Wer KI im Unternehmen einsetzt, bewegt sich seit 2025 in einem klar geregelten rechtlichen Rahmen. Der EU AI Act ist in Kraft, die ersten Verbote gelten seit Februar 2025, und für Hochrisiko-Systeme laufen die Fristen. Wer jetzt keine strukturierte Compliance-Prüfung vornimmt, riskiert nicht nur Bußgelder bis zu 15 Millionen Euro, sondern auch den Verlust von Vertrauen bei Kunden und Geschäftspartnern. Diese Checkliste zeigt Ihnen, welche Schritte konkret anfallen und wie Sie den Überblick behalten.
Was Der EU AI Act Für Unternehmen Bedeutet
Der EU AI Act ist keine Empfehlung, sondern eine EU-Verordnung mit unmittelbarer Wirkung in allen Mitgliedstaaten. Das Prinzip dahinter ist risikobasiert: Je größer der potenzielle Schaden eines KI-Systems, desto strenger die Anforderungen. Die Verordnung unterscheidet vier Stufen. Verbotene KI-Praktiken sind seit Februar 2025 untersagt, darunter Systeme zur sozialen Bewertung von Personen oder zur sublimalen Beeinflussung. Hochrisiko-KI unterliegt umfangreichen Pflichten. KI mit begrenztem Risiko muss Transparenzanforderungen erfüllen. KI mit minimalem Risiko ist weitgehend ungeregelt.
Für die meisten KMUs ist die entscheidende Frage, ob ihre eingesetzten Systeme als Hochrisiko eingestuft werden. Das betrifft unter anderem Anwendungen in Bereichen wie Personalentscheidungen, Kreditvergabe, Bildung oder kritische Infrastruktur. Ein Chatbot für den Kundendienst fällt in der Regel nicht darunter, ein System das automatisch Bewerbungen sortiert oder Kreditanträge bewertet, hingegen schon.
Der EU AI Act unterscheidet dabei auch zwischen Anbietern und Betreibern von KI-Systemen. Wer ein fertig entwickeltes System kauft und einsetzt, ist Betreiber und trägt eigene Pflichten. Wer ein System selbst entwickelt oder in Verkehr bringt, ist Anbieter und haftet umfassender. Viele Mittelständler sind in beiden Rollen gleichzeitig: Sie kaufen eine KI-Lösung, passen sie aber intern an und setzen sie in entscheidungsrelevanten Prozessen ein. Mehr zum Thema EU AI Act und den konkreten Fristen für Ihr Unternehmen finden Sie im Beitrag EU AI Act 2026: Was Unternehmen jetzt umsetzen müssen.
flowchart TD
A[KI-System identifiziert] --> B{Verbotene Praktik?}
B -- Ja --> C[Sofortiger Einsatzstopp]
B -- Nein --> D{Hochrisiko?}
D -- Ja --> E[Umfangreiche Pflichten nach Art. 9-14]
D -- Nein --> F{Begrenztes Risiko?}
F -- Ja --> G[Transparenzpflichten erfüllen]
F -- Nein --> H[Minimales Risiko: weitgehend ungeregelt]
SCHRITT 1: INVENTARISIERUNG ALLER KI-SYSTEME IM UNTERNEHMEN
Compliance beginnt nicht mit Dokumentation, sondern mit Klarheit darüber, was überhaupt im Einsatz ist. In der Beratungspraxis zeigt sich, dass viele Unternehmen die Anzahl ihrer genutzten KI-Systeme deutlich unterschätzen. Neben offensichtlichen Lösungen wie einem KI-gestützten CRM oder einem Chatbot gibt es häufig weitere Systeme: automatische Bewerbervorauswahl über HR-Software, algorithmische Preisgestaltung, Betrugserkennung in der Buchhaltung oder KI-Funktionen in ERP-Systemen die niemand explizit als KI bezeichnet hat.
Der erste Schritt ist daher eine vollständige Inventarisierung. Erfassen Sie jeden Prozess, in dem eine algorithmische oder KI-gestützte Entscheidungsunterstützung stattfindet. Notieren Sie Hersteller, Zweck, eingesetzte Daten und beteiligte Abteilungen. Bereits an dieser Stelle lässt sich erkennen, welche Systeme sensible Personendaten verarbeiten und damit gleichzeitig unter den EU AI Act und die DSGVO fallen.
