Keine Panik: Der EU AI Act und was Unternehmen wirklich wissen müssen

Keine Panik: Der EU AI Act und was Unternehmen wirklich wissen müssen

Kategorie: KI & Recht | Lesezeit: 5 Minuten | Veröffentlicht am: 20.032025

Kein Grund zur Panik – Der EU AI Act tritt in Kraft

Seit dem 2. Februar 2025 sind erste Bestimmungen des EU AI Acts in Kraft. In einigen Medien wird das Gesetz als Schreckgespenst für Unternehmen dargestellt. Doch die Realität sieht anders aus: Für die meisten Firmen ändert sich vorerst wenig. Tatsächlich haben die wenigsten Unternehmen überhaupt mit den nun verbotenen KI-Technologien zu tun. Viel wichtiger sind andere Herausforderungen – insbesondere beim Datenschutz und der unkontrollierten Nutzung von KI-Tools durch Mitarbeitende.

In diesem Artikel klären wir die wichtigsten Punkte und zeigen, worauf Unternehmen jetzt wirklich achten sollten.

Inhalt dieses Artikels

  1. Was regelt der AI Act wirklich?
  2. Was ist überhaupt ein KI-System?
  3. Welche KI-Technologien sind verboten – und warum das für die meisten Firmen irrelevant ist?
  4. Betreiber vs. Anwender: Die entscheidende Unterscheidung
  5. Warum der wahre Risikobereich oft übersehen wird
  6. Welche Strafen bei Verstößen drohen – und warum es Zeit gibt, sich vorzubereiten
  7. Wie Unternehmen mit Datenschutz und KI-Nutzung souverän umgehen können

Was regelt der AI Act wirklich?

Der AI Act enthält im Wesentlichen produktsicherheitsrechtliche Vorgaben für KI-Systeme, die in der EU genutzt werden. Die Idee dahinter ist, dass insbesondere Anbieter, Entwickler, Hersteller und Betreiber von KI-Systemen bereits vor Einführung eines Systems Anforderungen erfüllen müssen. So soll sichergestellt werden, dass die Systeme nach Markteinführung möglichst beherrschbar funktionieren – oder bei zu hohen Risiken gar nicht erst auf den Markt gelangen.

Ein entscheidendes Element des AI Acts ist die Bestimmung der Risikokategorie eines KI-Systems. Diese legt fest, welche Anforderungen gelten und ob ein System möglicherweise nicht zugelassen wird.

Was ist überhaupt ein KI-System?

Nicht jede Software mit Algorithmen ist automatisch eine KI. AI-Systeme werden getrennt von herkömmlichen Softwaresystemen oder einfachen regelbasierten Systemen betrachtet. Entscheidend ist die Fähigkeit der Systeme, aus Daten zu lernen, eigenständige Schlussfolgerungen zu ziehen oder sich anzupassen.

Mit der praktisch tätigen Naturwissenschaftlern eigenen Nüchternheit und Präzision definiert die von uns zur Lektüre nachdrücklich empfohlene ISO/IEC 22989:2022 (Information technology – Artificial intelligence – Artificial intelligence concepts and terminology) unter 3.1.4 den Begriff „AI System“ als:

„engineered system that generates outputs such as content, forecasts, recommendations or decisions for a given set of human-defined objectives“.

Dieser Definitionsrahmen ist weit gefasst. Falls Unternehmen ihr IT-System als KI-System kennzeichnen, können sie es ohne größere Risiken als solches vermarkten. Das bedeutet jedoch nicht, dass jede automatisierte Software oder jeder Algorithmus unter den AI Act fällt. Systeme, die lediglich auf von Menschen vorab festgelegten Regeln basieren, gelten nicht zwangsläufig als KI.

Ein Spamfilter beispielsweise basiert oft auf festen Regeln und wird daher nicht zwingend als KI-System eingestuft. Dagegen kann ein neuronales Netz zur Mustererkennung als KI gelten.

Welche KI-Technologien sind verboten – und warum das für die meisten Firmen irrelevant ist?

Die ersten in Kraft getretenen Bestimmungen des EU AI Acts betreffen ausschließlich KI-Systeme, die als „inakzeptabel riskant“ eingestuft werden. Dazu gehören:

  • Manipulative oder täuschende Systeme: KI-Anwendungen, die Menschen unbewusst beeinflussen oder in die Irre führen.
  • Social Scoring: Bewertungssysteme, die Individuen für öffentliche oder private Zwecke klassifizieren.
  • Biometrische Überwachung in Echtzeit: Gesichtserkennungssysteme, die ohne Zustimmung Menschen tracken.
  • Emotionserkennung am Arbeitsplatz: Systeme, die die Gefühlslage von Arbeitnehmern analysieren.
  • Predictive Policing: KI-basierte Vorhersagemodelle zur Beurteilung individueller Risiken für Straftaten.

