Der EU AI Act gilt längst nicht nur für Entwickler künstlicher Intelligenz: Auch Unternehmen, die Standardsoftware mit integrierten KI-Funktionen nutzen, können unter die strengen Vorschriften für Hochrisiko-Systeme fallen. Fehlende Standards, unklare Behördenzuständigkeiten und verschobene Fristen sorgen für erhebliche Unsicherheit. Rechtsexpertin Erena Langley erklärt, worauf Firmen jetzt achten müssen.
Erst anschnallen, dann losfahren: Beim EU AI Act zahlt sich Vorsorge aus. Wer frühzeitig Schutzmaßnahmen etabliert, vermeidet Bußgelder und Reputationsschäden.
Der EU AI Act wird für deutlich mehr deutsche Unternehmen relevant als bislang angenommen. Betroffen sind nicht nur Technologieanbieter, sondern alle Organisationen, die Systeme für künstliche Intelligenz (KI) einsetzen – etwa in Standardsoftware für Biometrie, Leistungsbewertung oder Lernanwendungen. „Der EU AI Act gilt nicht nur für künstliche Intelligenz, die Unternehmen selbst entwickeln, sondern auch für den Einsatz von Unternehmenssoftware, in die KI integriert ist“, erklärt Erena Langley, Director of Regulatory Solutions bei Navex.
Das große Missverständnis
Laut Langley besteht das größte Missverständnis rund um den EU AI Act darin, dass er in erster Linie KI-Entwickler und Technologieanbieter betreffe. Tatsächlich gilt das Gesetz aber für alle Organisationen, die KI-Systeme einsetzen. Das Problem: KI hat sich in Unternehmen längst etabliert, wird jedoch häufig nicht als regulatorisches Risiko wahrgenommen.
In vielen Fällen wird KI nicht als eigenständiges Projekt eingeführt, sondern ergänzt bestehende HR-, Rechts- oder Finanzsysteme um zusätzliche Funktionen. Auch die Nutzung von KI-Software von Drittanbietern begründet konkrete Dokumentations-, Kontroll- und Nachweispflichten. „Genau hier besteht Nachholbedarf: Unternehmen müssen sich des tatsächlichen Anwendungsbereichs des EU AI Acts bewusst werden, um die Anforderungen rechtzeitig in Prozesse, Verantwortlichkeiten und Kontrollmechanismen zu überführen“, so Langley.
Unsicherheit durch fehlende Standards und unklare Zuständigkeiten
Dass viele Unternehmen schlechter vorbereitet sind als angenommen, führt Langley nicht ausschließlich auf interne Versäumnisse zurück. „Unternehmen warten weiterhin darauf, dass die europäischen Normungsorganisationen die erforderlichen Compliance-Standards veröffentlichen und die deutsche Bundesregierung die Bundesnetzagentur sowie die Deutsche Akkreditierungsstelle mit den entsprechenden Aufgaben betraut.“
Derzeit fehlen vielen Unternehmen sowohl verbindliche technische Standards als auch nationale Behörden, die erläutern, wie die Vorgaben auf dem deutschen Markt ausgelegt und überwacht werden. „Solange diese Orientierung fehlt, bleibt die Unsicherheit groß. Viele Unternehmen warten zunächst auf nationale Leitlinien, bevor sie mit der Umsetzung beginnen. Genau darin liegt das Kernproblem“, warnt die Expertin.
Verwirrung um Fristen: Was der Digital-Omnibus wirklich verschoben hat
Für zusätzliche Verunsicherung sorgt die jüngste EU-Digital-Omnibus-Gesetzgebung, die einige – jedoch keineswegs alle – Fristen angepasst hat. „Viele deutsche Organisationen ordnen die Fristen des AI Acts falsch ein. Sie gehen davon aus, dass sämtliche Verpflichtungen durch den Omnibus verschoben wurden. Das ist jedoch nicht der Fall“, warnt Langley.
