Software-Entwicklung, digitale Technologie-Konzept. Software-Entwickler, Kodierung Web-Banner oder Hintergrund

Warum Unternehmen am AI Act der EU nicht vorbeikommen

Porträt von Dr. Srdan Dzombeta
Dr. Srdan Dzombeta

Partner, Leiter Cybersecurity, EY Consulting GmbH | Europe West

6 Minuten Lesezeit 04 Juli 2025
Verwandte Themen
Consulting
Künstliche Intelligenz (KI)
Cybersecurity

Die Verordnung will negative Folgen von KI einschränken. Für Unternehmen entstehen daraus viele  Anforderungen, die in Kürze in Kraft treten.

Überblick

  • Mit dem AI Act positioniert sich die EU international als Vorreiter.
  • Das Regelwerk, das bis Mitte 2026 schrittweise umgesetzt wird, stellt zahlreiche neue Anforderungen an Unternehmen.
  • Sinnvoll ist nicht nur umfassende Transparenz in KI-Fragen, sondern auch eine enge Verzahnung mit Unternehmensstrategie und Risikomanagement.

Sie ist fast überall angekommen. Künstliche Intelligenz (KI) hat in den vergangenen drei Jahren nicht nur in der öffentlichen Diskussion einen erheblichen Schub an Aufmerksamkeit erfahren, sie ist mittlerweile auch in immer mehr Aspekte des täglichen Lebens integriert. Auch für Organisationen und Unternehmen ist KI inzwischen zu einem festen Bestandteil des operativen Alltags geworden – sei es in der Automatisierung von Prozessen, der datenbasierten Entscheidungsfindung oder in der Entwicklung neuer Produkte und Dienstleistungen.

Die rasante Weiterentwicklung hat in Wirtschaft und Arbeitswelt schon jetzt einen tiefgreifenden Wandel bewirkt. Er wird sich in den kommenden Jahren noch verstärken. Mit dem EU AI Act setzt die Europäische Union nun einen verbindlichen Rechtsrahmen, der weitreichende Auswirkungen auf Unternehmen und deren Umgang mit KI-Systemen hat.

Generative und agentische KI: Schlüsseltechnologien im Unternehmen

Zwei Formen haben sich als Schlüsseltechnologien etabliert, die Unternehmen dabei unterstützen, datengetriebene Entscheidungen effizienter zu treffen, Prozesse zu automatisieren und Produktivität zu steigern.

Generative KI, kurz GenAI, umfasst Lösungen, die neue Inhalte generieren, beispielsweise Texte, Bilder, Videos oder Code.

Agentische KI, englisch Agentic AI, geht noch einen Schritt weiter. Diese Modelle können autonom Aufgaben planen und Entscheidungen treffen und ausführen, ohne dass für jede einzelne Aktion eine direkte menschliche Anweisung erforderlich ist. Agentische KI hat daher besondere Bedeutung für komplexe Abläufe, die eine kontinuierliche Anpassung an veränderte Bedingungen erfordern. Das gilt etwa für die industrielle Automatisierung oder autonomes Fahren.

Rasanter Bedeutungszuwachs
Jährliche Zuwachsraten von 41,5 beziehungsweise 44,0 Prozent erwarten Beobachter in den kommenden Jahren für den Einsatz von GenAI und agentischer KI.

Beide Bereiche gewinnen rasant an Bedeutung. Die erwarteten Wachstumsraten für die kommenden fünf Jahre liegen bei jeweils über 40 Prozent.

EU AI Act: regulatorischer Rahmen für KI

Doch angesichts der umfassenden Fähigkeiten und vielseitigen Einsatzmöglichkeiten der Technologie sind ihre Sicherheit und ein verantwortungsvoller Einsatz nicht selbstverständlich. Um beides zu gewährleisten, hat die Europäische Union die weltweit erste umfassende gesetzliche Regelung für KI-Systeme geschaffen, den EU AI Act (Verordnung [EU] 2024/1689). Die Verordnung hat das Ziel, den Einsatz von KI sicher, transparent und nachvollziehbar zu gestalten, indem sie klare Anforderungen an Risikomanagement, Datenqualität und Transparenz definiert.

Das EU-Regelwerk für den Einsatz von KI-Systemen definiert Bedingungen, die generative und agentische KI einhalten müssen. Das soll Risiken minimieren und die gesellschaftliche Akzeptanz sichern. Zu den Zielsetzungen gehören die Wahrung von Grundrechten, der Schutz der öffentlichen Sicherheit und die Förderung eines verantwortungsvollen Einsatzes von KI. Unter anderem dürfen KI-Systeme keine diskriminierenden Entscheidungen treffen, keine unerlaubte Massenüberwachung ermöglichen und die Entscheidungsfreiheit von Individuen nicht manipulieren. Insbesondere gilt das für die Anwendung in sensiblen Bereichen wie Justiz, Strafverfolgung oder automatisierter Kreditvergabe.

Für Unternehmen, die KI in ihren vielfältigen Ausprägungen einsetzen, hat das Regelwerk umfassende Auswirkungen. Der AI Act verpflichtet sie, geeignete Sicherheitsvorkehrungen zu treffen, um die Integrität ihrer Systeme sicherzustellen, aber auch deren Missbrauch zu verhindern und fehlerhafte oder verzerrte Entscheidungen abzuwenden.

Entscheidende Vorschriften treten in Kraft, die Zeit drängt

Mit den Vorbereitungen sollten sich KI-Verantwortliche und Compliance-Fachleute keine Zeit mehr lassen. Das Regelwerk ist bereits seit August 2024 in Kraft. Erste konkrete Anforderungen gelten seit Februar 2025. Seither sind bestimmte manipulative Praktiken sowie die biometrische Echtzeit-Fernidentifizierung natürlicher Personen im öffentlichen Raum untersagt. Letztere ist nur in eng definierten Ausnahmefällen erlaubt, etwa zur Strafverfolgung bei Terrorismus oder vermissten Personen. Unternehmen müssen außerdem die Schulung und Qualifizierung von Mitarbeitenden sicherstellen.

Die nächste wichtige Frist läuft Anfang August 2025 ab. Für KI-Modelle und -Systeme mit allgemeinem Verwendungszweck (General Purpose AI oder GPAI) werden dann technische Dokumentation, Transparenz und Urheberrechtspflichten verbindlich. Modelle, die ein systemisches Risiko darstellen, müssen bei der Kommission gemeldet werden. Außerdem werden Marktüberwachungs- und Durchsetzungsmechanismen eingeführt. Ab August 2026 müssen Hochrisiko-KI-Systeme dann vollständig den Anforderungen der Verordnung entsprechen. 

Unternehmen kommen nicht umhin, eine strategische, proaktive Herangehensweise zu entwickeln, mit der sie ihre KI-Systeme rechtskonform, sicher und ethisch verantwortungsvoll aufsetzen.

So unterstützen wir Sie

  • Cybersecurity

    Cybersecurity ist ein immer komplexer werdendes Feld. Unternehmen müssen sich gut vorbereiten. Lesen Sie hier, wie EY Sie dabei unterstützt.

    Mehr erfahren

Auch wenn sich viele Unternehmen mit ihrer generativen und agentischen KI noch in einer frühen, experimentellen Phase befinden, aufgrund der Vorschriften des AI Act kommen sie nicht umhin, eine strategische, proaktive Herangehensweise zu entwickeln, um ihre KI-Systeme rechtskonform, sicher und ethisch verantwortungsvoll aufzusetzen. Sie sollten rasch interne Ressourcen aufbauen, um eine fristgerechte, effektive Umsetzung der Anforderungen zu gewährleisten. Wenn erforderlich lohnt es sich, externe Berater mit regulatorischer und technischer KI-Expertise hinzuzuziehen.
 

