgesetz – er staffelt Pflichten nach Risiko (verboten / hoch / begrenzt / minimal).
  • Die meisten Unternehmensanwendungen liegen in den unteren beiden Stufen – „Hochrisiko“ ist eng und über eine konkrete Liste definiert.
  • Nicht das Risiko allein entscheidet über deinen Aufwand, sondern deine Rolle: Betreiber (leichte Pflichten) vs. Anbieter (schwere Pflichten).
  • Die Falle: unbemerkt zum Anbieter werden – etwa durch eigenen Namen, wesentliche Änderung oder Nachtrainieren eines Modells.
  • Eine Pflicht gilt schon heute für alle, die KI einsetzen: die AI-Kompetenz-Pflicht – Mitarbeitende müssen kompetent mit KI umgehen können.

Der EU AI Act: Was Unternehmen wirklich wissen müssen – und was nur Panik ist

Kurz-Check: Hast du es verstanden?

1 / 3

Was regelt der EU AI Act im Kern?

Baut ihr eigene KI-Anwendungen und wollt Rolle und Risiko von Anfang an richtig einordnen?