top of page

KI-Verordnung: Pflichten für Unternehmen

  • Autorenbild: Ebru Hazinedar
    Ebru Hazinedar
  • vor 23 Stunden
  • 5 Min. Lesezeit

Rechtsstand: Juli 2026

Die Pflichten der KI-Verordnung für Unternehmen sind längst kein Thema nur für große Technologieanbieter. Wer KI-gestützte Bewerberauswahl, Chatbots, Prognosesoftware, Bildanalyse oder generative KI im Arbeitsalltag einsetzt, muss prüfen, welche Rolle das eigene Unternehmen einnimmt und welche Vorgaben daraus folgen. Viele Pflichten des EU AI Act gelten ab dem 2. August 2026. Einzelne Regelungen, etwa zu verbotenen KI-Praktiken und zur KI-Kompetenz, sind bereits anwendbar.

Entscheidend ist nicht, ob ein Tool als „KI“ beworben wird. Maßgeblich ist, ob es unter den KI-Begriff der Verordnung fällt und wie es konkret verwendet wird. Ein Standard-Chatbot für interne Textentwürfe ist rechtlich anders einzuordnen als ein System, das Bewerbungen vorsortiert oder Beschäftigte bewertet.

Was die KI-Verordnung von Unternehmen verlangt

Die KI-Verordnung, auch EU AI Act genannt, verfolgt einen risikobasierten Ansatz. Je stärker ein KI-System Menschen, ihre Grundrechte, Sicherheit oder wirtschaftliche Chancen beeinflussen kann, desto umfangreicher fallen die Anforderungen aus. Das verhindert zwei verbreitete Fehlannahmen: Nicht jedes KI-Tool ist automatisch hochreguliert. Umgekehrt sind auch Unternehmen ohne eigene KI-Entwicklung nicht automatisch von Pflichten frei.

In der Praxis steht am Anfang eine Bestandsaufnahme. Unternehmen sollten erfassen, welche KI-Systeme sie entwickeln, einkaufen, einbinden oder durch Mitarbeitende nutzen lassen. Dabei genügt eine Liste der Software-Namen nicht. Relevant sind insbesondere Zweck, Nutzerkreis, betroffene Personen, verwendete Daten, Anbieter, Schnittstellen und die tatsächlichen Entscheidungen, die mit den Ergebnissen des Systems vorbereitet oder getroffen werden.

Die Rolle des Unternehmens bestimmt die Pflichten

Die Verordnung unterscheidet mehrere Wirtschaftsakteure. Ein Unternehmen kann bei verschiedenen Anwendungen mehrere Rollen zugleich innehaben.

Anbieter ist in der Regel, wer ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen in Verkehr bringt oder in Betrieb nimmt. Anbieter tragen die weitreichendsten Pflichten, insbesondere bei Hochrisiko-KI.

Betreiber ist, wer ein KI-System unter eigener Verantwortung verwendet. Das betrifft viele Arbeitgeber, Mittelständler und öffentliche Stellen. Ein Betrieb, der eine externe Recruiting-Software einsetzt, ist meist Betreiber, nicht Anbieter. Dennoch muss er das System nicht blind nach Anleitung verwenden, sondern seine eigenen Betreiberpflichten erfüllen.

Daneben kennt die Verordnung Importeure und Händler. Diese Rollen können relevant werden, wenn Unternehmen KI-Systeme aus Staaten außerhalb der EU einführen oder weitervertreiben. Wer ein fremdes System wesentlich verändert, unter eigenem Namen anbietet oder seinen Zweck so verändert, dass daraus ein Hochrisiko-Einsatz wird, kann selbst zum Anbieter werden. Gerade bei individuell angepassten KI-Lösungen sollte diese Frage früh geprüft werden.

Welche Fristen bereits gelten

Seit dem 2. Februar 2025 gelten die Verbote bestimmter KI-Praktiken. Ebenfalls seit diesem Zeitpunkt müssen Anbieter und Betreiber Maßnahmen treffen, damit die Personen, die KI-Systeme für sie einsetzen, über ein ausreichendes Maß an KI-Kompetenz verfügen. Diese Pflicht wird häufig unterschätzt.

KI-Kompetenz bedeutet nicht, dass jede Mitarbeiterin und jeder Mitarbeiter technische Modelle erklären können muss. Erforderlich ist eine dem Einsatz angemessene Befähigung: Wer ein generatives KI-Tool nutzt, sollte dessen Fehleranfälligkeit, Datenschutzrisiken und interne Vorgaben kennen. Wer KI im Personalbereich oder bei Kundenentscheidungen einsetzt, benötigt regelmäßig vertiefte Kenntnisse zu Grenzen, menschlicher Kontrolle und möglichen Diskriminierungen.

