Der EU AI Act: Mit Struktur und Plan den AI Act abbildbar machen

Lesezeit: 7 Minuten
5. Februar 2026

Ein Beitrag von Matthias Steinbauer, CTO und Mitgründer von LOUPE

Der AI Act verändert den Umgang mit Künstlicher Intelligenz grundlegend – und eröffnet zugleich die Möglichkeit, rechtliche Sicherheit und technologische Wettbewerbsfähigkeit zu vereinen.

KI zwischen Regulierung und Realität

Mit der Veröffentlichung im EU-Amtsblatt im Juli 2024 ist der AI Act als weltweit erste umfassende Regulierung für Künstliche Intelligenz in Kraft getreten. Während einzelne Bestimmungen erst 2025 und die volle Anwendbarkeit ab 2026 greifen, ist für Unternehmen heute schon klar, dass sie vor neuen, weitreichenden Pflichten stehen. Anbieter, Betreiber, Importeure und Händler von KI-Systemen müssen sich auf Dokumentationspflichten, Risikoklassifizierungen und Transparenzanforderungen einstellen.

Viele erinnern sich an die Einführung der DSGVO im Jahr 2018, als Unsicherheit und hektische Reaktionen die Regel waren. Die Frage, die sich heute stellt, lautet: droht uns ein zweites Datenschutz-Drama? Meine Einschätzung ist eindeutig: nicht wirklich. Der AI Act ist weniger ein Innovationshemmnis als vielmehr eine Handlungsanleitung, wie KI-Systeme risiko-basiert und transparent eingesetzt werden können.

Transparenz, Sicherheit und Grundrechte

Der AI Act ist das erste EU-weite Regel werk, das die Transparenz, Zuverlässigkeit und Sicherheit von KI-Systemen gewähr leisten soll. Sein Kernanliegen ist der Schutz von Grundrechten und die Sicherheit von
Konsument:innen. Damit verschiebt sich der Blick auf Künstliche Intelligenz:

Nicht mehr die Faszination über neue Möglichkeiten steht im Vordergrund, sondern die Frage, wie diese Technologien verantwortungsvoll und überprüfbar eingesetzt werden können.

Wie schon die Datenschutzgrundverordnung schafft auch der AI Act ein neues Grundverständnis für den Umgang mit Technologie. Er legt nicht nur fest, was verboten ist – etwa Systeme, die gezielt menschliches
Verhalten manipulieren sollen – sondern definiert auch jene Anwendungsfelder, die unter erhöhte Aufsicht fallen. Dazu zählen Systeme in der kritischen Infrastruktur, insensiblen Verwaltungsprozessen wie Migration und Asyl oder in Bereichen wie Recruiting, wo Entscheidungen über Menschenleben und -biografien getroffen werden.

Gleichzeitig verpflichtet er selbst scheinbar harmlose Anwendungen wie Chatbots oder Bildgeneratoren zu Transparenz. Konsument:innen müssen jederzeit klar erkennen können, dass Inhalte oder Antworten von einer Maschine erzeugt wurden.

Chancen und unternehmerische Verantwortung

Trotz der hohen Anforderungen sollten Unternehmen den AI Act nicht nur als regulatorische Last begreifen. Gerade weil die Verordnung auf ein risikobasiertes Vorgehen setzt, eröffnet sie die Möglichkeit, über die reine Pflichterfüllung hinauszugehen und eigene unternehmerische Risiken systematisch zu betrachten. KI kann Fehler machen, sie kann falsche Empfehlungen geben oder sensible Informationen verarbeiten, die besser geschützt wären. Der Aufbau einer soliden Dokumentation ist deshalb nicht nur
ein Mittel, um Behörden zufriedenzustellen, sondern auch eine Chance, Geschäftsgeheimnisse, Datenströme und Haftungsrisiken kritisch zu prüfen und frühzeitig zu mitigieren.

Eine besondere Herausforderung besteht darin, dass diese Bewertung nicht von einer einzelnen Abteilung getragen werden kann. Wie schon bei der DSGVO wird es interdisziplinäre Zusammenarbeit brauchen. Jurist:innen und Compliance-Verantwortliche müssen ebenso eingebunden werden wie IT- und KI-Spezialist:innen. Vor allem aber braucht es die Perspektive der Fachanwender:innen, die KI-Systeme im Alltag nutzen. Nur so entsteht ein vollständigesBild der Risiken und Chancen.

Schatten-IT als unsichtbare Gefahr

Ein Thema, das in vielen Diskussionen noch unterschätzt wird, ist die Schatten-IT. In der Praxis greifen Mitarbeiter:innen längst und oft ungefragt auf KI-Anwendungen zurück. Ein Browser-Tab genügt, um Texte generieren, Bilder bearbeiten oder Übersetzungen erstellen zu lassen. Der Effizienzgewinn ist so groß, dass es nachvollziehbar ist, warum diese Tools auch ohne explizite Freigabe eingesetzt werden – aber genau darin liegt das Risiko. Unternehmensdaten können unkontrolliert nach außen fließen, Ergebnisse sind nicht transparent und die Nutzung bleibt unsichtbar. Hier braucht es einen nüchternen Umgang. Verbote allein werden das Problem nicht lösen. Notwendig sind klare Richtlinien, die definieren, was erlaubt ist und was nicht, sowie eine offene Unternehmenskultur, in der Mitarbeitende ohne Angst KI-Nutzung melden können. Niederschwellige Meldemöglichkeiten, flankiert durch Awareness-Maßnahmen und Schulungsprogramme, sind essenziell. Nur wenn sichtbar ist, welche Systeme tatsächlich im Einsatz sind, kann eine fundierte Risikobewertung erfolgen.

Das dreistufige Vorgehen

In meiner Arbeit mit Unternehmen empfehle ich ein pragmatisches Vorgehen. Der erste Schritt besteht darin, eine vollständige Übersicht über alle eingesetzten Systeme zu erstellen. In vielen Fällen existieren bereits Listen aus Lizenzmanagement oder Datenschutzdokumentationen, die erweitert werden können. Die größte Hürde liegt darin, die Lücken zu schließen, die durch Schatten-IT entstehen.

Darauf folgt die Risikobewertung. Hier geht es um mehr als nur die Einhaltung gesetzlicher Vorgaben. Zwar verlangt der AI Act eine Klassifizierung nach klaren Kriterien, doch Unternehmen sollten diese Bewertung um ihre spezifischen Geschäftsrisiken erweitern. Erst dann lassen sich im dritten Schritt
Maßnahmen ableiten: organisatorische Anpassungen, Schulungen oder auch technische Kontrollen, die sicherstellen, dass Systeme verantwortungsvoll genutzt werden.

Datenqualität und Nachvollziehbarkeit

Ein altes Prinzip der Informatik besagt: „Shit-in, Shit-out“. Für KI gilt das mehr denn je. Die Qualität der Ergebnisse hängt unmittelbar von den Daten ab, auf denen die Systeme trainiert wurden. Der AI Act trägt dem Rechnung, indem er nicht nur Dokumentation, sondern auch technische Rückverfolgbarkeit der Trainingsdaten verlangt. Für Unternehmen bedeutet das, dass sie künftig nicht nur wissen müssen,
welche Systeme sie einsetzen, sondern auch, auf welchen Grundlagen diese Systeme beruhen. Besonders dort, wo eigene Modelle entwickelt oder weitertrainiert werden, ist Transparenz entscheidend. Diese Nachvollziehbarkeit ist nicht nur eine regulatorische Pflicht, sondern auch ein wesentlicher Faktor für das Vertrauen von Kund:innen, Partnern und Aufsichtsbehörden.

Menschliche Aufsicht bleibt unverzichtbar

So leistungsfähig KI-Systeme auch sein mögen: sie dürfen nicht ohne menschliche Kontrolle agieren. Der AI Act fordert ausdrücklich, dass Systeme mit erhöhtem Risiko unter menschlicher Aufsicht stehen. Fachkräfte müssen in der Lage sein, Ergebnisse zu verstehen, Entscheidungen zu hinterfragen und im Zweifel einzugreifen. Weiterbildung wird damit zu einem strategischen Schlüsselfaktor.
Das ist nicht nur eine regulatorische Anforderung, sondern auch ein Gebot der Praxis. Nur Mitarbeitende, die mit den Systemen kompetent umgehen, können deren Potenzial ausschöpfen, ohne in eine gefährliche Abhängigkeit zu geraten.

Produktivität und Wettbewerbsfähigkeit

Die Regulierung fällt in eine Zeit, in der Künstliche Intelligenz längst zum Motor für wirtschaftliche Entwicklung geworden ist. Während sich die Rechenleistung von KI-Modellen in den letzten Jahren alle drei bis vier Monate verdoppelt hat, benötigte die Verdopplung der Chip-Kapazität nach Moore’s Law noch rund zwei Jahre – und die Verbreitung des Internets immerhin mehr als ein Jahrzehnt. Noch nie zuvor hat eine Technologie in so kurzer Zeit so tiefgreifende Veränderungen ausgelöst.

Studien zeigen, dass Unternehmen, die KI gezielt einsetzen, deutlich produktiver und wettbewerbsfähiger sind. In Österreich etwa wächst die Zahl der Menschen, die KI im Alltag beruflich nutzen, rasant. Erste Erhebungen weisen darauf hin, dass Unternehmen mit hohem KI-Einsatz drei Mal so hohe Umsätze pro Mitarbeiter:in erzielen wie weniger digitalisierte Betriebe. Hochgerechnet könnten Milliarden an Arbeitsstunden effizienter genutzt werden – ein Produktivitätsschub, der das Potenzial hat, Wohlstand und Beschäftigung nachhaltig zu sichern.

„KI ersetzt nicht, sie ergänzt – und Unternehmen produktiver, Mitarbeiter:innen effizienter und ganze Volkswirtschaften widerstandsfähiger.“

Pflicht und Chance zugleich

Der AI Act zwingt Unternehmen, ihre Strategien zu überdenken. Er macht Dokumentation, Risikoanalyse und Aufsicht verbindlich. Aber er öffnet zugleich die Tür für Innovation, Vertrauen und Wettbewerbsvorteile. Mit der richtigen Balance aus juristischem Verständnis, technischer Expertise und organisatorischem Weitblick wird aus Regulierung kein Hemmschuh, sondern ein Katalysator für nachhaltigen Unternehmenserfolg.

Die entscheidende Frage lautet nicht, ob der AI Act ein zweites Datenschutz-Drama wird. Die eigentliche Frage ist, ob Unternehmen ihn als das verstehen, was er ist: eine Einladung, Künstliche Intelligenz strukturiert, transparent und verantwortungsvoll einzusetzen. Wer diese Chance ergreift, gewinnt nicht nur rechtliche Sicherheit, sondern auch einen Vorsprung im Wettbewerb. Jetzt ist der Moment, die Weichen zu stellen – nicht erst 2026.

---

Über den Autor: