Mit dem AI Act hat die Europäische Union erstmals einen umfassenden Rechtsrahmen für künstliche Intelligenz geschaffen. Viele kleine und mittlere Unternehmen fragen sich, ob und wie sie betroffen sind. Die kurze Antwort: Sobald KI im Unternehmen eingesetzt wird, lohnt sich ein nüchterner Blick auf die eigenen Pflichten – auch wenn längst nicht alles streng reguliert ist.
Der Ansatz: Regulierung nach Risiko
Der AI Act stuft KI-Anwendungen nach ihrem Risiko ein, statt pauschal alles gleich zu behandeln. Vereinfacht gibt es:
- Verbotene Anwendungen mit unannehmbarem Risiko, etwa bestimmte Formen der Bewertung von Menschen.
- Hochrisiko-Anwendungen in sensiblen Bereichen wie Personalauswahl oder kritischer Infrastruktur, an die strenge Anforderungen gestellt werden.
- Anwendungen mit begrenztem Risiko, für die vor allem Transparenzpflichten gelten – etwa der Hinweis, dass man mit einer KI interagiert.
- Anwendungen mit minimalem Risiko, die den Großteil ausmachen und kaum gesonderten Pflichten unterliegen.
Für viele typische Einsatzfälle im Mittelstand – etwa ein KI-Assistent für Texte – greifen vor allem Transparenz- und Sorgfaltspflichten, nicht die strengsten Auflagen.
Was das praktisch heißt
Auch ohne Hochrisiko-Anwendung empfiehlt sich ein strukturiertes Vorgehen, das ohnehin guter Praxis entspricht:
- Überblick verschaffen, welche KI-Werkzeuge im Unternehmen tatsächlich genutzt werden – oft mehr, als die Geschäftsführung weiß.
- Einordnen, in welche Risikoklasse die jeweilige Nutzung fällt.
- Transparenz schaffen, wo Menschen mit KI interagieren oder KI-erzeugte Inhalte entstehen.
- Verantwortung klären, wer den Einsatz von KI im Unternehmen überblickt.
Diese Schritte sind kein bürokratischer Selbstzweck, sondern verschaffen Klarheit über ein Feld, das in vielen Unternehmen unkontrolliert gewachsen ist.
Die Datenschutzfrage gehört dazu
Der AI Act steht nicht für sich, sondern neben der DSGVO. Sobald KI personenbezogene Daten verarbeitet, gelten beide Regelwerke. Genau hier zeigt sich ein Vorteil lokal betriebener KI: Wenn das Sprachmodell im eigenen Haus läuft und keine Daten an Dritte übermittelt werden, vereinfacht das die datenschutzrechtliche Bewertung erheblich.
Ruhe bewahren, aber handeln
Der AI Act ist kein Grund, auf den Nutzen von KI zu verzichten – wohl aber ein Anlass, den eigenen Einsatz bewusst zu gestalten. Der pragmatische Weg führt über eine ehrliche Bestandsaufnahme, eine grobe Risikoeinordnung und klare interne Regeln. Wer KI ohnehin datensparsam und möglichst im eigenen Haus betreibt, ist für die kommenden Anforderungen gut aufgestellt. Dieser Beitrag ersetzt keine Rechtsberatung, gibt aber eine Orientierung, an welchen Stellen sie sich lohnt.