AI Act in der Praxis: Was bedeutet der EU AI Act für Unternehmen in der DACH-Region?
Patricia Goeft
Mon May 05 2025
Inhaltsverzeichnis
Künstliche Intelligenz ist längst Teil unseres Geschäftsalltags. Vom automatisierten Kundenservice über Kreditentscheidungen bis hin zur Bewerberauswahl – KI-Systeme übernehmen zunehmend Aufgaben, die früher Menschen vorbehalten waren.
Mit dieser Entwicklung wächst jedoch auch die regulatorische Verantwortung. Der EU AI Act – das weltweit erste umfassende Gesetz zur Regulierung von KI – zwingt Unternehmen in Deutschland, Österreich und der Schweiz zum Handeln.
Wenn du dich fragst, was der AI Act für dein Unternehmen bedeutet, welche Massnahmen du jetzt ergreifen solltest und wie du dich ohne riesiges Compliance-Team vorbereiten kannst, dann bist du hier genau richtig.
Was regelt der EU AI Act?
Der EU AI Act verfolgt einen risikobasierten Ansatz: Je grösser das Risiko eines KI-Systems für Sicherheit und Grundrechte, desto strenger die Anforderungen.
Er unterscheidet vier Risikoklassen: Unvertretbares Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko.
Der AI Act gilt nicht nur für EU-Unternehmen, sondern für alle, die KI-Systeme in der EU anbieten oder verwenden.
Handlungsplan für Unternehmen in der DACH-Region
1. Analyse der Ist-Situation: Wo und wie nutzt dein Unternehmen KI?
Zunächst gilt es zu prüfen, wo im Unternehmen bereits KI-Technologie zum Einsatz kommt – oder wo künftig KI-Anwendungen geplant sind.
Fragen zur Selbstprüfung
Werden Systeme eingesetzt, die Entscheidungen automatisiert treffen?
Gibt es KI-basierte Prozesse im Recruiting, in der Produktion oder im Kundenservice?
Verwenden wir Tools mit Machine Learning oder Deep Learning von Drittanbietern?
Könnten künftig KI-Systeme eingeführt werden, die unter die Hochrisiko-Kategorie fallen?
2. Verantwortlichkeiten klären: Wer ist zuständig?
Je nach Unternehmensgrösse sieht die Realität unterschiedlich aus. Nicht jedes Unternehmen kann eine eigene KI-Compliance-Abteilung aufbauen. Aber eine zuständige Person braucht es in jedem Fall.
| Unternehmensgrösse | Empfehlung zur Verantwortlichkeit |
|---|---|
| Konzern | Compliance-/Legal-Abteilung |
| Grosser Mittelstand | Datenschutz- oder IT-Sicherheitsverantwortliche |
| Mittelstand | Projektleitung Digitalisierung |
| KMU / Startups | CEO oder CTO, ggf. externe Beratung |
| Familienunternehmen | Vertrauensperson mit rechtlich-technischer Kompetenz |
Tipp: Laut IHK Hannover sind grundlegende KI-Kompetenzen in der Organisation Pflicht – insbesondere bei jenen, die eine KI-Technologie anbieten und damit Verantwortung für KI übernehmen.
3. Risikoklassifizierung: In welche Kategorie fällt deine KI?
Der AI Act teilt KI-Anwendungen in vier Risikostufen ein:
| Risikostufe | Beispiele | Was tun? |
|---|---|---|
| Unvertretbares Risiko | Social Scoring, Emotionserkennung im Arbeitskontext | Verwendung strikt untersagt |
| Hochrisiko-KI | HR-Systeme, Kreditvergabe, medizinische Diagnostik | Strenge Auflagen erfüllen |
| Begrenztes Risiko | Chatbots, generative KI mit Verhaltensbeeinflussung | Transparenz sicherstellen |
| Minimales Risiko | Spamfilter, KI zur Bildverbesserung | Keine Pflicht, aber empfohlen |
Fragestellungen zur Einstufung
| Frage trifft zu? | Einstufung | Handlungsbedarf |
|---|---|---|
| Beeinflusst Entscheidungen über Menschen? | Begrenztes Risiko | Transparenzpflicht |
| Einsatz in sensiblen Bereichen? | Hochrisiko möglich | Risikomanagement, Dokumentation |
| Verwendet biometrische oder sensible Daten? | Hochrisiko wahrscheinlich | Registrierungspflicht |
| Gefahr von Diskriminierung? | Hoch- oder unvertretbares Risiko | Juristische Prüfung nötig |
Im Zweifel empfiehlt es sich, die Einstufung mit juristischer Unterstützung oder anhand der offiziellen Leitlinien der EU-Kommission vorzunehmen.