Warum dies für die meisten Firmen irrelevant ist:

  1. Technologische Nischenanwendungen
    • Nur 12 % der EU-Unternehmen nutzen überhaupt biometrische Erkennung.
    • Social Scoring findet sich fast ausschließlich in autoritären Staaten, nicht in europäischen Geschäftsmodellen.
  2. Praktische Unternehmensprioritäten
    • Datenschutz-Compliance bei ChatGPT & Co. (69 % der Firmen fürchten IP-Leaks).
    • Hochrisiko-KI-Regulierung wie CV-Screening-Tools (müssen ab August 2025 dokumentiert werden).
    • Generative AI-Restriktionen: 27 % der Unternehmen verbieten KI-Modelle wie Claude/ChatGPT aus Angst vor Datenabfluss.
  3. Fehlender Bezug zu Kerngeschäften
    • Recruiting: Hochrisiko-KI (CV-Filterung) ist erlaubt, muss aber dokumentiert werden.
    • Kundenservice: Emotionale KI-Analysen sind verboten, einfache Chatbots jedoch weiterhin nutzbar.
    • Produktion: Predictive Maintenance fällt unter „begrenztes Risiko“ und bleibt unreguliert.

Betreiber vs. Anwender: Die entscheidende Unterscheidung

Der AI Act unterscheidet klar zwischen Anbietern (Providern) und Anwendern (Deployern) von KI-Systemen:

  • Anbieter (Provider): Entwickeln, vertreiben oder betreiben KI-Systeme – auch außerhalb der EU, wenn sie Auswirkungen im EU-Raum haben. Beispiele: OpenAI für ChatGPT oder Anthropic für Claude.
  • Anwender (Deployer): Unternehmen oder Organisationen, die KI-Systeme in ihrer Tätigkeit nutzen, z.B. für Kundeninteraktionen oder interne Prozesse. Ausnahme: Privatnutzer ohne beruflichen Kontext.

Praxisbeispiel Recruiting-KI:

  • Anbieter (z. B. HR-Softwarehersteller): Muss Algorithmus auf Diskriminierungsfreiheit trainieren, technische Dokumentation erstellen, Risikoanalysen durchführen.
  • Anwender (Unternehmen): Verpflichtet, Bewerbungsdaten auf Vollständigkeit zu prüfen, KI-Entscheidungen durch HR-Mitarbeiter validieren zu lassen und abgelehnte Kandidaten über den KI-Einsatz zu informieren.

Warum ist diese Unterscheidung wichtig? Weil Anbieter bereits vor der Markteinführung strenge Anforderungen erfüllen müssen, während Anwender vor allem auf einen rechtskonformen Einsatz achten müssen. Beide Parteien haften bei Verstößen, allerdings mit unterschiedlichen Sanktionshöhen und Compliance-Anforderungen.

Fazit: Ruhig bleiben und pragmatisch handeln

Der EU AI Act ist kein Grund zur Panik. Die meisten Unternehmen sind nicht von den neuen Verboten betroffen, sollten sich aber mit dem praktischen Umgang von KI in ihrem Unternehmen auseinandersetzen. Die wichtigsten Maßnahmen liegen im Bereich Datenschutz und der Schaffung klarer Regeln für den KI-Einsatz.

📌 Jetzt aktiv werden! Nutzen Sie die Übergangszeit, um sich strategisch auf die kommenden KI-Regulierungen vorzubereiten – und gleichzeitig die Chancen der Technologie bestmöglich zu nutzen.

Jetzt handeln – Lassen Sie sich beraten!

🔹 Sie sind unsicher, ob Ihre KI-Anwendungen konform mit dem EU AI Act sind?
🔹 Sie möchten wissen, welche Dokumentationspflichten für Ihr Unternehmen gelten?
🔹 Sie brauchen eine maßgeschneiderte Strategie zur KI-Compliance?

Lassen Sie uns Ihre KI-Compliance gemeinsam gestalten!

Kontaktieren Sie uns für ein unverbindliches Erstgespräch.

Jetzt Termin buchen

Lassen Sie uns gemeinsam dafür sorgen, dass Ihr Unternehmen den EU AI Act als Chance nutzt – und nicht als Herausforderung! 🚀