Der Countdown läuft: Ab Februar 2025 greifen die ersten Bestimmungen des EU-KI-Gesetzes (EU AI Act) , und bis 2026 müssen Unternehmen nachweisen, dass sie ihre KI-Systeme rechtskonform einsetzen.

Was bedeutet das für die kritischsten Prozesse in Ihrem Unternehmen? Die Verordnung schafft erstmals europaweit verbindliche Regeln für Künstliche Intelligenz und verfolgt damit ein doppeltes Ziel: Risiken minimieren und zugleich Innovation fördern.

Für Unternehmen wird KI-Compliance somit zur Pflicht. Besonders betroffen sind hochriskante KI-Systeme, die sensible Entscheidungen im HR-, Finanz- oder Lieferkettenmanagement unterstützen.

Was bedeutet das für die kritischsten Prozesse in Ihrem Unternehmen? Wer bis 2026 keine belastbaren Strukturen aufgebaut hat, riskiert Bußgelder, Vertrauensverluste und operative Risiken. Anders als bei der DSGVO betrifft der AI Act nicht nur personenbezogene Daten, sondern die gesamte Funktionsweise und Wirkung von KI-Systemen. Die Verantwortung liegt dabei klar bei der Rechtsabteilung, die die Governance vorantreiben und ihre Rolle vor IT und Procurement behaupten muss.

Sind Sie bereit für den EU AI Act und seine Deadlines?

Der AI Act verfolgt einen risikobasierten Ansatz: Je höher die Auswirkungen eines KI-Systems auf Grundrechte, Sicherheit oder Gesellschaft, desto strenger die Pflichten.

• Verbotene KI-Systeme: Praktiken wie Social Scoring oder manipulative Subliminal-Techniken sind ab 2025 untersagt.
• Hochrisiko-KI-Systeme: Besonders streng reguliert – z. B. Bewerber-Screening, Kreditvergabe, Risikomodelle im Finanzwesen oder Lieferantenscoring.
• Begrenztes Risiko: Systeme wie Chatbots, die klar als KI gekennzeichnet werden müssen.
• Minimales Risiko: Tools ohne nennenswerte Entscheidungswirkung, die keine besonderen Pflichten auslösen. 

Zeitplan:

• 2024: Gesetz trat in Kraft, Übergangsfristen starten.
• Februar 2025: Verbote unannehmbarer KI-Systeme werden wirksam.
• August 2025: Erste Pflichten für Anbieter von General-Purpose AI (Foundation-Modelle) greifen.
• August 2026: Umfassende Anforderungen für Hochrisiko-Systeme treten in Kraft (inkl. Risikomanagement, Dokumentation, menschliche Aufsicht).
• 2027: Vollständige Umsetzung aller Vorschriften.

Welche KI-Systeme gelten als „hochriskant“?

Viele unterschätzen häufig, welche Anwendungen als hochriskant gelten:

• HR: Bewerber-Screening, Eignungsanalysen, Karriereprognosen
• Finance: Bonitätsprüfungen, Betrugserkennung, Risikomodelle
• Supply Chain & Einkauf: Lieferantenscoring, ESG-Bewertungen, Preisprognosen
• Compliance & Legal Tech: Vertragsanalyse, Due Diligence-Tools, eDiscovery

Die Sorgfaltspflicht gilt auch für SaaS und externe Systeme. Somit können Schwachstellen bei Anbietern schnell zur Haftungsfalle für Kunden werden.

Countdown bis 2026: Machen Sie sich bereit für die EU-AI-Act-Compliance

Sind Sie auf Kurs, die Compliance-Anforderungen des EU AI Act bis 2026 zu erfüllen? Um die Anforderungen fristgerecht zu erfüllen, brauchen Rechtsabteilungen klare Strukturen:

1. AI Risk Register

Das Risikoregister ist das Herzstück der KI-Governance. Es dokumentiert sämtliche eingesetzte Systeme, deren Klassifikation, Einsatzbereiche, Risiken, Verantwortliche und Prüfzyklen. Ein vollständiges Register erleichtert interne Steuerung und dient zugleich als Nachweis gegenüber Aufsichtsbehörden.