Ein einfaches internes Dokument, das pro System festhält, wer Betreiber ist, welche Daten genutzt werden und welche Entscheidungen das System beeinflusst, ist der Ausgangspunkt für alle weiteren Compliance-Schritte. Ohne dieses Inventar ist eine seriöse Risikoklassifizierung nicht möglich.
SCHRITT 2: RISIKOKLASSIFIZIERUNG NACH EU AI ACT-KRITERIEN
Sobald alle Systeme bekannt sind, folgt die Bewertung. Prüfen Sie für jedes System, ob es in die Hochrisiko-Kategorie fällt. Anhang III des EU AI Act listet konkrete Bereiche auf: biometrische Identifikation, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienstleistungen wie Kredite oder Sozialleistungen, Strafverfolgung, Migration und Rechtspflege. Fällt Ihr System in einen dieser Bereiche und beeinflusst es Entscheidungen die Personenrechte berühren, ist die Hochrisiko-Einstufung wahrscheinlich.
Für Systeme mit begrenztem Risiko, also Chatbots, KI-generierte Inhalte oder Deepfake-Technologien, gilt mindestens die Pflicht zur Kennzeichnung. Nutzer müssen wissen, dass sie mit einem KI-System interagieren. Das klingt trivial, wird in der Praxis aber häufig übersehen, besonders wenn Chatbots mit menschlich klingenden Namen betrieben werden.
Die Klassifizierung ist kein einmaliger Akt. Wenn ein Unternehmen ein neues KI-Tool einführt oder ein bestehendes erheblich weiterentwickelt, muss die Bewertung wiederholt werden. Ein typisches Muster bei KMUs ist, dass externe Tools zunächst zu Testzwecken eingeführt und dann nach und nach in operative Prozesse eingebunden werden, ohne dass die Compliance-Prüfung mitgeht.
SCHRITT 3: PFLICHTEN FÜR HOCHRISIKO-KI SYSTEMATISCH ERFÜLLEN
Wer ein Hochrisiko-System betreibt, hat einen klar definierten Pflichtenkatalog zu erfüllen. Die wichtigsten Anforderungen lassen sich in sechs Bereiche gliedern, die alle miteinander zusammenhängen und gemeinsam dokumentiert sein müssen.
Das Risikomanagementsystem nach Artikel 9 verlangt einen kontinuierlichen Prozess, der bekannte und vorhersehbare Risiken identifiziert, bewertet und durch Maßnahmen minimiert. Das ist kein einmaliges Audit, sondern ein lebendiger Prozess, der über den gesamten Lebenszyklus des Systems läuft.
Die Daten-Governance nach Artikel 10 stellt Anforderungen an Trainings-, Validierungs- und Testdaten. Konkret bedeutet das: Die Daten müssen relevant, repräsentativ und möglichst frei von Bias sein. Für Unternehmen, die externe KI-Lösungen kaufen, heißt das, vom Anbieter entsprechende Nachweise einzufordern. Bias in Trainingsdaten ist eine der häufigsten Ursachen für diskriminierende Ergebnisse in Hochrisiko-Systemen.
Die technische Dokumentation nach Artikel 11 in Verbindung mit Anhang IV fordert eine detaillierte Systembeschreibung mit Leistungskennzahlen, Architektur, eingesetzten Daten und Cybersicherheitsmaßnahmen. Für Betreiber von Drittlösungen bedeutet das, diese Dokumentation vom Anbieter anzufordern und eigene Ergänzungen vorzunehmen, die den konkreten Einsatzkontext beschreiben.
Die Aufzeichnungspflicht nach Artikel 12 schreibt eine automatische Protokollierung vor. Betreiber müssen diese Logs mindestens sechs Monate aufbewahren. Das klingt technisch, hat aber konkrete Konsequenzen für die IT-Infrastruktur. Wer Logs nicht speichert oder nach weniger als sechs Monaten löscht, verstößt direkt gegen den EU AI Act.
