Künstliche Intelligenz (KI) revolutioniert die Arbeitswelt, die Finanzbranche und die Industrie. Ob in Produktionsprozessen, der personalisierten Kundenberatung oder in der Kreditwürdigkeitsprüfung, KI-Systeme bieten Unternehmen enorme Innovations- und Effizienzpotenziale. Gleichzeitig steigt aber auch die Verantwortung: Insbesondere regulierte Branchen stehen vor wachsenden Anforderungen, neue Risiken angemessen zu steuern und KI-basierte Entscheidungen nachvollziehbar zu machen. Die Europäische Union reagiert darauf mit dem AI Act, der Verordnung (EU) 2024/1689 vom 13. Juni 2024.
Der AI Act ist der erste umfassende, EU-weite Rechtsrahmen für KI – weltweit gibt es bisher kein vergleichbares Gesetz. Er verpflichtet Unternehmen, ihre KI-Systeme sicher, transparent und überprüfbar zu gestalten, und schafft damit einheitliche Standards innerhalb der EU.
Die Übergangsfristen des AI Acts laufen aktuell bereits. Ab 2026 treten, je nach Risikokategorie, die konkreten Pflichten in Kraft. Betroffen sind nicht nur Entwickler und Anbieter von KI-Modellen und -Systemen, sondern auch Betreiber, Einführer sowie Händler.
Für Unternehmen bedeutet das: Compliance mit dem AI Act ist keine freiwillige Maßnahme, sondern ein wesentlicher Bestandteil verantwortungsvoller KI-Nutzung. Unternehmen, die frühzeitig handeln, reduzieren nicht nur regulatorische Risiken, sondern stärken zugleich das Vertrauen aufseiten der Kunden, Geschäftspartner und Aufsichtsbehörden.
Risikobasierter Ansatz: Klassifizierung von KI
Der AI Act folgt einem risikobasierten Ansatz, bei dem sich die regulatorischen Anforderungen am potenziellen Risiko eines KI-Systems orientieren. In Abhängigkeit von den technischen Möglichkeiten und dem jeweiligen Einsatzkontext werden KI-Systeme unterschiedlichen Risikokategorien zugeordnet, was unmittelbare Auswirkungen auf die Pflichten in Bezug auf Governance, Dokumentation, Transparenz und Auditierbarkeit hat. Grundsätzlich gilt: Je höher das potenzielle Risiko für Grundrechte, Sicherheit oder andere geschützte Rechtsgüter, desto strenger sind die Anforderungen an Entwicklung, Einsatz und Überwachung eines KI-Systems.
An oberster Stelle stehen Verbotene KI-Praktiken im Sinne des Artikels 5 AI Act. Hierunter fallen KI-Systeme, deren Einsatz eine unzulässige Gefährdung von Grundrechten darstellt. Der Einsatz solcher Systeme ist nach dem AI Act grundsätzlich untersagt.
Danach folgen Hochrisiko-KI-Systeme im Sinne des Artikels 6 in Verbindung mit Anhang III des AI Acts. Hierzu zählen KI-Systeme, die in besonders sensiblen Anwendungsbereichen eingesetzt werden und erhebliche Auswirkungen auf betroffene Personen oder den Betrieb kritischer Infrastrukturen haben können. Im Finanzsektor betrifft dies insbesondere KI-Systeme, die in zentralen Geschäfts- und Entscheidungsprozessen eingesetzt werden und erhebliche Auswirkungen auf betroffene Personen oder kritische Betriebsabläufe haben können. Für solche Hochrisiko-KI-Systeme sieht der AI Act umfassende Anforderungen vor.
Demgegenüber unterliegen KI-Systeme mit begrenztem Risiko primär Transparenzpflichten gemäß Artikel 50 AI Act. Sie betreffen insbesondere interaktionsfähige KI-Systeme sowie solche, die Audio-, Bild-, Video- oder Textinhalte erzeugen. In diesen Fällen ist sicherzustellen, dass die KI-Nutzung als solche klar erkennbar ist, ohne dass die weitergehenden Pflichten für Hochrisiko-KI-Systeme greifen.
Schließlich umfassen KI-Systeme mit minimalem Risiko Anwendungen, die weder als Verbotene Praktiken noch als Hochrisiko- oder Transparenzfälle gelten. Hierzu zählen alltägliche Anwendungen wie Spamfilter, Übersetzungstools, Rechtschreibkorrektur oder einfache Bildbearbeitung. Für diese Systeme sieht der AI Act keine regulatorischen Pflichten vor.
