EU AI Act

Der EU AI Act – Wenn Compliance zur KI-Strategie wird

, Proliance | Autor: Alexander Ingelheim

Der EU AI Act – Wenn Compliance zur KI-Strategie wird

Wenig Zeit trotz stufenweiser Verschärfung

Von Alexander Ingelheim, CEO und Mitgründer, proliance

Die europäische KI-Verordnung ist seit August 2024 Realität – und für den deutschen Mittelstand längst mehr als ein regulatorisches Pflichtprogramm. Während sich viele Unternehmen noch in der Orientierungsphase befinden, zeichnet sich ab, dass der EU AI Act zum Katalysator für eine überfällige Auseinandersetzung mit künstlicher Intelligenz im Unternehmensalltag wird. Doch zwischen risikobasierter Klassifizierung, Dokumentationspflichten und Transparenzanforderungen droht der Blick auf das Wesentliche verloren zu gehen. Die eigentliche Herausforderung liegt nicht in der Compliance selbst, sondern in der Frage, wie Unternehmen KI-Nutzung strukturiert und verantwortungsvoll in ihre Geschäftsprozesse integrieren.

Alexander Ingelheim
Alexander Ingelheim, CEO und Mitgründer, proliance

Der Gesetzgeber hat den Unternehmen eine gestaffelte Umsetzung zugestanden, doch die Zeitfenster sind knapper als viele annehmen. Seit Februar 2025 gelten bereits die ersten Verbote für KI-Systeme mit inakzeptablem Risiko – darunter Emotionserkennung am Arbeitsplatz oder manipulative KI-Techniken. Zeitgleich trat die Pflicht zur AI Literacy in Kraft: Mitarbeitende, die mit KI-Systemen arbeiten, müssen entsprechend geschult werden. Viele Unternehmen haben diese Anforderung unterschätzt oder als bloße Formalie abgetan.

Seit August 2025 ist die Luft für Anbieter von General Purpose AI-Modellen deutlich dünner. Die GPAI-Vorgaben greifen, nationale Aufsichtsbehörden nehmen ihre Arbeit auf, und der Bußgeldrahmen wird scharf gestellt. Verstöße können dann mit bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes geahndet werden – Sanktionen, die auch mittelständischen Unternehmen empfindlich treffen. Der Vergleich zur DSGVO drängt sich auf, und die Erfahrung zeigt, dass die Aufsichtsbehörden ihre Befugnisse nutzen werden.

Die Hauptregelungen für Hochrisiko-KI-Systeme – etwa im HR-Bereich, in der Kreditvergabe oder bei kritischer Infrastruktur – treten erst August 2026 in Kraft. Wer jedoch bis dahin wartet, unterschätzt die Komplexität der erforderlichen Dokumentation, Risikobewertung und Konformitätsprüfungen. Die technische Dokumentation allein kann bei komplexeren Systemen mehrere Monate in Anspruch nehmen.

Zwischen Sandbox und Sanktion – Die KMU-Realität

Die Rufe aus der Wirtschaft wurden gehört: Mit dem Ende November 2025 vorgestellten „Digitalen Omnibus“ hat die EU-Kommission ein Paket auf den Weg gebracht, das die bürokratische Last für den Mittelstand spürbar senken soll. Geplant sind unter anderem vereinfachte Dokumentationspflichten, flexiblere Regeln für die Überwachung nach Markteinführung und ein harmonisierter Rechtsrahmen. Doch diese politische „Entschärfung“ darf nicht als Freibrief missverstanden werden.

Die Erleichterungen ändern nichts an der betrieblichen Kernherausforderung: Unternehmen müssen zunächst überhaupt erst Klarheit darüber gewinnen, welche KI-Systeme sie nutzen. Wer seine KI-Landschaft nicht kennt, kann auch von vereinfachten Dokumentationspflichten nicht profitieren. In vielen Fachabteilungen werden KI-Tools ohne zentrale Steuerung eingesetzt – von Marketing-Automation über Chatbots im Kundenservice bis zu KI-gestützten Bewerbermanagementsystemen. Diese Schatten-KI-Landschaft zu inventarisieren, ist der erste und oft unterschätzte Schritt. Erst danach kann die Risikokategorisierung erfolgen.

Besonders KI-Anwendungen im HR-Bereich erfordern erhöhte Aufmerksamkeit. Systeme zur Bewerberselektion oder Mitarbeiterüberwachung fallen schnell unter die Hochrisiko-Kategorie. Hier drohen nicht nur Bußgelder, sondern auch Reputationsrisiken.

Transparenz als neue Währung im KI-Zeitalter

Ab August 2025 greifen die Transparenzpflichten für KI-Systeme mit begrenztem Risiko – und damit für die meisten gängigen Anwendungen wie Chatbots oder anderweitige generative KI. Nutzer müssen darüber informiert werden, dass sie mit einem KI-Modell interagieren. KI-generierte Inhalte – ob Text, Bild, Audio oder Video – müssen als solche gekennzeichnet werden. Diese Kennzeichnungspflicht mag trivial erscheinen, wirft in der Praxis jedoch technische und prozessuale Fragen auf: Wie werden Metadaten maschinenlesbar hinterlegt? Wer übernimmt die Verantwortung für die korrekte Kennzeichnung in dezentralen Content-Workflows?

