Home » News » Security Management » Standardsoftware wird zum Compliance-Risiko

AI Act: Standardsoftware wird zum Compliance-Risiko

Viele Firmen unterschätzen den EU AI Act: Nicht nur eigene KI-Projekte zählen, sondern auch KI-Funktionen in HR-, Finanz- oder Lernsoftware. Damit rücken Inventar, Kontrolle und Governance auf die Pflichtagenda.

3 Min. Lesezeit
Software als Cybersecurity-Risiko
Foto: ©AdobeStock/InfiniteFlow

Der EU Artificial Intelligence Act (EU AI Act) trifft offenbar deutlich mehr Unternehmen als bislang angenommen. Besonders heikel wird der Einsatz von Standardsoftware, in die künstliche Intelligenz (KI) bereits integriert ist – etwa bei Bewerberauswahl, Leistungsbewertung, biometrischen Funktionen oder Lernanwendungen. Was im Unternehmen als normales Software-Feature erscheint, kann regulatorisch schnell als Hochrisiko-KI gelten.

KI steckt längst im Alltag

„Der EU AI Act gilt nicht nur für künstliche Intelligenz (KI), die Unternehmen selbst entwickeln, sondern auch für den Einsatz von Unternehmenssoftware, in die KI integriert ist“, sagt Erena Langley, Director of Regulatory Solutions bei NAVEX. Damit geraten auch Organisationen in die Pflicht, die KI nicht selbst programmieren, sondern Systeme von Drittanbietern nutzen.

Genau darin liegt nach Einschätzung der Rechtsexpertin das größte Missverständnis. Viele Firmen betrachten den AI Act noch immer vor allem als Thema für KI-Entwickler und Technologieanbieter. Tatsächlich betrifft die Verordnung aber auch Unternehmen, die KI-Systeme einsetzen. Besonders riskant ist, dass KI oft nicht als eigenes Projekt eingeführt wird, sondern bestehende Anwendungen in Personal, Recht, Finanzen oder Compliance erweitert. In diesem stillen Prozess bleiben Dokumentations-, Kontroll- und Nachweispflichten häufig unbeachtet.

Unsicherheit durch fehlende Leitlinien

Die Vorbereitung wird zusätzlich dadurch erschwert, dass technische Standards, nationale Zuständigkeiten und verbindliche Auslegungshilfen noch nicht vollständig vorliegen. Langley verweist darauf, dass Unternehmen weiterhin auf Compliance-Standards europäischer Normungsorganisationen sowie auf klare Aufgaben der Bundesnetzagentur und der Deutschen Akkreditierungsstelle warten. „Solange diese Orientierung fehlt, bleibt die Unsicherheit groß. Viele Unternehmen warten zunächst auf nationale Leitlinien, bevor sie mit der Umsetzung beginnen. Genau darin liegt das Kernproblem“, warnt sie.

Gleichzeitig bleibt der Zeitdruck hoch. Bei schweren Verstößen gegen den EU AI Act drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Für zusätzliche Unsicherheit sorgt die EU-Digital-Omnibus-Gesetzgebung. Laut Langley wurden dadurch nicht alle Pflichten zeitlich verschoben. Die Transparenzpflichten gelten weiter ab dem 2. August 2026. Nur die Vorgaben für Hochrisiko-KI-Systeme wurden für später angesetzt – und auch das mit unterschiedlichen Fristen. Für eigenständige KI-Systeme, etwa Tools zur Bewerberauswahl, gilt voraussichtlich Dezember 2027. Für KI, die in regulierten Systemen wie Medizinprodukten oder Maschinen steckt, ist August 2028 vorgesehen.

Vertrauen wird zum Risikofaktor

Der finanzielle Schaden ist nur ein Teil des Problems. Mindestens ebenso schwer wiegt der mögliche Reputationsverlust. „Wenn ein Unternehmen den Eindruck vermittelt, dass KI ohne ausreichende menschliche Kontrolle über Beschäftigung, Einkommen oder berufliche Perspektiven von Menschen entscheidet, kann dies das Vertrauen von Mitarbeitenden, Kunden, Investoren und der Öffentlichkeit massiv beeinträchtigen“, sagt Langley.

Besonders sensibel sind KI-gestützte Entscheidungen in Personalprozessen. Diskriminierende Bewerberauswahl, intransparente Leistungsbewertungen oder nicht nachvollziehbare Empfehlungen können schnell zu juristischen, wirtschaftlichen und öffentlichen Risiken führen. Damit wird AI Governance zur Aufgabe von Vorstand, Risikomanagement und Compliance-Gremien.

Inventar statt Bauchgefühl

Als Grundlage empfiehlt Langley ein vollständiges KI-Inventar. Unternehmen müssen erfassen, welche KI-Systeme eingesetzt werden, welchen Zweck sie erfüllen, welche Ergebnisse sie erzeugen und ob sie selbst entwickelt oder als Funktion eingekaufter Software genutzt werden. Anschließend sind die Systeme nach Risikokategorien des EU AI Act einzuordnen.

Dazu braucht es klare Verantwortlichkeiten zwischen Recht, Compliance, IT, Einkauf, Personal und Management. Ebenso wichtig sind interne Meldewege, über die mögliche Probleme frühzeitig kommuniziert werden können. Eine fortlaufende Dokumentation soll nachweisen, welche Risiken bewertet wurden, wer Entscheidungen überwacht und ob Systeme diskriminierende oder schädliche Ergebnisse erzeugen.

Rein manuelle Verfahren dürften dafür kaum noch ausreichen. Geeignete Plattformen können KI-Inventare, Risikobewertungen, Dokumentation und Zuständigkeiten bündeln. Entscheidend bleibt jedoch der organisatorische Unterbau. Wer jetzt belastbare Strukturen schafft, gewinnt nicht nur regulatorische Sicherheit. Er reduziert auch das Risiko, später unter Fristdruck gegenüber Behörden, Kunden und Öffentlichkeit reagieren zu müssen.

Porträt Erena Langley
Foto: Navex

Rechtsexpertin Erena Langley, Director of Regulatory Solutions bei NAVEX

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Agentische KI und Compliance

Agentische KI schreibt die Regeln der Arbeit neu

KI-Agenten werden vom Assistenten zum aktiven Prozessakteur. Sie koordinieren Daten, Anwendungen und Abläufe selbstständig – und zwingen Unternehmen, Verantwortung, Kontrolle und G...

Verwundbares Netzwerk, Schwachstellenanalyse

Zero-Day öffnete Weg zu Root-Rechten

Ein Angreifer nutzte eine inzwischen geschlossene Zero-Day-Lücke in Cisco Catalyst SD-WAN, um aus einem kompromittierten Administratorkonto vollständige Root-Rechte zu machen. Der ...

Ransomware-Eskalation

Ransomware eskaliert trotz sinkender Angriffszahlen

Die globale Cyberlage wirkt auf den ersten Blick ruhiger. Doch der Mai 2026 zeigt eine gefährliche Verschiebung: Während die Gesamtzahl der Angriffe leicht sank, erreichte Ransomwa...