Der EU AI Act schafft erstmals verbindliche Regeln für den Einsatz von Künstlicher Intelligenz. Wir sprachen dazu mit Jörg Kremer, Head of Consulting bei der mip GmbH, der im folgenden Interview die neuen Pflichten für Unternehmen einordnet, Risiken beim Einsatz von Tools wie ChatGPT erklärt und zeigt, wie Firmen jetzt strukturiert ins Handeln kommen – bevor die ersten Fristen greifen.
Hallo Herr Kremer, wir wollen über die neue AI-Verordnung der EU sprechen. Fangen wir mal ganz vorn an: Was regelt der EU AI Act im Großen und Ganzen?
Der EU AI Act ist ein Meilenstein, nicht nur für Europa, sondern weltweit. Zum ersten Mal haben wir einen umfassenden Rechtsrahmen, der den Einsatz von Künstlicher Intelligenz systematisch reguliert. Der Ansatz ist risikobasiert, das heißt, KI-Systeme werden jetzt nach potenzieller Gefährdung in vier Kategorien eingeteilt, die von minimalem bis zu inakzeptablem Risiko gehen.
Letztere sind künftig komplett verboten. Das sind die Systeme, die Menschen manipulieren oder Social Scoring betreiben. Hochriskante Anwendungen, wie KI in der Personalrekrutierung, bei Kreditentscheidungen oder in der biometrischen Überwachung, dürfen nur unter strengen Auflagen eingesetzt werden. Dazu gehören unter anderem Anforderungen an Datenqualität, Transparenz, menschliche Kontrolle und IT-Sicherheit.
Für Systeme mit begrenztem Risiko, wie Chatbots oder generative KI, gelten spezifische Pflichten zur Transparenz. Und bei minimalem Risiko, etwa bei Spamfiltern oder KI in Videospielen, bleibt es bei der bisherigen Praxis.
Ziel ist es, sicherzustellen, dass KI in Europa verantwortungsvoll, transparent und im Einklang mit unseren Grundrechten eingesetzt wird.
Sehen Sie bereits häufig, dass LLMs wie ChatGPT in der Unternehmenspraxis eingesetzt werden? Ist hier auch ein gewisser Wildwuchs zu beobachten?
Ja, der Einsatz von LLMs wie ChatGPT nimmt in der Unternehmenspraxis rasant zu, oft schneller, als es die IT-Abteilungen begleiten kann.
Wir sehen aktuell, dass große Sprachmodelle in vielen Fachbereichen bereits aktiv genutzt werden, sei es für Textentwürfe, Code-Generierung oder schnelle Recherchen. Das passiert häufig spontan und ohne zentrale Steuerung. In einer aktuellen Bitkom-Umfrage habe ich gelesen, dass sich rund 57 Prozent der Unternehmen bereits mit KI beschäftigen, das ist schon eine beeindruckende Zahl.
Gleichzeitig zeigt sich aber auch, dass 83 Prozent noch rechtliche Unsicherheiten haben. Das führt zu einem gewissen Wildwuchs. Mitarbeitende nutzen KI-Tools ohne einheitliche Vorgaben und das mit allen Risiken, die das mit sich bringt. Das gilt von der Eingabe sensibler Daten bis hin zur unkritischen Übernahme von KI-generierten Inhalten.
Fortschrittliche Unternehmen reagieren darauf und etablieren interne Richtlinien, definieren Freigabeprozesse und benennen geschulte KI-Ansprechpartner. Denn eines ist klar, ohne Governance kann aus Innovation schnell ein Compliance-Risiko werden.
Es geht natürlich auch viel um den Datenschutz und den verantwortungsvollen Umgang mit Daten. Wie ist es damit in der Praxis bestellt, und wie kann ich als Unternehmen das Thema angehen?
Datenschutz ist beim Einsatz von KI ein zentrales Thema, und in der Praxis sehen wir hier noch viele offene Baustellen.