Ab dem 2. August 2026 werden große Teile der weiteren Vorschriften anwendbar, darunter zentrale Anforderungen für Hochrisiko-KI-Systeme und Transparenzpflichten. Für bestimmte Hochrisiko-Systeme, die Sicherheitsbauteile oder Produkte in regulierten Bereichen betreffen, gelten abweichende spätere Zeitpunkte. Die konkrete Einordnung hängt daher stets vom System und seinem Verwendungszweck ab.

Verbotene KI-Praktiken: Frühzeitig ausschließen

Bestimmte Anwendungen sind in der EU grundsätzlich untersagt. Dazu gehören etwa Systeme zur Bewertung oder Klassifizierung von Menschen anhand sozialen Verhaltens, wenn dies zu einer nachteiligen oder ungerechtfertigten Behandlung führt. Verboten sind auch bestimmte Formen manipulativer oder ausnutzender KI-Praktiken sowie Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, soweit keine eng begrenzte Ausnahme eingreift.

Für Arbeitgeber ist besonders wichtig: Eine Software, die angebliche Emotionen, Aufmerksamkeit oder Belastung von Beschäftigten aus Stimme, Mimik oder Verhalten ableiten soll, kann rechtlich hochproblematisch sein. Vor Beschaffung oder Pilotbetrieb sollte nicht allein auf Werbeaussagen des Anbieters vertraut werden.

Hochrisiko-KI: Besonders relevant für Personal und Zugangschancen

Hochrisiko-KI umfasst festgelegte Einsatzbereiche, in denen KI erhebliche Auswirkungen auf Menschen haben kann. Für viele Unternehmen ist der Bereich Beschäftigung besonders relevant. Dazu zählen unter anderem KI-Systeme zur Einstellung oder Auswahl von Personen, zur Bewertung von Bewerbungen oder zur Entscheidung über arbeitsbezogene Maßnahmen. Auch Systeme in bestimmten Bereichen der Bildung, des Zugangs zu wesentlichen Dienstleistungen oder der biometrischen Identifizierung können erfasst sein.

Bei Hochrisiko-KI liegen die Hauptpflichten beim Anbieter. Er muss unter anderem ein Risikomanagement einrichten, die Datenqualität und Datenverwaltung absichern, technische Unterlagen erstellen, Protokollierung ermöglichen sowie Anforderungen an Transparenz, menschliche Aufsicht, Genauigkeit, Cybersicherheit und Qualitätsmanagement erfüllen. Vor dem Inverkehrbringen sind weitere Konformitätsanforderungen zu beachten.

Betreiber dürfen daraus nicht ableiten, allein der Anbieter trage die Verantwortung. Sie müssen das System entsprechend den Anweisungen einsetzen, eine wirksame menschliche Aufsicht organisieren und gegebenenfalls Protokolle aufbewahren, soweit sie ihrer Kontrolle unterliegen. Werden Risiken oder schwerwiegende Vorfälle erkannt, bestehen Informations- und Mitwirkungspflichten. Beschäftigte und ihre Vertretungen sind vor der Inbetriebnahme eines Hochrisiko-Systems am Arbeitsplatz in den vorgesehenen Fällen zu informieren. Daneben können Beteiligungsrechte des Betriebsrats und Vorgaben des Arbeitsrechts zu beachten sein.

Besondere Aufmerksamkeit verlangt die Grundrechte-Folgenabschätzung. Bestimmte Betreiber, etwa öffentliche Stellen oder private Unternehmen bei näher bezeichneten wesentlichen Dienstleistungen, müssen vor dem Einsatz bestimmter Hochrisiko-Systeme die Auswirkungen auf Grundrechte bewerten. Ob diese Pflicht greift, ist keine reine Formalfrage. Sie hängt von Betreiber, Einsatzbereich und System ab.

Transparenz bei Chatbots und KI-Inhalten

Nicht jede KI-Anwendung ist ein Hochrisiko-System. Dennoch können Transparenzpflichten bestehen. Menschen sollen grundsätzlich erkennen können, wenn sie mit einem KI-System interagieren, sofern dies nicht ohnehin offensichtlich ist. Für künstlich erzeugte oder manipulierte Inhalte gelten je nach Fall Kennzeichnungsanforderungen, insbesondere wenn realistisch wirkende Bild-, Ton- oder Videoinhalte erstellt oder verbreitet werden.

