AI Act umsetzen: KI-Pflichten erkennen, priorisieren und belastbar nachweisen
KI ist im Unternehmen oft schneller im Einsatz als die rechtliche Struktur dahinter: Teams nutzen Tools, Produktbereiche planen KI-Features, Vertrieb beantwortet Enterprise-Fragebögen, Einkauf prüft Anbieter und die Geschäftsleitung verlangt eine belastbare Einschätzung. Spätestens dann reicht ein allgemeiner Hinweis auf die KI-Verordnung nicht mehr aus.
ITMR unterstützt Unternehmen bei der anwaltlich geführten Umsetzung des AI Act: mit KI-Inventar, Rollenklärung, Risikoklassifizierung, Pflichtenmatrix, Governance, Vertragsprüfung und Nachweisstruktur für Freigabe, Audit, Vertrieb, Due Diligence und laufenden Betrieb.
So einfach funktioniert es
1. KI-Einsatz und Anlass erfassen.
Sie schildern KI-Systeme, Tools, Produktfunktionen, Anbieter, Einsatzbereiche und den konkreten Anlass: Launch, Kundenaudit, Managementfreigabe, Beschaffung, Enterprise-Vertrieb, Due Diligence oder interne Eskalation.
2. Rollen, Risiken und Pflichten klären.
ITMR prüft, ob Ihr Unternehmen Anbieter, Betreiber, Integrator, Beschaffer, Händler, Importeur oder Teil einer KI-Lieferkette ist und welche AI-Act-Pflichten daraus entstehen können.
3. Umsetzung belastbar aufsetzen.
Sie erhalten eine anwaltlich strukturierte Grundlage für Maßnahmen, Zuständigkeiten, KI-Governance, Vertragsprüfung, Transparenz, Schulung, Nachweise und weitere Spezialprüfung.
KI-Einsatz und AI-Act-Pflichten prüfen lassen
AI-Act-Fahrplan für Ihr KI-Projekt klären
Wann AI-Act-Umsetzung für Unternehmen akut wird
AI-Act-Umsetzung wird selten aus abstraktem Interesse beauftragt. Der Druck entsteht, wenn KI bereits produktiv genutzt wird, ein KI-Feature vor dem Launch steht, ein Enterprise-Kunde Nachweise verlangt oder intern niemand sicher sagen kann, ob das Unternehmen Anbieter, Betreiber, Integrator oder Teil einer KI-Lieferkette ist.
Vertrieb, Legal oder Management müssen erklären, welche KI-Systeme eingesetzt werden, welche Rolle das Unternehmen hat und welche Kontrollen bestehen.
Produkt, Datenschutz, IT-Sicherheit und Geschäftsführung brauchen eine belastbare Entscheidung vor Pilot, Launch, Rollout oder Skalierung.
Teams nutzen KI für Texte, Code, Recherche, Support, HR, Marketing oder Analyse, ohne einheitliche Freigabe, Zuständigkeit und Nachweislogik.
Der AI Act trifft nicht „KI“ im Allgemeinen, sondern konkrete Rollen, Systeme und Einsatzkontexte
Viele Unternehmen beginnen mit der falschen Frage: „Fallen wir unter den AI Act?“ Belastbarer ist die Prüfung, welche KI-Systeme betroffen sind, welche Rolle das Unternehmen in der jeweiligen Konstellation einnimmt und welche Pflichten daraus für Governance, Verträge, Schulung, Transparenz, Dokumentation und Kontrolle entstehen.
Ein Chatbot, ein Matching-Tool, ein Scoring-Modul, ein HR-System, ein Copilot oder ein generatives Modell können völlig unterschiedliche Pflichten auslösen.
Ob Anbieter-, Betreiber-, Importeur-, Händler-, Produkthersteller- oder Integratornähe besteht, entscheidet häufig über den Umfang der Umsetzung.
