Mit der EU-KI-Verordnung (AI Act) ist erstmals ein umfassender europäischer Rechtsrahmen für den Einsatz künstlicher Intelligenz geschaffen worden, der den Umgang mit KI-Systemen in Unternehmen grundlegend neu strukturiert. Während die ersten Regelungen bereits in Kraft getreten sind, befinden sich viele zentrale Pflichten noch in gestaffelten Umsetzungsphasen. Genau diese zeitliche Staffelung führt derzeit in der Praxis zu erheblichen Unsicherheiten: Unternehmen sind sich häufig nicht sicher, welche Anforderungen bereits gelten, welche konkret vorbereitet werden müssen und in welchem Umfang politische Anpassungsprozesse noch Einfluss auf den finalen Anwendungszeitpunkt haben.
Hinzu kommt, dass KI längst kein isoliertes Spezialthema mehr ist, sondern in nahezu allen Unternehmensbereichen angekommen ist – oft ohne explizite Wahrnehmung als „KI-System“. Gerade diese Unsichtbarkeit der Technologie im operativen Alltag führt dazu, dass regulatorische Anforderungen leicht unterschätzt werden. Vor diesem Hintergrund gewinnt die strukturierte Einordnung der KI-Verordnung für Unternehmen erheblich an Bedeutung.
1. Regulatorischer Rahmen der KI-Verordnung
Die KI-Verordnung folgt einem gestuften Regulierungsansatz, der unterschiedliche Anforderungen nach Risikoklassen der eingesetzten Systeme differenziert. Während bestimmte Pflichten, insbesondere im Bereich verbotener KI-Praktiken und allgemeiner Transparenzanforderungen, bereits Anwendung finden, werden weitergehende Anforderungen – insbesondere im Bereich sogenannter Hochrisiko-KI-Systeme – erst in den kommenden Jahren vollständig wirksam.
Diese zeitliche Staffelung führt in der Praxis häufig zu Fehlinterpretationen. Unternehmen fokussieren sich entweder ausschließlich auf bereits geltende Minimalanforderungen oder verschieben die Auseinandersetzung mit komplexeren Pflichten vollständig in die Zukunft. Beides ist aus regulatorischer Sicht problematisch. Die KI-Verordnung ist nicht als einmaliges Umsetzungsprojekt konzipiert, sondern als kontinuierlicher Governance-Rahmen, der sich schrittweise in bestehende Unternehmensprozesse integriert.
Besonders relevant ist zudem, dass die Einordnung eines Systems als „KI-System“ im Sinne der Verordnung nicht von der Wahrnehmung des Unternehmens abhängt, sondern von der technischen und funktionalen Ausgestaltung der eingesetzten Lösung. Dadurch entstehen regelmäßig Abgrenzungsfragen, insbesondere bei Standardsoftware, die KI-Funktionalitäten im Hintergrund integriert.
2. KI im Unternehmensalltag
Ein wesentlicher praktischer Aspekt der KI-Verordnung liegt darin, dass künstliche Intelligenz in vielen Unternehmen bereits heute eingesetzt wird, ohne dass dies bewusst als KI-Anwendung klassifiziert wird. Moderne Softwarelösungen integrieren KI-Funktionalitäten zunehmend in bestehende Systeme, etwa in Form automatisierter Textanalysen, Entscheidungsunterstützung, Klassifikationssystemen oder generativer Assistenzfunktionen.
Typische Beispiele finden sich in nahezu allen Unternehmensbereichen. Im Personalwesen kommen KI-gestützte Systeme zur Vorauswahl von Bewerbungen oder zur Analyse von Lebensläufen zum Einsatz. In Vertriebs- und CRM-Systemen werden automatisierte Prognosen oder Kundenbewertungen generiert. Auch in der internen Verwaltung werden zunehmend Tools genutzt, die Dokumente zusammenfassen, Inhalte strukturieren oder Kommunikationsprozesse unterstützen.
Problematisch ist hierbei weniger der Einsatz selbst, sondern die fehlende systematische Erfassung dieser Anwendungen. In vielen Organisationen existiert keine vollständige Übersicht darüber, welche Systeme KI-Komponenten enthalten und in welchem Umfang diese personenbezogene Daten verarbeiten. Dadurch entstehen nicht nur regulatorische Risiken im Kontext der KI-Verordnung, sondern auch Schnittstellen zum Datenschutzrecht, insbesondere im Hinblick auf Transparenz, Zweckbindung und Automatisierung von Entscheidungen.