So gelten die Transparenzpflichten weiterhin ab dem 2. August 2026. Lediglich die Anforderungen für Hochrisiko-KI-Systeme wurden nach hinten verlegt – und selbst das nicht einheitlich: Für eigenständige Systeme wie KI-Tools zur Bewerberauswahl gilt derzeit voraussichtlich eine Frist bis Dezember 2027. KI, die Bestandteil regulierter Produkte wie Medizinprodukte oder Maschinen ist, muss die Anforderungen erst bis August 2028 erfüllen.
Vertrauensverlust wiegt schwerer als Millionenstrafen
Bei schwerwiegenden Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Für Unternehmen dürfte der Reputationsschaden nach Einschätzung Langleys jedoch noch schwerer wiegen. „Wenn ein Unternehmen den Eindruck vermittelt, dass KI ohne ausreichende menschliche Kontrolle über Beschäftigung, Einkommen oder berufliche Perspektiven von Menschen entscheidet, kann dies das Vertrauen von Mitarbeitenden, Kunden, Investoren und der Öffentlichkeit massiv beeinträchtigen.“
Bildquelle: Navex
Wer bereits heute belastbare Prozesse aufsetzt, kann diese später problemlos anpassen, sobald technische Standards und Leitlinien vorliegen.
Erena Langley, Director of Regulatory Solutions bei Navex
Diskriminierende Entscheidungen bei der Bewerberauswahl oder intransparente KI-gestützte Leistungsbewertungen können erhebliche geschäftliche Risiken nach sich ziehen. „Für Vorstände schafft der AI Act klare Erwartungen: AI Governance gehört künftig auf die Agenda aller Risiko- und Compliance-Gremien“, so Langley.
Best Practices: KI-Compliance strukturiert statt reaktiv angehen
Die Expertin rät Unternehmen, die Anforderungen aktiv anzugehen und frühzeitig kontinuierliche Prozesse zu etablieren. Zunächst sollten Firmen erfassen, welche KI-Systeme sie einsetzen, zu welchen Zwecken und mit welchen Ergebnissen. Daraus sollte ein vollständiges KI-Inventar entstehen, das auch KI-Funktionen in eingekaufter Software umfasst. Anschließend können die Systeme entsprechend ihrer Risikokategorie eingeordnet werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Voraussetzung dafür sind klar definierte Verantwortlichkeiten. „AI Compliance erfordert die enge Zusammenarbeit verschiedener Bereiche – darunter Recht, Compliance, IT, Einkauf, Personal und Management“, erläutert Langley. Zudem empfiehlt sie interne Hinweisgebersysteme: „Unternehmen, die bereits heute eigene Hinweisgebersysteme etablieren, ermöglichen ihren Mitarbeitenden eine geschützte interne Meldung und können potenzielle Probleme frühzeitig intern erkennen und beheben.“
Ebenso sollten Firmen eine kontinuierliche Dokumentation und Überwachung ihrer KI-Systeme etablieren. „Wer bereits heute belastbare Prozesse aufsetzt, kann diese später problemlos anpassen, sobald technische Standards und Leitlinien vorliegen. Wer hingegen weiter abwartet, riskiert Compliance-Lücken, Zeitdruck und eine deutlich schwächere Position gegenüber Behörden und Kunden“, warnt die Expertin.
Die regulatorischen Anforderungen lassen sich mit rein manuellen Prozessen zunehmend kaum noch bewältigen. AI Compliance sei keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Da parallel neue technische Standards entstehen, nationale Aufsichtsstrukturen aufgebaut werden und die EU-Kommission ihre Leitlinien schrittweise veröffentlicht, benötigen Unternehmen eine flexible Infrastruktur.
Langleys Fazit fällt eindeutig aus: „Unternehmen, die heute in belastbare Strukturen investieren, gewinnen nicht nur regulatorische Sicherheit, sondern verschaffen sich auch einen Wettbewerbsvorteil, wenn die Durchsetzung des EU AI Acts weiter an Dynamik gewinnt. Wer die Fristverlängerungen dagegen lediglich als Einladung zum Aufschieben versteht, wird später unter deutlich größerem Handlungsdruck stehen.“