EU AI Act: Was IT-Verantwortliche jetzt wissen müssen
Künstliche Intelligenz ist in Unternehmen längst vom Innovationsthema zum festen Bestandteil des operativen Betriebs geworden. Generative KI unterstützt bei der Texterstellung, Copilots beschleunigen Entwicklungsprozesse, Such- und Wissenssysteme werden semantisch intelligenter, und Fachabteilungen integrieren KI-Funktionen zunehmend direkt in ihre Anwendungen. Parallel dazu wächst jedoch der regulatorische Rahmen. Mit dem EU AI Act hat die Europäische Union einen umfassenden Rechtsrahmen für Künstliche Intelligenz geschaffen, der bereits in Kraft ist und stufenweise anwendbar wird. Für IT-Verantwortliche bedeutet das: KI darf nicht mehr nur unter Effizienz- und Innovationsgesichtspunkten betrachtet werden, sondern muss als Governance-, Risiko- und Compliance-Thema behandelt werden.
Der entscheidende Punkt dabei ist, dass der AI Act nicht pauschal „KI“ reguliert, sondern einem risikobasierten Ansatz folgt. Je höher das Risiko eines Systems für Sicherheit, Grundrechte oder betroffene Personen, desto strenger die regulatorischen Anforderungen. Genau daraus ergibt sich die operative Relevanz für IT-Abteilungen: Nicht jede KI-Anwendung ist automatisch hochkritisch, aber jede Organisation muss ihre Systeme einordnen, dokumentieren und in einen belastbaren Steuerungsrahmen überführen.
Warum der AI Act gerade für IT-Verantwortliche relevant ist
Auch wenn Rechtsabteilung, Datenschutz und Compliance formell stark eingebunden sind, laufen die praktischen Umsetzungsfragen in vielen Unternehmen bei der IT zusammen. Dort wird entschieden, welche KI-Tools beschafft werden, welche Modelle in Produkte oder Prozesse integriert sind, welche Daten verarbeitet werden, welche Protokollierung stattfindet und wie menschliche Aufsicht technisch und organisatorisch abgesichert wird. Der AI Act verwendet Rollen wie Provider und Deployer, doch die technische Ausgestaltung der Anforderungen liegt in der Praxis sehr häufig bei IT, Informationssicherheit, Data Governance und Enterprise Architecture.
Hinzu kommt, dass viele Unternehmen KI nicht selbst entwickeln, sondern über SaaS-Plattformen, Copilots, Foundation-Modelle oder eingebettete Herstellerfunktionen nutzen. Dadurch verlagert sich ein Teil der Compliance-Frage in das Lieferanten- und Vertragsmanagement. Wer externe KI-Dienste einsetzt, muss nachvollziehen können, welche Modellklasse zugrunde liegt, welche Nachweise verfügbar sind und welche Transparenz- oder Sicherheitsanforderungen der Anbieter erfüllt. Gerade dieser Punkt wird in der Praxis oft unterschätzt, weil KI-Funktionen inzwischen in Standardsoftware „mitgeliefert“ werden. 
Der Zeitplan: Welche Vorgaben gelten bereits?
Der AI Act ist am 1. August 2024 in Kraft getreten. Er gilt jedoch nicht in allen Teilen sofort, sondern nach einem gestaffelten Zeitplan. Bereits seit 2. Februar 2025 gelten die Regeln zu verbotenen KI-Praktiken sowie die Pflicht zur AI Literacy, also zum Aufbau eines ausreichenden Kompetenzniveaus bei Mitarbeitenden und anderen Personen, die mit KI-Systemen arbeiten. Seit 2. August 2025 gelten außerdem Regelungen zu General-Purpose-AI-Modellen. Die breite Anwendbarkeit des Rechtsrahmens folgt grundsätzlich ab 2. August 2026, während für bestimmte Hochrisiko-Systeme in regulierten Produkten Übergangsfristen bis 2. August 2027 bestehen.
Für Unternehmen bedeutet das: Die eigentliche Umsetzung darf nicht auf 2026 verschoben werden. Wer heute KI produktiv nutzt, muss bereits jetzt sicherstellen, dass verbotene Praktiken ausgeschlossen sind, Schulungsmaßnahmen existieren und relevante KI-Systeme zumindest inventarisiert und grob klassifiziert werden. Der häufige Denkfehler besteht darin, den AI Act erst dann ernst zu nehmen, wenn alle Detailpflichten vollständig greifen. Operativ sinnvoll ist dagegen ein frühzeitiger Governance-Aufbau, weil spätere Nachbesserungen in heterogenen IT-Landschaften deutlich teurer und organisatorisch aufwendiger sind. 
