Wenn aus Theorie plötzlich Realität wird
Der EU AI Act ist da – und er meint es ernst. Was lange wie eine ferne Bedrohung klang, wird jetzt konkret: Unternehmen müssen ihre KI-Systeme regulieren, dokumentieren und überwachen. Und wer das nicht tut, dem drohen Strafen, die durchaus wehtun können. Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist. Da wird selbst einem Konzern mulmig.
Seit Februar 2025 gelten die ersten Bestimmungen des AI Acts, und die Behörden schauen genau hin. Besonders spannend: Die Durchsetzung läuft nicht einheitlich ab. Jedes EU-Land hat eigene Aufsichtsbehörden ernannt, was die Sache nicht gerade einfacher macht. Ein Flickenteppich an Interpretationen und Prioritäten entsteht gerade – typisch EU, könnte man sagen.
Die ersten Fälle: Wo es bereits knallt
Konkrete Bußgelder sind zwar noch rar, aber die ersten Untersuchungen laufen bereits. In Frankreich hat die CNIL (Commission Nationale de l'Informatique et des Libertés) mehrere Unternehmen ins Visier genommen, die Gesichtserkennungssysteme ohne ausreichende Rechtsgrundlage einsetzen. Keine offiziellen Strafen bisher, aber die Warnschüsse sind klar.
In Deutschland prüft das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit den Datenschutzbehörden erste Fälle von KI-gestützten Bewerbungssystemen. Der Vorwurf: mangelnde Transparenz und mögliche diskriminierende Effekte. Hier geht's um Hochrisiko-KI-Anwendungen – genau das, was der AI Act besonders scharf überwachen will.
Interessant ist auch der Fall eines niederländischen Start-ups, das KI-basierte Kreditscoring anbietet. Die niederländische Aufsichtsbehörde hat eine formelle Untersuchung eingeleitet, weil die Dokumentationspflichten offenbar nicht erfüllt wurden. Das Unternehmen muss jetzt nachweisen, dass seine Algorithmen fair und nachvollziehbar entscheiden – eine Herkulesaufgabe, wenn man ehrlich ist.
Was die ersten Fälle zeigen
Die Behörden konzentrieren sich zunächst auf die offensichtlichen Verstöße: Systeme zur biometrischen Identifikation, automatisierte Entscheidungen in sensiblen Bereichen wie Personalwesen oder Kreditvergabe, und vor allem mangelnde Dokumentation. Es geht weniger um technische Details als um grundlegende Compliance-Anforderungen.
Ein Muster zeichnet sich ab: Wer seine Hausaufgaben nicht gemacht hat, bekommt erstmal eine Aufforderung zur Stellungnahme. Dann folgt meist eine Frist zur Nachbesserung. Erst bei wiederholtem Verstoß oder besonders gravierenden Fällen drohen tatsächlich saftige Strafen. Insofern haben Unternehmen noch eine Art Schonfrist – aber die tickt.
Die größten Compliance-Stolpersteine
Viele Unternehmen unterschätzen schlicht den Aufwand. Ein IT-Leiter eines mittelständischen Unternehmens sagte mir neulich: "Wir dachten, wir müssen nur eine Checkbox abhaken. Jetzt merken wir: Das ist ein komplettes Projekt." Und das trifft es ziemlich gut.
Das Hauptproblem ist die Risikoeinstufung. Der AI Act unterscheidet zwischen verbotenen, Hochrisiko-, begrenztem Risiko und minimalem Risiko. Klingt simpel, ist es aber nicht. Ein Chatbot für den Kundenservice – minimales Risiko? Oder doch begrenzt, weil er potentiell manipulativ sein könnte? Und was ist mit einem KI-gestützten Tool zur Mitarbeiterplanung? Hochrisiko oder nicht?
Diese Einordnung ist entscheidend, denn davon hängt ab, welche Anforderungen gelten. Hochrisiko-Systeme müssen ein umfangreiches Konformitätsbewertungsverfahren durchlaufen, Risikomanagementsysteme implementieren, technische Dokumentation erstellen, Protokolle führen und vieles mehr. Das bindet Ressourcen – Zeit, Geld, Expertise.
Die Dokumentationsfalle
Besonders tückisch: die Dokumentationspflichten. Unternehmen müssen nicht nur beschreiben, wie ihre KI-Systeme funktionieren, sondern auch nachweisen, dass sie alle Anforderungen erfüllen. Das bedeutet: Detaillierte technische Spezifikationen, Nachweise über Datensätze, Informationen über Trainingsmethoden, Ergebnisse von Tests und Validierungen.
Viele Unternehmen haben ihre KI-Systeme aber gar nicht so dokumentiert. Entwickler haben gebaut, optimiert, deployed – aber alles akkurat festgehalten? Eher selten. Jetzt müssen sie retrospektiv dokumentieren, was teilweise Jahre zurückliegt. Und dabei hoffen, dass sie nichts Wichtiges vergessen haben.