Transparenzinformationen nach Artikel 13 verlangen verständliche Gebrauchsanweisungen mit Zweckbestimmung und bekannten Einschränkungen. Nutzer des Systems, also interne Mitarbeiter oder externe Entscheidungsträger, müssen verstehen, was das System kann und was nicht. Eine technische Dokumentation die nur der IT-Abteilung zugänglich ist, reicht nicht.
Menschliche Aufsicht nach Artikel 14 ist vielleicht die operativ wichtigste Anforderung. Das System muss so gestaltet sein, dass ein Mensch effektiv eingreifen und es im Zweifelsfall unterbrechen kann. Das betrifft nicht nur die technische Möglichkeit, sondern auch die organisatorische Realität. Wer ist zuständig, wer ist geschult, und ist die Zuständigkeit dokumentiert?
flowchart LR
A[Hochrisiko-System] --> B[Art. 9: Risikomanagement]
A --> C[Art. 10: Daten-Governance]
A --> D[Art. 11: Technische Dokumentation]
A --> E[Art. 12: Aufzeichnung & Logs]
A --> F[Art. 13: Transparenz für Nutzer]
A --> G[Art. 14: Menschliche Aufsicht]
B --> H[Art. 27: Grundrechtliche Folgenabschätzung]
G --> H
H --> I[Art. 43: Konformitätsbewertung]
I --> J[Art. 49: EU-Registrierung]
SCHRITT 4: GRUNDRECHTLICHE FOLGENABSCHÄTZUNG UND KONFORMITÄTSBEWERTUNG
Bevor ein Hochrisiko-System erstmals in Betrieb genommen wird, schreibt Artikel 27 des EU AI Act eine grundrechtliche Folgenabschätzung vor, die sogenannte FRIA. Diese Bewertung prüft, welche Auswirkungen der Einsatz des Systems auf Grundrechte wie Gleichbehandlung, Privatsphäre oder den Zugang zu Dienstleistungen haben kann. Das ist keine reine Formalität. Bei einem System zur automatisierten Kreditvergabe etwa müssen die Betreiber nachweisen, dass bestimmte Bevölkerungsgruppen nicht systematisch benachteiligt werden.
Die Konformitätsbewertung nach Artikel 43 folgt einem ähnlichen Prinzip wie aus dem Produktrecht bekannt. Für viele Hochrisiko-Systeme ist eine interne Konformitätsbewertung ausreichend, bei anderen ist eine Drittprüfung durch eine akkreditierte Stelle erforderlich. Das Ergebnis ist die CE-Kennzeichnung, die signalisiert, dass das System die Anforderungen des EU AI Act erfüllt.
Anschließend müssen Anbieter ihr System in der EU-Datenbank nach Artikel 49 registrieren, bevor es in Verkehr gebracht wird. Betreiber sollten prüfen, ob der von ihnen genutzte Anbieter diese Registrierung vorgenommen hat. Fehlt sie, kann die weitere Nutzung des Systems rechtlich problematisch sein.
SCHRITT 5: DSGVO-KONFORMITÄT IM KI-KONTEXT SICHERSTELLEN
Der EU AI Act und die DSGVO existieren nicht getrennt voneinander. Beide Regelwerke greifen bei KI-Systemen die personenbezogene Daten verarbeiten ineinander. Besonders relevant ist Artikel 22 DSGVO, der automatisierte Einzelentscheidungen mit Rechtswirkung regelt. Wenn ein KI-System eine Entscheidung trifft oder maßgeblich beeinflusst, die eine Person rechtlich oder erheblich beeinträchtigt, haben Betroffene das Recht auf menschliche Überprüfung, auf Erläuterung und auf Widerspruch.
Das bedeutet in der Praxis: Wer KI in der Kreditvergabe, bei Versicherungsprämien oder in der Personalauswahl einsetzt, braucht nicht nur ein technisches System, sondern auch einen klar definierten Prozess für den Umgang mit Anfragen von Betroffenen. In der Beratungspraxis sehen wir häufig, dass Unternehmen die technische Lösung vorantreiben, aber vergessen, die datenschutzrechtlichen Prozesse darauf abzustimmen.
