- Laut dem Statistischen Bundesamt nutzen bereits 20 % aller deutschen Unternehmen KI-Technologien, bei Großunternehmen sind es 48 %
- Der EU AI Act unterscheidet nicht nach Unternehmensgröße: KMU unterliegen denselben Pflichten wie Konzerne
- Die meisten Unternehmen sind Betreiber eingekaufter KI, viele wissen es oft nicht
- Drei Schritte reichen aus, um den eigenen Compliance-Handlungsbedarf zu bestimmen
Warum viele Unternehmen ihre Betroffenheit unterschätzen
"Wir entwickeln keine KI. Das betrifft uns nicht."
Dieser Satz fällt in Beratungsgesprächen regelmäßig, und er ist in den meisten Fällen falsch.
Der EU AI Act unterscheidet nicht nur zwischen Unternehmen, die KI entwickeln, und solchen, die sie kaufen. Er erfasst ausdrücklich alle Unternehmen, die KI-Systeme einsetzen, unabhängig davon ob sie diese selbst entwickelt haben. Wer ChatGPT im Kundendienst nutzt, ein HR-Tool mit automatisiertem Bewerber-Scoring einsetzt oder Kreditentscheidungen mit KI-Unterstützung trifft, unterliegt dem EU AI Act. Als Betreiber.
Laut einer Deloitte-Studie haben 48,6 Prozent der deutschen Unternehmen noch keine konkreten Umsetzungsmaßnahmen ergriffen, nicht weil die meisten nicht betroffen sind, sondern weil viele ihre Betroffenheit noch nicht erkannt haben.
Wer ist laut EU AI Act betroffen?
Artikel 2 der Verordnung (EU) 2024/1689 legt den Anwendungsbereich fest. Betroffen sind:
- Anbieter, die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen, unabhängig davon ob sie ihren Sitz in der EU oder in einem Drittland haben
- Betreiber, die KI-Systeme in der EU einsetzen
- Importeure und Händler von KI-Systemen in der EU
- Unternehmen aus Drittländern, deren KI-Systeme Ausgaben erzeugen, die in der EU genutzt werden
Das Prinzip ist dasselbe wie bei der DSGVO: Es gilt das Marktortprinzip. Wer in der EU tätig ist oder an EU-Nutzer liefert, ist betroffen, unabhängig vom Unternehmenssitz.
Ausnahmen bestehen für: militärische und nationale Sicherheitszwecke, rein private nicht-berufliche Nutzung, wissenschaftliche Forschung vor dem Inverkehrbringen sowie bestimmte Open-Source-Systeme (außer bei Hochrisiko- oder verbotenen Praktiken).
Schritt 1: Setzen Sie KI-Systeme ein?
Der erste Schritt ist die Bestandsaufnahme: Welche der im Unternehmen genutzten Tools sind KI-Systeme im Sinne der Verordnung?
Wie in unserem vorherigen Beitrag erläutert, definiert Artikel 3(1) KI-Systeme über das Merkmal der Ableitung (Inferenz): Ein System, das aus Eingaben schlussfolgert, wie Ausgaben wie Vorhersagen, Empfehlungen oder Entscheidungen zu erzeugen sind.
Für die Praxis bedeutet das: Nicht jede Software ist ein KI-System. Excel mit Formeln nicht. Ein regelbasierter ERP-Workflow nicht. Aber ChatGPT, Copilot, ML-basierte HR-Scoring-Tools, KI-gestützte Kreditprüfung und Predictive-Analytics-Lösungen sehr wohl.
Die erste Aufgabe ist eine vollständige Liste aller im Unternehmen eingesetzten Softwaretools mit der Frage: Enthält dieses Tool eine KI-Komponente im Sinne der Verordnung? Hersteller-Dokumentationen und Produktdatenblätter sind dabei der erste Anhaltspunkt.
Schritt 2: In welcher Rolle agieren Sie?
