EU AI Act: Was der DACH-Mittelstand jetzt wissen und tun muss

Der EU AI Act ist keine ferne Zukunftsmusik mehr. Diese weltweit erste umfassende Verordnung zur Regulierung künstlicher Intelligenz ist seit dem 1. August 2024 in Kraft getreten, mit ersten verbindlichen Regeln bereits ab Februar 2025. Für Unternehmen im deutschsprachigen Raum, insbesondere den Mittelstand, markiert dies einen entscheidenden Wendepunkt. Wer KI entwickelt, anbietet oder nutzt, steht vor der Aufgabe, seine Prozesse und Systeme auf Konformität zu prüfen und anzupassen. Die Zeit des Abwartens ist vorbei, es ist an der Zeit, sich den neuen Realitäten zu stellen und die eigenen KI-Strategien kritisch zu hinterfragen.

Die Einführung des EU AI Act bedeutet nicht nur potenzielle bürokratische Hürden, sondern auch eine Chance, Vertrauen in KI-Anwendungen zu schaffen und sich als verlässlicher Akteur zu positionieren. Unternehmen, die sich frühzeitig und strategisch mit den Anforderungen auseinandersetzen, können einen entscheidenden Wettbewerbsvorteil erzielen. Doch was bedeutet die Verordnung konkret für den Unternehmensalltag, und welche Schritte müssen jetzt unternommen werden?

Der EU AI Act: Ein risikobasierter Rahmen für vertrauenswürdige KI

Der am 12. Juli 2024 final veröffentlichte und am 1. August 2024 in Kraft getretene EU AI Act ist ein Novum im globalen Regulierungsdschungel. Er verfolgt einen prinzipiellen risikobasierten Ansatz. Dies bedeutet: Je höher das potenzielle Risiko eines KI-Systems für die Sicherheit, Gesundheit und Grundrechte von Menschen, desto strenger sind die damit verbundenen Anforderungen und Auflagen. Dieses Stufenmodell soll sicherstellen, dass Regulierung dort ansetzt, wo sie am dringendsten notwendig ist, ohne dabei Innovationen in risikoarmen Bereichen übermässig zu behindern.

Die Verordnung teilt KI-Systeme in vier Risikoklassen ein: inakzeptables Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Systeme mit inakzeptablem Risiko, wie etwa Social Scoring durch Behörden oder Manipulations-KI, sind grundsätzlich verboten. Systeme mit hohem Risiko unterliegen strengen Auflagen, die wir im nächsten Abschnitt detaillierter beleuchten werden. Für Systeme mit begrenztem Risiko gelten Transparenzpflichten, während Minimalrisiko-Systeme nur eingeschränkte Anforderungen erfüllen müssen, wie zum Beispiel die Einhaltung bestehender Gesetzgebung. Für Unternehmen ist es daher entscheidend, zunächst eine genaue Einordnung der eigenen oder genutzten KI-Systeme vorzunehmen.

Die EU-Mitgliedsstaaten sind seit dem Inkrafttreten dazu verpflichtet, die Verordnung in nationales Recht umzusetzen und Durchführungsbestimmungen zu schaffen. Die erste Welle von Regeln, insbesondere jene zu verbotenen KI-Praktiken und zum Code of Conduct, wurde bereits im Februar 2025 verbindlich. Die weitreichendsten Pflichten für Hochrisiko-Systeme treten schrittweise bis 2026 in Kraft. Dies mag auf den ersten Blick noch weit entfernt erscheinen, die Komplexität und der Umsetzungsaufwand erfordern jedoch einen sofortigen und umfassenden Start der Compliance-Vorbereitungen. Unternehmen im DACH-Raum müssen sich nicht nur mit den operativen Chancen, sondern auch mit den erheblichen neuen Compliance-Pflichten auseinandersetzen. Ein passiver Ansatz ist hier keine Option mehr.

