Künstliche Intelligenz ist in kurzer Zeit von einer experimentellen Technik zu einer geschäftskritischen Funktion geworden. In nur drei Jahren haben 78 % der Organisationen KI für mindestens einen Geschäftsprozess eingeführt, und 84 % der CEOs planen, die Investitionen im Jahr 2025 zu erhöhen. Vor diesem Hintergrund hat die Europäische Union das weltweit erste umfassende Regelwerk für KI eingeführt – den EU AI Act.
Die Verordnung ist ein entscheidender Schritt, um Innovation und Verantwortung auszubalancieren, und schafft die rechtliche Grundlage dafür, wie KI-Systeme entwickelt, auf den Markt gebracht und gesteuert werden. Sie stärkt direkt das Vertrauen in Organisationen und die verantwortungsvolle Nutzung. Für Unternehmen ist dies zugleich Herausforderung und Chance: Wer sich jetzt ausrichtet, kann Compliance in einen Wettbewerbsvorteil verwandeln; wer das versäumt, riskiert Sanktionen bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes.
The EU AI Act regulates how AI systems are designed, placed on the market, and used in the EU, with extraterritorial reach wherever their outputs are used in the Union. It sits alongside GDPR: GDPR governs lawful personal data processing; the AI Act governs the AI system lifecycle — data quality, documentation, human oversight, robustness, transparency, and post-market monitoring. In practice, most organisations will need to demonstrate compliance with both whenever AI processes personal data.
‘The EU AI Act requires organisations to ensure their staff have a sufficient level of AI literacy, taking into account their technical knowledge, experience, and the context in which AI is used. This means employees need to understand what AI is, how the specific systems they use work, the opportunities and risks involved, and their legal and ethical implications,’ says Integrity360 CTO Richard Ford.
To operationalise this, deliver role-based AI literacy programmes to all stakeholders, ensuring clear understanding of ethical, legal, and operational risks.
The AI Act entered into force on 1 August 2024. Prohibitions on unacceptable risk uses began on 2 February 2025, with broader obligations phasing in from 2 August 2026 and some high-risk requirements extending toward 2027. Use the current window to build inventories, controls, testing, and evidence so you are audit ready as enforcement tightens.
Banned applications include:
• Cognitive behavioural manipulation of people or specific vulnerable groups, for example a voice-activated toy that encourages dangerous behaviour in children
• Social scoring, classifying people based on behaviour, socio-economic status, or personal characteristics
• Biometric identification and categorisation of people
• Real-time and remote biometric identification systems in public spaces, such as facial recognition
Law-enforcement carve-outs are narrow. Real-time remote biometric identification can be permitted only for a limited set of serious cases. Post remote biometric identification can be used to prosecute serious crimes and only with court approval. Digital Strategy
An example of this would be where an AI monitors live signals like faces, voices, messages and biometrics to infer staff emotions during work, raising significant privacy, accuracy and bias concerns.
High-risk systems are those that could negatively affect safety or fundamental rights. They fall into two buckets:
All high-risk systems require lifecycle controls and need to be assessed before market entry and throughout their life. Individuals will be able to lodge complaints with national authorities.
limited risk: AI that triggers basic transparency duties — e.g. tell users they’re interacting with AI and label AI-generated or manipulated content (such as chatbots and deepfakes) — without heavier conformity or registration obligations.
minimal risk: AI with negligible impact — like spam filters or simple recommenders — faces no additional legal duties under the Act, though providers are encouraged to follow voluntary codes of conduct and good practice.
Der EU AI Act ist ein entscheidener Schritt in zu einem Gleichgewicht zwischen Innovation und Verantwortlichkeit und schafft eine rechtliche Grundlage für die Entwicklung, den Einsatz und die Regulierung von KI-Systemen, wodurch das Vertrauen in Organisationen und eine verantwortungsvolle Nutzung direkt gestützt werden. Er ergänzt die DSGVO: der AI Act regelt den gesamten Lebenszyklus von KI-Systemen – von der Datenqualität über Dokumentation und menschliche Kontrolle bis hin zu Robustheit, Transparenz und der Überwachung nach dem Inverkehrbringen. In der Praxis müssen die meisten Organisationen meist beide Regelwerke nachweisen, sobald KI personenbezogene Daten verarbeitet.
„Der EU AI Act verlangt von Organisationen, sicherzustellen, dass ihre Mitarbeitenden über ein ausreichendes Maß an KI-Kompetenz verfügen, abhängig von Technikkenntnissen, Erfahrung und Nutzungskontext. Mitarbeitende müssen verstehen, was KI ist, wie die eingesetzten Systeme funktionieren, welche Chancen und Risiken bestehen und welche rechtlichen sowie ethischen Implikationen sich ergeben“, sagt Richard Ford, CTO von Integrity360.
Um das operativ umzusetzen, sollten Organisationen rollenbasierte KI-Schulungsprogramme für alle Stakeholder anbieten, die ein klares Verständnis der ethischen, rechtlichen und operativen Risiken sicherstellen.
Der AI Act ist am 1. August 2024 in Kraft getreten.
Nutzen Sie das aktuelle Zeitfenster, um Inventare, Kontrollen, Tests und Nachweise aufzubauen, damit Sie auditbereit sind, wenn die Durchsetzung strenger wird.
