Wir beraten Sie gern: 0365 52786230

ad hoc datenschutz
Kontakt

Die neue KI-Verordnung (EU AI Act) – Was bedeutet sie für Unternehmen?

Dieser Artikel ist der Auftakt unserer Reihe zu KI und Datenschutz. In diesem und weiteren Artikeln erfahren Sie praxisnah:

  • Was die neue KI-Verordnung vorschreibt und wie Sie damit im Unternehmensalltag umgehen
  • Welche KI-Anwendungen als hochriskant eingestuft werden
  • Welche Pflichten auf Geschäftsführungen zukommen (Stichwort Schulungspflicht und KI-Beauftragter)
  • Wie Datenschutz und Urheberrecht beim KI-Einsatz zu beachten sind

Fakten zur Verordnung und Gültigkeit in Deutschland

Um Innovation zu fördern und gleichzeitig Grundrechte zu schützen, hat die EU erstmals ein umfassendes Regelwerk für KI geschaffen. Die KI-Verordnung (EU AI Act) setzt einen risikobasierten Ansatz um: Anwendungen mit inakzeptablen Risiken – etwa „Social Scoring“ oder wahllose Gesichtserkennung – sind verboten. Andere KI-Systeme werden je nach Gefährdungspotenzial reguliert (hochriskante, limitierte und minimale Risiken). Für Unternehmen und insbesondere Geschäftsleitungen bedeutet das neue Compliance-Anforderungen, aber auch Klarheit darüber, was beim KI-Einsatz erlaubt ist und was nicht.

Die KI-Verordnung wurde am 21. Mai 2024 vom EU-Gesetzgeber beschlossen. Formell in Kraft getreten ist sie am 1. August 2024. Die meisten Regelungen sind jedoch erst nach einer Übergangsfrist von zwei Jahren anwendbar, also ab August 2026. Einige zentrale Pflichten greifen aber deutlich früher. Für Unternehmen ist wichtig:

  • Seit dem 2. Februar 2025 gelten bereits Verbote für KI-Praktiken mit unannehmbarem Risiko (Art. 5) und
  • die Pflicht zur Förderung von KI-Kompetenz im Unternehmen (Art. 4).

Geschäftsführer müssen also bereits gehandelt haben, um diese Anforderungen zu erfüllen. Ansonsten gilt: Die Verordnung ist in Deutschland direkt anwendbar, es ist kein nationales Umsetzungsgesetz nötig. Deutschland muss allerdings zuständige Aufsichtsbehörden benennen. Die Bundesregierung hat entschieden, dass die Bundesnetzagentur die Aufsicht über die Einhaltung der KI-VO übernehmen soll, mit branchenspezifischen Ausnahmen (z.B. Kraftfahrt-Bundesamt  für KI in Autos, Bundesinstitut für Arzneimittel und Medizinprodukte  für KI in Medizinprodukten). Unternehmen in Deutschland sollten sich also jetzt mit den neuen Regeln vertraut machen, damit sie 2025 und erst recht bis 2026 compliant sind.

Welche Unternehmen sind betroffen?

Grundsätzlich alle Unternehmen, Behörden und Organisationen, die KI-Systeme entwickeln, vertreiben oder einsetzen. Die KI-VO unterscheidet verschiedene Akteure wie Anbieter, Inverkehrbringer, Händler und Nutzer von KI-Systemen – für alle können spezifische Pflichten gelten.

Wichtig: Man muss kein Tech-Konzern sein, um unter die Verordnung zu fallen. Jedes Unternehmen, das KI nutzt, ist adressiert. Der Gesetzgeber knüpft die Nutzung dieser potenziell hochriskanten Technik ausdrücklich an Verantwortung: Wer KI einsetzt, muss KI-Kompetenz aufbauen und gewissen Pflichten nachkommen. Diese Pflicht gilt flächendeckend, unabhängig von Branche oder Größe – von der Schule bis zum Großkonzern.

Praktisch betroffen sind z.B.:

  • Ein Industriebetrieb, der eine selbstlernende Qualitätsprüfungssoftware nutzt (Der Betrieb ist Nutzer eines KI-Systems).
  • Ein Softwareunternehmen, das eine KI-gestützte HR-Anwendung entwickelt und verkauft (Das Unternehmen ist Anbieter eines KI-Systems).
  • Eine Bank, die einen KI-Service eines Drittanbieters zur Kreditwürdigkeitsprüfung einbindet (Die Bank ist Nutzer, ggf. auch Inverkehrbringer, wenn sie es eigenen Kunden anbietet).
  • Ein Online-Händler, der KI zur automatischen Bewertung von Kundenfeedback einsetzt (Der Händler ist Nutzer).