Unternehmen sollten daher bei Chatbots, virtuellen Assistenzen und KI-generierten Kommunikationsmitteln klare Hinweise einplanen. Bei Marketinginhalten kommt es auf Kontext, Verbreitungsweg und Inhalt an. Ein pauschaler Hinweis in jeder E-Mail ist nicht immer die richtige Lösung. Fehlt eine erforderliche Kennzeichnung, kann dies jedoch Transparenzpflichten verletzen und Vertrauen bei Kunden beschädigen.

Datenschutz, Arbeitsrecht und IT-Sicherheit bleiben daneben relevant

Die KI-Verordnung ersetzt weder die DSGVO noch das Arbeitsrecht oder das IT-Sicherheitsrecht. Verarbeitet ein KI-System personenbezogene Daten, braucht das Unternehmen weiterhin eine tragfähige datenschutzrechtliche Grundlage. Bei besonders sensiblen Daten, Profiling oder umfangreichen Bewertungen kann eine Datenschutz-Folgenabschätzung erforderlich sein.

Im Arbeitsverhältnis stellen sich zusätzlich Fragen nach Weisungsrecht, Transparenz, Gleichbehandlung und Mitbestimmung. Ein KI-gestütztes Recruiting-Tool kann etwa auch dann problematisch sein, wenn es die Vorgaben der KI-Verordnung erfüllt, aber personenbezogene Daten unzulässig verarbeitet oder Bewerber mittelbar diskriminiert. KI-Compliance muss deshalb mit Datenschutz, Arbeitsrecht, Informationssicherheit und Beschaffung abgestimmt werden.

Für Unternehmen in der Region Stuttgart, die KI-Lösungen in Personalabteilungen, Produktion oder Kundenservice erproben, ist diese Verzahnung besonders praktisch: Die Fachabteilung kennt den Nutzen, die IT die technische Umgebung und die Rechtsfunktion die regulatorischen Grenzen. Eine isolierte Prüfung erst kurz vor dem Produktivstart führt häufig zu vermeidbaren Verzögerungen.

Ein sinnvoller Umsetzungsplan

Ein angemessener Umgang mit der KI-Verordnung beginnt nicht mit einem umfangreichen Handbuch, sondern mit klaren Entscheidungen. Folgende Schritte schaffen eine belastbare Grundlage:

  • Erstellen Sie ein KI-Verzeichnis mit allen eingesetzten, beschafften und intern zugelassenen Anwendungen.

  • Ordnen Sie pro Anwendung Zweck, Risikoklasse, Unternehmensrolle und Verantwortliche zu.

  • Prüfen Sie insbesondere Personal-, Bewertungs-, Überwachungs- und Kundenentscheidungsprozesse auf Hochrisiko- oder Verbotsrisiken.

  • Fordern Sie von Anbietern aussagekräftige Unterlagen zu Konformität, Datenverarbeitung, Sicherheit, Protokollierung und Support ein.

  • Schulen Sie die betroffenen Beschäftigten praxisnah und dokumentieren Sie Zuständigkeiten, Freigaben und Eskalationswege.

Wie umfangreich diese Maßnahmen ausfallen müssen, hängt von Größe, Branche und Risiko der Anwendung ab. Ein Startup mit wenigen Standardtools benötigt eine andere Struktur als ein Unternehmen, das KI in Recruiting, Qualitätskontrolle oder Kundenentscheidungen einsetzt. Auch der Einsatz frei verfügbarer generativer KI sollte geregelt werden, etwa durch Vorgaben zu vertraulichen Informationen, Prüfung von Ergebnissen und zulässigen Konten.

Wer KI nicht nur als Softwarefrage behandelt, schafft bessere Entscheidungen und vermeidet spätere Konflikte. Bei der Prüfung konkreter KI-Systeme, Verträge und interner Prozesse unterstützt Quteco Unternehmen aus Fellbach, Stuttgart und bundesweit mit einer rechtlichen Einordnung, die den tatsächlichen Einsatz im Betrieb berücksichtigt. Eine frühe Prüfung ersetzt keine Innovation - sie gibt ihr einen verlässlichen Rahmen.

 
 
 

Kommentare

Mit 0 von 5 Sternen bewertet.
Noch keine Ratings

Rating hinzufügen
bottom of page