AI Act umsetzen: KI-Pflichten erkennen, priorisieren und belastbar nachweisen
KI ist im Unternehmen oft schneller im Einsatz als die rechtliche Struktur dahinter: Teams nutzen Tools, Produktbereiche planen KI-Features, Vertrieb beantwortet Enterprise-Fragebögen, Einkauf prüft Anbieter und die Geschäftsleitung verlangt eine belastbare Einschätzung. Spätestens dann reicht ein allgemeiner Hinweis auf die KI-Verordnung nicht mehr aus.
ITMR unterstützt Unternehmen bei der anwaltlich geführten Umsetzung des AI Act: mit KI-Inventar, Rollenklärung, Risikoklassifizierung, Pflichtenmatrix, Governance, Vertragsprüfung und Nachweisstruktur für Freigabe, Audit, Vertrieb, Due Diligence und laufenden Betrieb.
So einfach funktioniert es
1. KI-Einsatz und Anlass erfassen.
Sie schildern KI-Systeme, Tools, Produktfunktionen, Anbieter, Einsatzbereiche und den konkreten Anlass: Launch, Kundenaudit, Managementfreigabe, Beschaffung, Enterprise-Vertrieb, Due Diligence oder interne Eskalation.
2. Rollen, Risiken und Pflichten klären.
ITMR prüft, ob Ihr Unternehmen Anbieter, Betreiber, Integrator, Beschaffer, Händler, Importeur oder Teil einer KI-Lieferkette ist und welche AI-Act-Pflichten daraus entstehen können.
3. Umsetzung belastbar aufsetzen.
Sie erhalten eine anwaltlich strukturierte Grundlage für Maßnahmen, Zuständigkeiten, KI-Governance, Vertragsprüfung, Transparenz, Schulung, Nachweise und weitere Spezialprüfung.
KI-Einsatz und AI-Act-Pflichten prüfen lassen
AI-Act-Fahrplan für Ihr KI-Projekt klären
Wann AI-Act-Umsetzung für Unternehmen akut wird
AI-Act-Umsetzung wird selten aus abstraktem Interesse beauftragt. Der Druck entsteht, wenn KI bereits produktiv genutzt wird, ein KI-Feature vor dem Launch steht, ein Enterprise-Kunde Nachweise verlangt oder intern niemand sicher sagen kann, ob das Unternehmen Anbieter, Betreiber, Integrator oder Teil einer KI-Lieferkette ist.
Vertrieb, Legal oder Management müssen erklären, welche KI-Systeme eingesetzt werden, welche Rolle das Unternehmen hat und welche Kontrollen bestehen.
Produkt, Datenschutz, IT-Sicherheit und Geschäftsführung brauchen eine belastbare Entscheidung vor Pilot, Launch, Rollout oder Skalierung.
Teams nutzen KI für Texte, Code, Recherche, Support, HR, Marketing oder Analyse, ohne einheitliche Freigabe, Zuständigkeit und Nachweislogik.
Der AI Act trifft nicht „KI“ im Allgemeinen, sondern konkrete Rollen, Systeme und Einsatzkontexte
Viele Unternehmen beginnen mit der falschen Frage: „Fallen wir unter den AI Act?“ Belastbarer ist die Prüfung, welche KI-Systeme betroffen sind, welche Rolle das Unternehmen in der jeweiligen Konstellation einnimmt und welche Pflichten daraus für Governance, Verträge, Schulung, Transparenz, Dokumentation und Kontrolle entstehen.
Ein Chatbot, ein Matching-Tool, ein Scoring-Modul, ein HR-System, ein Copilot oder ein generatives Modell können völlig unterschiedliche Pflichten auslösen.
Ob Anbieter-, Betreiber-, Importeur-, Händler-, Produkthersteller- oder Integratornähe besteht, entscheidet häufig über den Umfang der Umsetzung.
Kunden, Investoren, Auditoren und Behörden interessieren nicht nur Policy-Texte, sondern nachvollziehbare Zuständigkeiten, Freigaben, Kontrollen und Unterlagen.
Anbieter, Betreiber oder Integrator: Die Rollenfrage entscheidet über den Umsetzungsaufwand
Ein Unternehmen kann in einem KI-Projekt mehrere Rollen berühren: Es beschafft ein Tool, integriert es in eigene Prozesse, verändert die Einsatzlogik, vermarktet ein KI-Feature oder stellt eine Lösung Kunden bereit. Genau dort kippt die AI-Act-Prüfung von einer allgemeinen Einschätzung in ein Umsetzungsmandat.
| Konstellation | Typische Unternehmensfrage | Umsetzungsrelevanz |
|---|---|---|
| Interne KI-Nutzung | Dürfen Teams ein KI-Tool für Texte, Code, Recherche, Support, Marketing oder Analyse nutzen? | KI-Kompetenz, Nutzungsregeln, Datenschutz, Geheimnisschutz, Output-Kontrolle, Freigabeprozess und Nachweisführung. |
| KI-Tool im Einkauf | Kann ein externer Anbieter in bestehende Prozesse, Kundendaten, SaaS-Systeme oder interne Workflows eingebunden werden? | Anbieterinformationen, Vertragsklauseln, Rollenverteilung, Datenflüsse, Audit-Rechte, Sicherheitsanforderungen und Exit-Szenario. |
| KI-Feature im eigenen Produkt | Wird aus einer Integration eine eigene KI-Funktion unter eigener Marke, eigener Oberfläche oder eigener Zwecksetzung? | Anbieter- und Betreiberabgrenzung, technische Dokumentation, Transparenz, Haftung, Produktkommunikation, Monitoring und Änderungsmanagement. |
| Hochrisiko-Nähe | Berührt das System Beschäftigung, Bildung, kritische Infrastruktur, Zugang zu Leistungen, Gesundheit, Sicherheit oder Grundrechte? | Vertiefte Klassifizierung, Human Oversight, Datenqualität, Logging, Risikomanagement, Informationspflichten und mögliche Konformitätsanforderungen. |
| GPAI- und Modellbezug | Wird ein allgemeines KI-Modell genutzt, angepasst, integriert, weitergegeben oder als Grundlage für Downstream-Systeme verwendet? | Modellinformationen, Lieferkettenkommunikation, technische Unterlagen, Copyright-Policy, Nutzungsgrenzen und vertragliche Informationsflüsse. |
Die KI-Verordnung gilt gestaffelt – die Umsetzung sollte dennoch nicht auf den letzten Stichtag warten
Für Unternehmen zählt nicht nur das Datum im Gesetz, sondern die praktische Erwartung von Kunden, Investoren, Aufsicht, Einkauf und Management. Zugleich wird auf EU-Ebene über Vereinfachungen und Verschiebungen einzelner Hochrisiko-Regeln verhandelt. Deshalb sollte die Umsetzung belastbar, aber nicht starr auf eine einzige Frist gebaut werden.
Unternehmen müssen prüfen, welche KI-Nutzung unzulässig sein kann und wie Personen mit KI-Systemen hinreichend befähigt werden.
Bei allgemeinen KI-Modellen, Modellintegration und Lieferketten können Informations-, Dokumentations- und Governance-Fragen greifen.
Transparenz, Risikoklassifizierung, Betreiberpflichten, Nachweise und Marktüberwachungsfragen werden für viele Unternehmen entscheidend.
Mögliche EU-Verschiebungen ändern nicht den Bedarf an Rollenklärung, Produktentscheidungen, Vertragslogik und umsetzbarer Dokumentation.
Praktische Konsequenz: AI-Act-Umsetzung sollte nicht als reine Fristenliste verstanden werden. Entscheidend ist, ob ein KI-Einsatz heute freigegeben, verkauft, beschafft, auditiert oder gegenüber Dritten erklärt werden muss.
