Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates — allgemein als AI Act bekannt — ist am 1. August 2024 in Kraft getreten. Die Pflichten werden schrittweise eingeführt: die ersten gelten seit Februar 2025, weitere seit August 2025, das vollständige Regime greift ab August 2026. Dennoch haben die meisten tschechischen Unternehmen bisher nicht geprüft, ob die Verordnung überhaupt auf sie anwendbar ist.
Der Grund ist naheliegend: Es herrscht die Annahme vor, der AI Act reguliere ausschließlich diejenigen, die künstliche Intelligenz entwickeln. Das ist ein Irrtum. Die Verordnung erfasst auch sogenannte Betreiber (deployers) — also Unternehmen, die KI-Systeme lediglich im Rahmen ihrer beruflichen Tätigkeit einsetzen.
¶ Anbieter versus Betreiber
Der AI Act unterscheidet zwei zentrale Rollen. Ein Anbieter (provider) ist, wer ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen auf den Markt bringt. Ein Betreiber (deployer) ist, wer ein KI-System im Rahmen seiner beruflichen Tätigkeit nutzt.
Wenn Ihr Unternehmen ein KI-Tool zur Mitarbeiterbewertung, zum Kunden-Scoring, zur automatisierten Kreditvergabe oder zur Vorauswahl von Bewerbungen einsetzt — sind Sie Betreiber. Und damit pflichtgebunden.
Wichtig ist dabei: Die Rollen können sich überschneiden. Ein Unternehmen, das ein Open-Source-Modell übernimmt, mit eigenen Daten nachtrainiert und intern einsetzt, kann zum Anbieter werden — selbst wenn die ursprüngliche Absicht nur die „Nutzung" von KI war.
¶ Risikoklassifizierung: Wo Ihr System einzuordnen ist
Der AI Act arbeitet mit einem vierstufigen Risikomodell.
Verbotene Praktiken sind KI-Systeme, die schlichtweg nicht existieren dürfen — Social Scoring von Bürgern, manipulative Techniken, die Schwächen von Personen ausnutzen, biometrische Echtzeit-Identifizierung im öffentlichen Raum (mit engen Ausnahmen für die Strafverfolgung). Diese Verbote gelten seit Februar 2025.
Hohes Risiko umfasst KI-Systeme, die in Bereichen eingesetzt werden, in denen eine fehlerhafte Entscheidung erhebliche Auswirkungen auf einen Menschen hat. Dazu gehören unter anderem: Personalrekrutierung und Mitarbeiterbewertung, Bonitätsprüfung, Zugang zu Bildung, kritische Infrastruktur und Medizinprodukte. Für Hochrisiko-Systeme gelten die strengsten Pflichten — Risikomanagement, Dokumentation, menschliche Aufsicht und Transparenzanforderungen.
Begrenztes Risiko betrifft Systeme, die mit Menschen interagieren (Chatbots, Content-Generatoren). Die Hauptpflicht ist Transparenz — Nutzer müssen wissen, dass sie mit einer KI kommunizieren oder dass Inhalte KI-generiert wurden.
Minimales Risiko umfasst die meisten gängigen KI-Anwendungen — Spamfilter, Empfehlungsalgorithmen in Online-Shops, Logistikoptimierung. Hier stellt der AI Act keine spezifischen Anforderungen, empfiehlt aber freiwillige Verhaltenskodizes.
¶ Praktische Checkliste: Was jetzt zu tun ist
Aus unserer Beratungspraxis empfehlen wir fünf konkrete Schritte.
Erstens: Erfassen Sie die KI-Systeme in Ihrem Unternehmen. Die meisten Unternehmen haben keinen Überblick darüber, wie viele KI-Tools sie tatsächlich einsetzen. Es geht nicht nur um Eigenentwicklungen — denken Sie an SaaS-Tools, Cloud-Dienste, Analyseplattformen. Erstellen Sie ein Inventar: Was ist es, wer liefert es, wozu dient es, welche Daten verarbeitet es?
