Compliance-Risiko durch KI in Standardsoftware EU AI Act betrifft weit mehr deutsche Unternehmen als angenommen

Quelle: Pressemitteilung 4 min Lesedauer

Anbieter zum Thema

Der EU AI Act gilt längst nicht nur für Entwickler künstlicher Intelligenz: Auch Unternehmen, die Standardsoftware mit integrierten KI-Funktionen nutzen, können unter die strengen Vorschriften für Hochrisiko-Systeme fallen. Fehlende Standards, unklare Behördenzuständigkeiten und verschobene Fristen sorgen für erhebliche Unsicherheit. Rechtsexpertin Erena Langley erklärt, worauf Firmen jetzt achten müssen.

Erst anschnallen, dann losfahren: Beim EU AI Act zahlt sich Vorsorge aus. Wer frühzeitig Schutzmaßnahmen etabliert, vermeidet Bußgelder und Reputationsschäden.(Bild: ©  Olga Ко - stock.adobe.com)
Erst anschnallen, dann losfahren: Beim EU AI Act zahlt sich Vorsorge aus. Wer frühzeitig Schutzmaßnahmen etabliert, vermeidet Bußgelder und Reputationsschäden.
(Bild: © Olga Ко - stock.adobe.com)

Der EU AI Act wird für deutlich mehr deutsche Unternehmen relevant als bislang angenommen. Betroffen sind nicht nur Technologieanbieter, sondern alle Organisationen, die Systeme für künstliche Intelligenz (KI) einsetzen – etwa in Standardsoftware für Biometrie, Leistungsbewertung oder Lernanwendungen. „Der EU AI Act gilt nicht nur für künstliche Intelligenz, die Unternehmen selbst entwickeln, sondern auch für den Einsatz von Unternehmenssoftware, in die KI integriert ist“, erklärt Erena Langley, Director of Regulatory Solutions bei Navex.

Das große Missverständnis

Laut Langley besteht das größte Missverständnis rund um den EU AI Act darin, dass er in erster Linie KI-Entwickler und Technologieanbieter betreffe. Tatsächlich gilt das Gesetz aber für alle Organisationen, die KI-Systeme einsetzen. Das Problem: KI hat sich in Unternehmen längst etabliert, wird jedoch häufig nicht als regulatorisches Risiko wahrgenommen.

In vielen Fällen wird KI nicht als eigenständiges Projekt eingeführt, sondern ergänzt bestehende HR-, Rechts- oder Finanzsysteme um zusätzliche Funktionen. Auch die Nutzung von KI-Software von Drittanbietern begründet konkrete Dokumentations-, Kontroll- und Nachweispflichten. „Genau hier besteht Nachholbedarf: Unternehmen müssen sich des tatsächlichen Anwendungsbereichs des EU AI Acts bewusst werden, um die Anforderungen rechtzeitig in Prozesse, Verantwortlichkeiten und Kontrollmechanismen zu überführen“, so Langley.

Unsicherheit durch fehlende Standards und unklare Zuständigkeiten

Dass viele Unternehmen schlechter vorbereitet sind als angenommen, führt Langley nicht ausschließlich auf interne Versäumnisse zurück. „Unternehmen warten weiterhin darauf, dass die europäischen Normungsorganisationen die erforderlichen Compliance-Standards veröffentlichen und die deutsche Bundesregierung die Bundesnetzagentur sowie die Deutsche Akkreditierungsstelle mit den entsprechenden Aufgaben betraut.“

Derzeit fehlen vielen Unternehmen sowohl verbindliche technische Standards als auch nationale Behörden, die erläutern, wie die Vorgaben auf dem deutschen Markt ausgelegt und überwacht werden. „Solange diese Orientierung fehlt, bleibt die Unsicherheit groß. Viele Unternehmen warten zunächst auf nationale Leitlinien, bevor sie mit der Umsetzung beginnen. Genau darin liegt das Kernproblem“, warnt die Expertin.

Verwirrung um Fristen: Was der Digital-Omnibus wirklich verschoben hat

Für zusätzliche Verunsicherung sorgt die jüngste EU-Digital-Omnibus-Gesetzgebung, die einige – jedoch keineswegs alle – Fristen angepasst hat. „Viele deutsche Organisationen ordnen die Fristen des AI Acts falsch ein. Sie gehen davon aus, dass sämtliche Verpflichtungen durch den Omnibus verschoben wurden. Das ist jedoch nicht der Fall“, warnt Langley.

