Quellenlage
EU AI Act für Anwender: welche Pflichten auf Unternehmen zukommen
Haris Muranović · 10. Juli 2026 · 8 Min.
In den meisten Unternehmen ist KI längst im Einsatz, oft ohne dass es je eine Entscheidung dazu gab. Der Vertrieb formuliert Angebote mit einem Sprachmodell, die Personalabteilung testet ein Tool zur Vorauswahl von Bewerbungen, im Kundenservice antwortet ein Chatbot. Der EU AI Act adressiert genau diese Realität, und zwar nicht nur bei den Herstellern der Systeme, sondern auch bei den Unternehmen, die sie verwenden.
Verbreitet ist die Annahme, die Verordnung sei ein Thema für Tech-Konzerne und Anbieter von KI-Produkten. Das greift zu kurz. Wer KI-Systeme im eigenen Betrieb einsetzt, ist von den Regeln erfasst, mit eigenen, wenn auch schlankeren Pflichten. Die gute Nachricht: Für die meisten Anwendungsfälle im Unternehmensalltag sind diese Pflichten überschaubar. Die weniger gute: Man muss wissen, welche Fälle das sind, und das setzt voraus, dass man seine eigene KI-Nutzung überhaupt kennt.
Die Grundlogik: ein risikobasierter Ansatz
Der AI Act reguliert nicht die Technologie als solche, sondern ihren Einsatzzweck. Die Verordnung ordnet KI-Systeme nach dem Risiko, das von ihrer Verwendung ausgeht, und knüpft die Pflichten an diese Einstufung.
- Verbotene Praktiken bilden die oberste Stufe. Bestimmte Anwendungen, etwa manipulative Techniken oder Formen der sozialen Bewertung von Personen, sind untersagt.
- Hochrisiko-Systeme sind erlaubt, aber streng reguliert. Dazu zählen unter anderem Systeme in sensiblen Bereichen wie Personalauswahl, Kreditvergabe, Bildung oder kritischer Infrastruktur.
- Systeme mit Transparenzpflichten bilden die mittlere Ebene: Wer mit einer KI interagiert oder KI-generierte Inhalte sieht, soll das erkennen können.
- Minimales Risiko bleibt weitgehend unreguliert. Ein großer Teil der alltäglichen Anwendungen fällt in diese Kategorie.
Die Pflichten greifen zeitlich gestaffelt: Die Verbote gelten zuerst, die umfangreichen Anforderungen an Hochrisiko-Systeme folgen später. Wer heute plant, plant also nicht für einen fernen Stichtag, sondern in eine bereits laufende Übergangsphase hinein.
Anbieter oder Betreiber: welche Rolle das Unternehmen hat
Die zentrale Weiche für den Pflichtenumfang ist die Rolle. Der AI Act unterscheidet im Kern zwischen dem Anbieter, der ein KI-System entwickelt oder unter eigenem Namen auf den Markt bringt, und dem Betreiber, der es in eigener Verantwortung verwendet. Die schweren Pflichten, etwa Konformitätsbewertung, Risikomanagement und technische Dokumentation, liegen beim Anbieter. Der Betreiber trägt Verwendungspflichten.
Die meisten Unternehmen sind Betreiber. Aber die Rolle ist nicht in Stein gemeißelt: Wer ein zugekauftes System wesentlich verändert oder unter eigener Marke anbietet, kann in die Anbieterrolle hineinwachsen, mit dem vollen Pflichtenprogramm. Gerade Unternehmen, die auf Basis großer Sprachmodelle eigene Produkte bauen, sollten diese Grenze kennen, bevor sie sie überschreiten.
Pflichten für Anwender in Grundzügen
Für Betreiber lassen sich die Anforderungen in wenigen Linien zusammenfassen, wobei der konkrete Umfang von der Risikoklasse des jeweiligen Systems abhängt.