Sobald feststeht, welche KI-Systeme im Einsatz sind, folgt die Rollenzuordnung. Der EU AI Act kennt vier Rollen:
| Rolle | Definition | Typisches Szenario |
|---|---|---|
| Anbieter | Entwickelt ein KI-System und bringt es unter eigenem Namen auf den Markt | Softwareanbieter mit eingebetteter KI-Funktion |
| Betreiber | Setzt ein KI-System im beruflichen Kontext für eigene Zwecke ein | Unternehmen, das ChatGPT, Copilot oder HR-KI nutzt |
| Importeur | In der EU ansässig, bringt ein KI-System aus einem Drittland in Verkehr | EU-Tochter eines US-KI-Anbieters |
| Händler | Gibt KI-Systeme weiter, ohne sie zu entwickeln oder zu importieren | Reseller von KI-Software |
Die Realität im deutschen Mittelstand: Die überwiegende Mehrheit der Unternehmen ist Betreiber. Sie kaufen oder mieten KI-Systeme ein, nutzen sie für eigene Zwecke und bringen sie nicht selbst in den Markt. Das schränkt die Pflichten ein gegenüber Anbietern, hebt sie aber nicht auf.
Ein Unternehmen kann gleichzeitig in mehreren Rollen agieren: als Betreiber von eingekaufter HR-KI und als Anbieter einer selbst entwickelten KI-Funktion im eigenen Produkt.
Schritt 3: Welche Risikoklasse gilt für Ihr System?
Die Pflichten, die aus dem EU AI Act entstehen, hängen maßgeblich davon ab, in welche Risikoklasse das jeweilige KI-System fällt. Die Verordnung unterscheidet vier Stufen:
Stufe 1 — Verbotene KI-Praktiken (Artikel 5, seit 2. Februar 2025 bußgeldbewehrt)
Bestimmte KI-Anwendungen sind vollständig verboten. Dazu gehören Social Scoring, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum, Emotionserkennung am Arbeitsplatz sowie Systeme, die Schwächen bestimmter Personengruppen ausnutzen. Verstöße können mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden.
Stufe 2 — Hochrisiko-KI (Anhang III, vollständige Pflichten ab 2. August 2026)
Hochrisiko-KI-Systeme sind erlaubt, aber nur unter strengen Auflagen. Anhang III der Verordnung listet acht Bereiche, darunter: KI im Personalwesen, in der Kreditvergabe, in der Versicherungswirtschaft, im Gesundheitswesen, in der Bildung sowie bei Behörden.
Für Betreiber von Hochrisiko-KI gelten unter anderem: Pflicht zur menschlichen Aufsicht, Protokollierung für mindestens sechs Monate, Datenschutz-Folgenabschätzung bei personenbezogenen Daten und AI-Literacy-Schulungen für alle Mitarbeitenden, die mit dem System arbeiten.
Stufe 3 — Begrenzt riskante KI (Artikel 50)
Hauptsächlich Transparenzpflichten: Nutzer müssen informieren, dass sie mit einem KI-System interagieren. KI-generierte Inhalte wie Deep Fakes müssen als solche gekennzeichnet werden.
Stufe 4 — Minimal riskante KI
Für die große Mehrheit der KI-Systeme im Unternehmensalltag, etwa KI-gestützte Spam-Filter oder Autokorrektur, gelten keine spezifischen Pflichten.
Die häufigsten Irrtümer
Irrtum 1: "Wir entwickeln keine KI — uns betrifft das nicht." Der EU AI Act erfasst ausdrücklich auch Betreiber. Wer KI einsetzt, ist betroffen, unabhängig davon, ob er sie selbst entwickelt hat.
Irrtum 2: "Wir sind zu klein für dieses Gesetz." Die Verordnung unterscheidet nicht nach Unternehmensgröße. Auch ein Unternehmen mit 30 Mitarbeitern, das eine KI-gestützte Kreditprüfungs- oder HR-Lösung einsetzt, unterliegt den entsprechenden Betreiberpflichten.
Irrtum 3: "Wir nutzen nur Standard-Software." Moderne ERP-, CRM- und HR-Systeme von Anbietern wie SAP, Salesforce oder Workday enthalten zunehmend integrierte KI-Funktionen. Wer diese mit aktivierten KI-Modulen betreibt, ist Betreiber eines KI-Systems nach der Verordnung.
