EU AI Act: Was DACH-Unternehmen jetzt konkret wissen müssen

Die Künstliche Intelligenz (KI) entwickelt sich rasant und prägt zunehmend unseren Alltag und unsere Arbeitswelt. Mit dieser Entwicklung gehen jedoch auch komplexe Fragen bezüglich Ethik, Sicherheit und Grundrechten einher. Als Reaktion darauf hat die Europäische Union nun einen regulatorischen Rahmen geschaffen, der weltweit als erster seiner Art gilt: Der EU AI Act, das Gesetz zur Künstlichen Intelligenz, wurde final verabschiedet. Diese formelle Annahme, die in den letzten 24 bis 48 Stunden in Fachmedien und politischen Erklärungen im DACH-Raum breit kommuniziert wurde, ist mehr als nur eine Randnotiz. Sie markiert den Übergang von einer abstrakten Debatte zu einer konkreten Verpflichtung für jedes Unternehmen in Deutschland, Österreich und der Schweiz, das KI entwickelt, vertreibt oder nutzt. Die damit verbundenen Umsetzungsfristen und Pflichten, die ab 2025 und insbesondere ab 2027 vollständig greifen, erfordern eine sofortige und strategische Auseinandersetzung in den Führungsetagen des Mittelstands. Es geht nicht mehr um das Ob, sondern um das Wie der Implementierung von KI im Einklang mit klaren gesetzlichen Vorgaben.

Der EU AI Act: Ein Fundament für vertrauenswürdige KI im DACH-Raum

Der EU AI Act ist das erste umfassende Regelwerk für Künstliche Intelligenz weltweit und setzt einen klaren Fokus auf die Förderung von vertrauenswürdiger KI. Sein Hauptziel ist es, Innovationen zu ermöglichen und gleichzeitig Grundrechte zu schützen. Das Kernstück der Verordnung ist ein risikobasierter Ansatz, der KI-Systeme je nach ihrem potenziellen Gefährdungsgrad für Menschen in verschiedene Stufen einteilt. Diese Klassifizierung ist entscheidend, denn sie bestimmt den Umfang der rechtlichen Anforderungen, die Unternehmen erfüllen müssen.

Das Gesetz unterscheidet vier Hauptkategorien von KI-Risiken:

* Inakzeptables Risiko: Systeme, die grundlegende Rechte verletzen oder manipulatives Verhalten fördern, sind strikt verboten. Dazu zählen etwa staatliches Social Scoring, manipulative KI, die das Verhalten von Personen unbewusst beeinflusst, oder biometrische Echtzeit-Fernüberwachung im öffentlichen Raum, wenngleich mit sehr engen Ausnahmen. Diese Verbote sind bereits seit Februar 2025 in Kraft getreten und erfordern sofortige Massnahmen, sollten solche Systeme im Einsatz sein.

* Hohes Risiko: Diese Kategorie ist für die überwiegende Mehrheit der DACH-Unternehmen am relevantesten und zieht die weitreichendsten Pflichten nach sich. Hierunter fallen KI-Systeme, die in sensiblen Bereichen eingesetzt werden und erhebliche Auswirkungen auf die Gesundheit, Sicherheit oder Grundrechte von Personen haben können. Beispiele hierfür sind KI in Personalentscheidungen, etwa bei der Rekrutierung, Leistungsbewertung oder sogar bei Kündigungen. Auch Systeme zur Kreditvergabe und Bonitätsbewertung, medizinische Diagnose- und Behandlungsentscheidungen sowie KI in kritischen Infrastrukturen wie Energie, Wasser oder Verkehr fallen in diese Kategorie. Für Hochrisiko-Systeme gelten strenge Anforderungen bezüglich Entwicklung, Tests, Dokumentation, Transparenz, menschlicher Aufsicht und Cybersicherheit. Unternehmen, die solche Systeme entwickeln (Anbieter) oder in ihrer wirtschaftlichen Tätigkeit nutzen (Betreiber), müssen detaillierte technische Dokumentationen erstellen und Konformitätsbewertungen durchführen. Eine kürzlich durchgeführte Studie zeigte, dass bei 40 Prozent der untersuchten Enterprise-KI-Systeme unklar war, welcher Risikoklasse sie zugeordnet werden, was den dringenden Handlungsbedarf verdeutlicht.

* Begrenztes Risiko: Hierzu zählen KI-Systeme wie Chatbots oder Deepfakes. Für sie bestehen primär Transparenzpflichten, die Nutzer darüber informieren sollen, dass sie mit einer KI interagieren oder Inhalte durch KI generiert wurden. Das Ziel ist es, Irreführung zu vermeiden und die Autonomie der Nutzer zu wahren.

* Minimales Risiko: Die meisten aktuell genutzten KI-Anwendungen fallen in diese Kategorie, beispielsweise Spam-Filter, Empfehlungsalgorithmen für Streaming-Dienste oder einfache Suchfunktionen. Für diese Systeme gelten nur sehr geringe oder gar keine spezifischen zusätzlichen Auflagen unter dem AI Act.

Die gestaffelte Einführung des AI Act bedeutet, dass Unternehmen bereits jetzt aktiv werden müssen, um die Konformität ihrer KI-Systeme sicherzustellen. Der Schwerpunkt liegt dabei klar auf den Hochrisiko-Systemen, deren Regulierung die grössten Anpassungen erfordert und die höchsten Anforderungen an die unternehmerische Sorgfaltspflicht stellt.

Konkrete Pflichten und verbindliche Fristen für DACH-Unternehmen

Die schrittweise Umsetzung des EU AI Act bedeutet für Unternehmen im DACH-Raum konkrete und verbindliche Pflichten, die nicht ignoriert werden dürfen. Während die Verbote für KI-Systeme mit inakzeptablem Risiko bereits seit Februar 2025 durchgesetzt werden, müssen sich Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder einsetzen, bis August 2027 vollständig an die neuen Vorgaben angepasst haben. Eine wichtige Übergangsregelung betrifft zudem Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI, GPAI), die vor dem 2. August 2025 in Verkehr gebracht wurden. Diese haben bis zum 2. August 2027 Zeit für die Anpassung an die neuen Regelungen. Diese Fristen sind knapp bemessen und erfordern proaktives Handeln.

Für sogenannte