Hochrisiko-KI-Systeme: Definition und strenge Auflagen im Unternehmenskontext

Die Kategorie der sogenannten „Hochrisiko-KI-Systeme“ ist für den Unternehmenskontext von besonderer Relevanz, da sie viele Anwendungen betrifft, die bereits heute in Betrieben eingesetzt werden oder in naher Zukunft zum Einsatz kommen könnten. Diese Systeme werden als hochriskant eingestuft, wenn sie in kritischen Bereichen eingesetzt werden oder ein erhebliches Potenzial haben, die Grundrechte, die Gesundheit oder die Sicherheit von Personen zu beeinträchtigen.

Zu den Hochrisiko-Systemen zählen gemäss AI Act explizit KI-Anwendungen in folgenden Sektoren und Anwendungsfällen, welche unmittelbar für den Mittelstand im DACH-Raum relevant sind:

* Personalmanagement und Arbeitswelt: KI-Systeme, die zur Personalentscheidung eingesetzt werden, beispielsweise im Recruiting, bei der Leistungsbewertung von Mitarbeitenden, bei Beförderungsentscheidungen oder auch bei der Bewertung von Kündigungsrisiken. Auch Systeme zur Überwachung der Mitarbeiterleistung fallen unter diese Kategorie. Der Gesetzgeber will hier sicherstellen, dass der Einsatz von KI nicht zu Diskriminierung oder unfairen Behandlung führt. * Kreditvergabe und Bonitätsbewertung: Anwendungen, die die Kreditwürdigkeit von Einzelpersonen oder Unternehmen beurteilen oder eine Bonitätsbewertung vornehmen. Fehlentscheidungen in diesem Bereich können weitreichende finanzielle Konsequenzen für die Betroffenen haben. * Bildung und Berufsausbildung: KI-Systeme, die den Zugang zu Bildungseinrichtungen, die Bewertung von Lernergebnissen oder die Berufsberatung beeinflussen können. Auch hier sollen faire und diskriminierungsfreie Entscheidungen gewährleistet werden. * Kritische Infrastrukturen: Systeme, die in der Steuerung oder dem Betrieb von kritischen Infrastrukturen wie Energieversorgung, Wasserwirtschaft, Transport oder Telekommunikation zum Einsatz kommen und deren Ausfall schwerwiegende Störungen verursachen könnte. * Produktsicherheitskomponenten: KI-Systeme, die als Sicherheitskomponente in Produkten eingesetzt werden, die unter EU-Harmonisierungsrechtsvorschriften fallen (z.B. in Spielzeug, medizinischen Geräten, Aufzügen).

Für diese Hochrisiko-KI-Systeme gelten ab 2026 umfangreiche Auflagen und Compliance-Anforderungen, die Unternehmen zwingend implementieren müssen:

1. Risikomanagementsysteme: Es muss ein umfassendes Risikomanagementsystem etabliert werden, das den gesamten Lebenszyklus der KI-Anwendung, von der Entwicklung über den Betrieb bis zur Stilllegung, abdeckt. Dies umfasst die Identifizierung, Bewertung und Minderung von Risiken. 2. Datenqualität und Governance: Hohe Anforderungen an die Qualität der Trainingsdaten sind essentiell. Unternehmen müssen sicherstellen, dass die Daten repräsentativ, aktuell und fehlerfrei sind, um Verzerrungen (sogenannte „Bias“) zu vermeiden und Diskriminierung entgegenzuwirken. Eine solide Data Governance ist hierfür unerlässlich. 3. Transparenz und Informationspflichten: Nutzer müssen explizit über den Einsatz von Hochrisiko-KI informiert werden. Die Funktionsweise dieser Systeme muss zudem nachvollziehbar und erklärbar sein, sodass Entscheidungen nicht als „Black Box“ erscheinen. 4. Menschliche Aufsicht: Es ist zwingend sicherzustellen, dass Entscheidungen von Hochrisiko-KI-Systemen immer von Menschen überprüft, hinterfragt und bei Bedarf korrigiert werden können. Die finale Entscheidungshoheit verbleibt beim Menschen. 5. Konformitätsbewertung: Vor dem Inverkehrbringen oder der Inbetriebnahme müssen Hochrisiko-Systeme eine Konformitätsbewertung durchlaufen, um die Einhaltung aller gesetzlichen Vorgaben nachzuweisen. Dies kann eine Selbstbewertung oder die Einbeziehung einer unabhängigen Prüfstelle erfordern. 6. Dokumentationspflichten: Umfassende und detaillierte Dokumentation über die Entwicklung, die Tests, die Validierung und den Einsatz des KI-Systems ist erforderlich. Dies dient der Rechenschaftspflicht und der Nachvollziehbarkeit bei Audits. 7. Sicherheits- und Robustheitsanforderungen: Die Systeme müssen robust, genau und sicher gegen Cyberangriffe oder Fehler sein, um zuverlässige Ergebnisse zu liefern und unbeabsichtigte Risiken zu minimieren.