Gerade bei generativen KI-Tools wie ChatGPT muss man sich die Frage stellen, wohin fließen die eingegebenen Daten und was passiert damit? Viele dieser Dienste übertragen Nutzereingaben an externe Server, was wiederum datenschutzrechtlich heikel ist. Datenschutzbehörden in Europa reagieren zunehmend sensibel, man denke an die temporäre Sperrung von ChatGPT in Italien oder laufende Prüfungen in Deutschland.
Unternehmen sollten deshalb frühzeitig klare Leitlinien schaffen, um sicherzustellen, welche Daten mit KI verarbeitet werden dürfen und welche nicht. Besonders personenbezogene oder vertrauliche Informationen gehören auf keinen Fall in öffentliche Tools. Gleichzeitig lohnt sich der Blick auf datenschutzkonforme Alternativen, unter anderem On-premise-Lösungen oder Enterprise-Versionen mit vertraglich geregeltem Datenschutz.
Durch Anonymisierung, Monitoring und Zugriffskontrollen lässt sich auch technisch vieles absichern. Und nicht zuletzt sollte der Einsatz von KI immer gemeinsam mit dem Datenschutzbeauftragten bewertet werden, inklusive möglicher Datenschutz-Folgenabschätzung. Nur so lässt sich sicherstellen, dass Innovation und Compliance Hand in Hand gehen.
Unter anderem müssen Organisationen nun ja ihre Mitarbeitenden im Umgang mit KI, insbesondere LLMs, schulen. Wie sollte man hierbei vorgehen?
Der AI-Act verpflichtet Unternehmen dazu, ein grundlegendes Verständnis für den Umgang mit Künstlicher Intelligenz in der Belegschaft sicherzustellen, vornehmlich dann, wenn es um große Sprachmodelle wie LLMs geht. Ein bewährter Ansatz in der Praxis ist ein mehrstufiges Vorgehen, das mit einer fundierten Bedarfsanalyse beginnt. Dabei wird zunächst ermittelt, in welchen Abteilungen bereits KI-Tools genutzt werden und wo es noch Wissenslücken gibt. So lässt sich gezielt bestimmen, welche Mitarbeitergruppen welche Art von Schulung benötigen.
Darauf aufbauend empfiehlt es sich, eine unternehmensweite KI-Richtlinie zu entwickeln. Diese sollte klare Rahmenbedingungen für den Einsatz von KI definieren. Darin ist festgehalten, welche Tools erlaubt sind, wie mit Daten umzugehen ist und welche Grundsätze für den verantwortungsvollen Einsatz gelten. Eine solche Policy schafft Orientierung und bildet die inhaltliche Grundlage für alle Schulungsmaßnahmen.
Die Trainings selbst sollten zielgruppenspezifisch gestaltet sein. Für viele Mitarbeitende reicht ein kompakter Workshop oder ein E-Learning-Modul, das die wichtigsten Chancen, Risiken und Regeln im Umgang mit KI vermittelt. In Bereichen, in denen KI intensiv genutzt wird, wie in der Softwareentwicklung oder im Personalwesen, sind sicher vertiefende Schulungen sinnvoll, die auf konkrete Anwendungsfälle eingehen. Entscheidend ist dabei eine praxisnahe Vermittlung durch anschauliche Beispiele, klare Dos & Don’ts und interaktive Übungen.
Nicht unterschätzen sollte man auch die Bedeutung einer unterstützenden Unternehmenskultur. Führungskräfte sollten den bewussten Umgang mit KI vorleben und Schulungen aktiv fördern. Interne Anlaufstellen wie sogenannte „KI-Botschafter“ können zusätzlich helfen, Fragen zu klären und den Wissenstransfer zu stärken. Da sich die KI-Landschaft dynamisch weiterentwickelt, wird es unerlässlich sein, mit regelmäßigen Auffrischungen das Wissen aktuell zu halten.
Mit einem solchen strukturierten Vorgehen schaffen Unternehmen die Grundlage dafür, dass ihre Mitarbeitenden KI-Tools kompetent, sicher und verantwortungsvoll einsetzen. Dies wird nicht nur Risiken reduzieren, sondern auch die Akzeptanz und den Nutzen von KI im Arbeitsalltag deutlich erhöhen.
