EU AI Act für Unternehmen: Pflichten, Fristen und Checkliste

Für die Unternehmenspraxis ergeben sich drei Leitfragen:

1. Use Case: Was macht die KI konkret, mit welchen Daten und mit welchem Einfluss auf Entscheidungen?
2. Rolle: Sind Sie Betreiber beziehungsweise Deployer, Anbieter eines KI-Systems oder Anbieter eines GPAI-Modells?^[2][5][8]
3. Risiko: Geht es um verbotene Praktiken, GPAI, Hochrisiko-KI oder einen weniger sensiblen Einsatz?^[1][2][3][5]

Die wichtigsten Fristen im Überblick

Diese Übersicht ersetzt keine Rechtsprüfung, zeigt aber die Fristen, die für die Planung in Unternehmen besonders relevant sind.

Der eigentliche Test: Use Case, Rolle, Risiko

1. Was macht die KI konkret?

Beginnen Sie nicht mit dem Toolnamen, sondern mit dem Zweck. Dass ein Produkt KI nutzt, sagt noch wenig über die Pflichten aus. Relevant ist, ob die Anwendung Menschen bewertet, Zugang zu Chancen oder Leistungen beeinflusst, sicherheitsrelevante Prozesse steuert oder nur unterstützende interne Arbeit leistet.

Besonders früh sollten Unternehmen Anwendungen prüfen, die in sensiblen Bereichen eingesetzt werden. Die Quellen nennen unter anderem Biometrie, kritische Infrastruktur, Bildung, Beschäftigung und öffentliche Dienste als Bereiche, in denen Hochrisiko-Fragen naheliegen können.^[3]

2. Welche Rolle hat Ihr Unternehmen?

Ein Unternehmen kann je nach Anwendung unterschiedliche Rollen haben. Bei einem eingekauften KI-Tool sind Sie häufig vor allem Betreiber beziehungsweise Nutzer. Wenn Sie ein eigenes Produkt mit KI-Funktion auf den Markt bringen, können Anbieterpflichten relevant werden. Wenn Sie ein General-Purpose-AI-Modell entwickeln oder bereitstellen, kommen spezielle GPAI-Fragen hinzu.^[2][5][8]

Diese Rollenzuordnung ist wichtig, weil die Pflichten nicht nur vom Risiko des Systems abhängen, sondern auch davon, ob Ihr Unternehmen KI bereitstellt, betreibt oder als Modellanbieter auftritt.^[2][5][8]

3. Welche Risikostufe ist plausibel?

Eine pragmatische Erstprüfung kann in vier Schritten erfolgen:

1. Verbotsrisiko ausschließen: Wenn ein Use Case in eine verbotene Kategorie fällt, ist das kein späteres Compliance-Thema, sondern sofort kritisch.^[2][5]
2. GPAI-Bezug prüfen: Stellen Sie selbst ein GPAI-Modell bereit oder nutzen Sie nur ein fremdes Modell in einer konkreten Anwendung?^[3][5]
3. Hochrisiko-Bezug prüfen: Liegt der Use Case in einem sensiblen Bereich oder beeinflusst er Entscheidungen über Personen?^[1][3]
4. Produktregime prüfen: Ist die KI in ein reguliertes Produkt eingebettet, für das besondere Übergangsfristen gelten können?^[1]

Was Unternehmen jetzt konkret aufsetzen sollten

Ein KI-Register erstellen

Der erste praktische Schritt ist ein vollständiges KI-Register. Erfassen Sie nicht nur große strategische KI-Projekte, sondern auch interne Assistenztools, eingekaufte SaaS-Funktionen, Automatisierungen, eigene Produktfeatures und genutzte Modelle.

Ein brauchbares KI-Register enthält mindestens:

• Name des Tools oder Systems
• Zweck und Fachbereich
• interne oder externe Bereitstellung
• genutzte Datenarten
• betroffene Personen oder Gruppen
• Einfluss auf Entscheidungen
• Anbieter, interner Owner und verantwortliche Teams
• erste Einschätzung zu Verbotsrisiko, GPAI-Bezug, Hochrisiko-Bezug oder niedrigerem Risiko

Diese Inventarisierung ist die Grundlage, um Rollen und Risikokategorien pro Use Case nachvollziehbar zu prüfen.^[2][3][5]

Sensible Use Cases priorisieren

Nicht jede KI-Anwendung braucht dieselbe Aufmerksamkeit. Vorziehen sollten Sie Systeme, die Menschen bewerten, Zugang zu Chancen oder Leistungen beeinflussen oder in den genannten sensiblen Bereichen eingesetzt werden: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung und öffentliche Dienste.^[3]

In der Praxis gehören dazu häufig HR-Tools, Bewerbervorauswahl, Leistungsbewertung, sicherheitsnahe Anwendungen und Systeme, die Entscheidungen über Personen vorbereiten. Ob ein konkreter Fall tatsächlich Hochrisiko ist, hängt jedoch vom genauen Workflow und von Ihrer Rolle ab.^[1][3]