Was ITMR bei der AI-Act-Umsetzung konkret aufbaut
Die Umsetzung der KI-Verordnung braucht mehr als eine Schulung und mehr als eine allgemeine KI-Policy. Belastbar wird sie erst, wenn KI-Inventar, Rollenentscheidung, Risikoklassifizierung, Verträge, Freigaben und Nachweise zusammengeführt werden.
Erfassung relevanter KI-Systeme, Modelle, Anbieter, Schnittstellen, Einsatzbereiche, Datenflüsse, Nutzergruppen und geschäftlicher Zwecke.
Einordnung als Anbieter, Betreiber, Integrator, Beschaffer, Händler, Importeur oder Teil einer Lieferkette sowie Prüfung von Verbots-, Transparenz-, Hochrisiko- und GPAI-Bezug.
Übersetzung der Einordnung in konkrete Maßnahmen: Verantwortliche, Prioritäten, Fristen, Dokumente, Freigaben, Schulungen, Kontrollen und Eskalationswege.
Aufbau einer praktikablen Linie für Tool-Freigabe, AI Policy, Rollen, Human Oversight, Review, Monitoring, Incident-Reaktion und Management-Reporting.
Prüfung von SaaS-, API-, Lizenz-, Entwicklungs-, Support-, Audit-, Haftungs-, Datenschutz-, Freistellungs- und Exit-Regelungen mit KI-Bezug.
Material für Kundenfragen, Enterprise-Sales, Due Diligence, interne Freigaben, Datenschutzprüfung, IT-Security-Review und mögliche Aufsichtsanfragen.
Wo AI-Act-Umsetzung in Unternehmen scheitert
- Die KI-Liste kommt aus der IT, die Vertragslage aus dem Einkauf, die Datenschutzprüfung aus Legal und die Produktrealität aus dem Fachbereich.
- Ein Unternehmen hält sich für bloßen Nutzer, obwohl es durch Integration, Konfiguration, Vertrieb oder eigene Zwecksetzung näher an Anbieterpflichten rücken kann.
- KI-Kompetenz wird als Standard-Schulung behandelt, ohne die konkreten Rollen, Risiken, Einsatzkontexte und betroffenen Personen zu berücksichtigen.
- Hochrisiko-Nähe wird erst kurz vor Launch geprüft, obwohl Produktdesign, Datenqualität, Kontrolle und Dokumentation früh angelegt werden müssen.
- Verträge mit KI-Anbietern enthalten keine belastbaren Informations-, Audit-, Update-, Haftungs-, Datenschutz-, Sicherheits- oder Exit-Regeln.
- Transparenzpflichten werden als UX-Textproblem behandelt, obwohl sie in Produktlogik, Prozess, Kommunikation und Dokumentation eingebettet sein müssen.
- GPAI- und Modellfragen werden übersehen, obwohl Downstream-Informationen, Nutzungsgrenzen und Lieferkettenkommunikation entscheidend sein können.
- Nachweise entstehen erst, wenn Kunde, Investor, Auditor oder Aufsicht sie verlangt. Dann fehlen oft Freigabehistorie, Verantwortlichkeiten und Dokumentationslinie.
Welche Fragen vor einer belastbaren KI-Freigabe beantwortet sein sollten
Eine rechtlich tragfähige KI-Freigabe ist keine reine Ja-Nein-Entscheidung. Sie muss erklären, was freigegeben wird, unter welchen Bedingungen die Nutzung zulässig ist und welche Kontrollen im Betrieb greifen.
Tool, Modell, Produktfunktion, API, Empfehlungssystem, Entscheidungsunterstützung, generative Funktion oder automatisierter Prozess?
Anbieter, Betreiber, Fachbereich, Einkauf, IT, Datenschutz, Produktteam, Management, Dienstleister oder Kunde?
