KI-Gesetz der EU wird konkret – Unternehmen müssen KI-Einsatz prüfen

von | Jan. 6, 2026 | CB-KI, Consulting Briefing | 0 Kommentare

Table of Contents
2
3

Consulting Briefing: Thema des Tages

KI-Gesetz der EU wird konkret – Unternehmen müssen KI-Einsatz prüfen

Consulting Briefing: EU AI Act – Europas KI-Rechtsrahmen (und warum jetzt niemand mehr „Ach, das ist doch nur Hype“ sagen sollte)

Der EU AI Act ist so etwas wie die DSGVO für KI – nur mit mehr Kategorien, mehr Technik und deutlich mehr Stellen, an denen man sich als IT- und Compliance-Verantwortlicher denkt: „Das hätte ich gern gestern schon sauber inventarisiert.“ Europas Idee dahinter ist ziemlich klar: KI soll massenhaft genutzt werden, aber bitte so, dass Vertrauen nicht nur als Marketingwort existiert, sondern auch als belastbare Eigenschaft. Und ja: Nach dem großen KI-Feuerwerk der letzten Jahre (Hype, Heilsversprechen, „macht alles automatisch“, dann Überraschung über Bias und Halluzinationen) war absehbar, dass die EU das Thema nicht mehr der Freiwilligkeit überlässt. 

Warum der AI Act kommt: Vertrauen ist gut, Rechtsrahmen ist… europäisch

KI hat inzwischen eine unangenehme Superkraft: Sie kann Entscheidungen beeinflussen, ohne dass ein Mensch merkt, wie genau. Das ist in harmlosen Fällen nur nervig („Chatbot erfindet eine Antwort“). In kritischen Fällen wird es heikel: Bewerbervorauswahl, Kreditentscheidungen, Diagnostik, Infrastruktursteuerung – überall dort, wo Fehler nicht nur peinlich, sondern teuer oder gefährlich werden.

Der AI Act versucht deshalb, zwei Dinge gleichzeitig zu schaffen:

  1. Innovation nicht abwürgen (KI bleibt erlaubt, sogar ausdrücklich erwünscht),

  2. Risiken dort hart regulieren, wo Grundrechte, Sicherheit und Gesundheit betroffen sind.

Formal ist das Ganze eine EU-Verordnung: Regulation (EU) 2024/1689, veröffentlicht am 12. Juli 2024 im Amtsblatt; in Kraft getreten 20 Tage später.

Das Herzstück: Risikoklassen statt „KI ist KI“

Der AI Act arbeitet risikobasiert. Je höher das Risiko, desto mehr Pflichten. Klingt banal – ist aber praktisch die wichtigste Denkschule für die Vorbereitung im Unternehmen.

1) Unannehmbares Risiko: verboten

Hier ist die EU erstaunlich unromantisch: Bestimmte KI-Praktiken sind schlicht unzulässig. Dazu zählen unter anderem Social Scoring, manipulative Systeme, die Menschen gezielt täuschen oder Schwächen ausnutzen, und weitere klar benannte Verbote. 

Wichtig für den Maschinenraum: Diese Verbote gelten nicht erst „irgendwann“, sondern sind bereits in der frühen Umsetzungswelle scharf geschaltet (Stichtag 2. Februar 2025).

2) Hochrisiko: erlaubt, aber mit dicken Leitplanken

„Hochriskant“ heißt: Das System ist in Bereichen unterwegs, in denen Fehlentscheidungen erheblichen Schaden anrichten können (Beispiele: Medizin, bestimmte sicherheitskritische Komponenten, Teile von Personal-/Bewerbungsprozessen, kritische Infrastrukturen – die genaue Liste ist im Gesetz und seinen Anhängen geregelt). Dann gelten Anforderungen wie Risikomanagement, Datenqualität, technische Dokumentation, Protokollierung, menschliche Aufsicht und Konformitätsbewertung (vereinfacht gesagt: „Nachweisen, dass das Ding sich benimmt“).

