Der AI Act der EU und KI über die Hintertür

Die Inte­gra­ti­on von Künst­li­cher Intel­li­genz (KI) in Unter­neh­men schrei­tet mit gro­ßer Geschwin­dig­keit vor­an. Beson­ders durch die Ein­bet­tung von KI-Tools in bestehen­de Soft­ware­lö­sun­gen gelangt KI oft unbe­merkt „über die Hin­ter­tür“ in die Organisationen.

Mit dem AI Act der Euro­päi­schen Uni­on müs­sen sich Unter­neh­men der Mode- und Beklei­dungs­bran­che drin­gend mit den recht­li­chen und ethi­schen Kon­se­quen­zen aus­ein­an­der­set­zen. Doch wel­che Risi­ken birgt die­ser Act, und wie soll­ten Unter­neh­men dar­auf reagieren?

Risiken der unbemerkten KI-Integration

1. Rechts­kon­for­mi­tät:
   Der AI Act sieht eine kla­re Kate­go­ri­sie­rung von KI-Sys­te­men in ver­schie­de­ne Risi­koklas­sen vor (gerin­ges, mitt­le­res und hohes Risi­ko). Unter­neh­men, die KI nut­zen, müs­sen sicher­stel­len, dass ihre Anwen­dun­gen den Vor­schrif­ten ent­spre­chen. Unbe­merkt ein­ge­setz­te KI-Tools kön­nen jedoch schnell zu Ver­stö­ßen füh­ren – ins­be­son­de­re, wenn die­se in die Kate­go­rie der „höchs­ten Risi­ken“ fal­len, wie etwa bei Anwen­dun­gen zur Mitarbeiterüberwachung.
2. Daten­schutz und ethi­sche Fra­gen:
   KI-Sys­te­me, die ohne vol­le Trans­pa­renz inte­griert wer­den, könn­ten per­so­nen­be­zo­ge­ne Daten in einer Wei­se nut­zen, die nicht mit der DSGVO ver­ein­bar ist. Dies birgt nicht nur recht­li­che, son­dern auch Reputationsrisiken.
3. Abhän­gig­keit von Dritt­an­bie­tern:
   Vie­le KI-Lösun­gen stam­men von Dritt­an­bie­tern und wer­den über bestehen­de ERP-Sys­te­me, CRM-Platt­for­men oder ande­re Soft­ware­lö­sun­gen inte­griert. Die­se Abhän­gig­keit kann zu einem Kon­troll­ver­lust über kri­ti­sche Pro­zes­se führen.
4. Stra­fen bei Nicht­ein­hal­tung der Regu­la­ri­en:
   Die Geld­bu­ßen vari­ie­ren je nach Schwe­re des Ver­sto­ßes und der Unternehmensgröße: 
   • Ver­bo­te­ne KI-Anwen­dun­gen: Bis zu 35 Mil­lio­nen Euro oder 7 % des welt­wei­ten Jahresumsatzes
   • Ande­re Ver­stö­ße: Bis zu 15 Mil­lio­nen Euro oder 3 % des Jahresumsatzes
   • Falsch­an­ga­ben: Bis zu 7,5 Mil­lio­nen Euro oder 1,5 % des Umsatzes

Konkrete Beispiele

• Pro­duk­ti­ons­op­ti­mie­rung:
  Ein KI-Tool zur Auto­ma­ti­sie­rung von Lie­fer­ket­ten könn­te dis­kri­mi­nie­ren­de Algo­rith­men ent­hal­ten, die bestimm­te Lie­fe­ran­ten benachteiligen.
• Per­so­nal­ma­nage­ment:
  KI-gestütz­te Bewer­bungs­platt­for­men könn­ten auf­grund unzu­rei­chen­der Trai­nings­da­ten unfai­re Ent­schei­dun­gen tref­fen – z. B. im Hin­blick auf Diver­si­tät und Inklusion.
• Mar­ke­ting und Ver­kauf:
  Chat­bots oder Emp­feh­lungs­sys­te­me mit KI-Unter­stüt­zung könn­ten irre­füh­ren­de oder mani­pu­la­ti­ve Prak­ti­ken anwen­den – laut AI Act eben­falls verboten.