Kunden, Investoren, Auditoren und Behörden interessieren nicht nur Policy-Texte, sondern nachvollziehbare Zuständigkeiten, Freigaben, Kontrollen und Unterlagen.
Anbieter, Betreiber oder Integrator: Die Rollenfrage entscheidet über den Umsetzungsaufwand
Ein Unternehmen kann in einem KI-Projekt mehrere Rollen berühren: Es beschafft ein Tool, integriert es in eigene Prozesse, verändert die Einsatzlogik, vermarktet ein KI-Feature oder stellt eine Lösung Kunden bereit. Genau dort kippt die AI-Act-Prüfung von einer allgemeinen Einschätzung in ein Umsetzungsmandat.
| Konstellation | Typische Unternehmensfrage | Umsetzungsrelevanz |
|---|---|---|
| Interne KI-Nutzung | Dürfen Teams ein KI-Tool für Texte, Code, Recherche, Support, Marketing oder Analyse nutzen? | KI-Kompetenz, Nutzungsregeln, Datenschutz, Geheimnisschutz, Output-Kontrolle, Freigabeprozess und Nachweisführung. |
| KI-Tool im Einkauf | Kann ein externer Anbieter in bestehende Prozesse, Kundendaten, SaaS-Systeme oder interne Workflows eingebunden werden? | Anbieterinformationen, Vertragsklauseln, Rollenverteilung, Datenflüsse, Audit-Rechte, Sicherheitsanforderungen und Exit-Szenario. |
| KI-Feature im eigenen Produkt | Wird aus einer Integration eine eigene KI-Funktion unter eigener Marke, eigener Oberfläche oder eigener Zwecksetzung? | Anbieter- und Betreiberabgrenzung, technische Dokumentation, Transparenz, Haftung, Produktkommunikation, Monitoring und Änderungsmanagement. |
| Hochrisiko-Nähe | Berührt das System Beschäftigung, Bildung, kritische Infrastruktur, Zugang zu Leistungen, Gesundheit, Sicherheit oder Grundrechte? | Vertiefte Klassifizierung, Human Oversight, Datenqualität, Logging, Risikomanagement, Informationspflichten und mögliche Konformitätsanforderungen. |
| GPAI- und Modellbezug | Wird ein allgemeines KI-Modell genutzt, angepasst, integriert, weitergegeben oder als Grundlage für Downstream-Systeme verwendet? | Modellinformationen, Lieferkettenkommunikation, technische Unterlagen, Copyright-Policy, Nutzungsgrenzen und vertragliche Informationsflüsse. |
Die KI-Verordnung gilt gestaffelt – die Umsetzung sollte dennoch nicht auf den letzten Stichtag warten
Für Unternehmen zählt nicht nur das Datum im Gesetz, sondern die praktische Erwartung von Kunden, Investoren, Aufsicht, Einkauf und Management. Zugleich wird auf EU-Ebene über Vereinfachungen und Verschiebungen einzelner Hochrisiko-Regeln verhandelt. Deshalb sollte die Umsetzung belastbar, aber nicht starr auf eine einzige Frist gebaut werden.
Unternehmen müssen prüfen, welche KI-Nutzung unzulässig sein kann und wie Personen mit KI-Systemen hinreichend befähigt werden.
Bei allgemeinen KI-Modellen, Modellintegration und Lieferketten können Informations-, Dokumentations- und Governance-Fragen greifen.
Transparenz, Risikoklassifizierung, Betreiberpflichten, Nachweise und Marktüberwachungsfragen werden für viele Unternehmen entscheidend.
Mögliche EU-Verschiebungen ändern nicht den Bedarf an Rollenklärung, Produktentscheidungen, Vertragslogik und umsetzbarer Dokumentation.
Praktische Konsequenz: AI-Act-Umsetzung sollte nicht als reine Fristenliste verstanden werden. Entscheidend ist, ob ein KI-Einsatz heute freigegeben, verkauft, beschafft, auditiert oder gegenüber Dritten erklärt werden muss.