Darüber hinaus gelten die bekannten DSGVO-Grundsätze: Datensparsamkeit, Zweckbindung, Speicherbegrenzung. Ein KI-System das für einen bestimmten Zweck trainiert wurde, darf nicht einfach für einen anderen Zweck eingesetzt werden. Datenschutz-Folgenabschätzungen nach Artikel 35 DSGVO sind bei KI-Systemen, die ein hohes Risiko für Betroffene darstellen, verpflichtend. Wie Sie KI datenschutzkonform einsetzen und typische Fallstricke vermeiden, beschreibt der Beitrag KI und DSGVO: Datenschutzkonform automatisieren.
SCHRITT 6: LAUFENDE ÜBERWACHUNG UND ORGANISATION IM UNTERNEHMEN
Compliance ist kein Projekt mit Startdatum und Abschluss. Der EU AI Act verlangt eine kontinuierliche Überwachung nach dem Inverkehrbringen, das sogenannte Post-Market-Monitoring nach Artikel 72. Betreiber müssen dafür sorgen, dass Systeme auch im laufenden Betrieb die erwartete Leistung erbringen und keine unerwarteten Schäden entstehen.
Schwerwiegende Vorfälle, also Situationen in denen ein KI-System zu Schäden an Personen oder zu erheblichen Verletzungen von Grundrechten führt, müssen nach Artikel 73 gemeldet werden. Das setzt voraus, dass intern klar ist, was als schwerwiegender Vorfall gilt und wer dafür zuständig ist, die Meldung vorzunehmen.
Artikel 4 des EU AI Act verpflichtet Betreiber außerdem, die KI-Kompetenz im Unternehmen sicherzustellen. Mitarbeiter, die mit Hochrisiko-Systemen arbeiten, müssen die grundlegenden Eigenschaften und Grenzen dieser Systeme verstehen. Das betrifft nicht nur IT-Fachleute, sondern auch Führungskräfte und operatives Personal das die Systemoutputs in Entscheidungen einfließen lässt.
Organisatorisch empfiehlt es sich, eine klare Zuständigkeit für KI-Compliance zu schaffen. In kleineren Unternehmen kann das die Datenschutzbeauftragte oder ein ernannter KI-Verantwortlicher sein. In mittelständischen Unternehmen mit mehreren Hochrisiko-Systemen braucht es eine strukturiertere Governance. Wie eine KI-Strategie für Unternehmen aufgebaut werden kann, die Compliance von Anfang an einschließt, beschreibt unser 90-Tage-Fahrplan.
Bussgelder Und Haftung: Was Wirklich Auf Dem Spiel Steht
Bei Verstößen gegen den EU AI Act sind die Sanktionen nach Artikel 99 gestaffelt. Wer verbotene KI-Praktiken einsetzt, riskiert Bußgelder bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Wer Pflichten für Hochrisiko-KI verletzt, dem drohen bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes, je nachdem, welcher Betrag höher ist. Für falsche oder irreführende Angaben gegenüber Behörden gilt eine Obergrenze von 7,5 Millionen Euro oder 1,5 Prozent des Umsatzes.
Für KMUs und Start-ups gelten nach Artikel 99 Absatz 6 niedrigere Höchstbeträge. Die Verordnung berücksichtigt also die Verhältnismäßigkeit. Dennoch können selbst die reduzierten Bußgelder für ein mittelständisches Unternehmen existenzbedrohend sein. Hinzu kommt der Reputationsschaden bei Kunden, Investoren und Geschäftspartnern.
Neben dem EU AI Act können gleichzeitig DSGVO-Bußgelder anfallen. Wer ein KI-System betreibt, das personenbezogene Daten unrechtmäßig verarbeitet, kann sowohl nach dem AI Act als auch nach der DSGVO zur Verantwortung gezogen werden. Die Aufsichtsbehörden koordinieren sich zunehmend, was parallele Verfahren wahrscheinlicher macht.
