Es gibt eine Frage, die in keinem Strategiemeeting gestellt wird, obwohl sie dort hingehört: Welche unserer KI-Systeme sind nach EU-Recht hochriskant – und wer ist dafür verantwortlich? Die meisten Unternehmen kennen die Antwort nicht. Nicht weil die Frage unwichtig wäre, sondern weil sie zu unbequem ist.
Der EU AI Act ist seit August 2024 in Kraft. Er ist kein Entwurf, keine Diskussionsgrundlage und kein Zukunftsszenario. Er ist geltendes europäisches Recht – mit Bußgeldern von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.
Was gilt ab wann?
Die Verordnung tritt stufenweise in Kraft:
- Februar 2025: Verbotene KI-Praktiken (Social Scoring, manipulative Systeme) sind untersagt
- August 2025: Anforderungen an Anbieter von KI-Basismodellen (GPAI) greifen vollständig
- August 2026: Alle Anforderungen an Hochrisiko-KI-Systeme gelten vollständig
Achtung: Wer heute ein KI-System einführt, baut es unter geltendem Recht. „Wir starten erst mal und regeln das später“ ist keine Strategie – es ist ein dokumentiertes Compliance-Risiko.
Wen betrifft das wirklich?
Der häufigste Irrtum: „Wir entwickeln keine KI. Das betrifft uns nicht.“
Falsch. Der EU AI Act unterscheidet zwischen Anbietern (die KI-Systeme entwickeln) und Betreibern (die KI-Systeme einsetzen). Mittelständische Unternehmen sind in der Regel Betreiber – und tragen damit konkrete Pflichten.
Sie sind betroffen, wenn Sie KI einsetzen für:
- Personalentscheidungen – Bewerberauswahl, Leistungsbewertung, Kündigungsrisikoprognosen
- Kreditwürdigkeit und Bonitätsprüfung – auch indirekt über externe Systeme
- Kundenkommunikation – wenn KI-Entscheidungen direkte Konsequenzen für Kunden haben
- Sicherheitskritische Prozesse – Qualitätskontrolle in der Produktion, Infrastruktursteuerung
Laut Bitkom setzen 75 Prozent der deutschen Unternehmen bereits KI ein. Die wenigsten haben dokumentiert, welche Systeme sie nutzen, welche Risikoklasse diese haben und wer intern dafür verantwortlich ist.
Was konkret gefordert wird
Für Hochrisiko-KI-Systeme verlangt der EU AI Act vier Kernpflichten:
1. Risikomanagement-System (Art. 9)
Kontinuierliche Identifikation, Analyse und Bewertung von Risiken – vor dem Einsatz, nicht danach. Kein einmaliges Dokument, sondern ein lebender Prozess.
2. Technische Dokumentation (Art. 11)
Vollständige Nachvollziehbarkeit: Welches System wird eingesetzt? Mit welchen Daten? Zu welchem Zweck? Welche Outputs werden wie verwendet? Ohne diese Dokumentation sind Hochrisiko-Systeme nicht rechtskonform betreibbar.
3. Menschliche Aufsicht (Art. 14)
Hochrisiko-KI darf nicht autonom entscheiden. Menschen müssen in der Lage sein, Outputs zu verstehen, zu überprüfen und zu korrigieren. Ein Human-in-the-Loop ist keine Empfehlung – es ist eine gesetzliche Anforderung.
4. Transparenz gegenüber Betroffenen (Art. 50)
Wenn KI-generierte Inhalte oder KI-gestützte Entscheidungen Menschen betreffen, müssen diese informiert werden. Das gilt für Chatbots ebenso wie für automatisierte Ablehnungsentscheidungen.
Die eigentliche Herausforderung: Auditierbarkeit
Die meisten Unternehmen scheitern nicht an der Technik. Sie scheitern an der Dokumentation. Wer heute einen EU AI Act-konformen Betrieb nachweisen müsste, hätte in der Regel ein Problem: Die KI-Systeme laufen – aber niemand kann lückenlos rekonstruieren, welche Entscheidung auf welcher Grundlage mit welchen Daten getroffen wurde. Das ist kein Compliance-Problem. Es ist ein strukturelles Problem der KI-Architektur.
Die Lösung ist kein Formular und kein Audit-Consultant. Die Lösung ist eine KI-Architektur, die von Anfang an auf Nachvollziehbarkeit ausgelegt ist. Ein Proprietary Knowledge System dokumentiert nicht nur, was Ihre KI weiß – sondern auch, woher dieses Wissen stammt und wie es in Entscheidungen eingeflossen ist.
Das ist Knowledge Injection als Compliance-Fundament.
Der blinde Fleck: US Cloud Act
Wer glaubt, DSGVO-Konformität reiche als Schutzschild, übersieht einen entscheidenden Punkt: Der US Cloud Act verpflichtet US-amerikanische Anbieter, auf Anfrage Datenzugriff zu gewähren – unabhängig davon, wo die Server stehen. Unternehmen, die sensitive Prozesse über Cloud-KI-Dienste abwickeln, riskieren damit sowohl DSGVO-Verstöße als auch Konflikte mit EU AI Act-Anforderungen zur Datensouveränität.
Ein Sovereign AI Stack ist in diesem Kontext keine Luxusoption. Er ist eine rechtliche Risikoabsicherung.
Was KI-Fehler wirklich kosten
Der EU AI Act quantifiziert Bußgelder. Was er nicht erfasst: die versteckten Kosten nicht-complianter KI-Nutzung – Haftungsrisiken aus automatisierten Fehlentscheidungen, Reputationsschäden, Nachbesserungskosten.
Wer prüft die KI, wenn niemand im Unternehmen diese Frage beantworten kann? Die Antwort ist unbefriedigend – und das ist bereits ein Befund.
Was jetzt zu tun ist
Drei Fragen, die Sie intern beantworten sollten – heute, nicht im August 2026:
- Welche KI-Systeme nutzt Ihr Unternehmen?
Eine vollständige Liste, nicht nur die selbst beschafften. - Welche davon fallen unter Hochrisiko-Kategorien?
Personal, Kredit, Kundenwirkung, Sicherheit. - Wer trägt intern die Verantwortung?
Nicht „die IT“ – eine namentlich benannte Person mit Mandat.
Wenn Sie eine dieser drei Fragen nicht innerhalb von 30 Minuten beantworten können, ist das Ihr Befund.
Kostenloses Erstgespräch
30 Minuten. Keine Präsentation, kein Sales-Pitch. Wir besprechen Ihre konkrete Situation – und welche Schritte sinnvoll sind.
Weiterführende Artikel:
