Dr. Marcel Rohr, Principal Consultant und AI Strategist bei der Telekom MMS, begleitet Unternehmen bei der verantwortungsvollen und strategischen Einführung von KI. Dank seines technischen Verständnisses und seiner Erfahrung an der Schnittstelle zwischen Technologie, Regulierung und Geschäftsprozessen bringt er Klarheit in komplexe Anforderungen. Im Podcast teilt er praxisnahe Einblicke, erklärt Risiken und Pflichten verständlich – und zeigt, wie Unternehmen jetzt konkret ins Handeln kommen. 

• Tags: EU AI Act, KI, digitale Souveränität, DSGVO, Datenschutz, KI-Systeme, Risikostufen, Bußgeld
• Dauer der Folge: 18:11 Minuten
• Transkript: >barrierefreies PDF

KI-Systeme sind längst fester Bestandteil unseres Alltags – von Chatbots im Kundenservice über automatisierte Prozesse bis hin zu datengetriebenem Marketing. Doch was gilt eigentlich als KI im Sinne der Verordnung? 

Laut EU AI Act ist ein KI-System ein „maschinenbasiertes System, das mit unterschiedlichen Autonomiegraden arbeitet, sich nach dem Einsatz anpassen kann und anhand eingehender Daten Outputs wie Vorhersagen, Inhalte oder Entscheidungen generiert, die physische oder virtuelle Umgebungen beeinflussen“ (Art. 3 Abs. 1). 

Mit ihrer Verbreitung wachsen aber auch die Risiken. Der EU AI Act setzt hier an: Die Verordnung schafft erstmals einen einheitlichen Rechtsrahmen für den Einsatz von KI in allen EU-Mitgliedstaaten und verfolgt das Ziel, KI sicher, transparent und grundrechtskonform nutzbar zu machen.  Für die europäische Digitalpolitik ist das ein echter Meilenstein und ein zentraler Baustein für die digitale Souveränität Europas: Er soll die Kontrolle über KI-Technologien stärken, Abhängigkeiten von außereuropäischen Anbietern verringern und europäische Werte wie Datenschutz und Grundrechte sichern. 

Betroffen sind alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen – von einfachen Tools wie Chatbots bis hin zu komplexen, branchenspezifischen Lösungen. Die Verordnung ist bereits im August 2024 in Kraft getreten. Die Umsetzung erfolgt nun schrittweise: Seit Februar 2025 gelten die Verbote für KI-Systeme mit unannehmbarem Risiko und erste Pflichten zur KI-Kompetenz in Unternehmen. Weitere Regelungen, etwa für Hochrisiko-KI und allgemeine KI-Modelle, folgen gestaffelt bis August 2027.  Für die Überwachung und Umsetzung sind das EU AI Office, das EU AI Board sowie nationale Behörden zuständig.

Neben der KI-Verordnung gibt es weitere zentrale EU-Regularien wie die DSGVO, den Data Act und den Digital Services Act, die jeweils unterschiedliche Aspekte der digitalen Welt regeln. Diese Regelwerke verfolgen zwar das gemeinsame Ziel, ein sicheres und vertrauenswürdiges digitales Umfeld in der EU zu schaffen, sind jedoch nicht vollständig aufeinander abgestimmt. Vielmehr bestehen zwischen ihnen Überschneidungen und teilweise unklare Schnittstellen, sodass in der praktischen Anwendung eine sorgfältige Abwägung und Koordinierung erforderlich ist, um widersprüchliche Anforderungen zu vermeiden. 

Während die DSGVO vor allem den Schutz personenbezogener Daten regelt, konzentriert sich der AI Act auf den sicheren und ethischen Einsatz von künstlicher Intelligenz. Der Data Act adressiert die Nutzung und Weitergabe von Daten, insbesondere im Kontext vernetzter Geräte, und der Digital Services Act legt Regeln für digitale Plattformen und Online-Dienste fest. Unternehmen und Organisationen müssen daher bei der Entwicklung und Nutzung digitaler Technologien stets mehrere Rechtsrahmen gleichzeitig berücksichtigen.

Diese Vorgaben eröffnen aber auch Chancen: Wer frühzeitig handelt und die Anforderungen proaktiv umsetzt, kann sich als Vorreiter positionieren und Wettbewerbsvorteile sichern. Unternehmen sind daher gut beraten, sich jetzt mit den neuen Regularien auseinanderzusetzen und ihre Daten- und KI-Strategie entsprechend auszurichten.  

