DUNA Digital
MagazinRecht · 6 Min. Lesezeit

EU AI Act: Was Unternehmen jetzt tun müssen.

DUNA DigitalEngineering & KI · 7. Juli 2026
Das Wichtigste in 20 Sekunden
  • Der EU AI Act gilt gestaffelt - die Pflichten für die meisten Unternehmen betreffen Transparenz, Dokumentation und menschliche Aufsicht.
  • Wer KI nur nutzt (statt anbietet), hat überschaubare Pflichten - muss sie aber kennen und nachweisen können.
  • Gut gebaute Systeme erfüllen die Kernanforderungen nebenbei: Nachvollziehbarkeit, Mensch im Loop, Datendisziplin.

Transparenz vorab: Wir sind Ingenieure, keine Kanzlei. Dieser Artikel ordnet technisch-organisatorisch ein und ersetzt keine Rechtsberatung - für verbindliche Auskünfte gehört dein Anwalt an den Tisch.

Worum es geht

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Er sortiert KI-Systeme nach Risiko: verbotene Praktiken, Hochrisiko-Systeme mit strengen Auflagen, Systeme mit Transparenzpflichten und der große Rest mit minimalen Anforderungen. Die Pflichten greifen gestaffelt über mehrere Jahre - warten ist trotzdem keine Strategie, denn Dokumentation lässt sich schlecht rückwirkend erfinden.

Bin ich Anbieter oder Betreiber?

Die wichtigste Weiche: Wer ein KI-System entwickelt und unter eigenem Namen bereitstellt, ist Anbieter - mit dem vollen Pflichtenkatalog seiner Risikoklasse. Wer ein System nur im eigenen Betrieb einsetzt, ist Betreiber - mit deutlich schlankeren, aber realen Pflichten: das System bestimmungsgemäß nutzen, Aufsicht sicherstellen, Vorfälle melden.

Der Mittelstands-Normalfall - ein Chatbot im Support, eine Belegstrecke in der Buchhaltung, ein interner Wissensassistent - spielt meist in den unteren Risikoklassen. Entwarnung ist das nicht: Auch dort gelten Transparenz- und Aufsichtspflichten.

Die Kernpflichten, praktisch übersetzt

AnforderungWas sie praktisch heißtTechnische Antwort
TransparenzNutzer müssen wissen, dass KI im Spiel istKennzeichnung im Interface, klare Hinweise
Menschliche AufsichtKI entscheidet nicht final über WesentlichesFreigabe-Schritte, Vier-Augen-Gates
NachvollziehbarkeitEntscheidungen müssen rekonstruierbar seinProtokollierung von Eingaben, Ausgaben, Korrekturen
DatendisziplinWissen, welche Daten wohin fließenDokumentierte Datenflüsse, EU-Hosting oder on-premise

Warum gute Architektur die halbe Compliance ist

Die Anforderungen des AI Act decken sich auffällig mit dem, was solide KI-Systeme ohnehin brauchen. Ein Beispiel aus unserer Praxis: In der Belegverarbeitung, die wir für entsorgo betreiben, wird keine Rechnung automatisch gebucht - jede läuft durch menschliche Freigabe, jede Korrektur wird protokolliert und fließt als gelerntes Wissen zurück ins System. Das ist gute Technik - und nebenbei genau die menschliche Aufsicht und Nachvollziehbarkeit, die der AI Act verlangt.

„Compliance ist billig, wenn man sie von Anfang an mitbaut - und teuer, wenn man sie nachrüstet.“

DUNA Engineering-Grundsatz

Deine To-do-Liste

  • Inventur: Welche KI-Systeme laufen bei euch - auch die inoffiziellen Browser-Tabs?
  • Einordnung: je System: Anbieter oder Betreiber, welche Risikoklasse?
  • Kennzeichnung: KI-Kontakt für Nutzer transparent machen.
  • Aufsicht: Freigabe-Schritte definieren, wo Entscheidungen Gewicht haben.
  • Dokumentation: Datenflüsse, Modelle, Zuständigkeiten schriftlich festhalten.
  • Schulung: KI-Kompetenz im Team nachweisbar aufbauen.
KI einführen - regelkonform von Anfang an?Wir bauen Aufsicht, Protokollierung und EU-Hosting gleich mit ein.
Zum KI-Hub
Teilen