Datenschutz und Datensicherheit: Die Untrennbarkeit von AI Act und DSGVO

Ein zentraler Aspekt im Zusammenhang mit dem EU AI Act ist seine enge Verknüpfung mit der bestehenden Datenschutz-Grundverordnung (DSGVO). Der AI Act ergänzt die DSGVO, ersetzt sie jedoch nicht. Vielmehr baut er auf den dort etablierten Prinzipien auf und erweitert diese spezifisch für den Bereich der Künstlichen Intelligenz. Schon jetzt müssen Unternehmen beim Einsatz von KI sicherstellen, dass ihre Datenverarbeitung DSGVO-konform ist. Die Grundsätze der Rechtmässigkeit, Zweckbindung, Transparenz, Datenminimierung und Richtigkeit, wie sie in der DSGVO verankert sind, müssen auch und gerade bei KI-Anwendungen beachtet werden. Dies gilt insbesondere, wenn personenbezogene Daten für das Training von KI-Modellen oder die Anwendung von KI-Systemen verarbeitet werden.

Ein häufig unterschätztes Risiko im Unternehmensalltag ist das unbedachte Eingeben vertraulicher Informationen oder personenbezogener Daten in öffentliche oder nicht vertraglich abgesicherte KI-Systeme. Viele der heute verfügbaren, populären cloudbasierten KI-Dienste speichern Eingaben temporär oder nutzen sie zur Systemverbesserung. Dies stellt eine Datenübermittlung an Dritte dar, für die eine klare Rechtsgrundlage gemäss DSGVO erforderlich ist, beispielsweise eine explizite Einwilligung oder ein Vertrag zur Auftragsverarbeitung. Ohne solche Grundlagen droht der Kontrollverlust über sensible Daten, was nicht nur ein erhebliches Datenschutzrisiko darstellt, sondern auch zu schwerwiegenden Rechtsverstössen führen kann.

Unternehmen müssen daher eine klare Strategie für den Umgang mit Daten in KI-Kontexten entwickeln. Dazu gehört die Prüfung, welche Daten in welchen KI-Systemen verarbeitet werden, ob diese Daten anonymisiert oder pseudonymisiert werden können und welche vertraglichen Regelungen mit den KI-Anbietern bestehen. Insbesondere bei der Nutzung von KI-Diensten, deren Server ausserhalb der EU, beispielsweise in den USA oder China, stehen, sind die Anforderungen an den internationalen Datentransfer gemäss DSGVO streng zu beachten. Eine sorgfältige Risikoanalyse und die Auswahl datenschutzkonformer Lösungen sind hier unerlässlich.

Konkreter Handlungsbedarf für den DACH-Mittelstand

Die Zeit des Abwartens ist vorbei. Mit dem schrittweisen Inkrafttreten des EU AI Act ist für Unternehmen im DACH-Raum umgehendes Handeln erforderlich. Der Mittelstand, das Rückgrat der Wirtschaft, steht hier vor besonderen Herausforderungen. Studien zeigen, dass der deutsche Mittelstand zwar prinzipiell offen für KI ist, sich aber gleichzeitig grosse Sorgen um Datendiebstahl und den Verbleib ihrer Daten bei Anbietern ausserhalb Europas macht. Diese Bedenken sind berechtigt und unterstreichen die Notwendigkeit, sich auf EU-gehostete und datenschutzkonforme Lösungen zu konzentrieren.