Risikobewertung von KI-Systemen im Unternehmen laut EU AI Act

Im AI Act werden KI-Systeme in verschiedene Regulierungsstufen unterteilt. Abgestellt wird dabei auf das Risikopotenzial, aber auch auf mögliche Auswirkungen auf Grundrechte und Sicherheit. Aus der Kategorisierung ergeben sich die rechtlichen Anforderungen, die Unternehmen erfüllen müssen. Sie gelten sowohl für externe als auch für selbst entwickelte oder selbst vertriebene KI-Systeme.

Einige Systeme gelten als so risikobehaftet, dass sie komplett untersagt sind. Meist geht es bei dieser Bewertung um eine erhebliche Gefahr für die öffentliche Ordnung oder einen Eingriff in die Grundrechte. Ein Beispiel sind KI-Systeme, die gezielt schutzbedürftige Personen wie Kinder, ältere Menschen oder Personen mit Behinderungen ausnutzen.
 

Strikte Regeln gelten für sogenannte Hochrisikosysteme, die potenziell erhebliche Auswirkungen auf Sicherheit, Grundrechte oder kritische Infrastrukturen haben. 

Für KI-Modelle mit allgemeinem Verwendungszweck legt der AI Act eigenständige regulatorische Anforderungen fest. Überschreiten diese Modelle bestimmte Schwellenwerte (u. a. in Bezug auf Leistungsfähigkeit oder gesellschaftliche Reichweite), wird ihnen ein systemisches Risiko zugesprochen, was zusätzliche Melde-, Dokumentations- und Transparenzpflichten zur Folge hat.

 

Hohe Anforderungen an Transparenz und Information der Nutzenden

Unabhängig von der Risikoeinstufung gilt für KI-Systeme eine Transparenzpflicht, wenn sie mit Menschen interagieren, biometrische Daten verarbeiten oder Inhalte generieren, die für Nutzende nicht eindeutig als KI-generiert erkennbar sind. So müssen Verbraucher:innen informiert werden, wenn sie mit KI interagieren, etwa über Chatbots oder Sprachassistenten.

Besondere Vorsicht ist auch deswegen geboten, weil generative und agentische KI-Modelle zunehmend von spezialisierten Cyberangriffen ins Visier genommen werden. Diese zielen darauf ab, die Funktionalität zu stören, fehlerhafte Inhalte zu erzeugen oder vertrauliche Informationen preiszugeben. Kritisch ist diese Bedrohung, weil die KI-Systeme große, oft schwer überprüfbare Datenmengen verarbeiten, komplexe neuronale Netze nutzen und in vielen Fällen dynamisch auf Nutzereingaben reagieren. Damit werden sie anfällig für gezielte Manipulationen.

Für eine Vielzahl von Systemen gilt eine Transparenzpflicht, falls sie für Nutzende schwer erkennbar sind oder diese täuschen können. So müssen Verbraucher:innen informiert werden, wenn sie mit KI interagieren, etwa über Chatbots oder Sprachassistenten.

Beispiel medizinische Diagnostik: Ein Krankenhaus nutzt eine KI zur Analyse von Röntgenaufnahmen der Lunge, um Anzeichen für Erkrankungen wie Infektionen oder Tumoren zu erkennen. Die KI wurde mit Tausenden Röntgenbildern trainiert, um zwischen normalen und auffälligen Befunden unterscheiden zu können. Doch ein Angreifer verändert gezielt einige Trainingsbilder und vertauscht die Diagnosen. So lernt die KI falsche Zusammenhänge und gibt wegen dieses Trainings gefährliche Fehldiagnosen. Das medizinische Personal schätzt den Gesundheitszustand falsch ein, die Betroffenen werden womöglich in lebensbedrohliche Lagen gebracht. Schließlich wird das Vertrauen in medizinische KI-Modelle geschädigt.