Die folgende Übersicht stellt die risikobasierten Kategorien von KI-Systemen nach dem AI Act dar und führt Praxisbeispiele aus dem Finanzsektor auf.
| Risikoklasse (AI Act) | Beispiele Finanzsektor | Regulatorik |
| Verbotene KI-Praktiken | – Staatliches Social Scoring zur Bewertung von Bürgern/ Kunden auf Basis ihres Verhaltens | Unzulässig |
| Hochrisiko-KI-Systeme | – Bewertung der Kreditwürdigkeit – Scoring-Modelle zur Bonitätsbewertung – Betrugserkennung – Risikobewertung bei Großkrediten | Umfassende Pflichten |
| KI-Systeme mit begrenztem Risiko | – KI-basierte Kundenkommunikation – Digitale Assistenten in Banking-Apps | Überwiegend Transparenzpflichten |
| KI-Systeme mit minimalem Risiko | – KI in internen Analyse-Tools ohne Entscheidungswirkung – Automatisierung von Routineprozessen | Keine spezifischen Pflichten |
Der risikobasierte Ansatz des AI Acts ermöglicht es Unternehmen, regulatorische Anforderungen zu priorisieren und Compliance-Maßnahmen entsprechend gezielt umzusetzen. Eine frühzeitige Einordnung von KI-Systemen in die jeweilige Risikoklasse ist dabei entscheidend, um spätere Anpassungen, rechtliche Unsicherheiten oder potenzielle Sanktionen zu vermeiden.
Anforderungen an Hochrisiko-KI-Systeme
Für Hochrisiko-KI-Systeme definiert der AI Act umfassende Anforderungen, die über eine reine Compliance hinausgehen und sicherstellen, dass Risiken jederzeit ‚händelbar‘ bleiben. Zentrales Element ist ein umfassendes Risikomanagementsystem, das den ganzen Lebenszyklus eines Hochrisiko-KI-Systems abdeckt – von der Entwicklung über Tests, Einsatz und Wartung bis hin zu Updates. So können Risiken kontinuierlich ermittelt, analysiert, bewertet und bewältigt werden.
Zudem schreibt der AI Act eine umfassende technische Dokumentation vor. Diese umfasst auch einen sogenannten Audit Trail – also eine lückenlose, zeitlich nachvollziehbare Protokollierung aller relevanten Vorgänge in einem KI-System. Dazu zählen insbesondere die von der KI erzeugten Entscheidungsergebnisse (z. B. Bewertungen, Scores oder Empfehlungen), die zugrunde liegenden Datenverarbeitungen sowie Änderungen am Modell, an Parametern oder Trainingsdaten. Der Audit Trail dokumentiert damit, wann welches Modell mit welchen Einstellungen eingesetzt wurde und welche Ergebnisse es erzeugt hat. Auf diese Weise können sowohl Aufsichtsbehörden als auch Unternehmen KI-Entscheidungen über den gesamten Lebenszyklus des Systems hinweg nachvollziehen, überprüfen und bei Bedarf erklären.
Ein weiterer zentraler Aspekt ist die Daten- und Modell-Governance. Unternehmen müssen gewährleisten, dass Trainings- und Testdaten qualitativ hochwertig, repräsentativ und frei von Bias sind. Auch Änderungen an Modellen müssen dokumentiert und nachvollziehbar sein, wie zuvor beschrieben.
Die Vorgabe der Human Oversight, also die „Mensch-in-der-Schleife“-Regel, stellt wiederum sicher, dass folgenreiche KI-gestützte Entscheidungen – etwa bei Kreditvergaben, Personalentscheidungen oder betrieblichen Maßnahmen – nicht ausschließlich automatisiert getroffen werden, sondern von Menschen überprüft, hinterfragt und letztendlich von ihnen verantwortet werden.
IT-Sicherheit und Systemrobustheit sind ebenfalls verpflichtend. KI-Systeme müssen gegen Manipulationen und Cyberangriffe geschützt werden, um Betriebsausfälle oder gar Fehlfunktionen zu vermeiden bzw. eine zeitnahe Behebung zu ermöglichen.
Abschließend sieht der AI Act vor, dass Hochrisiko-KI-Systeme einer Konformitätsbewertung zu unterziehen sind. In bestimmten Fällen, etwa wenn die KI in den Anwendungsbereich bestehender EU-Richtlinien fällt (z. B. Maschinenrichtlinie oder andere Produktvorschriften), kann auch eine CE-Kennzeichnung erforderlich sein, um die Einhaltung aller regulatorischen Anforderungen nachzuweisen. Damit wird die gesetzliche Konformität sowohl dokumentiert als auch nach außen sichtbar gemacht.
Integration in bestehende Governance-Frameworks
Eine der Stärken des AI Acts ist, dass er auf bekannten Prüf- und Governance-Standards aufbaut. Demnach können Unternehmen ihre bestehenden Strukturen nutzen, um KI-Compliance effizient zu integrieren.
Prüfungsstandards wie der IDW PS 330, PS 951 oder ISAE 3000 bilden die Grundlage für die Kontrolle interner Systeme. Das Managementsystem ISO 42001 ermöglicht die systematische Steuerung von KI, während regulatorische Vorgaben wie die MaRisk oder DORA den Instituten im Sinne des KWG klare Vorgaben zum Risiko- und IT-Management machen. Ein weiterer Konnex besteht zur DSGVO, insbesondere zum Aspekt automatisierter Entscheidungen gemäß Artikel 22, der Transparenz und Nachvollziehbarkeit fordert.
Durch diese Schnittstellen können Unternehmen auf bereits bestehenden Governance-Strukturen aufsetzen und diese erweitern, Doppelarbeit vermeiden und AI-Compliance gezielt implementieren.
