April 6, 2026
Künstliche Intelligenz verändert die Wirtschaft grundlegend. Seit August 2024 ist der EU AI Act in Kraft – die weltweit erste umfassende KI-Regulierung. Für Unternehmen im DACH-Raum bedeutet das: Wer KI einsetzt oder entwickelt, muss handeln. Dieser Beitrag erklärt die wichtigsten Regeln, Fristen und konkreten Schritte.
Viele Mittelständler gehen davon aus, dass die KI-Verordnung nur für große Tech-Konzerne relevant ist. Das ist ein gefährlicher Irrtum. Der EU AI Act reguliert nicht nur die Entwicklung von KI-Systemen, sondern ausdrücklich auch deren Einsatz. Wer ein KI-gestütztes Tool im Unternehmen nutzt – sei es ein Chatbot für den Kundenservice, ein RAG-System für die interne Wissenssuche oder ein Recruiting-Tool mit automatisierter Vorauswahl – fällt potenziell unter die Verordnung.
Entscheidend ist dabei nicht die Unternehmensgröße, sondern die Rolle, die ein Unternehmen im KI-Ökosystem einnimmt, und das Risiko, das vom eingesetzten System ausgeht.
Der EU AI Act unterscheidet im Kern zwei Hauptrollen:
Provider (Anbieter): Wer ein KI-System entwickelt oder unter eigenem Namen auf den Markt bringt. Provider tragen die schwersten Pflichten – von der technischen Dokumentation über Risikomanagement bis hin zur Konformitätsbewertung bei Hochrisikosystemen.
Deployer (Betreiber): Wer ein KI-System im eigenen Geschäftsbetrieb einsetzt. Deployer haben weniger Pflichten, müssen aber unter anderem die bestimmungsgemäße Verwendung sicherstellen, menschliche Aufsicht gewährleisten und Transparenzpflichten einhalten.
Besonders relevant für IT-Dienstleister und Systemintegratoren ist Artikel 25: Wer ein bestehendes KI-System wesentlich verändert, unter eigenem Namen vertreibt oder dessen Zweckbestimmung ändert, wird rechtlich zum Provider – mit allen damit verbundenen Pflichten. Diese „Quasi-Provider"-Falle betrifft typischerweise Unternehmen, die auf Basis von Drittanbieter-Modellen eigene Lösungen bauen und an Kunden vertreiben.
Der EU AI Act folgt einem risikobasierten Modell mit vier Stufen:
Unannehmbares Risiko (verboten): Bestimmte KI-Anwendungen sind grundsätzlich untersagt – etwa Social Scoring, manipulative Systeme oder biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum ohne Ausnahmetatbestand. Diese Verbote gelten bereits seit Februar 2025.
Hohes Risiko: Systeme in sensiblen Bereichen wie Personalwesen, Kreditvergabe, kritische Infrastruktur oder Bildung unterliegen strengen Anforderungen. Dazu gehören ein Risikomanagementsystem, Qualitätsmanagement für Trainingsdaten, technische Dokumentation, Logging, menschliche Aufsicht und eine Konformitätsbewertung.
Begrenztes Risiko: Systeme wie Chatbots oder Deepfake-Generatoren unterliegen vor allem Transparenzpflichten – Nutzer müssen wissen, dass sie mit einer KI interagieren oder dass Inhalte KI-generiert sind.
Minimales Risiko: Die große Mehrheit der KI-Anwendungen fällt in diese Kategorie und bleibt weitgehend unreguliert. Freiwillige Verhaltenskodizes werden empfohlen.
Die Umsetzung des EU AI Act erfolgt gestaffelt:
Verschaffen Sie sich einen vollständigen Überblick über alle KI-Systeme in Ihrem Unternehmen. Dazu gehören nicht nur offensichtliche Tools, sondern auch eingebettete KI-Funktionen in bestehender Software – etwa KI-gestützte Analysefunktionen in CRM- oder ERP-Systemen.
Für jedes identifizierte System klären: In welcher Rolle agiert Ihr Unternehmen (Provider oder Deployer)? In welche Risikokategorie fällt das System? Bei Systemintegrationen und gebrandeten Lösungen ist besondere Vorsicht geboten – hier greift schnell Artikel 25.
Die Pflicht aus Artikel 4 gilt bereits jetzt. Schulen Sie alle Mitarbeiter, die KI-Systeme nutzen, entwickeln oder beaufsichtigen. Das umfasst technische Teams ebenso wie Fachabteilungen und Führungskräfte. Auch Nearshore- und Offshore-Teams im EU-Kontext sind einzubeziehen.
Klären Sie in Ihren Verträgen mit Kunden, Lieferanten und KI-Anbietern die Rollenverteilung nach dem EU AI Act. Wer übernimmt welche Compliance-Pflichten? Wer trägt die Haftung bei Verstößen? Eine saubere vertragliche Abgrenzung ist der wichtigste Hebel zur Risikominimierung.
Warten Sie nicht auf den August 2026. Hochrisiko-Compliance erfordert umfangreiche technische und organisatorische Maßnahmen – Risikomanagementsystem, Datenqualitätsprozesse, Logging-Infrastruktur, Dokumentation. Beginnen Sie jetzt mit der Planung und setzen Sie Prioritäten nach Risikoexposition.
Ein verbreitetes Missverständnis: Open-Source-KI-Modelle seien von der Regulierung ausgenommen. Der EU AI Act enthält zwar bestimmte Erleichterungen für Open-Source-Provider, doch diese gelten nur unter engen Voraussetzungen – und vor allem nicht für Unternehmen, die auf Basis offener Modelle eigene Produkte bauen und vertreiben. Wer ein Open-Source-Modell in eine kommerzielle Lösung integriert und diese an Kunden ausliefert, wird zum Provider im Sinne der Verordnung.
Der EU AI Act stellt Unternehmen vor neue Anforderungen – aber er schafft auch Klarheit und Vertrauen. Wer frühzeitig die eigene KI-Landschaft analysiert, Rollen klar definiert und Compliance-Prozesse aufsetzt, verschafft sich einen Wettbewerbsvorteil. Gerade im B2B-Geschäft wird die nachweisbare Einhaltung der KI-Verordnung zunehmend zum Entscheidungskriterium bei der Auftragsvergabe.
Die Regulierung betrifft nicht nur die Großen. Sie betrifft alle, die KI einsetzen oder anbieten. Die gute Nachricht: Die gestaffelten Fristen geben ausreichend Zeit zur Vorbereitung – vorausgesetzt, man beginnt jetzt.
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die individuelle Bewertung Ihrer KI-Systeme empfehlen wir die Konsultation spezialisierter Rechtsberater.
