Der AI Act betrifft nicht nur Modellanbieter und große Technologieunternehmen. Er betrifft auch gewöhnliche Unternehmen, die KI in der Kundenkommunikation, im Personalwesen, in internen Arbeitsabläufen, im Marketing und in Entscheidungsprozessen einsetzen.
Der praktische erste Schritt ist kein 80-seitiges Rechtsgutachten. Es ist ein KI-Register, also eine Liste der Tools, Zwecke, Daten, Eigentümer, Anbieter, Risiken, Protokollierung und menschlichen Prüfung. Ohne diese Liste weiß ein Unternehmen oft nicht einmal, was bewertet werden muss.
Dieser Artikel ist keine Rechtsberatung. Es ist eine technische und organisatorische Checkliste für Management, IT und Produktverantwortliche.
Zeitplan, den Sie kennen sollten
Der AI Act ist am 1. August 2024 in Kraft getreten, seine Pflichten gelten jedoch schrittweise. Verbotene Praktiken und Pflichten zur KI-Kompetenz gelten seit dem 2. Februar 2025. Regeln für KI-Modelle mit allgemeinem Verwendungszweck gelten seit dem 2. August 2025. Transparenzpflichten, einschließlich der für Chatbots und ausgewählte KI-generierte Inhalte relevanten Anforderungen, gelten ab dem 2. August 2026.
Nach der politischen Einigung vom 7. Mai 2026 sollen die Pflichten für ausgewählte Hochrisikosysteme, einschließlich Anwendungsfällen im Beschäftigungsbereich, voraussichtlich ab dem 2. Dezember 2027 gelten. Hochrisikosysteme, die in regulierte Produkte eingebettet sind, sollen voraussichtlich am 2. August 2028 folgen. Diese Verlängerungen sind kein Grund, ein KI-Register, Mitarbeiterschulungen oder Transparenzmaßnahmen aufzuschieben, die ein Unternehmen bereits jetzt benötigt.
Welche KI-Anwendungen zuerst zu prüfen sind
Beginnen Sie dort, wo KI mit Menschen kommuniziert, personenbezogene Daten verarbeitet oder eine Entscheidung beeinflussen kann.
Typische Bereiche:
- Chatbot auf der Website oder in der App,
- KI im Kundensupport,
- Prüfung von Lebensläufen, Ranking von Bewerbungen oder Steuerung von Mitarbeitern,
- interner Agent mit Zugriff auf CRM, ERP, E-Mail oder Dokumente,
- generierte Marketinginhalte, Bilder, Sprache oder Videos,
- Scoring von Kunden, Prioritäten, Risiken oder Zugang zu einer Dienstleistung.
Das Personalwesen verdient besondere Aufmerksamkeit. Wenn Sie KI bei der Einstellung oder Beschäftigung einsetzen, lesen Sie unseren Artikel über den AI Act und Hochrisiko-KI im Personalwesen.
KI-Register als Minimum
| Position | Was zu erfassen ist |
|---|
| Name des Tools | zum Beispiel Web-Chatbot, CRM-Agent, HR-Screening |
| Eigentümer | fachlicher Eigentümer und technischer Eigentümer |
| Zweck | was das Tool tut und warum |
| Daten | Eingaben, personenbezogene Daten, sensible Daten, Quellen |
| Anbieter | Eigenentwicklung, SaaS, API-Anbieter, Modellanbieter |
| Nutzer | Mitarbeiter, Kunden, Bewerber, Partner |
| Risiko | niedrig, mittel, hoch und warum |
| Menschliche Prüfung | wo eine Person die Ausgabe prüft oder freigibt |
| Transparenz | wie der Nutzer informiert wird |
| Protokollierung | was protokolliert wird und wie lange |
| Status | Idee, Pilot, Produktion, deaktiviert |
Ein KI-Register ist auch außerhalb der Compliance nützlich. Das Management kann erkennen, wo KI doppelt eingesetzt wird, wo Daten abfließen können und wo technische Kontrollen fehlen.
Technische Kontrollen für einen KI-Arbeitsablauf
Stellen Sie sich bei jedem internen KI-Arbeitsablauf diese Fragen:
- Hat das Tool einen klaren Eigentümer?
- Sind Zweck und Umfang dokumentiert?
- Wissen wir, welche Daten es verarbeitet?
- Wird dem Nutzer mitgeteilt, wenn er mit KI interagiert oder wenn KI wesentlich zur Ausgabe beiträgt?
- Sind die Berechtigungen auf das Minimum beschränkt?
- Werden Eingaben, Ausgaben, Tools und Entscheidungen protokolliert?
- Kann eine Person eine riskante Ausgabe stoppen oder ändern?
- Gibt es einen Prozess für Vorfälle?
- Kann der Anbieter Dokumentation bereitstellen?
- Hat das Unternehmen Regeln für generierte Inhalte?
Bei eigener Software können diese Kontrollen von Anfang an eingeplant werden. Bei SaaS-Tools müssen Sie erfragen, was der Anbieter tatsächlich bereitstellt.
Was in den ersten 30 Tagen zu tun ist
- Erfassen Sie alle KI-Tools im Unternehmen.
- Weisen Sie jedem Tool einen Eigentümer zu.
- Teilen Sie die Anwendungsfälle nach Risiko auf.
- Kennzeichnen Sie KI im Kundenkontakt, im Personalwesen und bei Entscheidungen.
- Prüfen Sie Anbieter und Daten.
- Stellen Sie riskante Agentenaktionen unter Freigabevorbehalt.
- Führen Sie eine grundlegende Protokollierung ein.
- Bereiten Sie Regeln für generierte Inhalte vor.
- Schulen Sie die Nutzer im sicheren Umgang mit KI.
- Wählen Sie einen Arbeitsablauf, den Sie zuerst absichern.
Wo RISE helfen kann
RISE tritt nicht als Rechtsberater auf. Unser Wert liegt in der technischen Umsetzung: KI-Register, Protokollierung, Freigabe-Workflows, Rollenverwaltung, sichere Integrationen, Audits bestehender Tools und die Gestaltung risikoärmerer Piloten.
Compliance ohne Umsetzung bleibt ein Dokument. Umsetzung ohne Governance ist ein Risiko. Ein Unternehmen braucht beides. Wenn Sie Ihre KI-Tools erfassen und technische Kontrollen ergänzen möchten, beginnen Sie mit KI-Automatisierung oder kontaktieren Sie uns.
Quellen
FAQ
Gilt der AI Act auch für Unternehmen, die KI nur nutzen?
Ja. Je nach Anwendungsfall können auch Betreiber oder Nutzer von KI-Systemen Pflichten haben. Der Umfang hängt vom Zweck und der Risikokategorie ab.
Sind KI-Agenten eine eigene Kategorie?
Laut dem AI Act Service Desk sind KI-Agenten keine eigene Kategorie. Die Regeln richten sich danach, was der Agent tut und in welche Risikokategorie der Anwendungsfall fällt.
Muss ein Chatbot als KI gekennzeichnet werden?
Systeme, die mit natürlichen Personen interagieren, benötigen Transparenz. Die entsprechenden Regeln gelten ab dem 2. August 2026. Der genaue Wortlaut und das Format hängen von der Umsetzung ab.
Ist dieser Artikel eine Rechtsberatung?
Nein. Dies ist eine technische und organisatorische Checkliste. Für eine rechtliche Bewertung ziehen Sie einen Anwalt oder Compliance-Spezialisten hinzu.