AI Act: Aus der Praxis

Der EU AI Act gilt seit August 2024 und entfaltet seine Wirkung seither schrittweise. Seit dem 2. Februar 2025 sind bestimmte KI-Praktiken untersagt und die KI-Kompetenzpflicht (AI Literacy) in Kraft. Seit August 2025 gelten die Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI, GPAI). Am 2. August 2026 treten die vollständigen Anforderungen für Hochrisiko-KI-Systeme in Kraft - darunter Konformitätsbewertungen, technische Dokumentation, Risikomanagement und Transparenzpflichten.

Für IT-Unternehmen stellen sich dabei zwei sehr unterschiedliche Fragen: Wer KI-Systeme entwickelt und unter eigenem Namen vertreibt, ist Anbieter im Sinne des AI Acts mit den umfangreichsten Pflichten. Wer KI-Systeme im eigenen Betrieb einsetzt, ist Betreiber mit eigenen, aber weniger weitreichenden Anforderungen. Und wer heute als Betreiber startet, aber morgen eigene KI-Produkte anbieten will, sollte beide Perspektiven frühzeitig kennen. 

Fallbeispiel: AI Act Readiness für den internen Einstieg in die Materie

Ein mittelständisches IT-Beratungsunternehmen hatte begonnen, bestimmte KI-Werkzeuge intern im Personal- als auch im Betriebsbereich einzusetzen. Mittelfristig plant das Unternehmen, eigene KI-gestützte Leistungen auch Kunden anzubieten, zum Beispiel im Bereich Prozessautomatisierung. Der Beratungsbedarff besteht darin zu verstehen, was für die aktuellen und zukünftigen Einsatzbereiche beachtet werden muss. 

Ausgangspunkt ist hierbei eine strukturierte Bestandsaufnahme aller intern genutzten KI-Systeme. Oftmals werden neben den bewusst eingesetzten KI-Tools auch Standardanwendungen KI-Funktionen, die aktiv genutzt werden, ohne dass dies dem Team als solches bewusst ist. Die Systeme werden dann nach dem Risikostufenmodell des AI Acts eingestuft. KI-Systeme, die im Personalbereich zur autonomen Vorauswahl oder Bewertung von Bewerbern eingesetzt werden, sind explizit als Hochrisiko-KI aufgeführt. Als Betreiber dieses Systems sind konkrete Pflichten umzusetzen, z.B. eine menschliche Prüfung der Ergebnisse (“human in the loop”), Aufbewahrung von Systemprotokollen und Schulung der mit dem System arbeitenden Mitarbeitenden in KI-Kompetenz. 

Alle Anforderungen sollten dann in eine interne KI-Nutzungsrichtlinie aufgenommen werden, mit der festgelegt wird, welche Systeme zu welchen Zwecken eingesetzt werden können, wo menschliche Kontrolle zwingend erforderlich ist und wie mit KI-generierten Ergebnissen umgegangen wird. Die Richtlinie dient gleichzeitig als dokumentierter Nachweis, dass das Unternehmen die AI-Literacy-Pflicht nach Art. 4 AI Act ernstnimmt – und ist so formuliert, dass sie ohne großen Aufwand ergänzt werden kann, sobald das Unternehmen in die Anbieterrolle wechselt.