Die Konsequenzen einer Nichteinhaltung des EU AI Act sind gravierend. Die Verordnung sieht empfindliche Bußgelder vor, die zwischen 7,5 Millionen Euro und 35 Millionen Euro oder bis zu 7 Prozent des weltweiten Jahresumsatzes liegen können, je nachdem, welcher Betrag höher ist. Für kleine und mittlere Unternehmen (KMU) werden dabei zwar niedrigere Obergrenzen angewandt, die Strafen sind jedoch immer noch existenzbedrohend. Diese finanziellen Risiken machen deutlich, dass eine proaktive Auseinandersetzung mit dem AI Act nicht nur eine Frage der Rechtskonformität, sondern auch der wirtschaftlichen Absicherung ist.

Der erste und wichtigste Schritt für jedes Unternehmen ist die Inventarisierung aller bereits eingesetzten oder geplanten KI-Systeme. Anschliessend ist eine sorgfältige Risikobewertung gemäss den Vorgaben des AI Act durchzuführen. Dies beinhaltet die Kategorisierung der Systeme in die genannten Risikoklassen und die Identifizierung der jeweils geltenden Anforderungen. Ohne diesen Überblick ist eine zielgerichtete Compliance-Strategie nicht möglich.

Kapitel-H-Empfehlungen: Proaktive Schritte zur AI-Act-Compliance

Um den Anforderungen des EU AI Act gerecht zu werden und die damit verbundenen Risiken zu minimieren, empfehlen wir DACH-Unternehmen, die folgenden Schritte umgehend einzuleiten:

1. KI-Inventarisierung und Risikobewertung: Erstellen Sie ein vollständiges Verzeichnis aller im Unternehmen genutzten oder entwickelten KI-Systeme. Bewerten Sie jedes System anhand der vier Risikoklassen des AI Act (inakzeptabel, hoch, begrenzt, minimal). Diese Bestandsaufnahme ist die Grundlage für alle weiteren Massnahmen. 2. Compliance-Strategie entwickeln und Verantwortlichkeiten klären: Erarbeiten Sie eine unternehmensweite KI-Policy und interne Richtlinien für den rechtskonformen Einsatz von KI. Definieren Sie klare Verantwortlichkeiten, indem Sie beispielsweise einen KI-Compliance-Verantwortlichen benennen. Dies stellt sicher, dass das Thema AI Act nicht nur punktuell, sondern strategisch und dauerhaft im Unternehmen verankert ist. 3. Mitarbeiterschulung und -befähigung: Unternehmen sind verpflichtet, für ausreichende KI-Kompetenz in der Belegschaft zu sorgen. Implementieren Sie Schulungsprogramme, die Mitarbeitende über die Risiken des KI-Einsatzes, den verantwortungsvollen Umgang mit KI-Tools und die datenschutzrechtlichen Aspekte informieren. Die Befähigung der Mitarbeitenden ist entscheidend, um die Akzeptanz zu fördern und Fehlerquellen zu minimieren. 4. Technische und organisatorische Massnahmen umsetzen: Stellen Sie die hohe Qualität und Integrität der Trainings- und Nutzungsdaten sicher, um Bias und Diskriminierung zu vermeiden. Implementieren Sie robuste Sicherheitsmassnahmen zum Schutz vor Cyberangriffen und Datenlecks. Bei Hochrisiko-Systemen muss die Möglichkeit der menschlichen Aufsicht jederzeit gewährleistet sein. Dies erfordert oft Anpassungen in der IT-Infrastruktur und den operativen Prozessen. 5. Rechtliche Prüfung von Verträgen und Partnerschaften: Überprüfen Sie bestehende Verträge mit KI-Anbietern und Cloud-Dienstleistern auf die Einhaltung der AI-Act-Vorgaben und der DSGVO. Stellen Sie sicher, dass vertraglich festgehalten ist, wie mit Daten umgegangen wird, wo Daten gespeichert werden und welche Verantwortlichkeiten im Falle von Rechtsverletzungen bestehen. Bei neuen Verträgen sollten diese Aspekte proaktiv verhandelt werden. 6. Change Management und transparente Kommunikation: Die Einführung des AI Act und der damit verbundenen neuen Regeln erfordert einen sorgfältigen Change-Management-Prozess. Nehmen Sie Ängste und Bedenken der Mitarbeitenden ernst. Kommunizieren Sie transparent über die Notwendigkeit der Massnahmen, die Vorteile eines verantwortungsvollen KI-Einsatzes und binden Sie die Belegschaft aktiv in den Veränderungsprozess ein. Eine offene Kultur fördert die Akzeptanz und die erfolgreiche Umsetzung.