Die Systematik des EU AI Act: Vier Risikostufen
Der AI Act arbeitet mit vier Risikoklassen: unannehmbares Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Diese Einteilung ist für IT-Verantwortliche zentral, weil sie die operative Priorisierung vorgibt. Nicht die bloße Existenz einer KI-Funktion ist entscheidend, sondern ihr konkreter Einsatzzweck, ihr Wirkungskontext und ihr potenzieller Einfluss auf Menschen, Rechte und Sicherheit.
Verbotene KI-Praktiken
Bestimmte Anwendungen sind nach dem AI Act grundsätzlich unzulässig. Dazu zählen unter anderem bestimmte manipulative oder täuschende KI-Praktiken, die Ausnutzung besonders schutzbedürftiger Personen, Social Scoring sowie weitere besonders eingriffsintensive Einsatzformen. Die EU-Kommission hat ergänzende Leitlinien zur Definition des AI-Systems und zur ersten Anwendungsphase veröffentlicht, um die Abgrenzung zu erleichtern. Für Unternehmen ist hier besonders wichtig, dass sensible Use Cases nicht erst im Produktivbetrieb hinterfragt werden, sondern bereits in der Architektur- und Freigabephase ausgeschlossen werden.
Hochrisiko-KI
Im Bereich Hochrisiko-KI liegen die umfangreichsten Anforderungen. Hierzu zählen je nach Kontext unter anderem KI-Systeme in sensiblen Bereichen wie Beschäftigung, Bildung, kritischen Infrastrukturen oder beim Zugang zu wesentlichen Diensten. Für solche Systeme nennt die Kommission Anforderungen an Risikomanagement, Daten- und Daten-Governance, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit. Zudem sind je nach Rolle Konformitätsbewertung, Registrierung und laufende Überwachung relevant.
Für IT-Verantwortliche folgt daraus eine klare Konsequenz: Hochrisiko-KI kann nicht nebenbei in bestehende Betriebsprozesse integriert werden. Sie erfordert dokumentierte Verantwortlichkeiten, definierte Kontrollmechanismen, belastbare Audit-Trails und eine enge Verzahnung mit Datenschutz, Informationssicherheit und Fachprozessverantwortung. Wer hier nur auf technische Funktionalität schaut, verfehlt den Kern der Verordnung.
Begrenztes Risiko
Systeme mit begrenztem Risiko unterliegen vor allem Transparenzpflichten. Dazu gehören insbesondere Konstellationen, in denen Nutzende erkennen müssen, dass sie mit KI interagieren oder KI-generierte beziehungsweise KI-manipulierte Inhalte vor sich haben. Gerade bei Chatbots, Assistenten, Content-Generatoren oder synthetischen Medien ist das für Unternehmen praktisch relevant. Die EU arbeitet hierzu auch an einem Code of Practice zur Kennzeichnung und Markierung KI-generierter Inhalte.
Minimales Risiko
Viele alltägliche KI-Anwendungen werden dem minimalen Risiko zugeordnet. Das reduziert zwar die regulatorische Last, hebt aber die Notwendigkeit einer internen Governance nicht auf. Denn selbst bei wenig regulierten KI-Funktionen bleiben Fragen der Datennutzung, Zugriffsrechte, Ergebnisqualität, Modelltransparenz, Protokollierung und sicheren Einbettung in die bestehende IT-Landschaft bestehen. Der AI Act ersetzt also keine saubere IT-Steuerung, sondern macht sie an den kritischen Stellen verbindlicher.
AI Literacy: Die Sofortpflicht, die viele unterschätzen
Ein besonders praxisrelevanter Punkt ist Artikel 4 des AI Act zur AI Literacy. Danach müssen Anbieter und Betreiber von KI-Systemen sicherstellen, dass Mitarbeitende und andere beteiligte Personen über ein ausreichendes Maß an Kenntnissen, Fähigkeiten und Verständnis verfügen. Die Kommission betont ausdrücklich, dass dabei kein starres Standardschema gilt. Maßgeblich sind unter anderem technisches Vorwissen, Erfahrung, Ausbildung, der konkrete Nutzungskontext und die Personen, auf die sich der KI-Einsatz auswirkt. 
Für Unternehmen bedeutet das, dass ein einmaliges Basistraining kaum ausreichen wird. Erforderlich ist ein rollenbasiertes Befähigungskonzept. Entwickler benötigen andere Inhalte als Administratoren, Einkäufer andere als Fachanwender, und Führungskräfte andere als Datenschutz- oder Sicherheitsverantwortliche. Gleichzeitig muss AI Literacy mehr leisten als Tool-Schulung. Es geht auch um Risikoverständnis, Grenzen der Systeme, mögliche Fehlentscheidungen, menschliche Aufsicht und saubere Eskalationswege. Genau deshalb ist AI Literacy nicht nur ein HR-Thema, sondern ein Governance-Baustein mit direktem Bezug zur IT-Organisation. 