Governance und Dokumentation vorbereiten

Für Hochrisiko-Systeme nennen die Quellen Anforderungen wie Risikomanagement, technische Dokumentation und Konformitätsbewertung. Welche Aufgaben konkret bei Ihrem Unternehmen liegen, hängt von Rolle und System ab.^[8] Für Hochrisiko-Systeme nach Annex III wird der vollständige Compliance-Rahmen ab dem 2. August 2026 relevant.^[1]

Sinnvolle Vorarbeiten sind:

• Verantwortliche in Fachbereich, IT, Datenschutz, Legal und Compliance benennen
• einen Freigabeprozess für neue KI-Tools einführen
• Lieferantenunterlagen, technische Dokumentation und vertragliche Zusagen anfordern
• Zweck, Daten, Risiken, menschliche Kontrolle und Änderungen dokumentieren
• Grenzfälle früh rechtlich bewerten lassen

AI Literacy nicht unterschätzen

AI Literacy ist nicht nur ein Thema für Hochrisiko-Systeme. Eine Quelle beschreibt die AI-Literacy-Anforderungen als breite Pflicht für Anbieter und Betreiber beziehungsweise Deployers, unabhängig vom Risikoniveau; auch Organisationen mit minimal riskanten KI-Systemen müssen demnach AI-Literacy-Anforderungen beachten und verbotene Praktiken vermeiden.^[2]

Praktisch bedeutet das: Mitarbeitende, die KI auswählen, konfigurieren oder nutzen, sollten die Grenzen des Systems kennen, typische Fehler verstehen und wissen, wann menschliche Prüfung erforderlich ist.

Drei typische Unternehmensfälle

Fall 1: Sie nutzen ein KI-Assistenztool nur intern

Dann ist entscheidend, wofür das Tool genutzt wird. Reine interne Textarbeit oder Rechercheunterstützung ist anders zu bewerten als ein Einsatz in HR, Bewertung, Zugang zu Leistungen oder anderen sensiblen Prozessen. Trotzdem gehören solche Tools ins KI-Register, und auch bei niedrigem Risiko bleiben AI Literacy und klare Nutzungsregeln relevant.^[2]

Fall 2: Sie bauen ein SaaS-Produkt mit KI-Feature

Dann sollten Sie prüfen, ob Ihr Unternehmen als Anbieter eines KI-Systems einzuordnen ist und ob das Feature in einen Hochrisiko-Kontext fallen kann. Für Hochrisiko-Systeme werden insbesondere ab 2026 Anforderungen wie Risikomanagement, technische Dokumentation und Konformitätsfragen relevant.^[1][8]

Fall 3: Sie nutzen KI im Recruiting, Scoring oder Kundensupport

Recruiting und andere Beschäftigungskontexte sollten besonders früh geprüft werden, weil Beschäftigung in den Quellen als Bereich genannt wird, in dem Hochrisiko-Fragen relevant werden können.^[3] Bei Scoring oder Kundensupport kommt es stark darauf an, ob die KI nur unterstützt oder Entscheidungen über Personen vorbereitet, beeinflusst oder automatisiert. Ohne genaue Beschreibung des Workflows lässt sich die Einordnung seriös nicht abschließend treffen.

Praxis-Checkliste für die nächsten Schritte

1. KI-Anwendungen erfassen: Alle Tools, Modelle, Produktfeatures und Automatisierungen dokumentieren.
2. Use Cases triagieren: Zuerst verbotene Praktiken ausschließen, dann GPAI-Bezug und mögliche Hochrisiko-Szenarien prüfen.^[2][3][5]
3. Rolle festlegen: Pro Anwendung klären, ob Sie Betreiber, Anbieter oder GPAI-Modellanbieter sind.^[2][5][8]
4. Sensible Bereiche priorisieren: Besonders HR, Biometrie, kritische Infrastruktur, Bildung, öffentliche Dienste und andere entscheidungsnahe Prozesse früh bewerten.^[3]
5. Lieferanten prüfen: Bei eingekaufter KI klären, welche Dokumentation, Risikoangaben, Updates und vertraglichen Zusagen der Anbieter liefert.
6. Governance aufbauen: Verantwortlichkeiten, Freigaben, Schulungen und Dokumentation etablieren.
7. Hochrisiko-Vorbereitung planen: Für mögliche Annex-III-Systeme den 2. August 2026 als zentralen Vorbereitungspunkt behandeln.^[1]

Fazit

Für Unternehmen lautet die wichtigste Frage zum EU AI Act nicht: Dürfen wir KI nutzen? Sondern: Welcher konkrete Use Case liegt vor, welche Rolle haben wir, und welche Frist gilt dafür?

Bei wenigen internen KI-Tools kann der Aufwand überschaubar bleiben, aber ein KI-Register, Nutzungsregeln und AI Literacy sind trotzdem sinnvoll und teils ausdrücklich relevant.^[2] Wenn Sie KI in sensiblen Bereichen einsetzen, ein KI-Produkt anbieten oder GPAI-Modelle bereitstellen, sollten Sie die Prüfung nicht bis 2026 aufschieben.^[1][3][5]