Deutschlands Unternehmen setzen KI quer durch alle Branchen ein – vom Kundenservice über Logistik bis zur Kreativarbeit. Mit dem EU AI Act wachsen die Pflichten von Unternehmen, die KI einsetzen wollen. Im zweiten Teil unserer Serie zum Cybersecurity Awareness Month 2025 zeigen wir, was das konkret bedeutet. Und wo Unternehmen jetzt handeln sollten.
Norderstedt, 16. Oktober 2025 – Seit August 2024 gilt in der EU die „Verordnung über künstliche Intelligenz“ – besser bekannt als „EU AI Act“; seit Februar dieses Jahres sind Systeme mit unannehmbarem Risiko untersagt. Bis zum 1. August 2026 läuft die Übergangsfrist. Für europäische Unternehmen gilt es, diese Frist zu nutzen und den Einsatz von KI auf den Prüfstand zu stellen. Die Vorgaben dazu richten sich nach dem Risikoprofil der eingesetzten KI-Systeme. Die EU hat hierfür eine Klassifizierung etabliert, die die Gefahr beurteilt, die von der KI für Gesellschaft und Individuen ausgeht: von unannehmbar über hoch und begrenzt bis minimal. „Der EU AI Act setzt klare Leitplanken – und er gibt Unternehmen Zeit, sie einzuhalten“, sagt Philipp Arndt, IT-Security-Experte bei LHIND. „Der erste Schritt scheint banal, ist aber entscheidend: Unternehmen benötigen ein Risikomanagement, das betroffene KI-Systeme identifiziert.“
Vom Papier zur Praxis: Dokumentieren, kennzeichnen, beaufsichtigen
Für Hochrisiko-Systeme fordert der EU AI Act von Unternehmen belastbare Dokumentationsstandards über den gesamten Lebenszyklus – von der Entwicklung, über Änderungen im Betrieb bis zur Außerbetriebnahme. „Transparenz entsteht von Anfang an: Logging und Monitoring helfen, Funktionsweise und Datenflüsse zu verstehen – und gegenüber Anwendern zu erklären“, betont Philipp Arndt. Bei zugekauften Systemen seien Verantwortlichkeiten vertraglich zu trennen; intern sei der Funktionsumfang mit den Gremien der Mitbestimmung vor Inbetriebnahme zu klären. Auch beim Exit, also wenn das System einmal den aktiven Betrieb verlässt, müsse dokumentiert werden, etwa wo personenbezogene Daten verbleiben.
Zudem bestehen Pflichten jenseits von Hochrisiko: Interaktive Systeme wie Chatbots müssen stets kenntlich machen, dass sie KI-basiert sind. „Ehrliche Kennzeichnung ist keine Kür, sondern Pflicht“, so Philipp Arndt. Parallel sind Qualitäts- und Testkriterien für Genauigkeit, Sicherheit und Robustheit festzulegen – effizient in bestehende Entwicklungs- und QM-Prozesse integriert. „Schulungen sind verpflichtend. Vor allem bei Hochrisiko-Systemen darf es keine vollautonomen Entscheidungen geben: Menschliche Aufsicht bleibt zwingend“, mahnt er.
Kurz vor dem Go-live eines als Hochrisiko bewerteten Systems greift die Registrierung bei der EU-Kommission; in bestimmten Feldern kann ein Zulassungsverfahren nötig sein. „Am Ende steht die Konformitätserklärung des Unternehmens – schriftlich und überprüfbar“, sagt Philipp Arndt.