Einige Unternehmen in der Schweiz gehen bereits mit gutem Beispiel voran: So bietet das Kompetenzzentrum KRM – Kompetenzzentrum Records Management krm.swiss konkrete Unterstützung bei der Zertifizierung von KI-Anwendungen. Dort werden KI-Systeme auf ihre Konformität mit ethischen, datenschutzrechtlichen und regulatorischen Anforderungen geprüft. Sie bieten so Unternehmen praktische Orientierung und liefern Impulse für die eigene Umsetzung.
4. Anforderungen ableiten und umsetzen
Hochrisiko-KI
Risikomanagement etablieren: Etwa durch Einführung eines systematischen Prüfprozesses für neue KI-Anwendungen mit regelmässigen Audits, z. B. durch interne Kontrollgremien oder externe Fachleute.
Technische Dokumentation erstellen: Jedes KI-Modell muss dokumentiert werden – inklusive Zweck, Trainingsdaten, eingesetzter Algorithmen und Entscheidungen. Beispiel: Eine HR-Software muss nachvollziehbar machen, wie Bewerbungen ausgewertet werden.
Datenqualität und Herkunft prüfen: Die Trainingsdaten sollten repräsentativ und diskriminierungsfrei sein. Zum Beispiel: Bei einer medizinischen Diagnostik-KI dürfen keine Verzerrungen durch einseitige Datensätze entstehen.
Registrierung in EU-Datenbank: Pflicht für Hochrisiko-Systeme. Unternehmen müssen ihre KI in ein EU-weites Register eintragen – ähnlich wie bei CE-Zertifizierungen.
Menschliches Eingreifen ermöglichen: Nutzer:innen müssen kritische Entscheidungen überprüfen oder aufheben können. Beispielsweise darf ein KI-gestütztes Kreditrating nicht automatisch zur Ablehnung führen – ein Mensch muss final prüfen können.
Begrenztes Risiko
- Nutzer:innen darüber informieren, dass sie mit einer KI interagieren: Beispiel: Ein Chatbot auf der Website muss klar erkennbar machen, dass kein Mensch antwortet.
- Transparenz über Zweck und Funktionsweise herstellen: In der Praxis bedeutet das z. B. eine kurze Beschreibung der Funktion auf der Plattform oder beim Start des Tools.
Minimales Risiko
- Freiwillige Selbstverpflichtungen können Vertrauen stärken: Etwa durch Verhaltenskodizes oder Gütesiegel, wie z. B. „AI Fairness Label“ oder ein internes Ethikboard.
5. Zeitplan: Wann solltest du handeln?
Der AI Act wird 2024 veröffentlicht und tritt gestaffelt in Kraft. Je nach Risikoklasse gelten Übergangsfristen zwischen 6 und 24 Monaten.
Das bedeutet: Ab sofort beginnt der Countdown zur Umsetzung des EU AI Act. Unternehmen sollten ab Q2 2025 mit strukturierten Massnahmen starten – denn je nach Risikoklasse bleiben nur wenige Monate zur Umsetzung.
| Zeitrahmen | To-dos |
|---|---|
| Q2 2025 | Ist-Analyse, Zuständigkeiten klären, Klassifikation |
| Q3 2025 | Hochrisiko-Dokumentation starten, interne Prozesse anpassen |
| Q4 2025 | Registrierung vorbereiten, Schulungen durchführen |
| Ab Anfang 2026 | Alle Pflichten in Kraft (auch für KMU) |
Empfohlene Vorlaufzeit
Konzerne: 12–18 Monate
Mittelstand: 6–12 Monate (abhängig von vorhandener Infrastruktur)
Start-ups/KMU: 3–6 Monate (mit gezielter externer Unterstützung)
6. Datenethik & Datensicherheit im Fokus
Der EU AI Act macht deutlich: Unternehmen tragen Verantwortung für die Daten, mit denen ihre KI-Systeme trainiert oder betrieben werden. Wer KI einsetzt, muss sicherstellen, dass Trainings- und Entscheidungsdaten nachvollziehbar dokumentiert, frei von Verzerrungen (Bias) und datenschutzkonform sind. Es geht dabei um mehr als Technik – es geht um Transparenz, Fairness und Vertrauen.