Zeitlich relevant für Ihre Roadmap: Für viele Hochrisiko-Pflichten gelten längere Übergangsfristen; häufig wird 36 Monate nach Inkrafttreten als maßgeblicher Punkt genannt (also Richtung August 2027).

3) Begrenztes Risiko: Transparenzpflichten

Hier landen typischerweise Systeme, bei denen Nutzer wissen müssen, dass sie gerade mit KI sprechen oder KI Inhalte erzeugt/verändert (Chatbots, Deepfakes, generierte Medien). Pflicht ist dann vor allem: Transparenz, also Kennzeichnung und Information.

4) Minimales Risiko: weitgehend frei

Spamfilter, viele klassische Analysemodelle, „KI im Hintergrund“ ohne relevante Grundrechts- oder Sicherheitsrisiken: meist kaum zusätzliche Pflichten – aber Achtung: Das entbindet nicht von sauberer IT-Governance, Datenschutz und Security-by-Design.

Funktionen und Grenzen: Was der AI Act kann – und was nicht

Der AI Act regelt KI-Systeme (und zusätzlich Pflichten für General-Purpose AI / Foundation Models). Er ist kein Zauberstab gegen schlechte Prozesse. Wenn Ihr Fachbereich „KI“ ruft, aber keine Datenqualität, keine Verantwortlichkeiten und keine Teststrategie hat, macht der AI Act daraus keinen Goldbarren – nur ein Audit-Thema.

Neu und wichtig: Für General-Purpose AI gibt es eigene Pflichten und Aufsicht. Die EU hat dafür das European AI Office als zentrale Stelle in der Kommission positioniert (vor allem für GPAI-Modelle).

Und: Es gibt politisches Ringen um Details und Hilfestellungen (Code of Practice, Leitlinien). Das ändert aber nicht die Grundrichtung: Die EU hat öffentlich betont, dass sie am Zeitplan festhält – auch wenn Unternehmen und Verbände teils auf Verzögerung drängen.

Strategische Vorbereitung im Unternehmen: Das KI-Inventar ist Ihr neuer bester Freund

Wenn Sie nur eine Sache mitnehmen: Bauen Sie ein KI-Inventar. Nicht als Excel-Friedhof, sondern als lebendiges Register, das mindestens diese Fragen beantwortet:

  • Welche KI-Systeme nutzen wir (Eigenentwicklung, SaaS, eingebettete KI in Standardsoftware)?

  • Wofür werden sie genutzt (Use Case, betroffene Prozesse, betroffene Personengruppen)?

  • Welche Risikoklasse ist plausibel?

  • Wer ist fachlich verantwortlich, wer technisch, wer rechtlich?

  • Welche Daten gehen rein, was kommt raus, wie wird geloggt?

Das ist nicht nur „Compliance-Spielerei“. Das Inventar ist die Grundlage, um überhaupt entscheiden zu können, wo Sie investieren müssen: Logging, Erklärbarkeit, Testverfahren, Lieferantennachweise, Betriebsprozesse.

Bias-Prüfung und Dokumentation: Willkommen im Zeitalter der Begründungspflicht

Für viele KI-Anwendungen wird es normal, messbar zu dokumentieren:

  • Welche Trainings- oder Referenzdaten wurden verwendet (oder beim Anbieter eingefordert)?

  • Welche Qualitätsmetriken gelten (z. B. Genauigkeit, Fehlerraten, Drift-Indikatoren)?

  • Welche Tests wurden durchgeführt (auch auf Verzerrungen/Bias)?

  • Welche Grenzen sind bekannt („nicht für X verwenden“)?

Das ist fachlich unbequem, aber strategisch stark: Wer das sauber kann, beschleunigt Freigaben, reduziert Risiken und macht sich weniger abhängig von Bauchgefühl-Entscheidungen.

