AI Act: Standardsoftware wird zum Compliance-Risiko
Viele Firmen unterschätzen den EU AI Act: Nicht nur eigene KI-Projekte zählen, sondern auch KI-Funktionen in HR-, Finanz- oder Lernsoftware. Damit rücken Inventar, Kontrolle und Governance auf die Pflichtagenda.

Der EU Artificial Intelligence Act (EU AI Act) trifft offenbar deutlich mehr Unternehmen als bislang angenommen. Besonders heikel wird der Einsatz von Standardsoftware, in die künstliche Intelligenz (KI) bereits integriert ist – etwa bei Bewerberauswahl, Leistungsbewertung, biometrischen Funktionen oder Lernanwendungen. Was im Unternehmen als normales Software-Feature erscheint, kann regulatorisch schnell als Hochrisiko-KI gelten.
KI steckt längst im Alltag
„Der EU AI Act gilt nicht nur für künstliche Intelligenz (KI), die Unternehmen selbst entwickeln, sondern auch für den Einsatz von Unternehmenssoftware, in die KI integriert ist“, sagt Erena Langley, Director of Regulatory Solutions bei NAVEX. Damit geraten auch Organisationen in die Pflicht, die KI nicht selbst programmieren, sondern Systeme von Drittanbietern nutzen.
Genau darin liegt nach Einschätzung der Rechtsexpertin das größte Missverständnis. Viele Firmen betrachten den AI Act noch immer vor allem als Thema für KI-Entwickler und Technologieanbieter. Tatsächlich betrifft die Verordnung aber auch Unternehmen, die KI-Systeme einsetzen. Besonders riskant ist, dass KI oft nicht als eigenes Projekt eingeführt wird, sondern bestehende Anwendungen in Personal, Recht, Finanzen oder Compliance erweitert. In diesem stillen Prozess bleiben Dokumentations-, Kontroll- und Nachweispflichten häufig unbeachtet.
Unsicherheit durch fehlende Leitlinien
Die Vorbereitung wird zusätzlich dadurch erschwert, dass technische Standards, nationale Zuständigkeiten und verbindliche Auslegungshilfen noch nicht vollständig vorliegen. Langley verweist darauf, dass Unternehmen weiterhin auf Compliance-Standards europäischer Normungsorganisationen sowie auf klare Aufgaben der Bundesnetzagentur und der Deutschen Akkreditierungsstelle warten. „Solange diese Orientierung fehlt, bleibt die Unsicherheit groß. Viele Unternehmen warten zunächst auf nationale Leitlinien, bevor sie mit der Umsetzung beginnen. Genau darin liegt das Kernproblem“, warnt sie.
Gleichzeitig bleibt der Zeitdruck hoch. Bei schweren Verstößen gegen den EU AI Act drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Für zusätzliche Unsicherheit sorgt die EU-Digital-Omnibus-Gesetzgebung. Laut Langley wurden dadurch nicht alle Pflichten zeitlich verschoben. Die Transparenzpflichten gelten weiter ab dem 2. August 2026. Nur die Vorgaben für Hochrisiko-KI-Systeme wurden für später angesetzt – und auch das mit unterschiedlichen Fristen. Für eigenständige KI-Systeme, etwa Tools zur Bewerberauswahl, gilt voraussichtlich Dezember 2027. Für KI, die in regulierten Systemen wie Medizinprodukten oder Maschinen steckt, ist August 2028 vorgesehen.
Vertrauen wird zum Risikofaktor
Der finanzielle Schaden ist nur ein Teil des Problems. Mindestens ebenso schwer wiegt der mögliche Reputationsverlust. „Wenn ein Unternehmen den Eindruck vermittelt, dass KI ohne ausreichende menschliche Kontrolle über Beschäftigung, Einkommen oder berufliche Perspektiven von Menschen entscheidet, kann dies das Vertrauen von Mitarbeitenden, Kunden, Investoren und der Öffentlichkeit massiv beeinträchtigen“, sagt Langley.
Besonders sensibel sind KI-gestützte Entscheidungen in Personalprozessen. Diskriminierende Bewerberauswahl, intransparente Leistungsbewertungen oder nicht nachvollziehbare Empfehlungen können schnell zu juristischen, wirtschaftlichen und öffentlichen Risiken führen. Damit wird AI Governance zur Aufgabe von Vorstand, Risikomanagement und Compliance-Gremien.
Inventar statt Bauchgefühl
Als Grundlage empfiehlt Langley ein vollständiges KI-Inventar. Unternehmen müssen erfassen, welche KI-Systeme eingesetzt werden, welchen Zweck sie erfüllen, welche Ergebnisse sie erzeugen und ob sie selbst entwickelt oder als Funktion eingekaufter Software genutzt werden. Anschließend sind die Systeme nach Risikokategorien des EU AI Act einzuordnen.
Dazu braucht es klare Verantwortlichkeiten zwischen Recht, Compliance, IT, Einkauf, Personal und Management. Ebenso wichtig sind interne Meldewege, über die mögliche Probleme frühzeitig kommuniziert werden können. Eine fortlaufende Dokumentation soll nachweisen, welche Risiken bewertet wurden, wer Entscheidungen überwacht und ob Systeme diskriminierende oder schädliche Ergebnisse erzeugen.
Rein manuelle Verfahren dürften dafür kaum noch ausreichen. Geeignete Plattformen können KI-Inventare, Risikobewertungen, Dokumentation und Zuständigkeiten bündeln. Entscheidend bleibt jedoch der organisatorische Unterbau. Wer jetzt belastbare Strukturen schafft, gewinnt nicht nur regulatorische Sicherheit. Er reduziert auch das Risiko, später unter Fristdruck gegenüber Behörden, Kunden und Öffentlichkeit reagieren zu müssen.

Rechtsexpertin Erena Langley, Director of Regulatory Solutions bei NAVEX
Weitere Artikel zum Thema:
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.



