Was der AI Act für dein Unternehmen bedeutet – und warum du jetzt handeln musst

Seit dem 1. August 2024 ist er in Kraft. Seit Februar 2025 gelten die ersten Pflichten. Und trotzdem höre ich in Gesprächen mit Unternehmern immer wieder denselben Satz:

„AI Act? Das ist doch erst für große Konzerne relevant.“

Ich verstehe, warum dieser Gedanke verführerisch ist. Aber er ist falsch. Und er kann teuer werden.

Was ist der AI Act überhaupt?

Der AI Act ist die erste umfassende KI-Regulierung der Welt – verabschiedet von der Europäischen Union. Er legt fest, welche KI-Systeme in Europa eingesetzt werden dürfen, welche Pflichten Unternehmen dabei haben und welche Risiken als nicht akzeptabel gelten.

Das Gesetz unterscheidet KI-Systeme in vier Risikoklassen: von „unakzeptables Risiko“ (verboten) über „hohes Risiko“ (strenge Auflagen) bis „begrenztes Risiko“ und „minimales Risiko“. Und genau hier liegt das Missverständnis vieler Unternehmen.

Warum ist das auch für kleine Unternehmen relevant?

Weil der AI Act nicht nur KI-Entwickler betrifft – sondern jeden, der KI-Systeme in seinem Unternehmen einsetzt. Das betrifft dich, wenn du ChatGPT für Kundenkommunikation nutzt. Das betrifft dich, wenn du KI-gestützte Recruiting-Tools einsetzt. Das betrifft dich, wenn dein CRM mit KI-Funktionen läuft.

Die entscheidende Frage ist nicht: „Entwickeln wir KI?“ Sondern: „Nutzen wir KI – und wissen wir, in welche Risikoklasse sie fällt?“

Die 3 größten Irrtümer, die ich in Unternehmen erlebe

Irrtum 1: „Das regelt der Anbieter.“

Nein. Der Anbieter ist für die Entwicklung verantwortlich. Du als Nutzer – als sogenannter „Deployer“ – bist verantwortlich für den Einsatz im eigenen Kontext. Das ist ein juristisch entscheidender Unterschied.

Irrtum 2: „Wir nutzen das ja nur intern.“

Auch interner KI-Einsatz unterliegt dem AI Act – vor allem, wenn er Mitarbeiterentscheidungen, Leistungsbewertungen oder Personalauswahl berührt. „Intern“ ist kein Freifahrtschein.

Irrtum 3: „Das hat uns noch niemand gesagt.“

Rechtliche Pflichten gelten unabhängig davon, ob jemand darauf hingewiesen hat. Unwissenheit schützt nicht vor Konsequenzen. Und die Konsequenzen sind bei Verstößen erheblich – bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Was bedeutet das konkret für dich als Unternehmer?

Der erste Schritt ist kein juristisches Projekt – sondern ein strategisches. Du musst wissen, welche KI-Systeme in deinem Unternehmen eingesetzt werden. Das klingt simpel. Ist es aber oft nicht, denn viele Unternehmen haben überhaupt keinen Überblick darüber, was ihre Mitarbeiter gerade nutzen.

Schatten-IT ist kein Nischenproblem. Sie ist die Regel. Und solange du keinen klaren Überblick über deinen KI-Einsatz hast, kannst du weder Compliance sicherstellen noch Risiken steuern.

Drei konkrete erste Schritte:

• KI-Inventar erstellen: Welche Tools werden in deinem Unternehmen genutzt – offiziell und inoffiziell?

• Risikoklasse einschätzen: Fällt dein KI-Einsatz unter hohes Risiko? Dann gelten besondere Dokumentations- und Transparenzpflichten.

• Verantwortlichkeit klären: Wer in deinem Unternehmen ist für KI verantwortlich? Wenn die Antwort „alle irgendwie“ lautet, ist das die eigentliche Baustelle.

• DSGVO-Konformität prüfen: Werden bei KI-Nutzung personenbezogene Daten verarbeitet? Dann gelten zusätzlich DSGVO-Pflichten – parallel zum AI Act.

Der AI Act ist keine Bürokratiehürde. Er ist ein Rahmen, der Unternehmen zwingt, KI bewusst und verantwortungsvoll einzusetzen. Wer das als Chance begreift, baut gerade einen echten Wettbewerbsvorteil auf – nämlich Vertrauen. Bei Kunden, bei Mitarbeitern, bei Partnern.

Wer den AI Act ignoriert, riskiert nicht nur Bußgelder. Er riskiert vor allem, von der Regulierungswelle überrascht zu werden – statt sie zu gestalten.

Wenn du wissen willst, wo dein Unternehmen beim Thema KI-Compliance gerade wirklich steht – und was dein nächster konkreter Schritt ist: Am 22. April zeige ich dir genau das in meinem kostenlosen Webinar. Der Link zur Anmeldung ist in meinem Profil.

Bild mit KI generiert