EU AI Act – Herausforderungen, Geltungsbereiche & ethische Aspekte von KI im Unternehmen – Teil 2 von 3

Der EU AI Act bringt neue Spielregeln für den Einsatz von KI – und damit auch neue ethische, technische und rechtliche Herausforderungen. Im zweiten Teil unserer Reihe zum EU AI Act geht es darum, wie Unternehmen die Geltungsbereiche des Gesetzes richtig einordnen und welche Verantwortung sie im Umgang mit KI übernehmen müssen. Unser dritter und letzter Teil widmet sich dann den konkreten unternehmerischen Pflichten, der Risikobewertung und den Chancen, die sich trotz (oder gerade wegen) der Regulierung ergeben.

Der Artikel entstand inhaltlich unter dem Mentoring von Maximilian Herrmann, Counsel der auf Wirtschaftsrecht spezialisierten Anwalts-Sozietät drrp Rechtsanwälte PartmbB. Maximilian Herrmann, Angestellter Counsel

Künstliche Intelligenz birgt enormes, ja ungeahntes Potenzial. Parallel entstehen auch neue Risiken, Unsicherheiten und ethische Dilemmata. Der EU AI Act dient dazu, diese Spannungsfelder professionell zu regulieren. Doch für Unternehmen stellt sich die Frage: Wie lassen sich rechtliche Vorgaben, ethische Grundsätze und wirtschaftliche Interessen miteinander vereinen?

Zwischen Innovation und Regulierung – ein schmaler Grat

Der Einsatz von Künstlicher Intelligenz in Unternehmen nimmt rasant zu. Von automatisierter Buchhaltung über Chatbots bis hin zur Entscheidungsunterstützung in der Personalabteilung: KI wird zum Alltagswerkzeug. Doch mit der Verbreitung steigen auch die Anforderungen an einen verantwortungsvollen Umgang – rechtlich, technisch und moralisch.
Hier setzt der EU AI Act an. Er unterscheidet sich grundlegend von bisherigen Tech-Regulierungen: Nicht die Technologie selbst steht im Mittelpunkt, sondern ihr konkreter Einsatz und die damit verbundenen Risiken. Dabei verfolgt die Verordnung einen risikobasierten Ansatz, der sich sowohl auf die Anwendung als auch auf die Auswirkungen auf Individuen und Gesellschaft konzentriert.

Geltungsbereich: Breiter als viele denken

Viele Unternehmen unterschätzen zunächst, dass sie überhaupt vom AI Act betroffen sind. Dabei greift die Verordnung in drei zentralen Dimensionen:

Geografisch: Sie gilt für alle KI-Systeme, die innerhalb der EU genutzt oder angeboten werden – unabhängig davon, wo sie entwickelt wurden.

Anwendungsbezogen: Vom hochautomatisierten Bewerbungsprozess bis zur algorithmischen Preisgestaltung – sobald KI-Systeme Einfluss auf Menschen oder relevante Geschäftsentscheidungen nehmen, rückt der AI Act ins Spiel.

Rollenbezogen: Ob Anbieter, Betreiber, Importeur oder Nutzer – jede dieser Rollen bringt eigene Verantwortlichkeiten mit sich.

Wichtig: Auch wer keine KI entwickelt, sondern lediglich Tools eines Drittanbieters nutzt, muss bestimmte Pflichten erfüllen. Das macht die genaue Bestandsaufnahme und Kategorisierung der eingesetzten Systeme zu einer unternehmerischen Pflicht.

Technische Herausforderungen – vom Black Box-Problem bis zur Datenqualität

Eine der größten Herausforderungen liegt in der Transparenz. Viele KI-Systeme, insbesondere auf Basis von Deep Learning, sind sogenannte „Black Boxes“: Ihre Entscheidungen lassen sich nicht oder nur schwer nachvollziehen. Das widerspricht dem Grundsatz der Erklärbarkeit, der im AI Act fest verankert ist – insbesondere für Hochrisiko-Anwendungen.
Unternehmen müssen hier oft technisch nachrüsten. Explainable AI (XAI) und Mechanismen zur Entscheidungserklärung sind nicht nur hilfreich, sondern rechtlich gefordert. Doch auch darüber hinaus müssen Prozesse und Datenquellen dokumentiert werden: Woher kommen die Trainingsdaten? Sind sie repräsentativ? Enthalten sie potenziell diskriminierende Muster?

