- Der EU AI Act gilt gestaffelt - die Pflichten für die meisten Unternehmen betreffen Transparenz, Dokumentation und menschliche Aufsicht.
- Wer KI nur nutzt (statt anbietet), hat überschaubare Pflichten - muss sie aber kennen und nachweisen können.
- Gut gebaute Systeme erfüllen die Kernanforderungen nebenbei: Nachvollziehbarkeit, Mensch im Loop, Datendisziplin.
Transparenz vorab: Wir sind Ingenieure, keine Kanzlei. Dieser Artikel ordnet technisch-organisatorisch ein und ersetzt keine Rechtsberatung - für verbindliche Auskünfte gehört dein Anwalt an den Tisch.
Worum es geht
Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Er sortiert KI-Systeme nach Risiko: verbotene Praktiken, Hochrisiko-Systeme mit strengen Auflagen, Systeme mit Transparenzpflichten und der große Rest mit minimalen Anforderungen. Die Pflichten greifen gestaffelt über mehrere Jahre - warten ist trotzdem keine Strategie, denn Dokumentation lässt sich schlecht rückwirkend erfinden.
Bin ich Anbieter oder Betreiber?
Die wichtigste Weiche: Wer ein KI-System entwickelt und unter eigenem Namen bereitstellt, ist Anbieter - mit dem vollen Pflichtenkatalog seiner Risikoklasse. Wer ein System nur im eigenen Betrieb einsetzt, ist Betreiber - mit deutlich schlankeren, aber realen Pflichten: das System bestimmungsgemäß nutzen, Aufsicht sicherstellen, Vorfälle melden.
Der Mittelstands-Normalfall - ein Chatbot im Support, eine Belegstrecke in der Buchhaltung, ein interner Wissensassistent - spielt meist in den unteren Risikoklassen. Entwarnung ist das nicht: Auch dort gelten Transparenz- und Aufsichtspflichten.
Die Kernpflichten, praktisch übersetzt
| Anforderung | Was sie praktisch heißt | Technische Antwort |
|---|---|---|
| Transparenz | Nutzer müssen wissen, dass KI im Spiel ist | Kennzeichnung im Interface, klare Hinweise |
| Menschliche Aufsicht | KI entscheidet nicht final über Wesentliches | Freigabe-Schritte, Vier-Augen-Gates |
| Nachvollziehbarkeit | Entscheidungen müssen rekonstruierbar sein | Protokollierung von Eingaben, Ausgaben, Korrekturen |
| Datendisziplin | Wissen, welche Daten wohin fließen | Dokumentierte Datenflüsse, EU-Hosting oder on-premise |
Warum gute Architektur die halbe Compliance ist
Die Anforderungen des AI Act decken sich auffällig mit dem, was solide KI-Systeme ohnehin brauchen. Ein Beispiel aus unserer Praxis: In der Belegverarbeitung, die wir für entsorgo betreiben, wird keine Rechnung automatisch gebucht - jede läuft durch menschliche Freigabe, jede Korrektur wird protokolliert und fließt als gelerntes Wissen zurück ins System. Das ist gute Technik - und nebenbei genau die menschliche Aufsicht und Nachvollziehbarkeit, die der AI Act verlangt.
„Compliance ist billig, wenn man sie von Anfang an mitbaut - und teuer, wenn man sie nachrüstet.“
DUNA Engineering-Grundsatz
Deine To-do-Liste
- Inventur: Welche KI-Systeme laufen bei euch - auch die inoffiziellen Browser-Tabs?
- Einordnung: je System: Anbieter oder Betreiber, welche Risikoklasse?
- Kennzeichnung: KI-Kontakt für Nutzer transparent machen.
- Aufsicht: Freigabe-Schritte definieren, wo Entscheidungen Gewicht haben.
- Dokumentation: Datenflüsse, Modelle, Zuständigkeiten schriftlich festhalten.
- Schulung: KI-Kompetenz im Team nachweisbar aufbauen.


