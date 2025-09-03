Im Frühjahr wurde das weltweit erste Gesetz zur Regulierung von künstlicher Intelligenz verabschiedet: Der EU AI Act. Viele Unternehmen sind sich der Auswirkungen noch nicht bewusst und haben keine klaren Vorstellungen, wie sie die Vorgaben erfüllen sollen. Im Interview beantwortet Peter Ahnert, Big Data & AI Practice Lead Central Europe bei Nagarro, was das Regelwerk konkret für Unternehmen bedeutet und wie sie verantwortungsvoll mit Technologie umgehen können.
Die Situation ähnelt der Einführung der DSGVO vor einigen Jahren: Viele Unternehmen stehen dem EU AI Act, der einheitliche Regeln für künstliche Intelligenz in der EU schafft, verunsichert und skeptisch gegenüber – und warten daher ab. Die neuen Dokumentations- und Compliance-Pflichten können für sie erhebliche Mehraufwände bedeuten, die wertvolle Ressourcen binden. Bestehende KI-Systeme müssen geprüft und eventuell angepasst werden. Das schieben die meisten vor sich hin, obwohl bei Missachtung empfindliche Strafen drohen.
Dabei wird gerne übersehen, dass der EU AI Act auch Chancen bietet. Das Gesetz zwingt Unternehmen, sich strategisch mit der Schlüsseltechnologie auseinanderzusetzen. Außerdem schafft es einen klaren, europaweit gültigen Rechtsrahmen, der Orientierung gibt und Investitionen planbar macht. Als »AI made in Europe« können Technologien einen echten Gütesiegel für vertrauenswürdige KI erhalten – ein Vorteil im globalen Wettbewerb. Nicht zuletzt stärkt ein bewusster Umgang mit KI das Vertrauen bei Kunden, Partnern und Mitarbeitern.
Herr Ahnert, der EU AI Act folgt einem risikobasierten Ansatz. Was bedeuten diese Risikoklassen praktisch?
Peter Ahnert: Stellen Sie sich eine Pyramide mit vier Stufen vor: Ganz oben, und damit grundsätzlich verboten, sind KI-Systeme mit einem inakzeptablen Risiko, wie Social Scoring oder manipulative Techniken. Für die meisten Unternehmen ist diese Kategorie nicht relevant.
Die wichtigste Stufe für Unternehmen sind die Hochrisiko-Systeme. Hier gelten strenge Anforderungen an Dokumentation, Transparenz und menschliche Aufsicht. Ein klassisches Beispiel im Personalwesen: Eine Software, die Lebensläufe von Bewerbern scannt und eine Vorauswahl trifft. Sie müssen sicherstellen, dass die KI nicht diskriminiert und ein Mensch die endgültige Entscheidung trifft. Ähnliches gilt für KI im Betrieb kritischer Infrastrukturen, bei der Kreditvergabe oder im Bildungsbereich.
Darunter gibt es die Stufe des begrenzten Risikos. Hier geht es vor allem um Transparenz. Nutzer müssen wissen, dass sie mit einer KI interagieren, wie bei einem Chatbot. Die große Mehrheit der KI-Anwendungen, etwa Spamfilter, fällt in die unterste Kategorie mit minimalem oder keinem Risiko, für die es keine neuen Verpflichtungen durch den EU AI Act gibt.
Wo sehen Sie die größten Hürden, und was ist schon heute machbar?
Viele Dinge können Unternehmen schnell angehen. Eine Bestandsaufnahme aller KI-Systeme ist eine organisatorische Aufgabe. Auch Verantwortlichkeiten festzulegen oder den Hinweis bei einem Chatbot einzubauen, ist kein Hexenwerk. Ebenso ist die Förderung einer allgemeinen KI-Kompetenz im Unternehmen gut umsetzbar.
Die wirklichen Herausforderungen liegen bei den Hochrisiko-Systemen. Hier sprechen wir über eine lückenlose technische Dokumentation, die man beim Zukauf von Software aktiv vom Lieferanten einfordern, bei der Eigenentwicklung selbst gewährleisten muss. Zudem müssen diese Systeme ein Konformitätsbewertungsverfahren durchlaufen, ähnlich einer CE-Kennzeichnung. Auch die Mitarbeiterschulung muss hier viel spezifischer und rechtlich überprüfbar sein. Ein Personaler muss beispielsweise verstehen können, warum ein KI-System einen Bewerber ablehnt und in der Lage sein, die Entscheidung kritisch zu hinterfragen.
Was ändert sich durch das Gesetz im Geschäftsalltag?
Der EU AI Act zieht sich, ähnlich wie die DSGVO, durch fast alle Unternehmensbereiche. Der Einkauf muss KI-Software nicht mehr nur nach Funktion und Preis bewerten, sondern ob sie gesetzeskonform ist. Im Projekt- und Risikomanagement muss Compliance von Anfang an mitgedacht werden und der IT-Betrieb muss die relevante Dokumentation vorhalten und die Überwachung sicherstellen. Die Personalabteilung muss bei KI-Tools besonders auf Fairness und Nachvollziehbarkeit achten.
Was sind Ihre konkreten Empfehlungen, wo Unternehmen starten sollten?
Meine klare Empfehlung ist: Der EU AI Act muss auf der Tagesordnung stehen! Zögern und abwarten bringt nichts. Der erste Schritt ist immer, eine zentrale Verantwortlichkeit zu benennen. Ich empfehle hier nach Möglichkeit, bestehende Compliance-Strukturen wie der Datenschutzorganisation aufzubauen. Sobald diese Person oder das Team feststeht, folgt eine Bestandsaufnahme aller KI-Einsatzfelder. Danach muss das Risiko für jede Anwendung bewertet werden. Die Ergebnisse helfen bei der Gap-Analyse, Lücken zu identifizieren und einen konkreten Maßnahmenplan abzuleiten. Parallel dazu sollten Lieferanten in die Pflicht genommen und Konformitätserklärungen eingefordert werden. Es empfiehlt sich, all diese neuen Prüfschritte fest in die Prozesse zu integrieren, damit Compliance zur Routine wird.
Ein zentraler Punkt ist die Risikobewertung. Wie gehen Sie da in der Praxis vor?
Die Risikobewertung ist der Dreh- und Angelpunkt des Gesetzes, denn eine falsche Einstufung kann teuer werden. Wir prüfen in Workshops mit IT, Fachbereich und Rechtsabteilung den geplanten Einsatz. Entscheidend ist dabei nie die Technologie allein, sondern wie sie konkret verwendet wird. Eine Bilderkennungs-KI, die in einer Lackiererei die Oberflächenqualität prüft, hat ein minimales Risiko. Exakt dieselbe Technologie, die zur Gesichtserkennung am Werkstor genutzt wird, wäre eine Hochrisikoanwendung. Wir unterstützen Unternehmen dabei, Risiken frühzeitig zu erkennen, aber auch das innovative Potenzial von KI im Rahmen des EU AI Acts weiter auszuschöpfen.
Was empfehlen Sie über das Gesetz hinaus, um verantwortungsvoll mit KI umzugehen?
Ein zentraler Hebel ist eine verantwortungsvolle Unternehmenskultur, die sich an KI-Leitlinien orientiert. Außerdem empfiehlt es sich, ein interdisziplinäres KI-Board einzurichten, das strategisch in Hinblick auf die Unternehmensziele berät, anstatt zu bremsen. Ein weiterer Punkt ist, Vertrauen durch technische Exzellenz zu schaffen. Unternehmen sollten proaktiv nach Schwachstellen in ihren Systemen suchen und Entscheidungen im Zusammenhang mit KI transparent kommunizieren. Solche Prinzipien zu entwickeln und offenzulegen, ist auch ein gutes Verkaufsargument. So wird aus einer Pflicht ein starkes Signal an den Markt.