Es gibt auch eine zivilrechtliche Dimension. Personen, die durch den Einsatz eines nicht konformen KI-Systems geschädigt werden, können Schadensersatzansprüche geltend machen. Die KI-Haftungsrichtlinie der EU, die parallel zum AI Act entwickelt wurde, erleichtert Betroffenen den Nachweis von Kausalzusammenhängen.
Praktischer Einstieg: Wo Anfangen, Wenn Compliance Noch Fehlt
In der Beratungspraxis sehen wir häufig, dass Unternehmen den Compliance-Aufwand entweder stark überschätzen oder komplett ignorieren. Beides ist nicht hilfreich. Der sinnvolle Einstieg ist nicht die vollständige Dokumentation aller Systeme auf einmal, sondern eine priorisierte Vorgehensweise.
Starten Sie mit der Inventarisierung. Verschaffen Sie sich innerhalb von zwei bis drei Werktagen einen vollständigen Überblick, welche KI-Systeme im Unternehmen genutzt werden. Beziehen Sie dabei alle Abteilungen ein: HR, Vertrieb, Finanzen, Operations. Die IT-Abteilung kennt oft nur einen Teil der genutzten Tools.
Bewerten Sie anschließend jedes System grob: Verarbeitet es Personendaten? Trifft oder beeinflusst es Entscheidungen mit Rechtswirkung oder erheblichen Konsequenzen für Personen? Falls ja, ist eine vertiefte Prüfung erforderlich. Falls nein, sind die Anforderungen deutlich geringer.
Für Hochrisiko-Systeme empfiehlt sich der Aufbau einer schlanken Dokumentationsstruktur. Ein internes Wiki oder ein einfaches Dokumentenmanagementsystem reicht für viele KMUs aus. Das Ziel ist nicht perfekte Dokumentation, sondern ausreichende Nachvollziehbarkeit. Wenn ein Auditor oder eine Behörde fragt, müssen Sie zeigen können, dass Sie sich mit den Risiken Ihrer Systeme systematisch auseinandergesetzt haben.
Klären Sie danach mit Ihren KI-Anbietern, welche Compliance-Unterlagen diese bereitstellen. Seriöse Anbieter liefern technische Dokumentation, Konformitätserklärungen und Informationen zur Registrierung. Wenn ein Anbieter auf solche Anfragen nicht eingeht, ist das ein relevantes Risikosignal.
Legen Sie schließlich interne Zuständigkeiten fest. Wer überwacht laufend die Systeme? Wer ist Ansprechpartner für Mitarbeiter die Auffälligkeiten bemerken? Wer meldet schwerwiegende Vorfälle? Diese Fragen müssen beantwortet und dokumentiert sein, bevor ein Hochrisiko-System produktiv geht.
Wenn Sie KI nicht nur compliant, sondern strategisch einsetzen wollen, finden Sie in unserem Beitrag AI in der Unternehmensstrategie: Praktische Anwendungsfälle konkrete Orientierung dazu, wie Unternehmen KI über einzelne Tools hinaus strukturiert nutzen können.
Fazit
Rechtssicherer KI-Einsatz ist kein einmaliger Aufwand, sondern ein laufender Prozess. Der EU AI Act schafft klare Anforderungen, die je nach Risikostufe unterschiedlich intensiv sind. Wer heute strukturiert vorgeht, Systeme inventarisiert, klassifiziert und die Pflichten für Hochrisiko-Anwendungen systematisch erfüllt, spart sich später deutlich aufwendigere Nacharbeiten und vermeidet Bußgelder die im schlimmsten Fall in die Millionen gehen. Vereinbaren Sie ein kostenloses Erstgespräch mit uns, wenn Sie wissen möchten, welche Ihrer KI-Systeme welche Compliance-Anforderungen auslösen und wie Sie effizient zu einem belastbaren Stand kommen.
Sven Kasek berät Unternehmen als KI-Berater in Berlin zu strategischen und regulatorischen Fragen rund um den Einsatz von Künstlicher Intelligenz.
Bereit für den nächsten Schritt?
Vereinbaren Sie ein kostenloses Erstgespräch. Wir analysieren Ihre Prozesse und zeigen Ihnen konkrete Optimierungspotenziale.
Erstgespräch vereinbaren