- Ein KI-System nach Artikel 3(1) der KI-VO ist ein System, das aus Eingaben ableitet, wie Ausgaben zu erzeugen sind. Das ist der entscheidende Unterschied zu klassischer Software.
- Excel mit Formeln ist kein KI-System. Excel mit integriertem Machine-Learning-Modell kann eines sein.
- Viele Unternehmenstools, die nicht explizit als "KI" vermarktet werden, fallen unter die Verordnung.
- Die Frage, ob ein System als KI gilt, bestimmt direkt, welche Compliance-Pflichten gelten.
Warum diese Frage so wichtig ist
Bevor ein Unternehmen prüfen kann, ob es vom EU AI Act betroffen ist, muss es eine grundlegendere Frage beantworten: Was ist überhaupt ein KI-System im Sinne der Verordnung?
Die Antwort bestimmt alles Weitere. Wer nicht weiß, was unter den Begriff fällt, kann weder ein vollständiges KI-Inventar anlegen noch eine Risikoklassifizierung vornehmen. Und ohne diese Grundlagen ist kein strukturierter Compliance-Prozess möglich.
In der Praxis entsteht dabei regelmäßig Verwirrung in zwei Richtungen: Manche Unternehmen gehen davon aus, fast alle ihre Softwaretools seien KI-Systeme und überschätzen ihren Compliance-Aufwand erheblich. Andere übersehen, dass bestimmte eingekaufte Standardsoftware längst KI-Funktionen enthält und unterschätzen ihre Betroffenheit.
Die rechtliche Definition nach Artikel 3(1)
Die Verordnung (EU) 2024/1689 definiert in Artikel 3 Absatz 1:
„'KI-System' bezeichnet ein maschinengestütztes System, das für einen in unterschiedlichem Grad autonomen Betrieb ausgelegt ist und das nach seiner Markteinführung Anpassungsfähigkeit zeigen kann und das aus den Eingaben, die es erhält, ableitet, wie es Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen."
Drei Merkmale müssen zusammenkommen:
Erstens: Maschinengestütztheit. Dieses Merkmal ist recht trivial. Da jede Software maschinengestützt ist.
Zweitens: Autonomer Betrieb. Das System handelt in gewissem Grad eigenständig. Die Krux ist, dass "in gewissem Grad" nicht weiter ausgeführt ist.
Drittens: Ableitung (Inferenz). Das System leitet aus Eingaben ab, wie Ausgaben zu erzeugen sind. Es folgt nicht einfach fest programmierten Regeln, sondern schlussfolgert.
Dieses dritte Merkmal ist das entscheidende Abgrenzungskriterium.
Vermutlich lässt sich nach diesen Kriterien jede Software als KI definieren. Wir empfehlen Unternehmen deshalb, ihre Definition von KI zu verfeinern und dieses transparent zu dokumentieren.
Das Schlüsselmerkmal: Inferenz statt Regelwerk
Erwägungsgrund 12 der KI-VO präzisiert, was mit Ableitung gemeint ist und was nicht:
„Der Begriff 'KI-System' sollte klar von einfacheren herkömmlichen Softwaresystemen und Programmieransätzen abgegrenzt werden. Insbesondere ist das Hauptmerkmal von KI-Systemen die Fähigkeit zur Schlussfolgerung, die es ermöglicht, aus Eingaben Ausgaben abzuleiten."
Der Unterschied lässt sich an einem einfachen Beispiel zeigen:
Ein klassisches Regelwerk sagt: Wenn der Kreditbetrag über 50.000 Euro liegt und die Bonität unter Stufe B liegt, lehne ab. Das Ergebnis ist vollständig durch die einprogrammierten Regeln bestimmt. Kein Lernprozess, keine Ableitung.
Ein KI-basiertes Kreditscoring-Modell hingegen lernt aus tausenden historischen Kreditentscheidungen, welche Merkmalskombinationen mit Ausfällen korrelieren — und leitet daraus für jeden neuen Antrag eine Empfehlung ab. Das Ergebnis ist nicht durch Regeln vorherbestimmt, sondern wird aus Mustern abgeleitet.
Diese Unterscheidung Regelausführung versus Ableitung aus Daten ist das Herzstück der rechtlichen Abgrenzung.
