Der EU AI ActVerordnung (EU) 2024/1689 vom 13. Juni 2024 — ist die erste umfassende KI-Regulierung weltweit. Für Industrieunternehmen geht es nicht darum, ob die Verordnung einen trifft, sondern in welcher Intensität. Die Stichtage sind gesetzt, die Pflichten differenziert und der Umsetzungsaufwand konkret.

Gestuftes Inkrafttreten

Die Verordnung tritt nicht auf einen Schlag in Kraft, sondern in vier Stufen. Seit dem 2. Februar 2025 gelten die Verbote bestimmter KI-Praktiken (Artikel 5) und die Pflicht zur KI-Kompetenz bei Mitarbeitern (Artikel 4). Seit dem 2. August 2025 greifen die Regeln für General-Purpose-AI-Modelle (Kapitel V) und die Governance-Bestimmungen. Der Großteil der Hochrisiko-Anforderungen wird ab dem 2. August 2026 anwendbar, die letzten Regelungen für Hochrisiko-Systeme unter Produktsicherheitsrecht folgen ab dem 2. August 2027.

Risikokategorien

Der EU AI Act unterscheidet vier Stufen: verbotene KI-Praktiken (etwa Social Scoring), Hochrisiko-KI-Systeme (zum Beispiel in Personalauswahl, kritischer Infrastruktur oder Medizintechnik), KI mit beschränktem Risiko (etwa Chatbots mit Transparenzpflicht) und KI mit minimalem Risiko (keine besonderen Pflichten).

Die Einstufung hängt vom konkreten Einsatzzweck ab, nicht allein vom eingesetzten System. Ein internes Wissensmanagementsystem für technische Dokumentation fällt in der Regel unter geringes Risiko. Dasselbe System in der Personalauswahl oder in arbeitsbezogenen Entscheidungen (Annex III Nr. 4) gilt als Hochrisiko — mit entsprechend umfangreichen Pflichten.

Pflichten für Hochrisiko-Systeme

Artikel 9 bis 17 definieren die Anforderungen im Detail. Ein Risikomanagementsystem (Artikel 9) identifiziert und bewertet Risiken über den gesamten Lebenszyklus. Daten-Governance (Artikel 10) regelt Qualität, Relevanz und Repräsentativität der Trainings- und Testdaten. Technische Dokumentation (Artikel 11) und Protokollierung (Artikel 12) schaffen Nachvollziehbarkeit. Transparenzpflichten gegenüber Betreibern (Artikel 13), menschliche Aufsicht (Artikel 14) sowie Genauigkeit, Robustheit und Cybersicherheit (Artikel 15) runden den Katalog ab. Anbieter benötigen zusätzlich ein Qualitätsmanagementsystem (Artikel 17).

Anbieter und Betreiber

Die Verordnung unterscheidet zwischen „Anbietern” (die KI-Systeme entwickeln oder in Verkehr bringen) und „Betreibern” (die KI-Systeme einsetzen). Beide haben eigene Pflichten. Industrieunternehmen, die KI-Systeme nur einsetzen — etwa Microsoft Copilot, ChatGPT oder eine lokal betriebene Wissensmanagement-Plattform —, sind damit ebenfalls in der Pflicht. Die Deployer-Pflichten umfassen unter anderem Nutzung entsprechend der Bedienungsanleitung, Monitoring, menschliche Aufsicht und gegebenenfalls Grundrechte-Folgenabschätzung.

Konkrete Schritte für Industrieunternehmen

Drei Vorbereitungsschritte sind unabhängig von der späteren Einstufung sinnvoll. Erstens: Inventar aller eingesetzten KI-Systeme, intern wie extern, mit Einsatzzweck und verarbeiteten Datenkategorien. Zweitens: Schulungsprogramm für Mitarbeiter nach Artikel 4 — nachweisbar dokumentiert mit Teilnehmerlisten und Inhalten. Drittens: Einordnung der eigenen Systeme in die Risikokategorien als Grundlage für die weitere Planung. Wer diese drei Schritte bis Mitte 2026 abgeschlossen hat, ist für die nachfolgenden Pflichten strukturell vorbereitet.

Wie lokale KI-Infrastruktur hilft

On-Premise-Systeme vereinfachen die Erfüllung vieler Anforderungen. Protokollierung (Artikel 12) und menschliche Aufsicht (Artikel 14) sind bei lokaler Infrastruktur strukturell besser umsetzbar, weil das Unternehmen die Kontrolle über alle technischen Details behält. Datenabfluss an Drittanbieter entfällt; Drittlandtransfers sind kein Thema. Das macht die Compliance nicht automatisch, aber den Weg dorthin spürbar schlanker.

Wann der EU AI Act NICHT die Priorität ist

Unternehmen, die KI ausschließlich in risikoarmen internen Anwendungsfällen einsetzen (interne Dokumentensuche, Textvorschläge, Übersetzung öffentlicher Inhalte) und keine Planung für Hochrisiko-Anwendungen haben, können sich auf die Artikel-4-Kompetenzpflicht und eine schlanke Inventarliste konzentrieren. Der volle Katalog greift erst, wenn eine Hochrisiko-Anwendung geplant oder eingeführt wird — und das passiert in den meisten Industrieunternehmen nicht ungeplant.

Fazit

Der EU AI Act ist keine Überraschungsregulierung. Zeitplan und Pflichten sind bekannt, die Struktur ist risikobasiert, die Anforderungen sind umsetzbar. Unternehmen, die jetzt beginnen — mit Inventar, Schulung und Einordnung —, stehen bei jeder späteren Hochrisiko-Anwendung strukturell sauber da. Wer wartet, arbeitet unter Zeitdruck.