Bei Hochrisiko-Systemen muss der Betreiber das System entsprechend der Anbieterdokumentation verwenden, eine wirksame menschliche Aufsicht sicherstellen, die von ihm kontrollierten Eingabedaten auf ihre Eignung achten und den Betrieb überwachen. Kommt es zu Vorfällen, bestehen Melde- und Mitwirkungspflichten. In bestimmten Konstellationen, etwa beim Einsatz gegenüber Beschäftigten, sind die Betroffenen zu informieren.
Bei Systemen mit Transparenzpflichten geht es um Kenntlichmachung: Menschen sollen erkennen können, dass sie mit einer KI interagieren, und bestimmte KI-generierte oder manipulierte Inhalte sind als solche auszuweisen.
Quer über alle Klassen liegt eine oft unterschätzte Anforderung: Unternehmen müssen dafür sorgen, dass Personen, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Das ist weniger eine Zertifikatsfrage als eine Organisationsfrage: Wissen die Mitarbeitenden, was das Werkzeug kann, was es nicht kann und wann sie eingreifen müssen.
Praktische Vorbereitung: Inventar und Zuständigkeiten
Der erste Schritt jeder Vorbereitung ist unspektakulär: ein Inventar der eigenen KI-Nutzung. Welche Systeme sind im Einsatz, offiziell beschafft oder von Teams selbst eingeführt, wofür werden sie verwendet, welche Daten fließen hinein. Erfahrungsgemäß fördert diese Bestandsaufnahme mehr zutage als erwartet, insbesondere die still gewachsene Nutzung frei verfügbarer Tools.
Auf das Inventar folgt die Einordnung: Welche Anwendungsfälle berühren sensible Bereiche und könnten als Hochrisiko gelten, wo bestehen Transparenzpflichten, was ist unkritisch. Für die kritischen Fälle braucht es dann Zuständigkeiten: eine benannte Person oder Runde, die Neubeschaffungen prüft, die Anbieterdokumentation einfordert und die interne Regel pflegt. Bestehende Strukturen aus dem Datenschutz lassen sich dafür oft erweitern, statt daneben etwas Neues aufzubauen. Ergänzend gehören die eigenen Verträge auf den Prüfstand: Liefert der Anbieter die Informationen, die der Betreiber für seine Pflichten braucht.
Warum Governance jetzt günstiger ist als später
Man kann diese Arbeit aufschieben. Teurer wird sie dadurch verlässlich. Wer heute beschafft, ohne die Risikoklasse zu prüfen, baut Systeme in Prozesse ein, deren spätere Umrüstung oder Ablösung ein Vielfaches der ursprünglichen Sorgfalt kostet. Wer die Nutzung im Haus nicht kennt, kann auf Anfragen von Kunden, Auftraggebern oder Behörden nicht auskunftsfähig reagieren. Und wer die KI-Kompetenz der Mitarbeitenden dem Zufall überlässt, trägt die Fehlbedienungen als Betriebsrisiko, unabhängig von jeder Aufsicht.
Dazu kommt ein praktischer Hebel: In der Beschaffung sitzt der Betreiber am längeren Ast, solange der Vertrag noch nicht unterschrieben ist. Dokumentation, Transparenzangaben und Unterstützungspflichten des Anbieters lassen sich vor dem Abschluss verhandeln. Danach nimmt man, was man bekommt.
Fazit
Der EU AI Act ist für anwendende Unternehmen kein Grund zur Alarmstimmung, aber ein Grund zur Ordnung. Die Grundlogik ist risikobasiert, die Betreiberpflichten sind für die meisten Anwendungsfälle tragbar, und die wirklich strengen Anforderungen betreffen klar umrissene Einsatzgebiete. Die Arbeit liegt weniger im Paragraphenstudium als in drei nüchternen Schritten: wissen, welche KI im Haus läuft, einordnen, was davon kritisch ist, und festlegen, wer künftig darüber wacht. Wer das jetzt aufsetzt, erfüllt kommende Pflichten aus dem Bestand heraus, statt ihnen hinterherzubauen.
Sprechen wir über Ihr Vorhaben.
Unverbindliches Erstgespräch. Wir melden uns zeitnah bei Ihnen.
Erstgespräch anfragen →