EU AI Act 2026: Was Unternehmen jetzt tun müssen
Künstliche Intelligenz ist längst im Unternehmensalltag angekommen. Ob Chatbots, Copiloten, automatisierte Dokumentenverarbeitung oder intelligente Analysen, viele Unternehmen setzen bereits KI ein, häufig ohne sich bewusst zu sein, dass damit neue gesetzliche Pflichten entstehen.
Mit dem EU AI Act schafft Europa erstmals einen verbindlichen Rechtsrahmen für den Einsatz von KI. Die Verordnung tritt schrittweise in Kraft. Spätestens 2026 sollten Unternehmen jedoch genau prüfen, welche KI-Systeme sie einsetzen und welche Anforderungen auf sie zukommen.
Der AI Act betrifft nahezu jedes Unternehmen
Viele mittelständische Unternehmen gehen davon aus, dass der AI Act nur große Technologieanbieter betrifft. Das ist ein Irrtum. Bereits die Nutzung von KI-Systemen im eigenen Unternehmen kann dazu führen, dass gesetzliche Anforderungen erfüllt werden müssen. Dazu gehören beispielsweise:
- KI-gestützte Bewerberauswahl
- Chatbots im Kundenservice
- KI-Systeme zur Risiko- oder Bonitätsbewertung
- Automatisierte Dokumentenanalyse
- KI-gestützte Entscheidungsunterstützung
- Eigene KI-Anwendungen oder individuell angepasste Sprachmodelle
- Bereitstellen von Accounts für eigene Mitarbeitende von bestehenden KI-Modellen wie z.B. ChatGPT
Unternehmen sollten daher zunächst Transparenz schaffen und sämtliche eingesetzten KI-Anwendungen inventarisieren.
Die entscheidende Frage: Bin ich Nutzer oder Anbieter?
Der AI Act unterscheidet zwischen verschiedenen Rollen. Wer Standardlösungen wie ChatGPT, Microsoft Copilot oder andere KI-Dienste im Unternehmen einsetzt, gilt in der Regel als Anwender („Deployer“). Unternehmen, die eigene KI-Lösungen entwickeln, bestehende Modelle wesentlich verändern oder KI-Produkte am Markt anbieten, können dagegen als Anbieter („Provider“) eingestuft werden. Für diese gelten deutlich umfangreichere Pflichten. Gerade mittelständische Unternehmen unterschätzen häufig, dass individuelle Anpassungen oder eigene KI-Produkte bereits eine Anbieterrolle begründen können.
KI-Kompetenz ist Pflicht
Eine der ersten Anforderungen (seit Februar 2025) des AI Acts betrifft die sogenannte KI-Kompetenz. Unternehmen müssen sicherstellen, dass Mitarbeitende, die mit KI-Systemen arbeiten, über ausreichendes Wissen verfügen, um die Systeme sicher, verantwortungsvoll und rechtskonform einzusetzen. Dazu gehören insbesondere Kenntnisse über:
- Chancen und Risiken von KI
- Datenschutz und Informationssicherheit
- Grenzen und Fehlerrisiken von KI-Systemen
- Umgang mit sensiblen Unternehmensdaten
- Erkennen von Bias und Fehlentscheidungen
Regelmäßige Schulungen und klare Richtlinien werden damit zu einem zentralen Bestandteil der Unternehmens-Compliance.
Dokumentation und Governance werden zum Wettbewerbsvorteil
Für viele Unternehmen besteht die größte Herausforderung nicht in der Technologie, sondern in der Governance. Wer KI einsetzt, sollte nachvollziehbar dokumentieren:
- Welche KI-Systeme genutzt werden
- Für welche Prozesse sie eingesetzt werden
- Welche Risiken bestehen
- Welche Sicherheitsmaßnahmen umgesetzt wurden
- Wer die Verantwortung trägt
Gerade in regulierten Branchen und bei öffentlichen Auftraggebern wird eine belastbare KI-Governance zunehmend zur Voraussetzung für erfolgreiche Projekte und Ausschreibungen.
Warum ist der AI Act aktuell relevant?
