EU AI Act 2025 - Was Unternehmen jetzt wissen und tun müssen

Seit dem 1. August 2024 ist der EU AI Act in Kraft - die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Ab Februar 2025 gelten die ersten Verbote, bis 2026 werden schrittweise weitere Pflichten wirksam. Für Unternehmen bedeutet das: Wer KI einsetzt oder plant einzusetzen, muss jetzt handeln. Nicht irgendwann. Jetzt.

Die Verordnung betrifft nicht nur Tech-Konzerne oder KI-Startups. Jedes Unternehmen, das KI-Systeme nutzt - ob für Personalauswahl, Kundenkommunikation, Prozessautomatisierung oder Entscheidungsunterstützung - fällt potenziell unter die neuen Regeln. Und die Strafen bei Verstößen sind empfindlich: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

Was viele Unternehmen unterschätzen: Auch die Nutzung von Tools wie ChatGPT oder Copilot im Arbeitsalltag kann unter den EU AI Act fallen. Sobald KI-generierte Inhalte nach außen gehen - an Kunden, in Bewerbungsprozessen, in der Produktkommunikation - greifen Transparenzpflichten. Wer das ignoriert, riskiert nicht nur Bußgelder, sondern auch Reputationsschäden.

Der EU AI Act arbeitet mit einem risikobasierten Ansatz. KI-Systeme werden in vier Kategorien eingeteilt: unannehmbares Risiko (verboten), hohes Risiko (strenge Auflagen), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (keine besonderen Pflichten). Die Einordnung bestimmt, welche Anforderungen Sie erfüllen müssen.

Die meisten Unternehmensanwendungen fallen in die Kategorien "begrenztes" oder "hohes" Risiko. Hoch riskant ist zum Beispiel KI in der Personalauswahl: Wenn ein Algorithmus Bewerbungen vorfiltert, müssen Sie Risikomanagementsysteme einrichten, Datenqualität sicherstellen und menschliche Aufsicht gewährleisten. Gleiches gilt bei Kreditentscheidungen, im Bildungswesen oder in der biometrischen Identifikation. Die Anforderungen sind umfangreich - aber beherrschbar, wenn Sie systematisch vorgehen.

Begrenztes Risiko betrifft vor allem Chatbots und generative KI: Nutzer müssen wissen, dass sie mit einer KI interagieren. KI-generierte Inhalte müssen als solche gekennzeichnet werden. Klingt einfach - erfordert aber klare Prozesse und Verantwortlichkeiten in Ihrem Unternehmen. Wer ist zuständig für die Kennzeichnung? Welche Templates werden verwendet? Wie wird sichergestellt, dass niemand im Team diese Pflichten vergisst?

Erstens: Bestandsaufnahme. Welche KI-Systeme setzen Sie ein? Welche planen Sie? Listen Sie alle Tools, Anbieter und Anwendungsfälle auf. Viele Unternehmen sind überrascht, wie viele KI-Anwendungen sie bereits nutzen - von der automatisierten Rechnungsverarbeitung über den KI-gestützten Kundenservice bis zur Textgenerierung im Marketing. Oft laufen diese Systeme unter dem Radar, ohne dass jemand sie als "KI" auf dem Schirm hat.

Zweitens: Risikoklassifizierung. Ordnen Sie jeden Einsatz einer Risikokategorie zu. Drittens: Verantwortlichkeiten klären. Wer im Unternehmen ist zuständig für KI-Compliance? Das muss keine neue Stelle sein, aber es braucht eine klare Zuordnung. Jemand, der die Übersicht behält, Schulungen organisiert und bei neuen KI-Projekten prüft, ob alle Anforderungen erfüllt sind.

Viertens: Dokumentation aufbauen. Der AI Act verlangt Transparenz - über Trainingsdaten, Funktionsweise und Grenzen Ihrer KI-Systeme. Das gilt besonders für Hochrisiko-Anwendungen, betrifft aber auch einfachere Einsätze. Fünftens: Mitarbeiter schulen. Wer KI einsetzt, muss die Grundregeln kennen. Nicht jeder braucht juristisches Detailwissen, aber ein Grundverständnis für verantwortungsvollen KI-Einsatz ist Pflicht - und schützt Ihr Unternehmen vor Fehlern, die teuer werden können.

Ja, der EU AI Act bringt Aufwand. Dokumentation, Prozesse, Schulungen - das kostet Zeit und Geld. Aber Unternehmen, die jetzt strukturiert an das Thema herangehen, gewinnen mehr als Compliance. Sie gewinnen Vertrauen - bei Kunden, Mitarbeitern und Geschäftspartnern. In einer Zeit, in der KI-Skepsis weit verbreitet ist, wird nachweisbar verantwortungsvoller KI-Einsatz zum Differenzierungsmerkmal.

In meinen Vorträgen und Workshops zum EU AI Act geht es nicht um juristische Feinheiten. Es geht darum, Führungskräften und Teams ein klares Bild zu vermitteln: Was müssen wir tun? Bis wann? Und wie setzen wir das pragmatisch um, ohne den KI-Einsatz zu blockieren? Denn genau das ist die Gefahr übertriebener Vorsicht: Unternehmen, die aus Angst vor Regulierung gar keine KI einsetzen, verlieren den Anschluss.

Das Ziel der Regulierung ist nicht, KI zu verhindern. Es ist, KI verantwortungsvoll einzusetzen. Unternehmen, die das verstehen und umsetzen, haben einen doppelten Vorsprung: regulatorisch sind sie auf der sicheren Seite, und im Wettbewerb profitieren sie von einer KI-Strategie, die auf einem soliden Fundament steht. Der EU AI Act zwingt zur Struktur - und Struktur ist genau das, was vielen KI-Initiativen bisher gefehlt hat.