Prüfungs- und Beratungsperspektive einer WPG
Wirtschaftsprüfungsgesellschaften (WPG) unterstützen dabei, die vorab genannten Verbindungen effizient zu nutzen, entsprechende Prozesse anzupassen und die neuen regulatorischen Anforderungen nahtlos in bestehende Prüf- und Kontrollsysteme einzubetten. So können sie Unternehmen bei der Compliance entlang des gesamten KI-Lebenszyklus begleiten. Sie helfen bei Aufbau und Implementierung von AI-Governance-Frameworks, die eine zuverlässige Dokumentation, Risikoklassifizierung, Kontrolle und kontinuierliche Überwachung von KI-Systemen sicherstellen.
Zu den entsprechenden Leistungen einer WPG zählen:
- Risikoklassifizierung und Gap-Analysen: Identifikation von KI-Systemen und Prüfung, inwieweit bestehende Governance-Strukturen die Anforderungen des AI Acts bereits erfüllen.
- Erstellung praxisnaher AI-Compliance-Checklisten: Unterstützung der Fachbereiche bei der Umsetzung konkreter Pflichten.
- Prüfung von Kontrollsystemen: Überprüfung interner Kontroll- und Risikomanagementsysteme nach anerkannten IDW-Standards.
- Vorbereitung auf Audits und Konformitätsbewertungen: Sicherstellung, dass Unternehmen regulatorische Prüfungen erfolgreich bestehen.
- Dokumentation, Monitoring und Reporting: Laufende Unterstützung bei der Nachverfolgung von KI-Systemen.
Ein besonderes Augenmerk liegt auf der Identifikation sogenannter Shadow-AI, also KI-Anwendungen, die in Unternehmen ohne Freigabe, Dokumentation oder Prüfung genutzt werden. Hier kann eine WPG dabei unterstützen, Risiken zu erkennen, Verantwortlichkeiten zu definieren und letztendlich die Einhaltung der regulatorischen Anforderungen sicherzustellen.
Herausforderungen in der Praxis
Die Umsetzung des AI Acts stellt Unternehmen vor eine Reihe praktischer Herausforderungen.
Häufig fehlt es an vollständigen Dokumentationen zu Daten und Modellen, was die Nachvollziehbarkeit von Entscheidungen und demnach sowohl interne als auch externe Prüfungen erschwert. Zu denken wäre auch an die bereits erwähnte Shadow-AI: KI-Anwendungen, die im Unternehmen gänzlich ohne Dokumentation geschweige denn eine Freigabe genutzt werden. Auch unklare Verantwortlichkeiten zwischen Fachbereichen, IT-Abteilungen und Data-Science-Teams können die zielgerichtete Steuerung und Kontrolle von KI-Systemen erschweren. Hinzu kommen erhöhte Haftungsrisiken: Unternehmen müssen mit Bußgeldern und Reputationsschäden rechnen, wenn regulatorische Anforderungen im Zusammenhang mit KI nicht eingehalten werden.
Wer die entsprechenden Herausforderungen frühzeitig adressiert, kann regulatorische Risiken minimieren, die Effizienz der KI-Compliance steigern und eine solide Grundlage für vertrauenswürdige und sichere KI-Anwendungen schaffen.
AI Act als Chance
Der AI Act ist weit mehr als eine regulatorische Pflicht, er bietet Unternehmen auch strategische Vorteile. Wer seine KI-Systeme sorgfältig prüft, dokumentiert und nachvollziehbar steuert, schafft Vertrauen bei Kunden, Geschäftspartnern und Aufsichtsbehörden. Compliance wird so zum echten Qualitätsmerkmal.
Ferner erleichtert eine geprüfte AI-Governance die Integration in ESG- und Nachhaltigkeitsberichte, in denen Unternehmen die verantwortungsvolle Nutzung von KI transparent darstellen können. Dadurch lassen sich Reputation und Vertrauen ausbauen.
Unternehmen, die den AI Act proaktiv umsetzen, minimieren nicht nur regulatorische Risiken. Durch geprüfte, verlässliche KI-Systeme verschaffen sie sich auch einen Wettbewerbsvorteil; sie ermöglichen eine höhere Akzeptanz bei Stakeholdern und fördern eine nachhaltige Governance-Struktur. KI-Compliance wird dadurch zu einem strategischen Instrument. Nicht nur für Innovation und Effizienz, sondern auch für Glaubwürdigkeit und vertrauensvolle Beziehungen – und damit auch für langfristigen Unternehmenserfolg.
Wir unterstützen Sie dabei, Ihre KI-Systeme rechtssicher zu klassifizieren, Lücken in der Compliance zu schließen und robuste Kontrollprozesse zu implementieren. Von der ersten Gap-Analyse bis zur prüfungsfesten Dokumentation stehen wir Ihnen als verlässlicher Partner zur Seite.
Kontaktieren Sie uns für ein unverbindliches Erstgespräch und machen Sie Ihre KI-Strategie bereit für den AI Act.
Veröffentlicht in Aktuelle Themen