2. Vendor Due Diligence

Unternehmen müssen ihre KI-Anbieter systematisch prüfen:

• Welche Trainingsdaten wurden genutzt? Gibt es Bias- und Fairness-Tests?
• Wie ist die Entscheidungslogik dokumentiert? Welche Zertifizierungen liegen vor?
• Wie werden Datenschutz und Sicherheit gewährleistet?

Ergänzend sind Vertragsklauseln zu Audit-Rechten, Haftung und Exit-Optionen Pflicht. Nur so lässt sich die Sorgfaltspflicht gegenüber KI-Anbietern nachweisen.

3. Interne Governance-Richtlinien

Die Rechtsabteilung muss verbindliche KI-Governance-Policies etablieren:

• Bewertung neuer KI-Projekte; Genehmigungs- und Eskalationsprozesse
• Reporting- und Monitoringpflichten; Schulungen für Mitarbeitende
• Festlegung klarer Rollen zwischen Legal, IT, Compliance und Procurement

Nur mit verbindlichen Richtlinien lassen sich Risiken kontrollieren und Haftungsfragen vermeiden.

Koordinationsmodell: Legal vor IT und Procurement

In vielen Unternehmen treiben heute IT und Einkauf KI-Projekte voran – mit Fokus auf Technik und Kosten. Das reicht nicht. Das EU-KI-Gesetz verlangt ein Kooperationsmodell, bei dem die Rechtsabteilung die Steuerung übernimmt:

• Legal: definiert regulatorische Anforderungen, entwickelt Vertragsstandards, steuert Governance
• IT: stellt technische Umsetzung, Monitoring und Dokumentation sicher
• Compliance: verantwortet Audits, Schulungen und Risikoberichte
• Procurement: verankert Due-Diligence-Anforderungen in Lieferantenverträgen

Dieses Modell stellt sicher, dass rechtliche Risiken erkannt, dokumentiert und in allen Projekten berücksichtigt werden. Ohne die Führungsrolle von Legal laufen Unternehmen Gefahr, Systeme einzuführen, die regulatorisch nicht haltbar sind.

2025 ist der Wendepunkt – Sind Sie bereit, Compliance-Strukturen aufzubauen?

Nutzen sie 2025 aktiv, um Strukturen aufzubauen. So gelingt der rechtzeitige Nachweis der Einhaltung des EU-KI-Gesetzes und die Minimierung von Risiken:

• Hochrisiko-Systeme identifizieren und klassifizieren
• Ein AI Risk Register als Pilot einführen
• Standardisierte Vendor Due Diligence etablieren
• KI-Governance-Richtlinien verbindlich verankern
• Frühzeitige Schulungen für Führungskräfte und Mitarbeitende starten

Fazit: Der Countdown läuft

Der EU AI Act ist kein IT-Projekt, sondern ein Governance-Thema. Wer jetzt handelt, reduziert nicht nur Risiken, sondern gewinnt Vertrauen bei Aufsichtsbehörden, Geschäftspartnern und Kunden. Corporate Legal Teams müssen Governance-Strukturen schaffen, Risiken transparent dokumentieren und die Sorgfaltspflicht gegenüber KI-Anbietern durchsetzen.

Wer bis 2026 vorbereitet ist, sichert nicht nur Compliance, sondern auch Wettbewerbsvorteile in einem zunehmend regulierten Markt. Nutzen Sie schon heute die Möglichkeiten von Legal Tech, um Compliance zu vereinfachen, Governance zu stärken und der Entwicklung einen Schritt voraus zu sein.

Laden Sie unsere kostenlose Checklist oder unser Quiz herunter und prüfen Sie, ob Ihre Systeme den Anforderungen entsprechen. Weiterführende Informationen:

• Offizielle Infos zum EU AI Act auf der Website der Europäischen Kommission
• Weitere Artikel über die Auswirkungen des EU AI Acts in unserem Blog:
  - Der EU AI Act ist da: Warum Rechtsabteilungen jetzt handeln müssen
  - Klassifizieren oder scheitern: So knacken Sie den KI-Risikocode im EU AI Act 
  - Hochrisiko-KI im Unternehmen – Pflichten und Risiken nach dem EU AI Act
  - Über die EU AI Act Colmpliance hinaus: KI-Ethik, Rechtliche Risiken und Vertragsgestaltung  
  - KI-Compliance-Strategie: So etablieren Unternehmen und Kanzleien zukunftssichere KI-Governance