Zweitens: Klassifizieren Sie das Risiko. Bestimmen Sie für jedes System im Inventar, in welche Kategorie es fällt. Wenn Sie unsicher sind, gehen Sie von der höheren Kategorie aus — die Folgen einer Unterschätzung wiegen schwerer als die Kosten einer Überschätzung.
Drittens: Benennen Sie eine verantwortliche Person. Der AI Act verlangt nicht ausdrücklich einen „KI-Compliance-Beauftragten", aber jemand im Unternehmen muss den Überblick haben, welche KI-Systeme eingesetzt werden und welche Pflichten daraus folgen. In kleineren Unternehmen kann dies der bestehende Compliance-Manager oder Hausjurist sein.
Viertens: Bereiten Sie die Dokumentation vor. Für Hochrisiko-Systeme verlangt der AI Act umfangreiche technische Dokumentation, Betriebsprotokolle und Grundrechte-Folgenabschätzungen. Aber auch für Systeme mit geringerem Risiko ist es sinnvoll zu dokumentieren, warum und wie KI eingesetzt wird — mindestens für den Fall einer Prüfung oder eines Rechtsstreits.
Fünftens: Stellen Sie die menschliche Aufsicht sicher. Bei Hochrisiko-Systemen muss eine effektive menschliche Aufsicht gewährleistet sein — also die tatsächliche Möglichkeit eines Menschen, in den Entscheidungsprozess der KI einzugreifen. Automatisierte Entscheidungen ohne Überprüfungsmöglichkeit sind nicht nur nach dem AI Act, sondern auch nach der DSGVO problematisch.
¶ Warum der AI Act eine Chance ist
Ich höre oft den Einwand, der AI Act sei eine weitere regulatorische Belastung. In gewisser Hinsicht stimmt das. Aber betrachten wir die andere Seite.
Ein Unternehmen, das seine KI-Systeme erfasst hat, deren Risiken versteht und eine ordnungsgemäße Dokumentation führt, ist ein Unternehmen, das seine eigenen Abläufe versteht. In der Praxis erleben wir, dass der Vorbereitungsprozess auf den AI Act Ineffizienzen, Doppelstrukturen und Risiken aufdeckt, von denen das Management nichts wusste.
Darüber hinaus — und dieses Argument spricht besonders international ausgerichtete Unternehmen an — wird die Einhaltung des AI Act zum Wettbewerbsvorteil. Die Parallele zur DSGVO ist lehrreich: Unternehmen, die sie von Anfang an ernst genommen haben, stehen heute gut da. Diejenigen, die abgewartet haben, kämpfen noch immer mit den Folgen.
Der AI Act folgt einer ähnlichen Entwicklung. Die Pflichten kommen schrittweise, aber sie kommen. Ein Unternehmen, das sich jetzt vorbereitet, wird einen Vorsprung haben vor denen, die den AI Act erst nach der ersten behördlichen Prüfung angehen.
Der AI Act ist keine Regulierung über künstliche Intelligenz im abstrakten Sinne. Es ist eine Regulierung darüber, wie Unternehmen Technologien einsetzen, die Entscheidungen über Menschen treffen. Das betrifft die meisten Unternehmen — sie wissen es nur noch nicht.
Wenn Sie unsicher sind, ob und wie der AI Act auf Ihr Unternehmen anwendbar ist, sprechen Sie uns an. Ein Audit der KI-Systeme ist eine Sache von Tagen, nicht Monaten — und die Kosten des Ignorierens können unverhältnismäßig höher ausfallen. Schlagen die AI-Act-Pflichten auf Lieferantenverträge durch, hilft auch Fünf Vertragsklauseln, die niemand liest — viele Pflichten landen in Auftragsverarbeitungs- und Werkverträgen.
Setzen Sie KI-Tools in Ihrem Unternehmen ein und müssen wissen, ob und wie der AI Act für Sie gilt? In unserer Risikopräventionspraxis auditieren wir Ihre KI-Systeme und entwerfen einen präzisen Fahrplan bis August 2026. Nehmen Sie Kontakt auf.