So gelten die Transparenzpflichten weiterhin ab dem 2. August 2026. Lediglich die Anforderungen für Hochrisiko-KI-Systeme wurden nach hinten verlegt – und selbst das nicht einheitlich: Für eigenständige Systeme wie KI-Tools zur Bewerberauswahl gilt derzeit voraussichtlich eine Frist bis Dezember 2027. KI, die Bestandteil regulierter Produkte wie Medizinprodukte oder Maschinen ist, muss die Anforderungen erst bis August 2028 erfüllen.

Vertrauensverlust wiegt schwerer als Millionenstrafen

Bei schwerwiegenden Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Für Unternehmen dürfte der Reputationsschaden nach Einschätzung Langleys jedoch noch schwerer wiegen. „Wenn ein Unternehmen den Eindruck vermittelt, dass KI ohne ausreichende menschliche Kontrolle über Beschäftigung, Einkommen oder berufliche Perspektiven von Menschen entscheidet, kann dies das Vertrauen von Mitarbeitenden, Kunden, Investoren und der Öffentlichkeit massiv beeinträchtigen.“

Person Link

Bildquelle: Navex

Wer bereits heute belastbare Prozesse aufsetzt, kann diese später problemlos anpassen, sobald technische Standards und Leitlinien vorliegen.

Erena Langley, Director of Regulatory Solutions bei Navex

Diskriminierende Entscheidungen bei der Bewerberauswahl oder intransparente KI-gestützte Leistungsbewertungen können erhebliche geschäftliche Risiken nach sich ziehen. „Für Vorstände schafft der AI Act klare Erwartungen: AI Governance gehört künftig auf die Agenda aller Risiko- und Compliance-Gremien“, so Langley.

Best Practices: KI-Compliance strukturiert statt reaktiv angehen

Die Expertin rät Unternehmen, die Anforderungen aktiv anzugehen und frühzeitig kontinuierliche Prozesse zu etablieren. Zunächst sollten Firmen erfassen, welche KI-Systeme sie einsetzen, zu welchen Zwecken und mit welchen Ergebnissen. Daraus sollte ein vollständiges KI-Inventar entstehen, das auch KI-Funktionen in eingekaufter Software umfasst. Anschließend können die Systeme entsprechend ihrer Risikokategorie eingeordnet werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Voraussetzung dafür sind klar definierte Verantwortlichkeiten. „AI Compliance erfordert die enge Zusammenarbeit verschiedener Bereiche – darunter Recht, Compliance, IT, Einkauf, Personal und Management“, erläutert Langley. Zudem empfiehlt sie interne Hinweisgebersysteme: „Unternehmen, die bereits heute eigene Hinweisgebersysteme etablieren, ermöglichen ihren Mitarbeitenden eine geschützte interne Meldung und können potenzielle Probleme frühzeitig intern erkennen und beheben.“

Ebenso sollten Firmen eine kontinuierliche Dokumentation und Überwachung ihrer KI-Systeme etablieren. „Wer bereits heute belastbare Prozesse aufsetzt, kann diese später problemlos anpassen, sobald technische Standards und Leitlinien vorliegen. Wer hingegen weiter abwartet, riskiert Compliance-Lücken, Zeitdruck und eine deutlich schwächere Position gegenüber Behörden und Kunden“, warnt die Expertin.

Warum manuelle Prozesse an ihre Grenzen stoßen

Die regulatorischen Anforderungen lassen sich mit rein manuellen Prozessen zunehmend kaum noch bewältigen. AI Compliance sei keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Da parallel neue technische Standards entstehen, nationale Aufsichtsstrukturen aufgebaut werden und die EU-Kommission ihre Leitlinien schrittweise veröffentlicht, benötigen Unternehmen eine flexible Infrastruktur.

Langleys Fazit fällt eindeutig aus: „Unternehmen, die heute in belastbare Strukturen investieren, gewinnen nicht nur regulatorische Sicherheit, sondern verschaffen sich auch einen Wettbewerbsvorteil, wenn die Durchsetzung des EU AI Acts weiter an Dynamik gewinnt. Wer die Fristverlängerungen dagegen lediglich als Einladung zum Aufschieben versteht, wird später unter deutlich größerem Handlungsdruck stehen.“

(ID:50890885)