Was ITMR bei der AI-Act-Umsetzung konkret aufbaut
Die Umsetzung der KI-Verordnung braucht mehr als eine Schulung und mehr als eine allgemeine KI-Policy. Belastbar wird sie erst, wenn KI-Inventar, Rollenentscheidung, Risikoklassifizierung, Verträge, Freigaben und Nachweise zusammengeführt werden.
Erfassung relevanter KI-Systeme, Modelle, Anbieter, Schnittstellen, Einsatzbereiche, Datenflüsse, Nutzergruppen und geschäftlicher Zwecke.
Einordnung als Anbieter, Betreiber, Integrator, Beschaffer, Händler, Importeur oder Teil einer Lieferkette sowie Prüfung von Verbots-, Transparenz-, Hochrisiko- und GPAI-Bezug.
Übersetzung der Einordnung in konkrete Maßnahmen: Verantwortliche, Prioritäten, Fristen, Dokumente, Freigaben, Schulungen, Kontrollen und Eskalationswege.
Aufbau einer praktikablen Linie für Tool-Freigabe, AI Policy, Rollen, Human Oversight, Review, Monitoring, Incident-Reaktion und Management-Reporting.
Prüfung von SaaS-, API-, Lizenz-, Entwicklungs-, Support-, Audit-, Haftungs-, Datenschutz-, Freistellungs- und Exit-Regelungen mit KI-Bezug.
Material für Kundenfragen, Enterprise-Sales, Due Diligence, interne Freigaben, Datenschutzprüfung, IT-Security-Review und mögliche Aufsichtsanfragen.
Wo AI-Act-Umsetzung in Unternehmen scheitert
- Die KI-Liste kommt aus der IT, die Vertragslage aus dem Einkauf, die Datenschutzprüfung aus Legal und die Produktrealität aus dem Fachbereich.
- Ein Unternehmen hält sich für bloßen Nutzer, obwohl es durch Integration, Konfiguration, Vertrieb oder eigene Zwecksetzung näher an Anbieterpflichten rücken kann.
- KI-Kompetenz wird als Standard-Schulung behandelt, ohne die konkreten Rollen, Risiken, Einsatzkontexte und betroffenen Personen zu berücksichtigen.
- Hochrisiko-Nähe wird erst kurz vor Launch geprüft, obwohl Produktdesign, Datenqualität, Kontrolle und Dokumentation früh angelegt werden müssen.
- Verträge mit KI-Anbietern enthalten keine belastbaren Informations-, Audit-, Update-, Haftungs-, Datenschutz-, Sicherheits- oder Exit-Regeln.
- Transparenzpflichten werden als UX-Textproblem behandelt, obwohl sie in Produktlogik, Prozess, Kommunikation und Dokumentation eingebettet sein müssen.
- GPAI- und Modellfragen werden übersehen, obwohl Downstream-Informationen, Nutzungsgrenzen und Lieferkettenkommunikation entscheidend sein können.
- Nachweise entstehen erst, wenn Kunde, Investor, Auditor oder Aufsicht sie verlangt. Dann fehlen oft Freigabehistorie, Verantwortlichkeiten und Dokumentationslinie.
Welche Fragen vor einer belastbaren KI-Freigabe beantwortet sein sollten
Eine rechtlich tragfähige KI-Freigabe ist keine reine Ja-Nein-Entscheidung. Sie muss erklären, was freigegeben wird, unter welchen Bedingungen die Nutzung zulässig ist und welche Kontrollen im Betrieb greifen.
Tool, Modell, Produktfunktion, API, Empfehlungssystem, Entscheidungsunterstützung, generative Funktion oder automatisierter Prozess?
Anbieter, Betreiber, Fachbereich, Einkauf, IT, Datenschutz, Produktteam, Management, Dienstleister oder Kunde?
