EU AI Act im Unternehmen

Der EU AI Act ist seit August 2024 in Kraft. Die meisten Unternehmen kennen ihn dem Namen nach. Viele haben die Berichterstattung über Risikoklassen und verbotene Praktiken wahrgenommen. Aber nur wenige haben verstanden, dass die Verordnung nicht nur Hochrisiko-Systeme betrifft, sondern auch den alltäglichen Umgang mit KI am Arbeitsplatz.

Die Darstellung in den Medien hat dazu beigetragen, den AI Act als ein Thema für Entwickler und Anbieter von KI-Systemen zu verorten. Tatsächlich betrifft er jedes Unternehmen, das KI einsetzt. Und das heißt: praktisch jedes Unternehmen in der EU.

Die Verordnung wird oft auf Risikoklassen reduziert. Hochrisiko hier, minimales Risiko dort. Aber für die meisten Organisationen liegt die eigentliche Herausforderung nicht in der Klassifizierung. Sie liegt in der Dokumentation, in der Nachvollziehbarkeit und in einer Frage, die bisher selten gestellt wurde: Wer in der Organisation ist eigentlich für den Umgang mit KI verantwortlich?

Was die meisten übersehen

Die Pflichten, die der AI Act festlegt, treten gestaffelt in Kraft. Seit Februar 2025 gelten zwei Bereiche, die alle Unternehmen betreffen, unabhängig davon, ob sie Hochrisiko-Systeme einsetzen oder nicht.

Der erste Bereich betrifft verbotene Praktiken. Bestimmte Anwendungen von KI sind grundsätzlich untersagt: unterschwellige Beeinflussung, Ausnutzung von Schutzbedürftigkeit, soziales Scoring, bestimmte Formen biometrischer Identifizierung. Das klingt nach einem Thema für spezialisierte Anbieter. Aber in der Praxis muss jedes Unternehmen prüfen, ob es solche Anwendungen, auch unbeabsichtigt, im Einsatz hat.

Der zweite Bereich ist weitreichender und betrifft deutlich mehr Unternehmen: Artikel 4 der KI-Verordnung. Dieser Artikel verpflichtet Anbieter und Betreiber von KI-Systemen, Maßnahmen zu ergreifen, um sicherzustellen, dass ihr Personal über ein ausreichendes Maß an KI-Kompetenz verfügt. Das betrifft nicht nur die IT-Abteilung. Es betrifft jede Person im Unternehmen, die KI-Systeme im Arbeitsalltag nutzt. Wer morgens ChatGPT öffnet, fällt unter diese Regelung.

Die Formulierung der Verordnung ist dabei bewusst offen gehalten. Es gibt keine vorgeschriebenen Schulungsinhalte, keinen Mindeststundenumfang, kein Zertifikat. Stattdessen verlangt Artikel 4, dass Unternehmen kontextbezogene Maßnahmen ergreifen: abhängig von der Rolle der Person, ihrem Vorwissen, dem Einsatzbereich und der Art des KI-Systems. Das klingt flexibel. In der Praxis bedeutet es, dass jedes Unternehmen selbst herausfinden muss, was ausreichende KI-Kompetenz in seinem spezifischen Kontext bedeutet.

Warum Artikel 4 unterschätzt wird

Auf den ersten Blick wirkt Artikel 4 harmlos. Es gibt keine unmittelbaren Bußgelder für Verstöße. Die Formulierung ist appellativ, nicht sanktionierend. Viele Unternehmen haben deshalb entschieden, dass Artikel 4 keine Priorität hat.

Das ist eine Fehleinschätzung. Zwar gibt es für die Verletzung von Artikel 4 keine direkte Strafe. Aber die Pflicht ist geltendes Recht. Und sie entfaltet ihre Wirkung über einen anderen Mechanismus: Haftung. Wenn ein KI-generiertes Ergebnis einen Schaden verursacht und sich herausstellt, dass die Person, die das System genutzt hat, weder geschult noch informiert war, kann das als Verletzung der Sorgfaltspflicht gewertet werden. Die Konsequenzen treffen dann nicht die einzelne Person, sondern das Unternehmen.