Irrtum 4: "Der AI Act gilt erst ab 2026." Falsch. Die AI-Literacy-Pflicht nach Artikel 4 gilt seit dem 2. Februar 2025. Wer heute KI-Systeme ohne entsprechende Schulungen betreibt, riskiert bereits eine Pflichtverletzung.
Irrtum 5: "Wir sitzen außerhalb der EU." Wie bei der DSGVO gilt das Marktortprinzip: Wer KI-Systeme anbietet, deren Ausgaben in der EU genutzt werden, unterliegt der Verordnung, unabhängig vom Unternehmenssitz.
Was jetzt zu tun ist
Der EU AI Act Service Desk der Europäischen Kommission und die Bundesnetzagentur als zuständige deutsche Aufsichtsbehörde stellen Orientierungshilfen für Unternehmen bereit.
Wer mit der Bestandsaufnahme beginnen möchte, braucht keine umfangreiche Vorbereitung. Die drei Schritte aus diesem Beitrag sind der vollständige Einstieg: Inventar anlegen, Rolle bestimmen, Risikoklasse zuordnen. Wer das für die eigenen Systeme durchgeführt hat, weiß wo er steht, und kann priorisieren statt ins Blaue zu planen.
Dieser Beitrag ist Teil der REGULIGHT Blogserie zum EU AI Act. Im nächsten Beitrag klären wir den wichtigsten Rollenunterschied im Detail: Was unterscheidet KI-Anbieter von KI-Betreibern und welche Pflichten entstehen daraus?
Weiter lesen: Anbieter oder Betreiber: Wer sind Sie und was bedeutet das für Ihre Pflichten?
Häufig gestellte Fragen
Gilt der EU AI Act auch für kleine Unternehmen? Ja. Die Verordnung (EU) 2024/1689 macht keine Ausnahme nach Unternehmensgröße. Auch KMU, die Hochrisiko-KI-Systeme einsetzen, unterliegen den vollen Betreiberpflichten. Bei Bußgeldern gilt jeweils der niedrigere der beiden Beträge (Festbetrag oder Umsatzprozentsatz).
Wir kaufen KI-Software ein, entwickeln aber selbst nichts. Sind wir trotzdem betroffen? Ja. Der EU AI Act erfasst ausdrücklich Betreiber, also Unternehmen, die KI-Systeme einsetzen, ohne sie selbst entwickelt zu haben. Wer eine KI-gestützte HR-, Kredit- oder Analysesoftware nutzt, ist Betreiber und unterliegt den entsprechenden Pflichten nach Artikel 26 der Verordnung.
Was sind verbotene KI-Praktiken nach dem EU AI Act? Seit dem 2. Februar 2025 bußgeldbewehrt verboten sind: Social Scoring, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum, Emotionserkennung am Arbeitsplatz, unterschwellige Manipulation sowie das Ausnutzen von Schwächen bestimmter Personengruppen. Verstöße können mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden.
Welche Fristen muss ich als Betreiber einhalten? Die AI-Literacy-Pflicht (Artikel 4) gilt seit 2. Februar 2025. Die vollständigen Pflichten für Betreiber von Hochrisiko-KI-Systemen nach Anhang III gelten ab 2. August 2026. Für Bestandssysteme gilt die Übergangsfrist bis 2. August 2027.
Gilt der EU AI Act auch für Unternehmen außerhalb der EU? Ja. Wie bei der DSGVO gilt das Marktortprinzip: Unternehmen in Drittländern, die KI-Systeme anbieten, deren Ausgaben in der EU genutzt werden, unterliegen der Verordnung, unabhängig vom Unternehmenssitz.
Quellen
- Verordnung (EU) 2024/1689, Artikel 2 — Anwendungsbereich
- Verordnung (EU) 2024/1689, Anhang III — Hochrisiko-Liste
- Verordnung (EU) 2024/1689, Artikel 5 — Verbotene Praktiken
- Statistisches Bundesamt: Jedes fünfte Unternehmen nutzt KI
- Deloitte Legal: Umfrage EU AI Act 2024
- Bundesnetzagentur: Hochrisiko-KI-Systeme
- EU AI Act Service Desk — Artikel 3 Definitionen
- TÜV: Die vier Risikostufen des EU AI Act