Grundrechte, Beschäftigte, Kunden, sensible Daten, Diskriminierung, Sicherheit, Transparenz, IP, Geschäftsgeheimnisse oder Haftung?
Inventar, Freigabe, Policy, Schulung, Vertrag, technische Unterlagen, Kontrollkonzept, Prüfvermerk, Managemententscheidung oder Auditpaket?
Wann diese AI-Act-Seite passt – und wann eine andere ITMR-Route näher liegt
Diese Leistungspaket-Seite ist richtig, wenn AI-Act-Pflichten operativ umgesetzt werden müssen. Wenn der Fall breiter, vertraglicher, datenschutzrechtlicher oder produktstrategischer liegt, sollte die Prüfung gezielt über die passende Route ergänzt werden.
Vom KI-Einsatz zum AI-Act-Fahrplan
ITMR übersetzt den konkreten KI-Einsatz in eine rechtlich und organisatorisch brauchbare Umsetzungslinie. Ziel ist keine abstrakte Vollständigkeit, sondern eine belastbare Entscheidungsgrundlage für Betrieb, Freigabe, Vertrag, Vertrieb, Audit und Management.
KI-Systeme, Anbieter, Modelle, Integrationen, Nutzergruppen, Einsatzorte, Datenflüsse, Zwecke und wirtschaftlicher Anlass werden strukturiert erfasst.
Rollen, Risikoklasse, Verbotsnähe, Transparenz, Hochrisiko-Bezug, GPAI-Fragen, Datenschutz und Vertragsstruktur werden anwaltlich eingeordnet.
Aus der Prüfung entsteht eine Maßnahmenlogik: Was ist sofort relevant, was gehört in Verträge, was muss dokumentiert, geschult oder technisch kontrolliert werden?
Die Ergebnisse werden in Policy, Freigabeprozess, Vertragsprüfung, Zuständigkeiten, Schulung, Nachweisstruktur und Governance übersetzt.
Was nach einer anwaltlich geführten AI-Act-Umsetzung belastbarer sein sollte
KI-Systeme, Rollen, Risikoklassen, Pflichten, Prioritäten, Fristen, Verantwortliche und Nachweise werden nachvollziehbar verbunden.
Das Unternehmen kann besser beurteilen, wann es nur ein Tool nutzt und wann Integration, Vertrieb, Anpassung oder eigene Zwecksetzung weitergehende Pflichten auslösen.
Freigaben, Schulungen, Zuständigkeiten, Human Oversight, Review, Monitoring, Eskalation und Managemententscheidung greifen zusammen.
KI-Anbieter, Dienstleister, Entwicklungspartner und Kunden werden mit klareren Informations-, Audit-, Datenschutz-, Haftungs-, Sicherheits- und Update-Regeln eingebunden.
Wichtig: Der AI Act verlangt keinen allgemeinen KI-Beauftragten nach dem Muster eines Datenschutzbeauftragten. Praktisch kann eine verantwortliche AI-Governance-Funktion sinnvoll sein. Entscheidend sind aber belastbare Zuständigkeiten, Kompetenz, Freigaben, Kontrolle und Nachweise.
Offizielle Quellen für die AI-Act-Umsetzung
Für tragfähige Umsetzung sollten Unternehmen mit amtlichen Quellen arbeiten und aktuelle Gesetzgebungsänderungen beobachten. Sekundärwissen ersetzt keine konkrete Rollen-, Risiko- und Vertragsprüfung.
Häufige Fragen zur Umsetzung des AI Act
Muss jedes Unternehmen mit KI-Einsatz sofort ein großes AI-Act-Projekt starten?
Nein. Der Umfang hängt von Rolle, System, Einsatzkontext, Risiko und wirtschaftlichem Anlass ab. Sinnvoll ist aber eine strukturierte Erstprüfung: Welche KI-Systeme gibt es, wer nutzt sie, welche Rolle hat das Unternehmen und welche Nachweise werden benötigt?
Reicht eine KI-Richtlinie für die Umsetzung der KI-Verordnung aus?
Eine KI-Richtlinie kann hilfreich sein, ersetzt aber keine Rollenklärung, Risikoklassifizierung, Vertragsprüfung, Tool-Freigabe, Schulung, Dokumentation und Kontrolle. Sie sollte Teil einer belastbaren KI-Governance sein.
Benötigt ein Unternehmen einen KI-Beauftragten?
Der AI Act schreibt keinen allgemeinen KI-Beauftragten wie einen Datenschutzbeauftragten vor. Eine verantwortliche interne oder externe AI-Governance-Funktion kann dennoch sinnvoll sein, wenn Zuständigkeiten, Freigaben, Schulungen und Nachweise sonst nicht tragfähig organisiert sind.
Was ist der Unterschied zwischen Anbieter und Betreiber?
Vereinfacht: Anbieter bringen ein KI-System oder ein allgemeines KI-Modell unter eigener Verantwortung in Verkehr oder nehmen es in Betrieb. Betreiber nutzen ein KI-System unter eigener Verantwortung. In der Praxis kann die Abgrenzung schwierig werden, wenn ein Unternehmen Systeme anpasst, integriert, vermarktet oder unter eigener Marke bereitstellt.
Wann ist Hochrisiko-KI besonders zu prüfen?
Vertiefte Prüfung ist angezeigt, wenn KI in Bereichen wie Beschäftigung, Bildung, kritischer Infrastruktur, Zugang zu Leistungen, Sicherheit, Gesundheit, biometrischen Anwendungen oder grundrechtsrelevanten Entscheidungen eingesetzt wird.
Welche Unterlagen helfen für eine erste AI-Act-Prüfung?
Hilfreich sind Tool-Liste, Produktbeschreibung, Anbieterunterlagen, Vertragsentwürfe, Datenflussübersicht, Einsatzfälle, Nutzergruppen, Freigabeprozess, Datenschutzunterlagen, Security-Anforderungen und konkrete Kunden-, Audit- oder Investorenfragen.
Was sollte bei KI-Anbietern vertraglich geprüft werden?
Wichtig sind Rollen, Leistungsbeschreibung, Informationspflichten, technische Änderungen, Datenschutz, Geheimnisschutz, Trainingsdaten, Subunternehmer, Security, Audit-Rechte, Haftung, Freistellung, Output-Nutzung, Verfügbarkeit und Exit.
Wann sollte ITMR früh eingebunden werden?
Früh ist anwaltliche Unterstützung besonders sinnvoll vor Produktlaunch, Tool-Rollout, Enterprise-Sales, Kundenaudit, Due Diligence, Einführung von KI in HR oder sensiblen Entscheidungsprozessen sowie bei unklarer Anbieter-/Betreiberrolle.
AI-Act-Pflichten klären, bevor KI-Freigaben, Kundenfragen oder Audits den Takt vorgeben
Wenn KI bereits genutzt wird, ein KI-Feature vor Freigabe steht oder externe Stakeholder Nachweise verlangen, sollte die Umsetzung nicht bei einer allgemeinen Einschätzung stehen bleiben. Entscheidend ist eine belastbare Linie aus KI-Inventar, Rollenklärung, Pflichtenmatrix, Governance, Verträgen und Nachweisen.
KI-Readiness-Cockpit
Interaktiver Monitor zu KI-Einsatz in Unternehmen, AI-Act-Fristen, Risikoklassen, Governance-Pflichten, KI-Kompetenz, GPAI, Transparenz, Hochrisiko-KI und Dokumentationsreife.
KI-Einsatz im Unternehmen
36 % der befragten Unternehmen nutzten 2025 KI. Damit hat sich der praktische KI-Einsatz gegenüber 20 % im Vorjahr nahezu verdoppelt.