Ab August 2026 treten die Durchsetzungsvorschriften des AI Act in Kraft. Nationale Aufsichtsbehörden können dann Verstöße ahnden. Und selbst wenn die Durchsetzung in der Praxis zunächst zurückhaltend ausfällt: Unternehmen, die keinerlei Maßnahmen zur KI-Kompetenz vorweisen können, haben in einer Auseinandersetzung eine schwache Position.

Dazu kommt ein weiterer Effekt. Artikel 4 verlangt keine einmalige Schulung, sondern eine fortlaufende Gewährleistung von Kompetenz. KI-Systeme entwickeln sich weiter. Neue Modelle, neue Funktionen, neue Risiken. Was heute ausreichendes Wissen ist, kann in einem Jahr veraltet sein. Unternehmen, die Artikel 4 als einmalige Maßnahme behandeln, werden der Anforderung nicht gerecht.

Die Transparenzfrage

Neben der Kompetenzpflicht stellt der AI Act eine zweite Anforderung, die im Unternehmensalltag relevant wird: Transparenz.

Wenn Menschen mit KI-Systemen interagieren, müssen sie darüber informiert werden. Das betrifft Chatbots auf Websites, aber auch weniger offensichtliche Fälle. Wenn ein Vertriebsmitarbeiter eine E-Mail an einen Kunden schickt, die mit KI formuliert wurde: Muss der Kunde das wissen? Wenn ein Angebot auf einer KI-generierten Analyse basiert: Muss das gekennzeichnet werden? Wenn ein Bericht Passagen enthält, die ein Sprachmodell verfasst hat: Ist das transparent?

Die Verordnung gibt keine einfache Antwort auf jede dieser Fragen. Aber sie etabliert einen Grundsatz: Wenn KI-generierte Inhalte so beschaffen sind, dass sie für menschengemachte gehalten werden könnten, besteht eine Kennzeichnungspflicht. Das ist für viele Unternehmen Neuland. Und es erfordert interne Regeln, die heute in den meisten Organisationen nicht existieren.

Warum ein Compliance-Check nicht reicht

Die häufigste Reaktion auf den AI Act ist, eine einmalige Prüfung zu beauftragen. Ein externer Berater oder die Rechtsabteilung bewertet den aktuellen Stand, erstellt einen Bericht, formuliert Empfehlungen. Dann wird der Bericht abgelegt, und das Thema gilt als erledigt.

Das Problem: Der AI Act beschreibt keinen Zustand. Er beschreibt einen Prozess. Die Verordnung verlangt nicht, dass ein Unternehmen an einem bestimmten Tag compliant ist. Sie verlangt, dass ein Unternehmen dauerhaft in der Lage ist, die Anforderungen zu erfüllen.

Das bedeutet konkret: Die Organisation muss wissen, welche KI-Systeme im Einsatz sind. Sie muss dokumentieren, wofür sie genutzt werden. Sie muss sicherstellen, dass die Nutzenden kompetent sind. Sie muss nachvollziehbar machen, wie Entscheidungen mit KI-Beteiligung zustande kommen. Und sie muss all das nicht einmal tun, sondern kontinuierlich.

Ein einmaliger Check erfüllt keine dieser Anforderungen. Er beschreibt den Ist-Zustand. Aber er etabliert keine Struktur, die den Soll-Zustand dauerhaft aufrechterhält.

Die organisatorische Dimension

Viele Unternehmen behandeln den AI Act als Rechtsthema. Die Rechtsabteilung analysiert die Verordnung, erstellt eine Zusammenfassung, gibt Handlungsempfehlungen. Das ist richtig und notwendig. Aber es greift zu kurz.