Ein weiteres Problem: Die Dokumentation muss verständlich sein – auch für Nicht-Techniker. Aufsichtsbehörden wollen nachvollziehen können, wie Entscheidungen getroffen werden, ohne einen PhD in Machine Learning zu haben. Das erfordert eine völlig andere Art von Dokumentation, als Entwickler sie normalerweise erstellen.
Provider vs. Deployer: Wer haftet eigentlich?
Der AI Act unterscheidet zwischen Providern (die KI-Systeme entwickeln oder bereitstellen) und Deployern (die sie einsetzen). Beide haben Pflichten, aber unterschiedliche. Provider tragen die Hauptlast bei Hochrisiko-Systemen – sie müssen die Konformität sicherstellen. Deployer müssen dann ihrerseits dafür sorgen, dass die Systeme korrekt eingesetzt werden.
In der Praxis führt das zu einem Ping-Pong-Spiel der Verantwortung. Ein Unternehmen, das eine fertige KI-Lösung kauft, verlässt sich darauf, dass der Anbieter alles richtig gemacht hat. Aber wenn was schiefgeht, steht trotzdem auch der Deployer in der Verantwortung. Verträge müssen jetzt ganz genau regeln, wer was garantiert und wer im Zweifelsfall haftet.
Besonders kompliziert wird's bei Open-Source-KI-Modellen. Wer ist da der Provider? Der, der das Modell trainiert hat? Der, der es veröffentlicht hat? Oder der, der es anpasst und in ein Produkt integriert? Diese Fragen sind noch nicht abschließend geklärt, und das schafft erhebliche Rechtsunsicherheit.
Was Unternehmen jetzt tun sollten
Erstmal: Nicht in Panik verfallen. Der AI Act ist komplex, aber nicht unmöglich zu erfüllen. Der erste Schritt ist eine ehrliche Bestandsaufnahme: Welche KI-Systeme setzen wir eigentlich ein? Viele Unternehmen wissen das nämlich gar nicht so genau. KI versteckt sich inzwischen überall – in HR-Tools, CRM-Systemen, Marketingplattformen.
Dann kommt die Risikobewertung. Für jedes identifizierte System muss geklärt werden: Welche Risikokategorie? Welche Anforderungen gelten? Wie weit sind wir von der Compliance entfernt? Diese Gap-Analyse zeigt, wo der größte Handlungsbedarf liegt.
Danach geht's an die konkrete Umsetzung. Für Hochrisiko-Systeme bedeutet das möglicherweise: Dokumentation nachholen, Risikomanagementsystem aufbauen, Qualitätssicherungsprozesse etablieren, menschliche Aufsicht implementieren. Das ist kein Sprint, sondern ein Marathon. Realistisch sollte man mit mehreren Monaten rechnen.
Externe Hilfe kann sich lohnen
Viele Unternehmen holen sich externe Berater ins Boot – Juristen, die sich mit KI-Regulierung auskennen, technische Experten für Konformitätsbewertungen, Datenschutzspezialisten. Das kostet zwar, aber es kostet deutlich weniger als ein Bußgeld oder der Verlust der Betriebserlaubnis für kritische Systeme.
Ein pragmatischer Ansatz: Mit den risikoreichsten Systemen anfangen. Was würde am meisten wehtun, wenn es verboten oder mit Strafen belegt würde? Diese Systeme zuerst compliant machen, dann die nächste Prioritätsstufe angehen.
Der Blick nach vorn: Was kommt noch?
Die volle Durchsetzung des AI Acts beginnt erst 2026. Aber die Richtung ist klar: Die EU meint es ernst mit der KI-Regulierung. Andere Regionen schauen genau zu – und entwickeln teilweise eigene Regelwerke. Unternehmen, die jetzt investieren, sind nicht nur EU-konform, sondern bereiten sich auch auf eine global zunehmend regulierte KI-Landschaft vor.
Gleichzeitig wird sich die Praxis der Durchsetzung erst noch entwickeln. Die ersten großen Streitfälle werden zeigen, wie hart die Behörden wirklich durchgreifen und wo es Spielräume gibt. Spannend wird auch, wie die Gerichte entscheiden, wenn es zu Klagen kommt – was unvermeidlich ist.
Eines ist jedenfalls klar: Die Zeiten, in denen man KI einfach deployen konnte ohne groß über regulatorische Konsequenzen nachzudenken, sind vorbei. Das ist für viele Unternehmen nervig, aber letztlich vermutlich notwendig. KI ist zu mächtig geworden, um unreguliert zu bleiben. Jetzt gilt es halt, sich anzupassen – und das möglichst clever und effizient zu tun.