Für Unternehmen, die ChatGPT, Gemini oder ähnliche Sprachmodelle beruflich nutzen, beginnt damit eine neue Ära der Nachweispflicht. Es reicht nicht mehr, die Tools einfach bereitzustellen. Unternehmen müssen dokumentieren, in welchen Kontexten die KI eingesetzt wird, welche Eingaben getätigt werden und wie mit den Ausgaben verfahren wird. Diese Dokumentation dient nicht nur der Compliance, sondern auch der internen Qualitätssicherung – vorausgesetzt, sie wird ernst genommen und nicht als bürokratische Pflichterfüllung abgetan.

Datenschutz und KI: Alte Bekannte in neuer Konstellation

Die Parallelen zwischen DSGVO und EU AI Act sind nicht zufällig. Beide Regelwerke setzen auf einen risikobasierten Ansatz, beide verlangen umfassende Dokumentation, beide sehen signifikante Strafen vor. Doch der EU AI Act geht über den Datenschutz hinaus.

Hier greift der neue „Digitale Omnibus“ korrigierend ein: Er zielt darauf ab, die Regelwerke für KI, Datenschutz und Cybersicherheit besser aufeinander abzustimmen. Eine zentrale Anlaufstelle für Sicherheitsvorfälle und modernisierte Cookie-Regeln sollen die Anwendung in der Praxis „innovationsfreundlicher“ gestalten und Doppelarbeit vermeiden. Die strategische Konsequenz daraus bleibt jedoch bestehen – sie wird durch die Harmonisierung sogar noch wichtiger, denn Datenschutz- und KI-Governance müssen verzahnt werden. Wer seine Informationssicherheitsbeauftragten bereits in die KI-Strategieentwicklung einbindet, verschafft sich einen strukturellen Vorteil. Die Expertise in Risikoanalyse, Dokumentation und Auditierung lässt sich nahtlos auf KI-Compliance übertragen.

Von der Pflicht zur Chance – KI strukturiert denken

Der EU AI Act wird oft als Innovationsbremse kritisiert. Diese Kritik greift jedoch zu kurz. Die systematische Auseinandersetzung mit KI-Risiken führt langfristig zu besseren Produkten und nachhaltigeren Geschäftsmodellen.

Unternehmen, die die Risikobewertung ernst nehmen, erkennen Verzerrungen in Trainingsdaten, identifizieren Schwachstellen und minimieren das Risiko von Fehlentscheidungen. Die Dokumentationspflichten schaffen Transparenz über die tatsächliche Funktionsweise von KI – auch gegenüber Kunden und Geschäftspartnern. In Branchen, in denen Vertrauen über Markterfolg entscheidet, kann AI Act-Konformität zum Differenzierungsmerkmal werden. Die regulatorischen Sandboxes bieten einen praktischen Rahmen, um KI-Anwendungen unter Realbedingungen zu testen. KMU haben hier vorrangigen und kostenfreien Zugang .

Die unterschätzte Aufgabe: AI Literacy im Unternehmen

Die AI Literacy-Pflicht, die seit Februar 2025 gilt, stellt viele Unternehmen vor eine unterschätzte Herausforderung. Es genügt nicht, eine einmalige Schulung durchzuführen und einen Nachweis abzuheften. Mitarbeitende müssen verstehen, wie KI-Systeme funktionieren, wo ihre Grenzen liegen und welche ethischen Implikationen ihr Einsatz nach sich zieht. Die Anforderungen sind bewusst unscharf formuliert – und genau darin liegt die Herausforderung. Unternehmen müssen eigenverantwortlich definieren, welches Kompetenzniveau angemessen ist. Mitarbeitende, die nicht in der Lage sind, KI-generierte Inhalte kritisch zu hinterfragen, werden zu Compliance-Risiken – etwa wenn sie diskriminierende Empfehlungen eines HR-Tools unreflektiert übernehmen.

Unternehmen, die KI-Kompetenz als kontinuierlichen Lernprozess begreifen, investieren in Schulungsformate, die über reine Regelkunde hinausgehen. Praktische Anwendungsbeispiele, Diskussion ethischer Dilemmata, Einbindung von Fachabteilungen – all das gehört zu einer umfassenden AI Literacy-Strategie.

Timing ist alles – Jetzt handeln statt später nachbessern

Sich jetzt zurückzulehnen und auf die Umsetzung der angekündigten Vereinfachungen durch den „Digitalen Omnibus“ zu warten, wäre leichtsinnig. Wer jetzt zögert, riskiert mehr als nur Bußgelder. Die Erfahrung mit der DSGVO hat gezeigt, dass last-minute Compliance-Projekte selten nachhaltig sind. Schnell umgesetzte Dokumentationen weisen Lücken auf, hastig definierte Prozesse erweisen sich als unpraktikabel.

Der EU AI Act erfordert eine systematische Auseinandersetzung mit KI im Unternehmen – von der Inventarisierung über die Risikobewertung bis zur technischen Dokumentation. Unternehmen, die heute beginnen, verschaffen sich zeitliche Puffer für Iterationen und organisatorisches Lernen. Zudem ist absehbar, dass sich die regulatorischen Anforderungen weiterentwickeln werden. Wer frühzeitig agile Governance-Strukturen aufbaut, kann auf diese Änderungen flexibel reagieren. Der EU AI Act ist weniger Compliance-Projekt als vielmehr Anlass für strategische Neuausrichtung. Unternehmen, die KI verantwortungsvoll und strukturiert einsetzen wollen, finden im Regelwerk einen Rahmen, der ihnen dabei hilft – vorausgesetzt, sie nehmen ihn ernst.