Die Anforderungen des AI Act lassen sich nicht allein durch juristische Analyse umsetzen. Sie erfordern organisatorische Veränderungen. Und diese Veränderungen betreffen verschiedene Bereiche gleichzeitig.

Die IT muss wissen, welche KI-Systeme wo eingesetzt werden. HR muss Schulungsmaßnahmen koordinieren und dokumentieren. Die Fachabteilungen müssen verstehen, welche Regeln für ihren jeweiligen Einsatzbereich gelten. Die Kommunikation muss klären, wie Transparenzanforderungen in der externen Kommunikation umgesetzt werden. Und die Geschäftsführung muss entscheiden, wer für das Gesamtthema verantwortlich ist.

In der Praxis ist genau dieser letzte Punkt die größte Hürde. Der AI Act schafft keine neue Zuständigkeit. Er setzt voraus, dass eine existiert. Aber in den meisten Unternehmen gibt es niemanden, dessen explizite Aufgabe es ist, den Umgang mit KI zu koordinieren. Die IT fühlt sich nicht zuständig für Schulungen. HR fühlt sich nicht zuständig für Technologiefragen. Die Rechtsabteilung kann die Anforderungen beschreiben, aber nicht umsetzen.

Das Ergebnis ist ein Thema, das alle betrifft, aber keiner verantwortet.

Was Unternehmen jetzt tun können

Die gute Nachricht: Die Anforderungen des AI Act sind nicht unerfüllbar. Sie erfordern keine Spezialtechnologie und keine mehrjährigen Projekte. Aber sie erfordern eine bewusste Entscheidung, das Thema strukturiert anzugehen.

Ein erster Schritt ist ein Überblick darüber, welche KI-Systeme im Unternehmen eingesetzt werden. Nicht nur die offiziell beschafften, sondern auch die, die Mitarbeitende eigenständig nutzen. Ohne diesen Überblick lässt sich keine der weiteren Anforderungen umsetzen.

Ein zweiter Schritt ist die Definition von Kompetenzanforderungen, differenziert nach Rollen. Was eine Führungskraft über KI wissen muss, unterscheidet sich grundlegend von dem, was eine Person im operativen Bereich braucht. Eine Standardschulung für alle ist nicht nur ineffizient, sie verfehlt auch die Anforderung der Verordnung nach kontextbezogener Kompetenz.

Ein dritter Schritt ist die Etablierung von Dokumentation. Nicht als bürokratischer Selbstzweck, sondern als Nachweis dafür, dass das Unternehmen seiner Verantwortung nachkommt. Welche Schulungen wurden durchgeführt? Wer hat teilgenommen? Welche KI-Systeme werden wo eingesetzt? Wie werden Entscheidungen mit KI-Beteiligung nachvollzogen?

Und ein vierter Schritt ist die Klärung der Zuständigkeit. Jemand in der Organisation muss dieses Thema besitzen. Nicht als Nebenprojekt, nicht als Zusatzaufgabe, sondern als klar definierte Verantwortung.

Kein Rechtsproblem

Der AI Act ist keine reine Rechtsvorschrift. Er ist ein organisatorischer Auftrag. Er verlangt von Unternehmen nicht nur, Regeln zu kennen, sondern Strukturen zu schaffen, die den Umgang mit KI dauerhaft steuern.

Wer die Verordnung als juristisches Problem behandelt, wird den Anforderungen nicht gerecht. Wer sie als organisatorische Aufgabe begreift, hat die Chance, nicht nur compliant zu sein, sondern den eigenen Umgang mit KI tatsächlich zu verbessern.

Der AI Act zwingt Unternehmen zu einer Frage, die sie sich ohnehin hätten stellen sollen: Wissen wir, wie KI in unserer Organisation eingesetzt wird? Und sind wir in der Lage, diesen Einsatz verantwortungsvoll zu gestalten?

Es gibt Plattformen, die genau die Infrastruktur bieten, die der AI Act implizit voraussetzt: Sichtbarkeit, Dokumentation und Steuerung von KI-Nutzung an einem Ort.