Selbst der Einsatz von allgemein verfügbaren KI-Tools wie ChatGPT im Unternehmen zählt als Nutzung eines KI-Systems. Daher muss jedes Unternehmen prüfen, ob und wie KI zum Einsatz kommt – seien es eigene Entwicklungen oder zugekaufte Dienste – und welche rechtlichen Vorgaben damit einhergehen.

Typische Anwendungsfälle in Unternehmen

Geschäftsleitungen sollten einen Überblick darüber haben, wofür in ihrem Verantwortungsbereich KI verwendet wird oder bald verwendet werden könnte. Häufige Anwendungsfälle sind:

  • Personal: automatisierte Vorauswahl von Bewerbern (z.B. CV-Scoring-Tools), KI-gestützte Mitarbeiterbefragungs-Analyse, Produktivitätstools (wie KI-Assistenten für Übersetzungen oder Zusammenfassungen).
  • Kundenservice/Vertrieb: Chatbots auf Websites, automatisierte E-Mail-Antworten, Empfehlungssysteme („Kunden, die X kauften, kauften auch…“).
  • Produktion/Logistik: KI für Optimierung von Lagerhaltung, Qualitätskontrolle mit Bilderkennung, Robotik mit KI-Komponenten, Wartungsprognosen.
  • Finanzen/Risikomanagement: KI-Modelle zur Betrugserkennung, Bonitätsprüfung, Marktanalyse.
  • IT/Organisation: KI-basierte Anomalieerkennung in der IT-Security, intelligente Dokumentenverwaltung (z.B. automatisierte Vertragserkennung).
  • Marketing: Text- und Bildgenerierung für Kampagnen, Zielgruppen-Profiling (hier ist Datenschutz kritisch, dazu mehr im Blogartikel „Besonderheiten im Profiling“).

Durch diese Beispiele wird deutlich, dass KI oft unbemerkt im Hintergrund mitläuft. Als Geschäftsleitung sollten Sie daher bereichsübergreifend erfassen, wo KI-Technologie bei Ihnen im Einsatz ist. Nur so lassen sich die neuen Compliance-Pflichten zielgerichtet umsetzen.

Verantwortlichkeiten innerhalb des Unternehmens

Die KI-Verordnung bringt keine starre Pflicht zur Benennung eines „KI-Beauftragten“ nach Vorbild des Datenschutzbeauftragten – es gibt also derzeit keine gesetzliche Vorgabe, formal einen AI Officer zu ernennen. Aber: Unternehmen müssen intern sicherstellen, dass ausreichend KI-Kompetenz vorhanden ist und die neuen Pflichten erfüllt werden. Praktisch wird es oft sinnvoll sein, verantwortliche Personen oder Gremien für KI-Themen zu benennen – sei es ein KI-Verantwortlicher, ein bestehender Compliance-Manager, der das Thema übernimmt, oder ein interdisziplinäres Team. Die Geschäftsführung trägt letztlich die Gesamtverantwortung dafür, dass das Unternehmen die KI-VO einhält.

Konkret sollte intern geregelt werden:

  • Wer beobachtet Gesetzesänderungen und stellt sicher, dass neue Anforderungen (z.B. technische Dokumentationen für KI-Systeme) umgesetzt werden?
  • Wer prüft KI-Systeme vor Anschaffung oder Inbetriebnahme auf ihr Risikoniveau und die Einhaltung der Vorgaben? (Z.B. durch Checklisten oder Freigabeprozesse – etwa ähnlich wie man IT-Sicherheit oder Datenschutz prüft.)
  • Wer schult die Mitarbeiter in der richtigen Nutzung von KI? (Dazu verpflichtet Art. 4 KI-VO ausdrücklich alle Arbeitgeber.)
  • Wer überwacht den KI-Einsatz laufend? Bei hochriskanter KI fordert das Gesetz z.B. menschliche Aufsicht und regelmäßige Evaluierung der Ergebnisse. Es sollte klar sein, welche Stelle (Fachabteilung, IT, Compliance) dies übernimmt.

Kurz: Die Geschäftsleitung muss Rollen und Prozesse etablieren, damit KI verantwortungsvoll eingesetzt wird. Das kann bedeuten, bestehende Governance-Strukturen zu erweitern. Oft bietet es sich an, den Datenschutzbeauftragten oder die Compliance-Abteilung einzubeziehen, da Überschneidungen bestehen (Datenschutz, Ethik-Richtlinien etc.). In manchen Unternehmen wird bereits ein Ethikrat oder AI-Governance-Board eingerichtet, um Entscheidungen zum KI-Einsatz zu begleiten.

Häufige Frage: Brauchen wir einen KI-Beauftragten?