Auswirkungen auf Architektur, Governance, Betrieb und Budget

Architektur: Mehr Nachvollziehbarkeit, mehr Protokollierung

Je stärker KI Entscheidungen beeinflusst, desto mehr brauchen Sie technische Nachvollziehbarkeit. Praktisch heißt das oft:

  • zusätzliche Logging- und Audit-Trails,

  • Aufbewahrungs- und Zugriffskonzepte,

  • gegebenenfalls getrennte Pipelines für Trainings-/Test-/Produktionsdaten,

  • Monitoring für Modell-Drift und Qualität.

Governance: Rollen, Richtlinien, Beschaffung

Sehr wahrscheinlich wird es neue oder geschärfte Rollen geben: ein KI-Verantwortlicher (oder ein KI-Gremium) als Pendant zum Datenschutz: nicht identisch, aber ähnlich vom Prinzip „Zuständigkeit schlägt Hoffnung“. Dazu kommen Policies für:

  • Beschaffung („keine Blackbox-KI ohne Nachweise“),

  • Eigenentwicklung (Dokustandards, Testpflichten),

  • Betrieb (Incident-Prozesse, Change-Management, Re-Validierung).

Betrieb/Budget: Compliance kostet – Nichtstun kostet mehr

Der AI Act hat echte Zähne: Bei Verstößen drohen hohe Bußgelder, im Spitzenfall bis 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes (je nachdem, was höher ist).
Die eigentlichen Kosten im Alltag sind aber oft: Auditaufwand, Dokumentation, Tooling (Logging/Monitoring), Schulungen, Lieferantenmanagement und interne Abstimmungen.

Konkrete Empfehlungen: So werden Sie „AI Act ready“, ohne dass Ihr Kalender implodiert

  1. Interdisziplinäre Taskforce aufsetzen (IT, Legal, Compliance, Security, relevante Fachbereiche). Nicht als Diskussionsklub, sondern mit Mandat und festen Deliverables: Inventar, Risikoeinstufung, Maßnahmenplan.

  2. KI-Inventar starten – sofort. Erst grob, dann iterativ besser. Wichtig ist, dass Sie überhaupt Sichtbarkeit bekommen.

  3. „AI Act ready“ in Projekte einbauen: Bei neuen KI-Vorhaben schon in der Beschaffung/Architektur fragen: Erklärbarkeit? Logging? Nachweise vom Anbieter? Exit-Strategie?

  4. Schulungen durchführen: Kurz, praxisnah, rollenbasiert. Ziel: Jeder, der KI einkauft oder betreibt, versteht Risikoklassen und Mindestanforderungen.

  5. Kontakt zu Verbänden und Regulatorik-Kanälen halten: Leitlinien, Codes of Practice und nationale Umsetzung bewegen sich weiter. Wer dranbleibt, spart später hektische Nacharbeiten.

Der Wettbewerbsvorteil: Früh anfangen heißt später schneller liefern

Der AI Act ist kein Innovationskiller per Naturgesetz. Er ist eher ein Filter: Unternehmen, die früh Prozesse, Nachweise und Betriebsmodelle für KI aufbauen, werden KI schneller in die Fläche bringen – weil sie Freigaben, Risikoabwägungen und Audits nicht jedes Mal neu erfinden müssen. Während andere noch diskutieren, ob „KI“ ein Projekt oder ein Bauchgefühl ist, haben Sie schon Inventar, Standards und Messwerte.

Und das ist in bester Consulting-Briefing-Manier die eigentliche Pointe: Der AI Act zwingt nicht nur zu Compliance. Er zwingt zu Professionalität. Und Professionalität ist erstaunlich oft die kürzeste Abkürzung zu Tempo.

Anmelden zum Consulting Briefing per Mail

Wenn Sie kostenlos das tägliche Consulting Briefing von Ulrich Boddenberg per Mail erhalten möchten, melden Sie sich auf dieser Seite an.

Die zehn letzten Consulting Briefings