Seit dem 2.8.2025 sind die nächsten Umsetzungsstufen des EU AI Acts in Kraft. Für Unternehmen bedeutet dies vor allem dringenden Handlungsbedarf: Werden die Maßnahmen nicht ausreichend implementiert, kann es für betroffene Unternehmen zu verheerenden strafrechtlichen Konsequenzen kommen. Insbesondere für Anbieter und Nutzer von General Purpose AI (GPAI), also großen KI-Modellen mit breitem Einsatzbereich (z. B. ChatGPT, Copilot, Gemini, Claude), treten hier neue Herausforderungen auf.
Die Strafen können drastisch ausfallen:
Unternehmen, die KI nutzen oder in ihre Prozesse integrieren, müssen daher jetzt aktiv werden, um vor rechtlichen Konsequenzen geschützt zu sein. Denn auch wenn sie keine eigenen KI-Modelle trainieren, sondern lediglich auf bestehende GPAI-Modelle Dritter zurückgreifen, können sie rechtlich angreifbar sein.
Datenschutz und Sicherheit
Test und Monitoring
Compliance und Verantwortung
Wer KI einführt, muss mehr als nur Effizienz im Blick haben. Vor allem Sorgfalt, Kontrolle und Rechtskonformität müssen gewährleistet sein – und zwar ab dem ersten Projekttag.
KI strukturiert, transparent und sicher implementieren ist also nicht nur eine Investition in Technologie, sondern schafft auch Vertrauen und fördert die Zukunftsfähigkeit.
Die Strafen können drastisch ausfallen:
- Bis zu EUR 35 Mio. oder 7% des globalen Jahresumsatzes bei besonders schweren Verstößen (Art. 99 AI Act)
- Geldbußen auch bei Nicht-Einhaltung der technischen Transparenzpflichten, mangelhafter Dokumentation oder unzureichendem Risikomanagement
Unternehmen, die KI nutzen oder in ihre Prozesse integrieren, müssen daher jetzt aktiv werden, um vor rechtlichen Konsequenzen geschützt zu sein. Denn auch wenn sie keine eigenen KI-Modelle trainieren, sondern lediglich auf bestehende GPAI-Modelle Dritter zurückgreifen, können sie rechtlich angreifbar sein.
Was Sie seit August 2025 tun sollten
Eine erste Orientierung für betroffene Unternehmen:
Dokumentation und Transparenz- Liegen technische Informationen zur verwendeten KI vor?
- Gibt es eine verständliche Beschreibung der Trainingsdaten?
- Wurde ein Umgang mit urheberrechtlich geschütztem Material dokumentiert?
Datenschutz und Sicherheit
- Werden personenbezogene Daten verarbeitet? Wenn ja, wie erfolgt die DSGVO-konforme Verarbeitung?
- Ist der Zugriff auf KI-Systeme dokumentiert und kontrolliert (Need-to-Know-Prinzip)?
- Gibt es Schutzmaßnahmen gegen unbefugte Eingriffe oder Systemmanipulationen?
Test und Monitoring
- Sind Testpläne für KI-Einsätze vorhanden?
- Wurden Risikoszenarien analysiert und bewertet?
- Wird das System regelmäßig evaluiert und angepasst?
Compliance und Verantwortung
- Ist klar geregelt, wer im Unternehmen für KI-Compliance verantwortlich ist?
- Besteht eine revisionssichere Projektdokumentation?
- Wurden interne Prozesse zur Nachweisführung eingerichtet (z. B. für Prüfungen, Behördenanfragen)?
KI mutig einführen – aber richtig!
Mit dem EU AI Act stehen Unternehmen seit August 2025 vor einer neuen Compliance-Realität. Die Zeiten informeller KI-Experimente ohne rechtliche Konsequenzen sind damit vorbei: Was zählt, ist ein strukturiertes Vorgehen, das Risiken minimiert und regulatorische Anforderungen erfüllt.Wer KI einführt, muss mehr als nur Effizienz im Blick haben. Vor allem Sorgfalt, Kontrolle und Rechtskonformität müssen gewährleistet sein – und zwar ab dem ersten Projekttag.
KI strukturiert, transparent und sicher implementieren ist also nicht nur eine Investition in Technologie, sondern schafft auch Vertrauen und fördert die Zukunftsfähigkeit.
