Für die Unternehmenspraxis ergeben sich drei Leitfragen:
Diese Übersicht ersetzt keine Rechtsprüfung, zeigt aber die Fristen, die für die Planung in Unternehmen besonders relevant sind.
Beginnen Sie nicht mit dem Toolnamen, sondern mit dem Zweck. Dass ein Produkt KI nutzt, sagt noch wenig über die Pflichten aus. Relevant ist, ob die Anwendung Menschen bewertet, Zugang zu Chancen oder Leistungen beeinflusst, sicherheitsrelevante Prozesse steuert oder nur unterstützende interne Arbeit leistet.
Besonders früh sollten Unternehmen Anwendungen prüfen, die in sensiblen Bereichen eingesetzt werden. Die Quellen nennen unter anderem Biometrie, kritische Infrastruktur, Bildung, Beschäftigung und öffentliche Dienste als Bereiche, in denen Hochrisiko-Fragen naheliegen können.
Ein Unternehmen kann je nach Anwendung unterschiedliche Rollen haben. Bei einem eingekauften KI-Tool sind Sie häufig vor allem Betreiber beziehungsweise Nutzer. Wenn Sie ein eigenes Produkt mit KI-Funktion auf den Markt bringen, können Anbieterpflichten relevant werden. Wenn Sie ein General-Purpose-AI-Modell entwickeln oder bereitstellen, kommen spezielle GPAI-Fragen hinzu.
Diese Rollenzuordnung ist wichtig, weil die Pflichten nicht nur vom Risiko des Systems abhängen, sondern auch davon, ob Ihr Unternehmen KI bereitstellt, betreibt oder als Modellanbieter auftritt.
Eine pragmatische Erstprüfung kann in vier Schritten erfolgen:
Der erste praktische Schritt ist ein vollständiges KI-Register. Erfassen Sie nicht nur große strategische KI-Projekte, sondern auch interne Assistenztools, eingekaufte SaaS-Funktionen, Automatisierungen, eigene Produktfeatures und genutzte Modelle.
Ein brauchbares KI-Register enthält mindestens:
Diese Inventarisierung ist die Grundlage, um Rollen und Risikokategorien pro Use Case nachvollziehbar zu prüfen.
Nicht jede KI-Anwendung braucht dieselbe Aufmerksamkeit. Vorziehen sollten Sie Systeme, die Menschen bewerten, Zugang zu Chancen oder Leistungen beeinflussen oder in den genannten sensiblen Bereichen eingesetzt werden: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung und öffentliche Dienste.
In der Praxis gehören dazu häufig HR-Tools, Bewerbervorauswahl, Leistungsbewertung, sicherheitsnahe Anwendungen und Systeme, die Entscheidungen über Personen vorbereiten. Ob ein konkreter Fall tatsächlich Hochrisiko ist, hängt jedoch vom genauen Workflow und von Ihrer Rolle ab.
Für Hochrisiko-Systeme nennen die Quellen Anforderungen wie Risikomanagement, technische Dokumentation und Konformitätsbewertung. Welche Aufgaben konkret bei Ihrem Unternehmen liegen, hängt von Rolle und System ab. Für Hochrisiko-Systeme nach Annex III wird der vollständige Compliance-Rahmen ab dem 2. August 2026 relevant.
Sinnvolle Vorarbeiten sind:
AI Literacy ist nicht nur ein Thema für Hochrisiko-Systeme. Eine Quelle beschreibt die AI-Literacy-Anforderungen als breite Pflicht für Anbieter und Betreiber beziehungsweise Deployers, unabhängig vom Risikoniveau; auch Organisationen mit minimal riskanten KI-Systemen müssen demnach AI-Literacy-Anforderungen beachten und verbotene Praktiken vermeiden.
Praktisch bedeutet das: Mitarbeitende, die KI auswählen, konfigurieren oder nutzen, sollten die Grenzen des Systems kennen, typische Fehler verstehen und wissen, wann menschliche Prüfung erforderlich ist.
Dann ist entscheidend, wofür das Tool genutzt wird. Reine interne Textarbeit oder Rechercheunterstützung ist anders zu bewerten als ein Einsatz in HR, Bewertung, Zugang zu Leistungen oder anderen sensiblen Prozessen. Trotzdem gehören solche Tools ins KI-Register, und auch bei niedrigem Risiko bleiben AI Literacy und klare Nutzungsregeln relevant.
Dann sollten Sie prüfen, ob Ihr Unternehmen als Anbieter eines KI-Systems einzuordnen ist und ob das Feature in einen Hochrisiko-Kontext fallen kann. Für Hochrisiko-Systeme werden insbesondere ab 2026 Anforderungen wie Risikomanagement, technische Dokumentation und Konformitätsfragen relevant.
Recruiting und andere Beschäftigungskontexte sollten besonders früh geprüft werden, weil Beschäftigung in den Quellen als Bereich genannt wird, in dem Hochrisiko-Fragen relevant werden können. Bei Scoring oder Kundensupport kommt es stark darauf an, ob die KI nur unterstützt oder Entscheidungen über Personen vorbereitet, beeinflusst oder automatisiert. Ohne genaue Beschreibung des Workflows lässt sich die Einordnung seriös nicht abschließend treffen.
Für Unternehmen lautet die wichtigste Frage zum EU AI Act nicht: Dürfen wir KI nutzen? Sondern: Welcher konkrete Use Case liegt vor, welche Rolle haben wir, und welche Frist gilt dafür?
Bei wenigen internen KI-Tools kann der Aufwand überschaubar bleiben, aber ein KI-Register, Nutzungsregeln und AI Literacy sind trotzdem sinnvoll und teils ausdrücklich relevant. Wenn Sie KI in sensiblen Bereichen einsetzen, ein KI-Produkt anbieten oder GPAI-Modelle bereitstellen, sollten Sie die Prüfung nicht bis 2026 aufschieben.