Wenn in Ihrem Unternehmen jemand ChatGPT, Copilot oder ein anderes KI-Tool nutzt, sind Sie vom EU AI Act betroffen – unabhängig von Unternehmensgröße oder Branche. Das überrascht viele, denn oft wird angenommen, das Gesetz beträfe nur Firmen die selbst KI entwickeln.
Dieser Artikel gibt einen Überblick was der AI Act konkret bedeutet, welche Fristen wichtig sind und was Sie als Unternehmen jetzt tun sollten.
Der EU AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende gesetzliche Regelung für Künstliche Intelligenz. Er ist seit August 2024 in Kraft und wird seither in Stufen wirksam. Das Prinzip dahinter: nicht die Technologie selbst wird reguliert, sondern der konkrete Einsatzzweck und das damit verbundene Risiko.
Das Herzstück des AI Act ist eine Einteilung von KI-Systemen in vier Risikostufen. Je höher das Risiko, desto strenger die Anforderungen:
Für die meisten kleinen und mittleren Unternehmen, die KI-Tools im Alltag nutzen, fällt der Großteil der Anwendungen in die Kategorie „begrenztes" oder „minimales" Risiko.
Die Bußgelder orientieren sich an der Schwere des Verstoßes und können erheblich ausfallen:
Für die meisten kleineren Unternehmen mit Standard-KI-Nutzung ist das Risiko in der Praxis überschaubar – Kontrollen erfolgen meist stichprobenartig oder nach Beschwerden. Dennoch lohnt sich eine saubere Vorbereitung, insbesondere weil KI und DSGVO oft ineinandergreifen.
Welche KI-Tools werden im Unternehmen tatsächlich genutzt – offiziell und inoffiziell? Viele Standardtools wie E-Mail-Programme oder CRM-Systeme enthalten inzwischen KI-Funktionen, ohne dass es allen bewusst ist.
Für jedes eingesetzte System grob einordnen: minimal, begrenzt oder hoch? Bei den meisten Alltagstools wie ChatGPT für Textentwürfe reicht diese erste Einschätzung bereits aus.
KI und Datenschutz hängen eng zusammen. Wenn ein KI-System personenbezogene Daten verarbeitet, greifen automatisch auch die Anforderungen der DSGVO – inklusive möglicher Auftragsverarbeitungsverträge.
Wer ist im Unternehmen für KI-Compliance zuständig? Bei kleineren Unternehmen reicht oft eine benannte Person, die den Überblick behält – ein eigener AI-Compliance-Officer ist nicht in jedem Fall notwendig.
Die KI-Kompetenzpflicht lässt sich pragmatisch umsetzen: eine kurze interne Schulung oder Richtlinie, wie mit KI-Tools umgegangen wird, reicht als Grundlage – wichtig ist, dass sie dokumentiert ist.
Wenn Sie eine individuelle KI-Anwendung entwickeln lassen – etwa einen internen Assistenten oder eine automatisierte Auswertung – lohnt sich der Blick auf den AI Act schon in der Konzeptionsphase. Wer von Anfang an auf Transparenz, saubere Dokumentation und DSGVO-konforme Datenverarbeitung setzt, spart sich spätere Nacharbeit und ist auf zukünftige Anforderungen vorbereitet.
Genau das ist unser Ansatz bei Quotextrana und bei individuellen Projekten: DSGVO-konform und nachvollziehbar von Beginn an, statt Compliance nachträglich aufzusetzen.
Lassen Sie uns gemeinsam schauen, wo Sie stehen – unverbindlich und ohne Fachchinesisch.
Jetzt Kontakt aufnehmenDieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für eine rechtssichere Einschätzung Ihrer individuellen Situation empfehlen wir die Rücksprache mit einer Fachanwältin oder einem Fachanwalt für IT-Recht.