Kritische Einordnung aus Kapitel-H-Sicht

Der EU AI Act stellt ohne Zweifel eine zusätzliche Regulierungslast für Unternehmen dar, insbesondere für den Mittelstand, der oft nicht über die Ressourcen grosser Konzerne verfügt. Wir bei Kapitel H sehen diese Regulierung jedoch nicht primär als Belastung, sondern als strategische Chance. Während viele Unternehmen den Hype um KI mit unreflektierter Begeisterung aufnehmen, bietet der AI Act einen Rahmen, um Vertrauen und Verlässlichkeit in den Vordergrund zu stellen. Unternehmen, die sich diesen Anforderungen stellen, bauen nicht nur Compliance auf, sondern stärken ihre eigene digitale Souveränität.

Die Notwendigkeit, Datenqualität zu sichern, Transparenz zu schaffen und menschliche Aufsicht zu gewährleisten, zwingt Unternehmen dazu, ihre KI-Strategien fundiert und verantwortungsbewusst zu gestalten. Dies ist eine Investition in die Zukunftsfähigkeit. Eine nach dem AI Act zertifizierte oder konforme KI-Anwendung wird zu einem Qualitätsmerkmal und kann einen entscheidenden Wettbewerbsvorteil gegenüber Anbietern aus Regionen ohne vergleichbare Regulierung darstellen. Der Fokus auf EU-gehostete und DSGVO-konforme Lösungen ist nicht nur eine rechtliche Notwendigkeit, sondern auch eine Chance, europäische Technologieanbieter zu stärken und die Abhängigkeit von ausländischen Hyperscalern zu reduzieren. Es geht darum, KI zu nutzen, die dem Menschen dient und nicht umgekehrt. Dies erfordert Befähigung und interne Kompetenzentwicklung, anstatt sich auf externe, oft intransparente Lösungen zu verlassen. Der AI Act fördert somit indirekt eine Kultur der Selbstständigkeit und des kritischen Denkens im Umgang mit dieser Schlüsseltechnologie.

Fazit: Vertrauenswürdige KI als Fundament für den Erfolg

Der EU AI Act ist eine gegenwärtige Realität, die tiefgreifende Auswirkungen auf die Geschäftsmodelle und Arbeitsprozesse in DACH-Unternehmen hat. Die Zeit der Spekulationen ist vorbei, die Zeit des Handelns hat begonnen. Unternehmen, die jetzt proaktiv handeln, ihre KI-Systeme inventarisieren, Risiken bewerten und eine umfassende Compliance-Strategie entwickeln, werden nicht nur hohe Bußgelder vermeiden. Sie werden vielmehr ein Fundament für vertrauenswürdige und ethisch verantwortungsvolle KI-Anwendungen legen.

Dies schafft nicht nur Rechtssicherheit, sondern stärkt auch das Vertrauen von Kunden, Partnern und Mitarbeitenden. Während die Nutzung von KI im DACH-Mittelstand stetig zunimmt und Produktivitätsgewinne erzielt werden, wird der langfristige Erfolg massgeblich davon abhängen, wie gut Unternehmen es schaffen, die neue Regulierung in ihre Prozesse zu integrieren. Eine vertrauenswürdige und rechtskonforme KI-Nutzung wird so zu einem entscheidenden Faktor für nachhaltiges Wachstum und Wettbewerbsfähigkeit im digitalen Zeitalter. Nutzen Sie den EU AI Act als Chance, nicht als Hürde, und gestalten Sie die Zukunft Ihrer KI-Anwendungen aktiv und verantwortungsvoll mit.