Ethische Aspekte – Fairness, Transparenz, Verantwortung

Neben den rechtlichen Vorgaben sind es vor allem ethische Fragen, die Entscheider in Unternehmen vor neue Aufgaben stellen. So kann KI – quasi unbewusst – Vorurteile verstärken, wenn sie mit unausgewogenen Daten trainiert wurde. Beispiele sind diskriminierende Auswahlprozesse bei Bewerbungen oder fehlerhafte Risikoprofile im Finanz- und Kreditwesen. Darüber hinaus geht es auch immer um das Thema ‚Privatsphäre‘. Die Verarbeitung großer Datenmengen durch KI-Systeme wirft zentrale Fragen des Datenschutzes auf. Die DSGVO gilt hier weiterhin, muss jedoch in KI-konforme Prozesse übersetzt werden. Das obligatorische Instrumentarium sind professionelle Datenschutz-Folgenabschätzungen. Last not least die Dynamik Verantwortlichkeiten. Wer haftet, wenn eine KI-Entscheidung nachweislich fehlerhaft oder unfair ist? Die Pflicht zur menschlichen Aufsicht wird damit nicht nur zur Vorschrift, sondern zur ethischen Notwendigkeit.

Organisatorische Umsetzung – mehr als ein Compliance-Thema

Unternehmen, die KI einsetzen, müssen ethische Leitlinien formulieren und in konkrete Prozesse übersetzen. Dazu gehört auch die Schulung von Mitarbeitenden: Wer KI nutzt, muss wissen, wie sie funktioniert – und welche Grenzen sie hat.
Zudem braucht es neue Rollen und Verantwortlichkeiten. Die Einführung eines AI Compliance Officers oder die Erweiterung bestehender Governance-Strukturen um KI-spezifische Elemente wird künftig zum Standard gehören. Wichtig ist dabei: Ethik und Recht müssen gemeinsam gedacht und umgesetzt werden – in der Strategie, der Technik und der Kultur des Unternehmens.

Schnittstellen: Datenschutz, IT-Sicherheit, Produktverantwortung

Die Anforderungen des EU AI Act lassen sich nicht isoliert betrachten. Sie greifen ineinander mit bestehenden Normen wie beispielsweise der DSGVO. Das Thema Datenschutz ist eng mit der KI-Regulierung verwoben, insbesondere bei personenbezogenen Daten. Transparenz, Datensparsamkeit und Zweckbindung bleiben zentrale Anforderungen. Ein weiteres Feld ist die IT-Sicherheit. Vor allem Hochrisiko-KI-Systeme müssen robust gegenüber Angriffen sein. Deren Sicherheitsanforderungen gehen weit über klassische IT-Sicherheit hinaus. Implizit geht es auch um den Kontext Produkthaftung. Auch wenn der AI Act kein Produkthaftungsrecht darstellt, schafft er neue Anforderungen an die Sorgfalt und Kontrolle von KI-Systemen.

Verantwortung beginnt bei der Strategie. Die größte Herausforderung für Unternehmen liegt nicht in der Technologie, sondern in der Haltung. Wer KI nutzt, gestaltet Zukunft – und trägt Verantwortung für deren Auswirkungen. Der EU AI Act zwingt Unternehmen, sich mit dieser Verantwortung auseinanderzusetzen. Er bietet zugleich den Rahmen, um ethische Standards zum Wettbewerbsvorteil zu machen. Im dritten und letzten Teil unserer Artikel-Serie zum EU AI Act beleuchten wir, wie Unternehmen die Chancen von KI nutzen können, ohne die Risiken aus dem Blick zu verlieren.

Bildurheber: aoo8449