Handlungsempfehlungen

1. Bestands­auf­nah­me und Audits:
   Unter­neh­men soll­ten ana­ly­sie­ren, wel­che KI-Lösun­gen bereits genutzt wer­den. Exter­ne Audits sind hilfreich.
2. Schu­lung und Sen­si­bi­li­sie­rung:
   Mit­ar­bei­ten­de in IT, Recht und Manage­ment soll­ten mit den Anfor­de­run­gen des AI Acts ver­traut gemacht wer­den – inklu­si­ve Risi­koklas­si­fi­zie­rung und Transparenzvorgaben.
3. Ver­trag­li­che Absi­che­rung:
   Ver­trä­ge mit Dritt­an­bie­tern soll­ten über­prüft und ange­passt wer­den, um deren Mit­ver­ant­wor­tung für die Ein­hal­tung des AI Acts sicherzustellen.
4. Ein­rich­tung eines KI-Gover­nan­ce-Teams:
   Die­ses Team soll­te die stra­te­gi­sche Imple­men­tie­rung von KI beglei­ten, Risi­ken bewer­ten und die Com­pli­ance überwachen.

Wichtige Fristen

• 01. August 2024: Der AI Act ist offi­zi­ell in Kraft getreten.
• 02. Febru­ar 2025: Das Ver­bot soge­nann­ter „pro­hi­bi­ted sys­tems“ wird wirksam.
• 02. August 2026: Die meis­ten Bestim­mun­gen des AI Acts wer­den anwendbar.

Zeitrahmen – empfohlene Maßnahmen

• Kurz­fris­tig (0–6 Mona­te):
  Sen­si­bi­li­sie­rung der Unter­neh­mens­lei­tung und rele­van­ter Mit­ar­bei­ten­der, ers­te Audits durchführen.
• Mit­tel­fris­tig (6–12 Mona­te):
  Pro­zes­se und Sys­te­me anpas­sen, KI-Gover­nan­ce-Team („Task-Force“) aufbauen.
• Lang­fris­tig (12–24 Mona­te):
  Kon­ti­nu­ier­li­che Über­wa­chungs- und Eva­lua­ti­ons­stra­te­gie implementieren.

No-Gos

• Igno­rie­ren der Vor­schrif­ten:
  „Abwar­ten und Tee trin­ken“ ist kei­ne Opti­on – Stra­fen kön­nen erheb­lich sein.
• Unkon­trol­lier­te Nut­zung von KI-Tools:
  Der Ein­satz von KI ohne Eva­lu­ie­rung und Risi­ko­ana­ly­se kann schwer­wie­gen­de Fol­gen haben.
• Feh­len­de Kom­mu­ni­ka­ti­on:
  Intrans­pa­renz gegen­über Kun­den, Mit­ar­bei­ten­den und Stake­hol­dern scha­det dem Ver­trau­en nachhaltig.

Fazit

Der AI Act der EU stellt Unter­neh­men vor neue Her­aus­for­de­run­gen. Doch mit einer früh­zei­ti­gen, pro­ak­ti­ven Aus­ein­an­der­set­zung las­sen sich Risi­ken mini­mie­ren – und die Chan­cen der KI gewinn­brin­gend nut­zen. Eine kla­re Stra­te­gie und ein star­ker Fokus auf Trans­pa­renz und Com­pli­ance sind ent­schei­dend, um im neu­en regu­la­to­ri­schen Umfeld erfolg­reich zu agieren.

Quellen und weitere Informationen

• KI-Ver­ord­nung tritt in Kraft (Euro­päi­sche Kommission)
• KI-Ver­ord­nung der EU (AI Act als PDF)
• EU AI Act: Aktu­el­ler Stand & was Unter­neh­men 2025 tun müs­sen (KI-Café)
• Das müs­sen Sie jetzt erle­di­gen, wenn Ihre Fir­ma KI ein­setzt (Impul­se)
• AI-Manage­ment-Sys­tem – ISO/IEC 42001:2023 (ISO.org)
• Micro­soft Copi­lot: Leis­tungs­kon­trol­le durch die Hin­ter­tür? (MSN)