Potenzielle Auswirkungen für die Gesellschaft bleiben fest im Blick

Grundsätzlich bestimmt nicht allein die Technologie die regulatorischen Anforderungen. Ebenfalls eine wesentliche Rolle spielen sowohl ihr Einsatzbereich als auch die potenziellen Auswirkungen auf Nutzende und Gesellschaft. Für die richtige Kategorisierung der KI-Systeme ist daher eine interdisziplinäre Expertise notwendig. KI-Technologie sollte nicht isoliert betrachtet werden, sondern stets im Zusammenspiel mit rechtlichen, ethischen, strategischen und wirtschaftlichen Aspekten. Die Anpassung bestehender Compliance-Regeln reicht daher nicht aus. Gefragt ist ein Paradigmenwechsel bei Unternehmensführung und Technologieverantwortung. Unternehmen sollten ihre Organisation, ihre Prozesse und ihr Risikomanagement anpassen, um rechtssicher und wettbewerbsfähig zu bleiben.

Dazu gehört eine klare Verantwortung für die Steuerung und Kontrolle von KI. Auch Transparenz spielt eine zunehmend wichtige Rolle. Ob interne Tools, externe Softwarelösungen oder selbst entwickelte Modelle, der AI Act verlangt eine vollständige Übersicht über alle KI-Anwendungen und deren Risiken, einschließlich jener bei externen Anbietern.

Der AI Act ist da – und er verändert die Art, wie Unternehmen KI entwickeln, einsetzen und kontrollieren. Wer schnell handelt, vermeidet Strafen und Reputationsrisiken und kann sich dank rechtskonformer KI-Lösungen langfristig einen Wettbewerbsvorteil sichern. Perfektion ist zum Start nicht notwendig. Entscheidend sind eine klare Verantwortlichkeit, Transparenz und die Bereitschaft, notwendige Maßnahmen umzusetzen. Jetzt ist der Moment, um die Umsetzung anzugehen.

Fazit

Der Einsatz von KI nimmt rasant zu. Der AI Act der EU soll sicherstellen, dass dabei Risiken minimiert werden und die gesellschaftliche Akzeptanz gesichert bleibt. Für Unternehmen, die KI einsetzen, entwickeln oder vertreiben, ergeben sich daraus unterschiedliche Anforderungen. Sie müssen transparent darstellen, was sie nutzen, und innerhalb der Organisation klare Zuständigkeiten definieren. Das hat Priorität: Der AI Act ist bereits in Kraft, die entscheidenden Anforderungen werden in Stufen bis Mitte 2026 gültig. 

Mehr zum Thema

Welche Anforderungen die EU-KI-Verordnung an Hochrisiko-KI-Systeme stellt

Eine Brüsseler Verordnung beschreibt das Pflichtenheft für KI-Anwendungen entlang der Wertschöpfungskette.

Tax & Law Magazine

EU AI Act – ein Fahrplan

Der EU AI Act kommt. Was das für Ihr Unternehmen heißt und welche Schritte Sie jetzt einleiten sollten, lesen Sie hier bei EY.

Felix Kraft + 1

Wie die EU die Kontrolle der KI in menschlicher Hand behalten möchte

Die EU plant einen neuen Rechtsrahmen für künstliche Intelligenz. Lesen Sie hier, was Unternehmen erwartet.

Konstantin Pilz

    Über diesen Artikel

    Porträt von Dr. Srdan Dzombeta
    Dr. Srdan Dzombeta
    Partner, Leiter Cybersecurity, EY Consulting GmbH | Europe West
    Erfahrener Experte für einen ganzheitlichen Cybersecurity-Ansatz – sowohl während Ihrer digitalen Transformation als auch beim anschließenden Regelbetrieb.
    Verwandte Themen
    Consulting
    Künstliche Intelligenz (KI)
    Cybersecurity

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.