KI-Einsatz im Unternehmen
36 % der befragten Unternehmen nutzten 2025 KI. Damit hat sich der praktische KI-Einsatz gegenüber 20 % im Vorjahr nahezu verdoppelt.
Statische Auswertung
Was zeigt das KI-Readiness-Cockpit?
Das KI-Readiness-Cockpit verbindet Marktkennzahlen zur KI-Nutzung deutscher Unternehmen mit den zentralen Pflichten und Fristen des EU AI Act. Es zeigt, warum Unternehmen nicht erst bei Hochrisiko-KI-Systemen aktiv werden sollten, sondern bereits bei der Einführung von Chatbots, generativer KI, KI-gestützter Analyse, Recruiting-Tools, Scoring, Automatisierung oder KI-Integration in Softwareprodukte.
Für die rechtliche Praxis ist die Auswertung relevant, weil KI-Governance regelmäßig Datenschutzrecht, Urheberrecht, Geschäftsgeheimnisse, IT-Sicherheit, Vertragsrecht, Produkthaftung, Arbeitsrecht, Plattformregulierung und branchenspezifische Compliance berührt. Entscheidend ist eine belastbare KI-Inventur mit Rollenklärung, Risikoklassifizierung, Anbieterprüfung, Dokumentation, Schulung, Freigabeprozess und laufender Kontrolle.
Wichtige Erkenntnisse
- 36 % der befragten Unternehmen nutzten 2025 KI; im Vorjahr waren es 20 %.
- Weitere 47 % der Unternehmen planten oder diskutierten 2025 den KI-Einsatz.
- 51 % sahen KI erstmals als entscheidend für die Wettbewerbsfähigkeit an.
- Die EU-Kommission beschreibt den AI Act als risikobasierten Rechtsrahmen mit Pflichten für Entwickler und Anwender.
- Verbote und KI-Kompetenz gelten seit Februar 2025, GPAI-Regeln seit August 2025; weitere Transparenz- und Hochrisikopflichten folgen gestaffelt.
Datengrundlage als HTML-Tabelle anzeigen
| Dimension | Kernwert / Termin | Quelle | Rechtsbezug | Einordnung |
|---|---|---|---|---|
| KI-Nutzung | 36 % der Unternehmen | Bitkom 2025 | KI-Governance, Datenschutz, Verträge | praktischer Einsatz fast verdoppelt |
| KI-Nutzung Vorjahr | 20 % | Bitkom-Vergleich | Marktdynamik | starker Adoptionssprung |
| Planung / Diskussion | 47 % | Bitkom 2025 | Projektfreigabe, Einkauf, Anbieterprüfung | Readiness vor Rollout nötig |
| Wettbewerbsfähigkeit | 51 % | Bitkom 2025 | Geschäftsleitung, Strategie | KI wird Management-Thema |
| Schlüsseltechnologie | 81 % | Bitkom 2025 | Digitalstrategie | hohe strategische Relevanz |
| Chance für Unternehmen | 83 % | Bitkom 2025 | Innovation und Risikoausgleich | breite positive Erwartung |
| Verbote / KI-Kompetenz | 2. Februar 2025 | EU-Kommission | Art. 5, AI Literacy | bereits anwendbar |
| GPAI-Regeln | 2. August 2025 | EU-Kommission | GPAI, Code of Practice, Copyright | für Modellanbieter und Wertschöpfungsketten relevant |
| Transparenzpflichten | August 2026 | EU-Kommission | Chatbots, Deepfakes, KI-generierte Inhalte | Kennzeichnung und Nutzerinformation |
| Hochrisiko-KI | gestaffelt 2026 bis 2028 | EU-Kommission / AI-Act-Umsetzung | Employment, Bildung, kritische Infrastruktur, Produkte | Risikoklassifizierung und Konformität entscheidend |
Bereit für fachanwaltliche KI-Beratung?
Kontaktieren Sie uns unverbindlich. Profitieren Sie von unserer Erfahrung!