Diese Anforderungen gelten unabhängig von der Unternehmensgrösse. In KMU übernehmen häufig CTOs oder Projektverantwortliche die Datenaufsicht, im Mittelstand und in Konzernen sind IT- oder spezialisierte AI-Governance-Teams gefragt. Für besonders sensible Anwendungen lohnt sich externe Unterstützung – zum Beispiel durch das Schweizer KRM oder den TÜV.
Wer Daten verantwortungsvoll nutzt, stärkt nicht nur die Compliance, sondern mindert auch das Haftungsrisiko und stärkt im selben Zug das Vertrauen in die eigene KI.
7. Awareness schaffen und Mitarbeiter schulen
Da Künstliche Intelligenz zunehmend in alltägliche Geschäftsprozesse integriert wird, braucht es ein neues Denken in den Unternehmen. Technologische Kompetenz allein reicht nicht mehr aus – es geht auch um ethisches Bewusstsein, Risikoverständnis und rechtliche Orientierung.
Nur wer versteht, wie KI funktioniert, welche Folgen ihre Nutzung haben kann und welche Verantwortung damit einhergeht, kann sie produktiv, sicher und regelkonform einsetzen.
Sensibilisierung und Qualifizierung der Mitarbeitenden ist daher Pflicht. Unternehmen sollten Schulungsformate anbieten, die über Funktionalität, Werte und Risiken informieren, um so gewinnbringend mit der KI arbeiten zu können.
Haftungsrisiken bei Untätigkeit
Unternehmen, die den Handlungsbedarf im Zuge des EU AI Act unterschätzen oder ignorieren, setzen sich erheblichen rechtlichen, finanziellen und strategischen Risiken aus. Die EU-Verordnung sieht empfindliche Sanktionen bei Verstössen vor:
Geldbussen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist – vergleichbar mit den Bussgeldrahmen der DSGVO.
Haftungsrisiken bei Produktschäden: Kommt es infolge fehlerhafter KI-Anwendungen zu nachweisbaren Schäden – etwa durch diskriminierende Entscheidungslogik oder fehlerhafte Diagnosen –, kann das Unternehmen haftbar gemacht werden. Dies betrifft insbesondere Hochrisiko-KI-Systeme, bei denen ein Versäumnis der Auflagen nachweislich zum Schaden beiträgt.
Verlust der Markt- und Wettbewerbsfähigkeit: Wer sich nicht rechtzeitig vorbereitet, verliert nicht nur an Vertrauen bei Kund:innen und Partnern, sondern riskiert auch die Ausschlussfähigkeit bei öffentlichen Ausschreibungen oder Kooperationen mit regulierten Branchen.
Reputationsschäden: Intransparente oder nicht auditierbare KI-Systeme, die in die Kritik geraten, können das Markenbild langfristig beschädigen – unabhängig davon, ob tatsächlich ein Gesetzesverstoss vorliegt.
Laut TÜV Consulting wird AI-Compliance zum strategischen Wettbewerbsfaktor – und kann bei konsequenter Umsetzung sogar ein Marktvorteil sein.
Jetzt ist der Moment, Verantwortung zu übernehmen
Der EU AI Act ist kein bürokratisches Monster – sondern ein Weckruf. Für mehr Transparenz, mehr Verantwortung und zukunftssichere KI-Anwendungen.
Wer heute plant, ist morgen nicht nur compliant, sondern auch glaubwürdiger und besser aufgestellt als die Konkurrenz.
Starte noch heute
Identifiziere die KI-Systeme in deinem Unternehmen und nutze unsere Checkliste als Grundlage für deine AI-Compliance-Strategie!
Die nächsten Schritte im Überblick - Deine Checkliste zum Erfolg