General-Purpose AI: Warum LLMs und Foundation Models gesondert betrachtet werden müssen
Mit dem starken Einsatz von LLMs, multimodalen Modellen und anderen Foundation-Modellen gewinnt der Bereich General-Purpose AI besondere Bedeutung. Die EU-Kommission hat hierzu Leitlinien, Fragen-und-Antworten-Dokumente und einen freiwilligen General-Purpose AI Code of Practice veröffentlicht. Dieser Code adressiert insbesondere Transparenz, Copyright sowie Sicherheits- und Schutzfragen; für Modelle mit systemischem Risiko gelten zusätzliche Erwartungen. 
Für IT-Verantwortliche ist wichtig, zwischen Modell und System zu unterscheiden. Der AI Act reguliert GPAI-Modelle auf Modellebene, unabhängig davon, in welchem konkreten Geschäftskontext sie später eingesetzt werden. Gleichzeitig können aus einem allgemeinen Modell KI-Systeme entstehen, die je nach Einsatz zusätzlich unter andere Teile des AI Act fallen. Das heißt praktisch: Der Verweis auf einen bekannten Modellanbieter befreit Unternehmen nicht davon, den konkreten Geschäftsanwendungsfall selbst zu bewerten. 
Was IT-Verantwortliche jetzt konkret tun sollten
Der erste notwendige Schritt ist eine vollständige KI-Inventur. Unternehmen müssen wissen, welche KI-Systeme produktiv eingesetzt werden, welche Pilotprojekte laufen, welche Drittanbieterfunktionen KI enthalten und welche Fachbereiche eigenständig KI-Tools verwenden. Ohne dieses Verzeichnis bleibt jede Compliance-Diskussion abstrakt. Auf dieser Grundlage sollte eine erste Risikotriage erfolgen: Welche Anwendungen sind unkritisch, welche transparenzpflichtig, welche potenziell hochriskant und welche grundsätzlich auszuschließen? Diese Bewertung muss nicht sofort perfekt sein, aber sie muss dokumentiert, nachvollziehbar und wiederholbar sein. 
Der zweite Schritt ist der Aufbau einer KI-Governance. Dazu gehören definierte Rollen, Freigabeprozesse, Architekturvorgaben, Mindestanforderungen für Lieferanten, Kontrollmechanismen für Eingabedaten, Logging-Konzepte, Regeln zur menschlichen Aufsicht und Prozesse für Vorfälle oder Fehlverhalten von Systemen. Sinnvoll ist außerdem eine Verzahnung mit bestehenden Strukturen aus ISMS, Datenschutzmanagement, Supplier Risk Management und Change Management. Der AI Act sollte nicht als isoliertes Projekt behandelt werden, sondern als Erweiterung bestehender Governance-Strukturen. 
Der dritte Schritt ist die praktische Operationalisierung von AI Literacy. Mitarbeitende müssen nicht nur wissen, dass KI eingesetzt wird, sondern auch, welche Daten in Systeme eingegeben werden dürfen, wie Ergebnisse validiert werden, wann menschliche Prüfung zwingend ist und welche Eskalationswege bei Unsicherheiten gelten. Gerade bei generativer KI ist dieser Punkt entscheidend, weil fehlerhafte oder halluzinierte Ausgaben ohne klare Kontrollmechanismen schnell in operative Prozesse einfließen.
Fazit
Der EU AI Act ist für IT-Verantwortliche kein Zukunftsthema mehr, sondern ein bereits laufendes Transformationsprojekt. Wichtige Pflichten gelten schon heute, weitere folgen in den Jahren 2026 und 2027. Entscheidend ist nicht, ob ein Unternehmen KI nutzt, sondern wo, in welcher Rolle und mit welchem Risikoprofil. Wer jetzt inventarisiert, klassifiziert, Schulungspflichten ernst nimmt, Lieferanten überprüft und Governance-Strukturen etabliert, reduziert regulatorische Risiken und gewinnt gleichzeitig mehr Kontrolle über den produktiven KI-Einsatz. Genau darin liegt der eigentliche Mehrwert einer frühen Auseinandersetzung mit dem AI Act: nicht nur Compliance, sondern belastbare Steuerung.
Interesse am Thema? - Reden Sie mit uns!
Kontakt aufnehmen