Grundrechte, Beschäftigte, Kunden, sensible Daten, Diskriminierung, Sicherheit, Transparenz, IP, Geschäftsgeheimnisse oder Haftung?
Inventar, Freigabe, Policy, Schulung, Vertrag, technische Unterlagen, Kontrollkonzept, Prüfvermerk, Managemententscheidung oder Auditpaket?
Wann diese AI-Act-Seite passt – und wann eine andere ITMR-Route näher liegt
Diese Leistungspaket-Seite ist richtig, wenn AI-Act-Pflichten operativ umgesetzt werden müssen. Wenn der Fall breiter, vertraglicher, datenschutzrechtlicher oder produktstrategischer liegt, sollte die Prüfung gezielt über die passende Route ergänzt werden.
Vom KI-Einsatz zum AI-Act-Fahrplan
ITMR übersetzt den konkreten KI-Einsatz in eine rechtlich und organisatorisch brauchbare Umsetzungslinie. Ziel ist keine abstrakte Vollständigkeit, sondern eine belastbare Entscheidungsgrundlage für Betrieb, Freigabe, Vertrag, Vertrieb, Audit und Management.
KI-Systeme, Anbieter, Modelle, Integrationen, Nutzergruppen, Einsatzorte, Datenflüsse, Zwecke und wirtschaftlicher Anlass werden strukturiert erfasst.
Rollen, Risikoklasse, Verbotsnähe, Transparenz, Hochrisiko-Bezug, GPAI-Fragen, Datenschutz und Vertragsstruktur werden anwaltlich eingeordnet.
Aus der Prüfung entsteht eine Maßnahmenlogik: Was ist sofort relevant, was gehört in Verträge, was muss dokumentiert, geschult oder technisch kontrolliert werden?
Die Ergebnisse werden in Policy, Freigabeprozess, Vertragsprüfung, Zuständigkeiten, Schulung, Nachweisstruktur und Governance übersetzt.
Was nach einer anwaltlich geführten AI-Act-Umsetzung belastbarer sein sollte
KI-Systeme, Rollen, Risikoklassen, Pflichten, Prioritäten, Fristen, Verantwortliche und Nachweise werden nachvollziehbar verbunden.
Das Unternehmen kann besser beurteilen, wann es nur ein Tool nutzt und wann Integration, Vertrieb, Anpassung oder eigene Zwecksetzung weitergehende Pflichten auslösen.
Freigaben, Schulungen, Zuständigkeiten, Human Oversight, Review, Monitoring, Eskalation und Managemententscheidung greifen zusammen.
KI-Anbieter, Dienstleister, Entwicklungspartner und Kunden werden mit klareren Informations-, Audit-, Datenschutz-, Haftungs-, Sicherheits- und Update-Regeln eingebunden.
Wichtig: Der AI Act verlangt keinen allgemeinen KI-Beauftragten nach dem Muster eines Datenschutzbeauftragten. Praktisch kann eine verantwortliche AI-Governance-Funktion sinnvoll sein. Entscheidend sind aber belastbare Zuständigkeiten, Kompetenz, Freigaben, Kontrolle und Nachweise.
Offizielle Quellen für die AI-Act-Umsetzung
Für tragfähige Umsetzung sollten Unternehmen mit amtlichen Quellen arbeiten und aktuelle Gesetzgebungsänderungen beobachten. Sekundärwissen ersetzt keine konkrete Rollen-, Risiko- und Vertragsprüfung.
Häufige Fragen zur Umsetzung des AI Act
Muss jedes Unternehmen mit KI-Einsatz sofort ein großes AI-Act-Projekt starten?
Nein. Der Umfang hängt von Rolle, System, Einsatzkontext, Risiko und wirtschaftlichem Anlass ab. Sinnvoll ist aber eine strukturierte Erstprüfung: Welche KI-Systeme gibt es, wer nutzt sie, welche Rolle hat das Unternehmen und welche Nachweise werden benötigt?
Reicht eine KI-Richtlinie für die Umsetzung der KI-Verordnung aus?
Eine KI-Richtlinie kann hilfreich sein, ersetzt aber keine Rollenklärung, Risikoklassifizierung, Vertragsprüfung, Tool-Freigabe, Schulung, Dokumentation und Kontrolle. Sie sollte Teil einer belastbaren KI-Governance sein.
Benötigt ein Unternehmen einen KI-Beauftragten?
Der AI Act schreibt keinen allgemeinen KI-Beauftragten wie einen Datenschutzbeauftragten vor. Eine verantwortliche interne oder externe AI-Governance-Funktion kann dennoch sinnvoll sein, wenn Zuständigkeiten, Freigaben, Schulungen und Nachweise sonst nicht tragfähig organisiert sind.
Was ist der Unterschied zwischen Anbieter und Betreiber?
Vereinfacht: Anbieter bringen ein KI-System oder ein allgemeines KI-Modell unter eigener Verantwortung in Verkehr oder nehmen es in Betrieb. Betreiber nutzen ein KI-System unter eigener Verantwortung. In der Praxis kann die Abgrenzung schwierig werden, wenn ein Unternehmen Systeme anpasst, integriert, vermarktet oder unter eigener Marke bereitstellt.
Wann ist Hochrisiko-KI besonders zu prüfen?
Vertiefte Prüfung ist angezeigt, wenn KI in Bereichen wie Beschäftigung, Bildung, kritischer Infrastruktur, Zugang zu Leistungen, Sicherheit, Gesundheit, biometrischen Anwendungen oder grundrechtsrelevanten Entscheidungen eingesetzt wird.
Welche Unterlagen helfen für eine erste AI-Act-Prüfung?
Hilfreich sind Tool-Liste, Produktbeschreibung, Anbieterunterlagen, Vertragsentwürfe, Datenflussübersicht, Einsatzfälle, Nutzergruppen, Freigabeprozess, Datenschutzunterlagen, Security-Anforderungen und konkrete Kunden-, Audit- oder Investorenfragen.
Was sollte bei KI-Anbietern vertraglich geprüft werden?
Wichtig sind Rollen, Leistungsbeschreibung, Informationspflichten, technische Änderungen, Datenschutz, Geheimnisschutz, Trainingsdaten, Subunternehmer, Security, Audit-Rechte, Haftung, Freistellung, Output-Nutzung, Verfügbarkeit und Exit.
Wann sollte ITMR früh eingebunden werden?
Früh ist anwaltliche Unterstützung besonders sinnvoll vor Produktlaunch, Tool-Rollout, Enterprise-Sales, Kundenaudit, Due Diligence, Einführung von KI in HR oder sensiblen Entscheidungsprozessen sowie bei unklarer Anbieter-/Betreiberrolle.
AI-Act-Pflichten klären, bevor KI-Freigaben, Kundenfragen oder Audits den Takt vorgeben
Wenn KI bereits genutzt wird, ein KI-Feature vor Freigabe steht oder externe Stakeholder Nachweise verlangen, sollte die Umsetzung nicht bei einer allgemeinen Einschätzung stehen bleiben. Entscheidend ist eine belastbare Linie aus KI-Inventar, Rollenklärung, Pflichtenmatrix, Governance, Verträgen und Nachweisen.
Unsere Expertise
- Schlagkräftige agile Anwaltsboutique
- Experten im Medien-, IT-, KI-, Daten-, Urheberrecht und mehr
- Erfahrene Berater und Prozessanwälte
- Deutschlandweite Vertretung
Warum ITMR Rechtsanwälte?
- Schnelle Reaktionszeiten
- Fokus auf das Business unserer Mandanten
- Transparente Kostenstruktur
- Verpflichtet auf Mandantenerfolg
Bereit für fachanwaltliche KI-Beratung?
Kontaktieren Sie uns unverbindlich. Profitieren Sie von unserer Erfahrung!