3. Governance-Anforderungen
Die Umsetzung der KI-Verordnung kann nicht allein der IT-Abteilung zugeordnet werden, da die Auswirkungen weit über technische Fragestellungen hinausgehen. KI-Systeme beeinflussen Geschäftsprozesse, Entscheidungsstrukturen und in vielen Fällen auch rechtlich relevante Bewertungen, etwa im Bereich Personalentscheidungen oder Kundenklassifizierungen.
Aus diesem Grund erfordert die praktische Umsetzung eine bereichsübergreifende Governance-Struktur. Neben der IT sind insbesondere Datenschutz, Informationssicherheit, Compliance, Fachabteilungen und die Geschäftsführung einzubinden. Nur so kann gewährleistet werden, dass KI-Systeme nicht isoliert eingeführt, sondern in eine übergreifende Steuerungslogik integriert werden.
In der Praxis zeigt sich jedoch häufig, dass Verantwortlichkeiten unklar verteilt sind. KI-Systeme werden eingeführt, ohne dass eine zentrale Bewertung der Risiken erfolgt oder eine abgestimmte Freigabeprozesse existieren. Dies führt dazu, dass organisatorische und regulatorische Anforderungen erst im Nachhinein berücksichtigt werden müssen, was den Umsetzungsaufwand erheblich erhöht und gleichzeitig die rechtliche Unsicherheit steigert.
Eine funktionierende KI-Governance umfasst daher nicht nur technische Kontrollelemente, sondern auch klare Entscheidungswege, dokumentierte Prüfprozesse sowie definierte Zuständigkeiten für den gesamten Lebenszyklus eines KI-Systems – von der Einführung bis zur Abschaltung.
4. KI-Verordnung – Datenschutz und IT-Sicherheit
Die besondere Relevanz der KI-Verordnung liegt darin, dass sie mehrere bestehende regulatorische Bereiche miteinander verbindet und erweitert. Während der Datenschutz insbesondere die Verarbeitung personenbezogener Daten regelt und die Informationssicherheit den Schutz von IT-Systemen adressiert, schafft die KI-Verordnung einen zusätzlichen Rahmen für die Funktionsweise automatisierter Entscheidungs- und Assistenzsysteme selbst.
Damit entsteht eine neue regulatorische Ebene, die nicht nur einzelne Datenverarbeitungen betrachtet, sondern die Logik der eingesetzten Systeme in den Fokus rückt. Unternehmen müssen künftig nicht nur fragen, ob Daten rechtmäßig verarbeitet werden, sondern auch, ob die eingesetzte KI-Anwendung als solche zulässig, nachvollziehbar und angemessen gesteuert ist.
Diese Entwicklung führt dazu, dass klassische Silostrukturen in Unternehmen zunehmend an ihre Grenzen stoßen. Datenschutz, IT-Sicherheit und Compliance können KI-Systeme nur noch gemeinsam bewerten und steuern. Unternehmen, die diese Bereiche frühzeitig zusammenführen, schaffen nicht nur rechtliche Sicherheit, sondern auch operative Stabilität im Umgang mit neuen Technologien.
Fazit
Die KI-Verordnung entwickelt sich schrittweise zu einem zentralen Regulierungsrahmen für den Einsatz künstlicher Intelligenz in Unternehmen. Auch wenn einzelne Anforderungen noch zeitlich gestaffelt sind oder sich im Detail weiterentwickeln können, besteht bereits heute ein klarer Handlungsbedarf. Entscheidend ist insbesondere die frühzeitige Transparenz über eingesetzte KI-Systeme sowie die strukturelle Einbindung in bestehende Governance-, Datenschutz- und Sicherheitsprozesse.
Unternehmen sollten die aktuelle Phase nutzen, um KI-Anwendungen systematisch zu erfassen, Verantwortlichkeiten zu definieren und bestehende Prozesse um KI-spezifische Anforderungen zu erweitern. Dadurch lassen sich spätere Umsetzungsaufwände reduzieren und regulatorische Risiken frühzeitig kontrollieren.
Als externe Datenschutzbeauftragte unterstützen wir Unternehmen dabei, den Einsatz von KI strukturiert zu analysieren, regulatorisch einzuordnen und in bestehende Compliance- und Datenschutzstrukturen zu integrieren, um eine rechtssichere und praxisnahe Umsetzung der KI-Verordnung zu gewährleisten.
Folgende Beiträge könnten Sie auch interessieren:

