LOGIN
SUPPORT
  • Allgemein

Neue EU-KI-Verordnung: Was Unternehmen jetzt beim Einsatz von KI beachten müssen

  • von Cotris

Die Europäische Union hat mit der KI-Verordnung (AI Act) einen verbindlichen Rahmen für den Einsatz von Künstlicher Intelligenz geschaffen. Ziel ist es, Chancen von KI zu nutzen – aber Risiken für Sicherheit, Grundrechte und Wettbewerb klar zu begrenzen.

Seit dem 1. August 2024 ist die Verordnung in Kraft, die Anforderungen werden jedoch stufenweise bis 2027 wirksam. Für Unternehmen, die heute schon KI einsetzen – vom Chatbot bis zu Analyse- oder Assistenzsystemen – ist jetzt der richtige Zeitpunkt, die eigenen Anwendungen und Prozesse zu überprüfen.

1. Kurz erklärt: Was regelt die KI-Verordnung?

Die KI-Verordnung ist ein EU-weit einheitliches Regelwerk für den professionellen Einsatz von KI-Systemen. Sie gilt für nahezu alle Branchen und Unternehmensgrößen und verfolgt einen „risikobasierten“ Ansatz:

  • Je höher das Risiko einer KI-Anwendung, desto strenger sind die rechtlichen Anforderungen.
  • Kernadressaten sind Unternehmen, die KI entwickeln, bereitstellen, vertreiben oder in ihren Geschäftsprozessen einsetzen.

Reine private Nutzung – zum Beispiel ein KI-Tool zu Hause für Hobbyzwecke – fällt nicht unter die Verordnung. Für betriebliche Anwendungen, also praktisch alle KI-Nutzungen im Unternehmen, greift die KI-VO dagegen grundsätzlich.

2. Wen trifft die Verordnung konkret?

Die KI-Verordnung unterscheidet verschiedene Rollen. Wichtig ist: Es gibt keine generelle Ausnahme für kleine und mittlere Unternehmen – KMU sind genauso betroffen wie Großunternehmen.

Wesentliche Rollen sind:

  • Anbieter (Provider)
    Unternehmen, die KI-Systeme entwickeln oder unter eigenem Namen in Verkehr bringen (z. B. Softwarehersteller, Plattformanbieter).
  • Betreiber (Deployers/Nutzer)
    Unternehmen, die KI in ihrer Geschäftstätigkeit einsetzen oder in Prozesse integrieren – etwa ein Betrieb, der einen KI-gestützten Chatbot im Kundenservice verwendet oder KI zur Auswertung von Sensordaten nutzt.
  • Importeure
    Unternehmen, die KI-Systeme aus Drittländern in den EU-Markt bringen.
  • Händler
    Unternehmen, die Produkte mit integrierten KI-Systemen vertreiben (z. B. ein Fachhändler, der ein System mit Gesichtserkennung anbietet).

Je nach Rolle unterscheiden sich die Pflichten – etwa im Hinblick auf Konformitätsbewertung, Dokumentation, Monitoring und Informationspflichten gegenüber Kunden.

3. Risikoklassen im Überblick

Die KI-Verordnung ordnet KI-Systeme in vier Risikogruppen ein und ergänzt dies um eine eigene Kategorie für Basismodelle bzw. „General Purpose AI“ (GPAI).

Unvertretbares Risiko (verboten)

Hierzu gehören KI-Anwendungen, die mit den Grundrechten unvereinbar sind, zum Beispiel:

  • Social Scoring von Personen
  • stark manipulative Systeme, die das Verhalten gezielt ausnutzen
  • bestimmte Formen der Emotionserkennung am Arbeitsplatz

Solche Systeme sind unzulässig.