Gibt es Fristen, Grenzen in der Unternehmensgröße oder Ähnliches – oder müssen nun wirklich alle Unternehmen an das Thema ran?
Der AI-Act betrifft alle Unternehmen, unabhängig von Größe oder Branche. Und die Uhr tickt bereits. Zwar treten die Pflichten aus dem EU AI Act gestaffelt in Kraft, doch zurücklehnen kann sich niemand. Und es gibt eine Reihe an Fristen, die man im Auge haben sollte.
Die Verordnung ist am 1. August 2024 in Kraft getreten. Ab dem 2. Februar 2025 gelten bereits Vorgaben, wie das Verbot bestimmter KI-Praktiken sowie die Pflicht zur Förderung von KI-Kompetenz in der Belegschaft. Ab dem 2. August 2025 folgen weitere Anforderungen, insbesondere für Anbieter von allgemeinen KI-Modellen (GPAI), zu Transparenz- und Governance-Pflichten. Die meisten Kernvorgaben, beispielsweise für hochriskante KI-Systeme, werden ab dem 2. August 2026 verbindlich. Und für Spezialfälle, wie KI in regulierten Produkten wie bei Medizinprodukten, gelten Übergangsfristen bis 2027.
Wichtig dabei ist, der AI-Act unterscheidet grundsätzlich nicht nach Unternehmensgröße. Er richtet sich an alle Organisationen, die KI-Systeme entwickeln, vertreiben oder einsetzen, egal ob Start-up oder Konzern. Zwar gibt es Erleichterungen für kleine und mittlere Unternehmen durch vereinfachte Dokumentationspflichten oder Zugang zu regulatorischen Sandboxes. Doch von den grundlegenden Anforderungen, speziell, wenn es sich um hochriskante Anwendungen handelt, ist niemand ausgenommen.
Deshalb gilt, wer KI nutzt, sollte sich jetzt mit den neuen Regeln befassen. Frühzeitige Vorbereitung hilft, Compliance-Aufwände zu verteilen und Risiken zu minimieren. Denn bei Verstößen drohen empfindliche Strafen, die in schweren Fällen bis zu 35 Millionen Euro oder 7?Prozent des weltweiten Jahresumsatzes sein können. Warten ist also keine Option.
Wenn ich nun einiges gelesen habe, was ich noch nicht umgesetzt habe: Wie können Sie mir dabei helfen, ins Doing zu kommen?
Viele Unternehmen stehen jetzt vor der Frage, wo sie anfangen. Genau hier setzen wir an, und zwar mit einem klar strukturierten, praxisnahen Einstieg.
Unser Ansatz ist Hands-on. Zunächst führen wir gemeinsam mit Ihnen einen KI-Check durch. Wir beleuchten, welche Systeme bereits im Einsatz sind und wo Lücken im Hinblick auf die Anforderungen des AI-Acts bestehen. Das ist die Basis, auf der wir einen konkreten, individuellen Maßnahmenplan entwickeln, der auf Ihre Anforderungen zugeschnitten ist.
Das kann unter anderem den Aufbau einer KI-Governance umfassen, also die Richtlinien, Freigabeprozesse und Verantwortlichkeiten. Ebenso unterstützen wir bei der Umsetzung von Datenschutz- und Sicherheitsstandards oder bei der Konzeption und Durchführung der Schulungen für Ihre Mitarbeitenden. Dabei bringen wir Best Practices aus anderen Projekten mit. Sie profitieren also von erprobten Vorgehensweisen und müssen nicht bei null anfangen.
Ein guter Einstieg ist oft ein erstes Treffen, bei dem wir Ihnen mit einem kompakten Vortrag einen Überblick geben, Quick Wins aufzeigen und erste Impulse setzen. Danach begleiten wir Sie gerne weiter, mit dem Aufsetzen von Workshops, gezielte Beratung oder operative Unterstützung bei der Umsetzung. Unser Ziel ist es, aus den vielen Anforderungen Ihren machbaren, realistischen Fahrplan zu entwickeln, mit dem Sie Ihre KI-Projekte sicher und effizient voranbringen.
Vielen Dank für dieses Interview, Herr Kremer.
Quelle: mip GmbH