2. Dezember 2025
Über die EU AI Act Colmpliance hinaus: KI-Ethik, Rechtliche Risiken und Vertragsgestaltung
Der EU AI Act legt Regeln fest – doch Compliance allein reicht nicht. Wer KI sicher, fair und vertragskonform einsetzen will, muss Ethik, Transparenz und klare Vereinbarungen kombinieren.
Warum reicht der EU AI Act allein nicht aus?
Seit dem 1. August 2024 gilt der EU AI Act als weltweit erstes umfassendes KI-Regelwerk. Doch die bloße Einhaltung gesetzlicher Vorgaben verhindert weder Reputationsschäden noch ethische oder vertragliche Risiken. Das Gesetz schafft zwar verbindliche Vorgaben, um Grundrechte, Sicherheit und demokratische Werte zu schützen, doch bleiben zentrale Fragen offen: Wie lassen sich ethische Herausforderungen meistern? Wie können Vertragsrisiken minimiert und öffentliche Erwartungen erfüllt werden? Und vor allem: Wie setzt man KI verantwortungsvoll und zukunftssicher ein?
Beyond Compliance: Wo echte KI-Risiken starten
Der EU AI Act definiert klare Mindeststandards. Doch die größten Risiken, wie ethische Fragen und Vertragsrisiken, liegen oft jenseits des Gesetzes. Selbst wenn ein KI-System alle Vorschriften einhält, kann es im Markt scheitern, wenn Kunden, Mitarbeiter oder andere Beteiligte es als unfair, undurchsichtig oder unverantwortlich empfinden. Unternehmen stehen zunehmend unter öffentlicher Beobachtung und Reputationsverluste lassen sich nicht durch einfache Bußgeldzahlungen beheben. Compliance bildet die Basis, doch erst Ethik und klare Verträge sorgen für die Stabilität und Belastbarkeit des gesamten Systems.
Die heiklen Rechtsrisiken hinter KI-Entscheidungen
Bias, also systematische Verzerrungen in Daten oder Modellen, führt oft unbeabsichtigt zu diskriminierenden Entscheidungen, so dass bestimmte Gruppen oder Ergebnisse bevorzugt oder benachteiligt werden. Ein Bewerbungs-Algorithmus, der auf verzerrten historischen Daten trainiert wurde, kann bestimmte Gruppen systematisch benachteiligen. Solche Verzerrungen können nicht nur regulatorische Sanktionen auslösen, sondern auch zu Klagen wegen Diskriminierung führen. Zudem besteht das Risiko, dass betroffene Personen oder Interessengruppen öffentlich gegen den Einsatz der KI vorgehen, was zu erheblichen Reputationsschäden führen kann. Der EU AI Act fordert deshalb:
- strenge Dokumentation
- Bias-Tests
- Erklärbarkeit der Entscheidungen
Für Rechtsabteilungen heißt das: Systeme müssen nicht nur technisch nachvollziehbar, sondern auch für Nicht-Techniker plausibel erklärbar sein. Transparenzpflicht und ethische Fairness müssen Hand in Hand gehen. Eine enge Zusammenarbeit mit Daten- und Technikteams ist entscheidend, um Risiken frühzeitig zu erkennen, rechtlich zu bewerten und vertraglich abzusichern.
AI-Klauseln in Verträgen: Garantien, Prüfungsrechte, Verantwortlichkeit
Wer KI-Technologie einkauft, entwickelt oder vertreibt, sollte Verträge nicht mehr ohne KI-spezifische Regelungen abschließen. Wichtige Punkte hierbei sind:
- Garantien (Warranties): Zusicherung, dass die KI konform zum EU AI Act betrieben wird (Datenqualität und Sicherheitsstandards)
- Prüfungsrechte (Audit Rights): Möglichkeit, Systeme und deren Datenverarbeitung regelmäßig zu prüfen (besonders bei Drittanbietern), um Compliance und technische Sicherheit zu verifizieren
- Verantwortlichkeit (Accountability): Klare Haftungsregelungen, wenn KI-Entscheidungen zu Schäden oder Rechtsverstößen führen.
- „Model AI Clauses Sheet“ hilft mit erprobten Formulierungen für SaaS- und Beschaffungsverträge oder Datenübertragungsvereinbarungen (Risikoscoring nach niedrig – mittel – hoch für jede Klausel)
Unternehmen sollten darauf achten, dass Klauseln nicht nur aktuelle regulatorische Anforderungen erfüllen, sondern auch zukünftige Gesetzesänderungen und technologische Entwicklungen abdecken. Zudem ist sicherzustellen, dass Prüfungsrechte praktisch umsetzbar sind und Verantwortlichkeiten eindeutig einer Partei zugeordnet werden, um Streitigkeiten im Schadensfall zu vermeiden.
Grenzüberschreitende Datenflüsse, Drittanbieter, Black-Box-Entscheidungen
Viele KI-Systeme greifen auf globale Datenpools oder Cloud-Infrastrukturen außerhalb der EU zu. Das bringt Fragen zum internationalen Datenschutz, zur Rechtsdurchsetzung und zu vertraglichen Absicherungen mit sich. Drittanbieter sind oft die „unsichtbare“ Schwachstelle in der Compliance-Kette. Besonders dann, wenn deren Algorithmen als Black Box agieren und weder Trainingsdaten noch Entscheidungslogik offengelegt werden.
Empfehlungen für Rechts- und Compliance-Teams:
- vertragliche Transparenzpflichten einbauen
- technische Kontrollmöglichkeiten sichern
- alternative Anbieter mit mehr Offenheit prüfen
- EU-DSGVO auch bei grenzüberschreitenden Datenflüssen sicherzustellen, um Bußgelder und rechtliche Risiken zu vermeiden
- regelmäßige Risikoanalyse externer Dienstleister durchführen, um potenzielle Schwachstellen frühzeitig zu erkennen und Gegenmaßnahmen zu ergreifen
Fazit: Ethik, Verträge & Kontrolle als Erfolgsfaktoren
Der EU AI Act legt zwar das rechtliche Fundament, aber wer nachhaltig mit KI erfolgreich sein will, muss darüber hinausdenken. KI-Ethik, klare Vertragsgestaltung und technische Kontrolle sind Pflicht, wenn man Haftungsrisiken, Reputationsschäden und operative Störungen vermeiden will. Jetzt ist die Zeit, eigene Standards zu setzen, die über die Mindestanforderungen hinausgehen, und nicht nur auf die Verordnung zu reagieren.
________________________________________________________________________________________________________________________________
Mehr über die Auswirkungen des EU AI Acts: Unsere Blog-Reihe für Sie im Überblick (bald online):
- Teil 1 - EU AI Act: Der Gamechanger für KI-Compliance
- Teil 2 - Klassifizieren oder scheitern: So knacken Sie den KI-Risikocode im EU AI Act
- Teil 3 - Hochrisiko-KI im Unternehmen – Pflichten und Risiken nach dem EU AI Act
- Teil 5 - KI-Compliance-Strategie: So etablieren Unternehmen und Kanzleien zukunftssichere KI-Governance
Laden Sie unsere kostenlose Checkliste herunter und prüfen Sie, ob Ihre Systeme den Anforderungen entsprechen.