+49 (0) 30 28047033

AI Act: Anforderungen an Unternehmen verständlich erklärt

Kategorie: Datenschutz

Der EU AI Act regelt den Umgang mit Künstlicher Intelligenz innerhalb Europas. Er legt klare Anforderungen für Unternehmen fest – je nach Art, Zweck und Risiko der eingesetzten KI-Systeme. Dieser Beitrag zeigt, wie Sie Ihre KI rechtlich korrekt einordnen, welche Pflichten daraus entstehen und worauf Sie im unternehmerischen Alltag achten sollten.

weiterlesen
Leitfaden: Künstliche Intelligenz rechtskonform nutzen.

Was ist der AI Act?

Der AI Act ist eine europäische Verordnung, keine Richtlinie. Das bedeutet: Er gilt unmittelbar in allen EU-Mitgliedstaaten, ohne dass nationale Gesetze zur Umsetzung nötig sind. Ziel ist eine einheitliche Regulierung für den sicheren und verantwortungsvollen Einsatz von Künstlicher Intelligenz.

Während die USA bei der Regulierung eher zurückhaltend sind, verfolgt die EU den Ansatz, Chancen und Risiken auszubalancieren. KI gilt als disruptive Technologie, die Innovation fördert, aber auch erhebliche Gefahren bergen kann – insbesondere im Hinblick auf Datenschutz, Diskriminierung und Transparenz.

Wen betrifft der AI Act?

Der AI Act betrifft die gesamte Wertschöpfungskette von KI-Systemen – vom Entwickler über den Anbieter bis hin zum Betreiber. Wichtig ist daher zunächst zu bestimmen, welche Rolle Ihr Unternehmen einnimmt:

  • Hersteller: entwickelt oder programmiert das KI-System;
  • Anbieter: bringt die KI auf den Markt oder nutzt sie aktiv;
  • Betreiber: setzt die KI im eigenen Unternehmen ein.

Für jede dieser Rollen gelten unterschiedliche Pflichten. Deshalb ist eine präzise Einordnung der eigenen Position essenziell.

Das Herzstück: Die Risiko-Klassifizierung

Die Anforderungen an Unternehmen hängen maßgeblich vom Risiko der eingesetzten KI ab. Der AI Act unterscheidet im Wesentlichen vier Risikostufen:

  • Unacceptable Risk – KI mit unannehmbaren Risiken ist verboten (z. B. Systeme zur biometrischen Massenüberwachung oder rassischen Kategorisierung).
  • High Risk – hierunter fallen etwa KI-Systeme zur Kreditentscheidung oder Bewerberauswahl. Sie sind erlaubt, aber stark reguliert.
  • Limited Risk – umfasst Systeme mit geringem, aber vorhandenem Risiko, wie Chatbots, die Kundendaten abfragen.
  • Minimal Risk – betrifft einfache, interaktive Systeme ohne Entscheidungsrelevanz.

Ein typisches Beispiel: Ein Chatbot, der nur Anfragen vorsortiert, ist meist „Low Risk“. Entscheidet der Chatbot jedoch über eine Kontoeröffnung oder einen Vertrag, wird er schnell zur „High Risk“-KI.

Kostenfreier Datenschutz Check

Finden Sie mit unserem kostenlosen Datenschutz Check heraus, wo Ihr Unternehmen steht – anwaltlich geprüft & verständlich erklärt.

Check starten

General Purpose AI – eine Sonderkategorie

Eine besondere Rolle spielen sogenannte General-Purpose-KIs wie ChatGPT. Diese Systeme können für vielfältige Zwecke eingesetzt werden – vom Marketing bis zur medizinischen Analyse. Ihre Einordnung hängt daher nicht vom Einsatzzweck allein ab, sondern auch von Faktoren wie Rechenleistung und Nutzerzahl. Leistungsstarke Systeme müssen grundsätzlich höhere Anforderungen erfüllen.

Pflichten für Unternehmen

Welche konkreten Pflichten auf Sie zukommen, ergibt sich aus der jeweiligen Risikoklasse und Ihrer Rolle als Anbieter oder Betreiber. Typische Anforderungen sind:

  • Transparenzpflichten – Sie müssen offenlegen, dass eine KI eingesetzt wird, und erklären, wie Entscheidungen zustande kommen.
  • Risikomanagement – mögliche Gefahren müssen identifiziert, bewertet und minimiert werden (z. B. durch „Human in the Loop“).
  • Dokumentations- und Aufzeichnungspflichten – technische Unterlagen und Prozessbeschreibungen sind regelmäßig zu führen.
  • Schulungspflichten – Ihre Mitarbeitenden sollten entsprechend im Umgang mit der KI und deren Risiken geschult werden.
  • Cybersicherheit – Schutzmaßnahmen gegen Angriffe und Manipulationen der KI-Systeme sind verpflichtend.

Datenschutz und KI

KI-Systeme verarbeiten häufig personenbezogene Daten. Entsprechend eng ist der Bezug zum Datenschutzrecht. Sie sollten prüfen, ob Sie einen externen Datenschutzbeauftragten benötigen oder ob bestehende Prozesse anzupassen sind. Datenschutz-Folgenabschätzungen können ein wichtiger Bestandteil Ihrer Risikoprüfung sein.

Fazit: Jetzt handeln

Der AI Act bringt erhebliche Pflichten, aber auch Klarheit für den Umgang mit KI-Systemen. Unternehmen sollten ihre bestehenden Anwendungen frühzeitig überprüfen, Risiken bewerten und interne Prozesse anpassen. So sichern Sie nicht nur Compliance, sondern auch das Vertrauen von Kunden, Partnern und Aufsichtsbehörden.

Wer den AI Act ernst nimmt, schafft die Basis für verantwortungsvolle, rechtssichere und nachhaltige KI-Nutzung im Unternehmen. Und genau das dürfte in Zukunft entscheidend für den Wettbewerbsvorteil sein.

Individuelle Fragen zum Thema oder sonstige Anliegen?

Jetzt kontaktieren
Beitragsautor
Dr. Jonas Jacobsenhttps://datenrecht-kompass.de/
Beitrag teilen:
Vorheriger Beitrag
Ransomware – was tun? Leitfaden für den Ernstfall
Nächster Beitrag
Pflicht zu KI-Schulungen für Mitarbeiter: Was Unternehmen jetzt wissen müssen