Künstliche Intelligenz ist in vielen Unternehmen längst angekommen. Texte werden mit Chatbots erstellt, Bewerbungen vorsortiert, Kundendaten analysiert, Prozesse automatisiert und interne Entscheidungen vorbereitet. Oft geschieht das schneller, als Geschäftsführung, Datenschutz oder Rechtsabteilung es vollständig überblicken.
Mit der europäischen KI-Verordnung, der Verordnung (EU) 2024/1689, ändert sich dieser Umgang schrittweise. Einige Pflichten gelten bereits. Eine besonders wichtige Anwendungsstufe folgt zum 2. August 2026. Dann greifen weitere zentrale Vorgaben der Verordnung. Für Unternehmen bedeutet das: KI ist nicht mehr nur ein Technik- oder Innovationsthema, sondern ein Compliance-Thema.
Wer KI-Systeme einsetzt, sollte deshalb frühzeitig klären, welche Tools im Unternehmen genutzt werden, welche Risiken entstehen und welche Pflichten daraus folgen. (Quelle: Verordnung (EU) 2024/1689 über künstliche Intelligenz; Europäische Kommission, Informationen zum AI Act.)
Was regelt die KI-Verordnung?
Die KI-Verordnung ist der erste umfassende Rechtsrahmen der Europäischen Union für künstliche Intelligenz. Sie verfolgt einen risikobasierten Ansatz. Nicht jede KI-Anwendung wird gleich behandelt. Je höher das Risiko für Gesundheit, Sicherheit, Grundrechte oder faire Teilhabe, desto strenger sind die Anforderungen.
Unterschieden wird unter anderem zwischen verbotenen KI-Praktiken, Hochrisiko-KI, KI mit Transparenzpflichten und Anwendungen mit geringem Risiko. Für Unternehmen ist wichtig: Auch wer keine eigene KI entwickelt, kann betroffen sein. Viele Betriebe sind nicht Anbieter, sondern Nutzer oder sogenannte Betreiber von KI-Systemen. Auch daraus können Pflichten entstehen.
Gerade im Mittelstand wird dieser Punkt häufig unterschätzt. Es reicht nicht, sich darauf zu verlassen, dass ein Softwareanbieter „schon alles richtig macht“. Unternehmen müssen wissen, wofür sie KI einsetzen und welche Rolle sie nach der Verordnung haben.
Warum der 2. August 2026 wichtig ist
Die KI-Verordnung gilt nicht von einem Tag auf den anderen vollständig. Ihre Pflichten werden gestaffelt anwendbar. Bestimmte Verbote und Anforderungen greifen bereits früher. Zum 2. August 2026 wird jedoch ein weiterer großer Teil der Verordnung praktisch relevant.
Für Unternehmen ist dieses Datum ein sinnvoller Prüfpunkt. Bis dahin sollte klar sein, welche KI-Systeme im Betrieb verwendet werden, ob darunter Hochrisiko-Anwendungen fallen und welche organisatorischen Maßnahmen erforderlich sind.
Das betrifft nicht nur große Konzerne. Auch kleinere und mittlere Unternehmen können betroffen sein, etwa wenn sie KI in Personalprozessen, Kundenbewertung, Vertragsmanagement, Bonitätsprüfung, Sicherheitssystemen oder automatisierter Entscheidungsunterstützung einsetzen.
Typische KI-Nutzung im Unternehmen
In vielen Unternehmen beginnt KI unspektakulär. Mitarbeitende nutzen ChatGPT, Copilot, Gemini oder andere Tools für Texte, Präsentationen, E-Mails, Auswertungen oder Übersetzungen. Fachabteilungen verwenden KI-Funktionen in CRM-Systemen, Bewerbermanagement, Buchhaltung, Kundenservice oder Marketingsoftware. Manchmal ist gar nicht sofort erkennbar, dass eine Funktion KI-basiert arbeitet.
Genau hier entsteht das erste Risiko: Schatten-KI. Wenn Mitarbeitende eigenständig KI-Tools verwenden, ohne dass Geschäftsführung, IT oder Datenschutz davon wissen, kann das zu Problemen führen. Vertrauliche Informationen, personenbezogene Daten, Mandanten- oder Kundendaten können in Systeme gelangen, deren Nutzung intern nicht freigegeben ist.
Zudem stellt sich die Frage, ob Ergebnisse ungeprüft übernommen werden. KI kann Fehler machen, Zusammenhänge erfinden oder rechtliche, technische und wirtschaftliche Risiken falsch darstellen. Unternehmen brauchen daher klare Regeln, wann KI eingesetzt werden darf und wann menschliche Kontrolle erforderlich ist.
Hochrisiko-KI: Besonders sensibel für Arbeitgeber und Geschäftsführung
Besonders streng ist die Verordnung bei Hochrisiko-KI. Dazu können etwa Systeme gehören, die im Beschäftigungskontext eingesetzt werden, zum Beispiel bei Bewerberauswahl, Leistungsbewertung oder Personalmanagement. Auch bestimmte Anwendungen im Bereich kritischer Infrastruktur, Kreditwürdigkeit, Bildung oder Zugang zu wesentlichen Dienstleistungen können darunterfallen.
Für Arbeitgeber ist das besonders relevant. Wer KI zur Vorauswahl von Bewerbungen, zur Bewertung von Mitarbeitenden oder zur Vorbereitung personalbezogener Entscheidungen nutzt, bewegt sich schnell in einem sensiblen Bereich. Hier geht es nicht nur um Effizienz, sondern um Grundrechte, Diskriminierungsrisiken, Transparenz und Nachvollziehbarkeit.