Was kein KI-System ist
Folgende Systemtypen fallen laut Erwägungsgrund 12 der KI-VO nicht unter die Definition:
- Regelbasierte Systeme mit fest programmierten If-then-else-Logiken
- Klassische Suchmaschinen-Algorithmen ohne Lernkomponente
- Entscheidungsbäume ohne maschinelles Lernen
- Reine Datenbankabfragen und -aggregationen
- Traditionelle Statistiksoftware ohne ML-Komponente
- Standard-Tabellenkalkulationen mit Formeln
- Versicherungspreismodelle mit rein linear-regressiven Modellen (General Linear Models)
Der Bitkom hat in seinem Umsetzungsleitfaden zur KI-Verordnung für deutsche Unternehmen eine hilfreiche Orientierung veröffentlicht: Entscheidend ist nicht die Bezeichnung eines Tools als "KI" durch den Hersteller, sondern ob technisch eine Inferenz stattfindet.
Praxisbeispiele für KI-Systeme
| Tool / Anwendung | KI-System? | Begründung |
|---|---|---|
| Excel mit Formeln (SUMME, WENN, SVERWEIS) | Nein | Rein regelbasiert, deterministisch |
| Excel mit Pivot-Tabellen und Power Query | Nein | Datenaggregation, keine Inferenz |
| SAP-Workflows mit festen Genehmigungsregeln | Nein | Regelbasiert, kein Lernmechanismus |
| Einfache Chatbots (Entscheidungsbaum) | Nein | Deterministisch, keine Ableitung |
| Regelbasierte Spam-Filter (Blacklist) | Nein | Mustererkennung ohne ML |
| ChatGPT / Claude / Gemini | Ja | Large Language Model, inferiert Ausgaben |
| Microsoft Copilot | Ja | LLM-Integration, eindeutig KI-System |
| Gmail-/Outlook-Spamfilter (ML-basiert) | Ja | Bayesische Klassifikation, Inferenz |
| Predictive Analytics (z.B. Salesforce Einstein) | Ja | Leitet Vorhersagen aus historischen Daten ab |
| HR-Scoring-Software (automatisierte Bewerbungsauswahl) | Ja | Inferenz-basiertes Ranking |
| Kreditscoring-Modelle (ML-basiert) | Ja | Ableitung aus Antragsdaten |
| Anomalieerkennung in Sicherheitssystemen (ML) | Ja | Ableitung aus Verhaltensdaten |
Der Excel-Grenzfall
Excel ist das meistgenutzte Datenwerkzeug in deutschen Unternehmen und gleichzeitig das häufigste Beispiel in Abgrenzungsfragen zum EU AI Act.
Standard-Excel ist kein KI-System. Eine Formel wie =WENN(A1>1000;"Hochwertig";"Standard") folgt einer fest programmierten Regel. Das Ergebnis ist vollständig durch den eingegebenen Ausdruck bestimmt. Keine Ableitung, keine Autonomie, kein KI-System.
Excel kann ein KI-System werden sobald eine Inferenz-Komponente hinzukommt:
- Excel + Python (ab Microsoft 365): Wer Python-Bibliotheken wie scikit-learn oder TensorFlow in Excel nutzt und damit ein ML-Modell trainiert oder inferiert, betreibt ein KI-System innerhalb der Tabellenkalkulation.
- Excel + Azure Machine Learning Plugin: Wird ein extern trainiertes Modell in eine Excel-Zelle eingebettet und liefert Vorhersagen, fällt das Ergebnis unter die KI-Definition.
- Excel "Ideas"-Funktion: Das von Microsoft integrierte KI-gestützte Analysefeature, das Muster erkennt und Empfehlungen generiert, nutzt im Hintergrund KI-Modelle von Microsoft.
Die entscheidende Frage lautet immer: Findet eine Ableitung statt, oder werden nur fest kodierte Regeln ausgeführt?
Was das für Ihr Unternehmen bedeutet
Die Bundesnetzagentur als zuständige deutsche KI-Aufsichtsbehörde empfiehlt Unternehmen, mit einer systematischen Bestandsaufnahme zu beginnen: Welche Tools werden im Unternehmen genutzt und welche davon könnten KI-Systeme im Sinne der Verordnung sein?