Ab August 2026 greifen weitere zentrale Regelungen des EU AI Acts. Besonders betroffen sind sogenannte Hochrisiko-KI-Systeme, also KI-Anwendungen, die erhebliche Auswirkungen auf Menschen, Sicherheit oder Grundrechte haben können. Dazu zählen unter anderem KI-Lösungen in den Bereichen Personalwesen, kritische Infrastrukturen, Bildung, Kreditwürdigkeitsprüfungen oder bestimmte Anwendungen im Gesundheitswesen. Unternehmen, die solche Systeme entwickeln, vertreiben oder einsetzen, müssen künftig umfangreiche Anforderungen erfüllen. Dazu gehören beispielsweise:
- ein strukturiertes Risikomanagement,
- umfassende Dokumentations- und Nachweispflichten,
- Maßnahmen zur Gewährleistung von Cybersicherheit,
- eine kontinuierliche Überwachung der Systeme sowie
- klare Verantwortlichkeiten innerhalb des Unternehmens.
Auch wenn derzeit auf europäischer Ebene noch über Vereinfachungen einzelner Regelungen diskutiert wird, sollten Unternehmen nicht auf mögliche politische Anpassungen warten. Bereits heute empfiehlt es sich, die eigene KI-Landschaft zu analysieren und zu bewerten, welche Systeme künftig unter die strengeren Anforderungen fallen könnten.
Gerade für mittelständische Unternehmen kann dies ein entscheidender Wettbewerbsvorteil sein: Wer frühzeitig Transparenz schafft und geeignete Governance- und Sicherheitsmaßnahmen etabliert, minimiert nicht nur Compliance-Risiken, sondern stärkt auch das Vertrauen von Kunden, Partnern und Auftraggebern.
Was Unternehmen jetzt tun sollten
Der AI Act ist kein Grund, auf KI zu verzichten. Vielmehr schafft er einen Rahmen für einen sicheren und vertrauenswürdigen Einsatz. Unternehmen sollten jetzt folgende Schritte einleiten:
- Bestehende KI-Anwendungen identifizieren und bewerten.
- Verantwortlichkeiten für KI festlegen.
- Mitarbeitende schulen und sensibilisieren.
- Richtlinien für den sicheren Einsatz von KI etablieren.
- Dokumentations- und Governance-Prozesse aufbauen.
- Prüfen, ob eigene Lösungen unter die strengeren Anforderungen des AI Acts fallen.
Fazit
Der EU AI Act macht den verantwortungsvollen Umgang mit KI zur Pflicht. Für Unternehmen bedeutet dies zusätzlichen Aufwand, eröffnet jedoch gleichzeitig eine frühzeitige Umsetzung die Chance, Vertrauen bei Kunden, Partnern und Behörden aufzubauen.
Wer bereits heute auf transparente Prozesse, Cybersecurity und KI-Governance setzt, wird sich langfristig einen entscheidenden Wettbewerbsvorteil sichern.
Bei Fragen zum Thema Cybersecurity oder AI Act können Sie sich gerne jederzeit an das Team von aixzellent wenden!
02.11.2020 - Digitalpolitik und die Staatstrojaner [mehr...]
30.09.2020 - Online-Events – Mehr als ein Raum [mehr...]
28.08.2020 - Einwilligungsfreies Tracking mit Matomo als Alternative zu Google Analytics [mehr...]
22.07.2020 - Urteil zum Privacy Shield - Privatsphäre vs. Massenüberwachung [mehr...]
17.06.2020 - Datenschutzgerechtes Arbeiten von Zuhause: Dezentral und quelloffen [mehr...]
26.05.2020 - DSGVO-konformes E-Learning mit BigBlueButton, Moodle und Nextcloud – Datenschutz beginnt bei den Kleinsten [mehr...]
24.04.2020 - Corona-Apps & Datenschutz? Machbar! [mehr...]
20.04.2020 - Homeoffice-Tools: Es ist nicht alles Gold, was glänzt... [mehr...]
18.03.2020 - Homeoffice zu Zeiten der Corona-Pandemie [mehr...]
07.11.2019 - Urteil des EuGH zu (Tracking-)Cookies [mehr...]