Antwort: Nicht zwingend gesetzlich, aber indirekt erfordert die KI-VO, dass Know-how aufgebaut wird. Gerade wenn Ihr Unternehmen verstärkt KI einsetzt, empfiehlt es sich, einen Verantwortlichen für KI zu benennen, der Konzepte zur Schulung und Überwachung betreut. Dieser muss nicht formal gemeldet werden wie ein Datenschutzbeauftragter, aber er sollte genügend Autorität und Ressourcen haben, um KI-Compliance durchzusetzen.

Fazit: Jetzt aktiv werden

Die KI-Verordnung bringt für Unternehmen klare Regeln, aber auch neue Verpflichtungen. Wer KI einsetzt, muss Compliance-Maßnahmen ergreifen, Mitarbeiterschulungen einplanen und interne Prozesse anpassen. Warten ist keine Option – bereits jetzt greifen erste Vorgaben.

Unternehmen, die jetzt handeln, sichern sich nicht nur die Einhaltung gesetzlicher Vorschriften, sondern schaffen auch die Grundlage für einen verantwortungsvollen und innovativen KI-Einsatz. Mit der richtigen Strategie lassen sich Risiken minimieren und gleichzeitig Wettbewerbsvorteile durch den gezielten Einsatz von KI-Technologien nutzen.

Sie haben Fragen zum datenschutzkonformen Einsatz von KI in Ihrem Unternehmen? Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch. Wir stehen Ihnen mit Rat und Tat zur Seite.

In der nächsten Woche geht es an dieser Stelle weiter mit Teil 2: „Konkrete Pflichten für Unternehmen und Geschäftsleitungen“.

Teilen
Facebook
LinkedIn
Telegram
WhatsApp
X
XING
Navigation
Servicegebiet

Datenschutzbeauftragter Altenburg

Datenschutzbeauftragter Annaberg-Buchholz

Datenschutzbeauftragter Apolda

Datenschutzbeauftragter Arnstadt

Datenschutzbeauftragter Aschersleben

Datenschutzbeauftragter Aue

Datenschutzbeauftragter Bautzen

Datenschutzbeauftragter Bernburg

Datenschutzbeauftragter Burg

Datenschutzbeauftragter Chemnitz

Datenschutzbeauftragter Coswig

Datenschutzbeauftragter Delitzsch

Datenschutzbeauftragter Dessau-Roßlau

Datenschutzbeauftragter Dresden

Datenschutzbeauftragter Eisenach

Datenschutzbeauftragter Eisleben

Datenschutzbeauftragter Erfurt

Datenschutzbeauftragter Freiberg

Datenschutzbeauftragter Freital

Datenschutzbeauftragter Gardelegen

Datenschutzbeauftragter Gera

Datenschutzbeauftragter Görlitz

Datenschutzbeauftragter Gößnitz

Datenschutzbeauftragter Gotha

Datenschutzbeauftragter Greiz

Datenschutzbeauftragter Halberstadt

Datenschutzbeauftragter Halle (Saale)

Datenschutzbeauftragter Hoyerswerda

Datenschutzbeauftragter Ilmenau

Datenschutzbeauftragter Jena

Datenschutzbeauftragter Leipzig

Datenschutzbeauftragter Limbach-Oberfrohna

Datenschutzbeauftragter Magdeburg

Datenschutzbeauftragter Meiningen

Datenschutzbeauftragter Meißen

Datenschutzbeauftragter Merseburg

Datenschutzbeauftragter Mühlhausen

Datenschutzbeauftragter Naumburg (Saale)

Datenschutzbeauftragter Nordhausen

Datenschutzbeauftragter Pirna

Datenschutzbeauftragter Plauen

Datenschutzbeauftragter Quedlinburg

Datenschutzbeauftragter Riesa

Datenschutzbeauftragter Rudolstadt

Datenschutzbeauftragter Saalfeld

Datenschutzbeauftragter Salzwedel

Datenschutzbeauftragter Sangerhausen

Datenschutzbeauftragter Schmalkalden

Datenschutzbeauftragter Schönebeck

Datenschutzbeauftragter Sondershausen

Datenschutzbeauftragter Sonneberg

Datenschutzbeauftragter Staßfurt

Datenschutzbeauftragter Stendal

Datenschutzbeauftragter Suhl

Datenschutzbeauftragter Weimar

Datenschutzbeauftragter Weißenfels

Datenschutzbeauftragter Wittenberg

Datenschutzbeauftragter Zeitz

Datenschutzbeauftragter Zittau

Datenschutzbeauftragter Zwickau

© 2025 ad hoc datenschutz – Alle Rechte vorbehalten