Das Fraunhofer IAIS, das zur KI-Abgrenzung publiziert hat, weist auf ein häufig übersehenes Muster hin: Moderne ERP-, CRM- und HR-Systeme enthalten zunehmend eingebettete KI-Funktionen auch wenn sie nicht explizit als KI-Produkte vermarktet werden. Wer SAP S/4HANA, Salesforce oder Workday mit aktivierten KI-Modulen betreibt, ist Betreiber eines KI-Systems.
Für Unternehmen ergibt sich daraus eine konkrete erste Aufgabe: Bei jedem im Unternehmen eingesetzten Softwaretool ist zu prüfen, ob es Funktionen enthält, die auf maschinellem Lernen basieren oder aus Eingaben Ausgaben ableiten. Hersteller-Dokumentationen, Datenblätter und Lizenzbedingungen sind dabei häufig die erste Informationsquelle.
Wer ein vollständiges KI-Inventar anlegen möchte, muss mit dieser Frage beginnen. Alles andere — Risikoklassifizierung, Pflichtenzuordnung, Dokumentation — baut darauf auf.
Dieser Beitrag ist Teil der REGULIGHT Blogserie zum EU AI Act. Im nächsten Beitrag klären wir, wie Unternehmen in drei Schritten prüfen können, ob und wie sie konkret vom EU AI Act betroffen sind.
Weiter lesen: Gilt der EU AI Act auch für Ihr Unternehmen? So finden Sie es in 3 Schritten heraus
Häufig gestellte Fragen
Was ist ein KI-System nach dem EU AI Act? Ein KI-System nach Artikel 3(1) der Verordnung (EU) 2024/1689 ist ein maschinengestütztes System, das für einen in unterschiedlichem Grad autonomen Betrieb ausgelegt ist und aus Eingaben ableitet, wie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu erzeugen sind. Das entscheidende Merkmal ist die Fähigkeit zur Ableitung (Inferenz) im Unterschied zu klassischer regelbasierter Software.
Zählt Excel als KI-System nach dem EU AI Act? Standard-Excel mit Formeln ist kein KI-System, da es rein regelbasiert und deterministisch arbeitet. Excel kann jedoch zum KI-System werden, wenn es mit Machine-Learning-Komponenten verbunden ist, etwa durch Python-Integration mit scikit-learn, Azure ML Plugins oder die integrierte "Ideas"-Funktion von Microsoft 365.
Was ist der Unterschied zwischen KI und klassischer Software? Klassische Software führt fest programmierte Regeln deterministisch aus. Das Ergebnis ist vollständig durch den Code bestimmt. KI-Systeme hingegen leiten aus Eingaben ab, wie Ausgaben zu erzeugen sind. Sie lernen aus Daten und erzeugen Ergebnisse, die nicht vollständig durch explizite Regeln vorherbestimmt sind.
Welche Unternehmenstools fallen typischerweise unter den EU AI Act? Typische KI-Systeme im Unternehmenskontext sind: ChatGPT und andere Large Language Models, Microsoft Copilot, KI-gestützte Bewerberauswahl und HR-Scoring-Tools, ML-basierte Kreditscoring-Modelle, Predictive Analytics-Lösungen, ML-basierte Spam- und Anomaliefilter sowie Empfehlungssysteme. Standard-ERP, regelbasierte Workflows und klassische Tabellenkalkulationen fallen in der Regel nicht darunter.
Muss ein Tool explizit als "KI" bezeichnet werden, um unter den EU AI Act zu fallen? Nein. Entscheidend ist die technische Funktionsweise, nicht die Produktbezeichnung. Viele Softwareprodukte enthalten KI-Funktionen, ohne dies prominent zu kommunizieren. Unternehmen sollten Hersteller-Dokumentationen prüfen, ob maschinelles Lernen oder Inferenz-Mechanismen zum Einsatz kommen.
Quellen
- Verordnung (EU) 2024/1689, Artikel 3(1) — Definition KI-System — EUR-Lex
- Verordnung (EU) 2024/1689, Erwägungsgrund 12 — Abgrenzung — EUR-Lex
- Kommissionsvorschlag COM/2021/206 mit Anhang I — EUR-Lex
- Bitkom: Umsetzungsleitfaden KI-Verordnung — 2024
- Bundesnetzagentur: Hochrisiko-KI-Systeme
- Fraunhofer IAIS: Vertrauenswürdige KI
- EU AI Act Service Desk — Artikel 3 Definitionen — EU-Kommission
- artificialintelligenceact.eu — Artikel 3