Die KI-Verordnung verfolgt einen risikobasierten Ansatz, um den Einsatz von künstlicher Intelligenz in Europa transparent, sicher und vertrauenswürdig zu gestalten. KI-Systeme werden in vier Risikostufen eingeteilt – von minimalem bis zu unannehmbarem Risiko – mit jeweils spezifischen Verpflichtungen und teils erheblichen Sanktionen bei Nichteinhaltung. 

1. Unannehmbares Risiko: Systeme wie Social Scoring, manipulative Beeinflussung oder biometrische Massenüberwachung sind grundsätzlich verboten. Verstöße können ab August 2025 mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden.
2. Hochrisiko-KI-Systeme: Zum Beispiel in Bewerbungsverfahren, Kreditvergabe, Medizin oder öffentlicher Verwaltung. Hier gelten strenge Anforderungen: technische Dokumentation, Risikomanagement, menschliche Aufsicht, Transparenz, Konfirmitätsbewertung (inklusive CE-Kennzeichnung) und Eintragung in eine EU-Datenbank. Auch die Nutzung von Drittanbieter-KI kann diese Pflichten auslösen. 
3. Begrenztes Risiko: Systeme wie Chatbots oder Empfehlungssysteme unterliegen vor allem Transparenzpflichten. Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren, und gegebenenfalls zwischen KI und Mensch wählen können. 
4. Minimales Risiko: Systeme wie Spamfilter oder Rechtschreibkorrekturen unterliegen keinen zusätzlichen Pflichten.

Der EU AI Act bringt damit nicht nur mehr Klarheit, sondern auch Verantwortung. Unternehmen, Anbieter und Betreiber müssen ihre KI-Anwendungen korrekt einstufen und sicherstellen, dass sie die jeweiligen Regularien einhalten – nicht nur zur Rechtssicherheit, sondern auch, um hohe Bußgelder zu vermeiden. 

Unternehmen, die sich auf die KI-Verordnung vorbereiten wollen, sollten proaktiv Maßnahmen ergreifen, um den neuen Regularien gerecht zu werden. Als ersten Schritt empfiehlt sich die vollständige Erfassung aller im Unternehmen eingesetzten KI-Systeme. Diese Inventarisierung schafft Transparenz und bildet die Grundlage, um konkrete Handlungsfelder zu identifizieren. Darauf aufbauend sollte eine Risikoanalyse erfolgen, mit der sich die Systeme gemäß den Anforderungen des EU AI Act kategorisieren lassen. So wird klar, welche technischen, prozessualen und organisatorischen Maßnahmen erforderlich sind – einschließlich der geforderten Dokumentationspflichten, insbesondere bei Hochrisiko-KI. 

Ein weiterer wichtiger Baustein: gezielte Schulungen für Mitarbeitende, um den sicheren und regelkonformen Umgang mit KI-Systemen zu fördern. Ergänzend dazu sollten interne Richtlinien entwickelt werden, die sowohl rechtliche Vorgaben erfüllen als auch im Unternehmensalltag praktikabel sind. Die Einbindung von Datenschutz- und IT-Sicherheitsbeauftragten sowie die regelmäßige Überprüfung und Anpassung der Maßnahmen sind ebenso empfehlenswert. 

Wer jetzt strategisch vorgeht, reduziert nicht nur das Risiko von Compliance-Verstößen, sondern stärkt auch das Vertrauen von Kundschaft und Partnern. Frühzeitiges Handeln kann so zum Wettbewerbsvorteil werden – und den Weg für verantwortungsvolle, zukunftsfähige KI-Anwendungen ebnen. 

Moderiert wird diese Folge von Steffen Wenzel, Mitgründer und Geschäftsführer von politik-digital und Stefanie Liße, Senior Sales Managerin bei Telekom MMS.   

Diese Podcast-Folge bildet den Auftakt einer dreiteiligen Staffel. In den nächsten Episoden beleuchten wir Datenschutz, Risikobewertung und Praxisbeispiele – und zeigen schließlich, wie Organisationen durch gezielte Schulungen ihre Teams fit für den KI-Einsatz machen können.