Hohes Risiko

Hochrisiko-KI liegt vor, wenn erhebliche Risiken für Gesundheit, Sicherheit oder Grundrechte bestehen – etwa in diesen Bereichen:

  • kritische Infrastrukturen (z. B. Verkehr, Energie)
  • Medizin und Diagnostik
  • Personalgewinnung und -bewertung
  • Bildung, Prüfungssysteme
  • Kreditvergabe und bestimmte behördliche Entscheidungen

Für diese Systeme gelten strenge Anforderungen u. a. an:

  • Risikomanagement und Qualität der Daten
  • Transparenz und Nachvollziehbarkeit
  • menschliche Aufsicht
  • technische Robustheit und Sicherheit
Begrenztes Risiko

Hier geht es vor allem um KI-Systeme, die mit Menschen interagieren, aber nur ein geringes Risiko für die Nutzer darstellen, z. B.:

  • Chatbots im Kundenservice
  • einfache Assistenzsysteme

Die zentrale Pflicht ist Transparenz: Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren.

Minimales Risiko

Dies ist die größte Gruppe – KI-Anwendungen ohne nennenswertes Risiko, etwa:

  • Rechtschreibkorrekturen
  • KI-gestützte Spiele
  • Spamfilter

Für diese Systeme sieht die KI-VO keine zusätzlichen spezifischen Anforderungen vor. Unternehmen können freiwillig einen KI-Verhaltenskodex umsetzen.

Basismodelle / General Purpose AI (GPAI)

Große KI-Modelle mit allgemeinem Verwendungszweck – etwa generative KI-Systeme – werden als GPAI oder Basismodelle behandelt.

Strenge Vorgaben richten sich primär an die Anbieter dieser Basismodelle (z. B. Dokumentation, Risikobewertungen, technische Sicherheitsmaßnahmen). Für Unternehmen, die solche Modelle „nur“ nutzen oder in eigene Systeme integrieren, gelten vor allem Anforderungen an Transparenz, Sorgfalt und eine verantwortungsvolle Einbettung in die eigenen Prozesse.

4. Zeitplan: Bis wann müssen Unternehmen handeln?

Wichtige Eckdaten der KI-Verordnung:

  • Die Verordnung ist bereits in Kraft, die Pflichten greifen jedoch schrittweise.
  • Verbotene KI-Anwendungen sind frühzeitig untersagt.
  • Vorgaben für Basismodelle gelten zeitnah, damit große KI-Systeme bereits früh reguliert werden.
  • Die meisten Pflichten für Hochrisiko-KI greifen später, damit Unternehmen ihre Systeme anpassen können.

Für Unternehmen bedeutet das: Die Übergangszeit ist begrenzt – wer KI einsetzt, sollte sich jetzt vorbereiten.

5. Was bedeutet das für typische Unternehmens-KI?

Für viele Unternehmen geht es weniger um „verbotene“ KI, sondern um einen sauberen, nachvollziehbaren Einsatz von KI im Alltag – etwa in diesen Szenarien:

  • Chatbots im Kundenservice
  • Assistenten zur Text- und Angebotserstellung
  • KI-gestützte Analysen von Sensordaten oder Betriebsabläufen
  • Prognosen zu Nachfrage, Wartungsbedarfen oder Routenplanung

Hier bewegen sich Unternehmen meist im Bereich „begrenztes“ oder „minimales“ Risiko – trotzdem greifen klare Pflichten:

  • Transparenz: Nutzer und Mitarbeitende müssen erkennen können, wenn sie mit KI oder KI-generierten Inhalten zu tun haben (z. B. Kennzeichnung eines Chatbots).
  • Datenschutz und Arbeitsrecht: KI darf nicht zu diskriminierenden Entscheidungen führen, etwa bei Bewerbungen oder Leistungsbewertungen. Menschen dürfen nicht ausschließlich automatisierten Entscheidungen unterworfen werden.
  • Kennzeichnung von Deepfakes: Bild-, Audio- oder Videoinhalte, die täuschend echt wirken, sollten als KI-generiert erkennbar sein.

6. KI-Verordnung, Datenschutz, Arbeitsrecht & Urheberrecht zusammendenken

Die KI-VO steht nicht im luftleeren Raum. Parallel gelten insbesondere:

  • Datenschutzrecht (z. B. DSGVO und nationale Regelungen)
  • Arbeitsrecht und Mitbestimmung, wenn KI-Tools Verhalten oder Leistung von Beschäftigten erfassen
  • Urheber- und Markenrecht bei der Nutzung KI-generierter Inhalte

Unternehmen sollten KI-Projekte deshalb immer gemeinsam mit Datenschutzbeauftragten, HR und – wenn vorhanden – dem Betriebsrat betrachten.

7. Konkrete To-dos für Unternehmen

Auf Basis der aktuellen Orientierungshilfen lassen sich für Unternehmen praxisnahe Schritte ableiten:

  1. Bestandsaufnahme
    • Alle eingesetzten KI-Systeme erfassen – vom Chatbot bis zur Analysesoftware.
    • Für jedes System festhalten: Wer ist Anbieter? Wofür wird KI eingesetzt? Welche Daten werden verarbeitet?
  2. Rolle und Risikostufe bestimmen
    • Klären, ob das Unternehmen Anbieter, Betreiber, Händler oder Importeur ist.
    • Für jede Anwendung die voraussichtliche Risikoklasse einschätzen (unvertretbar, hoch, begrenzt, minimal).
  3. Interne KI-Richtlinie erstellen
    • Regeln definieren, wie KI eingesetzt werden darf.
    • Zuständigkeiten, Freigabeprozesse und Dokumentationspflichten festlegen.
  4. Datenschutz & Verträge prüfen
    • Auftragsverarbeitungsverträge, Datenflüsse und Löschkonzepte überprüfen.
    • Sicherstellen, dass Trainings- und Nutzungsbedingungen der genutzten KI-Tools zu den eigenen Pflichten passen.
  5. Transparenz & Kennzeichnung sicherstellen
    • Nutzerinnen und Nutzer darüber informieren, wenn KI eingesetzt wird.
    • KI-generierte Inhalte kennzeichnen, soweit eine Irreführung möglich wäre.
  6. Schulung & Bewusstsein
    • Mitarbeitende, die mit KI arbeiten, gezielt schulen.
    • Sensibilisieren für Risiken wie Diskriminierung, fehlerhafte Ergebnisse oder mögliche Urheberrechtsverletzungen.
  7. Monitoring und kontinuierliche Verbesserung
    • KI-Anwendungen regelmäßig technisch und rechtlich überprüfen.
    • Feedback von Mitarbeitenden und Kunden aufnehmen und in die Weiterentwicklung einfließen lassen.

8. Fazit: Jetzt strukturiert starten

Die KI-Verordnung macht aus „Nice-to-have-Governance“ eine verbindliche Pflicht. Wer heute bereits KI einsetzt, sollte die nächsten Monate nutzen, um Transparenz zu schaffen, Risiken einzuordnen und interne Regeln zu etablieren.

Mit einem klaren Überblick über eingesetzte KI-Systeme, einer vernünftigen Governance und geschulten Mitarbeitenden können Unternehmen nicht nur Bußgelder vermeiden, sondern auch Vertrauen bei Kunden, Partnern und Belegschaft gewinnen.

Kontakt aufnehmen

Verwandte Posts

Close

Lust auf einen Job?

Bewirb Dich initiativ für unsere Standorte in Wendelstein, Nürnberg und Chemnitz. Egal ob Vollzeit, Teilzeit oder als studentisches Anstellungsverhältnis.

Sende uns einfach eine Nachricht an folgende E-Mail-Adresse:

bewerbung@cotris.com  

 

Wir melden uns auf jeden Fall bei Dir!

BEACHTE VOR DEINER BEWERBUNG DIE Datenschutzhinweise für bewerbende
Close

App Download

Laden Sie jetzt unsere neuste Cotris-App herunter!

Jetzt downloaden