Geschäftsführungen sollten deshalb nicht erst reagieren, wenn ein Softwareanbieter ein neues KI-Modul anbietet. Sie sollten vorab prüfen, ob der konkrete Einsatz zulässig ist, welche Informationspflichten bestehen und wie menschliche Kontrolle gewährleistet wird.
Transparenz und Dokumentation werden wichtiger
Ein zentraler Gedanke der KI-Verordnung ist Transparenz. Menschen sollen in bestimmten Situationen erkennen können, dass sie mit KI interagieren oder dass KI-generierte Inhalte verwendet werden. Unternehmen müssen außerdem nachvollziehen können, welche Systeme sie einsetzen und mit welchem Zweck.
Das bedeutet praktisch: Betriebe brauchen ein KI-Verzeichnis oder zumindest eine strukturierte Übersicht. Darin sollte stehen, welche KI-Anwendungen genutzt werden, von wem, zu welchem Zweck, mit welchen Daten und auf welcher rechtlichen Grundlage. Datenschutz, IT-Sicherheit, Arbeitsrecht und Vertragsrecht müssen dabei zusammen gedacht werden.
Gerade bei generativer KI ist zusätzlich zu klären, wie mit Geschäftsgeheimnissen, Urheberrechten und vertraulichen Informationen umgegangen wird. Wer Kundendaten oder interne Strategiepapiere in externe KI-Systeme eingibt, kann rechtliche und wirtschaftliche Risiken auslösen.
KI-Richtlinie im Unternehmen
Ein sinnvoller erster Schritt ist eine interne KI-Richtlinie. Diese muss nicht unnötig kompliziert sein. Sie sollte aber verständlich regeln, welche Tools erlaubt sind, welche Daten nicht eingegeben werden dürfen, welche Ergebnisse geprüft werden müssen und wer für Freigaben zuständig ist.
Wichtig ist auch Schulung. Die KI-Verordnung enthält Anforderungen an KI-Kompetenz. Mitarbeitende sollen die Chancen, Grenzen und Risiken von KI-Systemen angemessen verstehen. Das ist nicht nur eine Formalie. Wer KI falsch bedient, kann falsche Ergebnisse erzeugen, vertrauliche Daten offenlegen oder diskriminierende Entscheidungen vorbereiten.
Eine gute Richtlinie hilft deshalb nicht nur juristisch. Sie schützt auch vor Fehlentscheidungen und schafft Sicherheit im Alltag.
Vertragsprüfung bei KI-Software
Viele Unternehmen werden KI nicht selbst entwickeln, sondern einkaufen. Dann kommt es auf die Verträge mit Softwareanbietern an. Entscheidend sind insbesondere Leistungsbeschreibung, Verantwortlichkeiten, Datenschutz, Datennutzung zum Training, Sicherheitsstandards, Haftung, Audit-Rechte und Kündigungsmöglichkeiten.
Gerade bei SaaS-Produkten mit KI-Funktionen sollten Unternehmen nicht nur auf Preis und Funktion achten. Sie sollten prüfen, ob der Anbieter ausreichend transparent macht, wie das System arbeitet, welche Daten verarbeitet werden und welche Pflichten das Unternehmen als Nutzer selbst behält.
Auch bestehende Verträge sollten überprüft werden, wenn Anbieter KI-Funktionen nachträglich integrieren. Ein Update kann rechtlich mehr verändern, als es technisch zunächst aussieht.
Was Unternehmen jetzt tun sollten
Unternehmen sollten die Zeit bis zur nächsten Anwendungsstufe nutzen. Der wichtigste Schritt ist eine Bestandsaufnahme. Welche KI-Tools werden offiziell genutzt? Welche werden informell genutzt? Welche Systeme enthalten KI-Funktionen, ohne dass sie intern als KI-Projekt geführt werden?
Danach sollte bewertet werden, welche Risiken bestehen. Besonders sensibel sind personenbezogene Daten, Beschäftigtendaten, automatisierte Entscheidungen, Kundenbewertungen, Vertragsprüfungen, medizinische oder sicherheitsrelevante Kontexte und der Umgang mit Geschäftsgeheimnissen.
Aus dieser Prüfung lassen sich praktische Maßnahmen ableiten: Freigabeprozesse, interne Richtlinien, Schulungen, Vertragsprüfung, technische Schutzmaßnahmen und Dokumentation.
Fazit
Die KI-Verordnung macht KI im Unternehmen zu einem Compliance-Thema. Wer KI nutzt, sollte nicht erst im Sommer 2026 beginnen, Zuständigkeiten und Risiken zu klären. Viele Pflichten greifen gestaffelt, und die praktische Umsetzung braucht Zeit.
Für Geschäftsführungen, Arbeitgeber und Selbstständige bedeutet das: KI darf eingesetzt werden, aber nicht blind. Unternehmen brauchen Überblick, Regeln, Schulung und Vertragsklarheit. Wer jetzt strukturiert vorgeht, kann KI weiter produktiv nutzen und zugleich rechtliche Risiken reduzieren.
Hinweis: Dieser Beitrag ersetzt keine individuelle Rechtsberatung. Er wurde redaktionell erstellt und mit Hilfe von KI sprachlich bearbeitet.