Unvertretbares und hohes Risiko: was fällt darunter?
Unvertretbares Risiko (vollständig verboten)
Verbotene Anwendungen umfassen:
Ausnahmen für die Strafverfolgung sind eng gefasst. Echtzeit-Fernidentifizierung ist nur in wenigen schweren Fällen zulässig. Nachträgliche Fernidentifizierung darf zur Verfolgung schwerer Straftaten eingesetzt werden, ausschließlich mit gerichtlicher Genehmigung.
Ein Beispiel: Echtzeit-Emotionserkennung bei Beschäftigten, bei der KI Gesichter, Stimmen, Nachrichten und biometrische Daten überwacht, um Emotionen während der Arbeit abzuleiten – mit erheblichen Bedenken hinsichtlich Datenschutz, Genauigkeit und Bias.
Hohes Risiko (streng reguliert)
Als Hochrisiko gelten Systeme, die Sicherheit oder Grundrechte negativ beeinflussen können. Zwei Gruppen:
Alle Hochrisiko-Systeme benötigen Lebenszyklus-Kontrollen und werden vor dem Inverkehrbringen und laufend bewertet. Einzelpersonen können Beschwerden bei den nationalen Behörden einreichen.
Weitere Risikokategorien:
Begrenztes Risiko: KI mit grundlegenden Transparenzpflichten, z. B. Nutzer darüber informieren, dass sie mit KI interagieren, sowie Kennzeichnung von KI-generierten oder manipulierten Inhalten (z. B. Chatbots, Deepfakes), ohne schwerere Konformitäts- oder Registrierungspflichten.
Minimales Risiko: KI mit vernachlässigbarer Auswirkung, etwa Spamfilter oder einfache Empfehlungssysteme, unterliegt keinen zusätzlichen gesetzlichen Pflichten nach der Verordnung, auch wenn Anbieter angehalten sind, freiwillige Verhaltenskodizes und Best Practices zu befolgen.
Vergleich mit globalen Ansätzen
Weltweit setzt die EU den Maßstab, während andere Rechtsräume eher auf Interoperabilität als strikte Gleichwertigkeit hinarbeiten. Das Vereinigte Königreich verfolgt derzeit einen prinzipienbasierten, behördengeleiteten Ansatz. Die USA bleiben ein Mosaik aus bundesweiten Leitlinien, Behördenmaßnahmen und einzelstaatlichen Gesetzen. Für multinationale Unternehmen, die Daten von EU-Bürgern verarbeiten, ist die Anpassung an die im AI-Act festgelegten Kontrollen der einfachste Weg, um weiterhin auf dem neuesten Stand zu bleiben.
Ihre Organisation auf Compliance vorbereiten
Vorbereitung beginnt mit Transparenz. Identifizieren Sie alle KI-Einsätze in den Bereichen, kartieren Sie Datenflüsse und bewerten Sie die Risiko-Exposure. Starke Daten-Governance-Praktiken, einschließlich Datenklassifizierung, Lebenszyklus-Tracking und Third-Party-Assurance, sind unerlässlich.
Ebenso wichtig ist die Fähigkeit, Erklärbarkeit und Rechenschaftspflicht nachzuweisen. Das erfordert Investitionen in KI-Observability, die Modellleistung überwacht, Bias erkennt und Entscheidungsprozesse protokolliert. Diese Maßnahmen unterstützen die Compliance und fördern Innovation, weil Teams besser verstehen, wie und warum sich KI-Systeme verhalten.
Verankern Sie Compliance in der übergreifenden Sicherheitsstrategie. Identitätsmanagement, Zugriffskontrolle und Lieferketten-Sicherheit schützen die Integrität der KI-Operationen. Partnerschaften mit Expertinnen und Experten helfen, Reifegrad-Assessments durchzuführen und Governance-Modelle an ein dynamisches Regulierungsumfeld anzupassen.
Die Rolle von Vertrauen, Data Governance und Identitätssicherheit
Vertrauen ist die Lizenz zum Skalieren. Die Verordnung verankert Vertrauen durch Transparenz, Aufsicht und Marktüberwachung. Konkret heißt das:
ISO/IEC 42001 ist der Managementsystem-Standard für KI. Er übersetzt Richtlinien in Praxis, indem Geltungsbereich, Rollen und Kontrollen definiert werden – ähnlich wie ISO 27001 für Informationssicherheit. ISO 42001 bietet einen Rahmen zur Steuerung von KI-Risiken und hilft Organisationen, die Anforderungen des EU AI Act zu erfüllen, indem die notwendige Infrastruktur für Dokumentation, Risikobewertung und Transparenz geschaffen wird.
Praktisch liefert ein 42001-konformes KI-Managementsystem: ein Inventar der KI-Nutzungen nach Risiko, dokumentierte Datenlineage und Qualitätskontrollen, Model Cards und Release-Gates, Pläne für menschliche Aufsicht, Post-Market-Monitoring sowie prüfbare Register zu Vorfällen und Korrekturmaßnahmen.
Auch wenn Compliance zunächst wie ein Kostenfaktor erscheint, verschafft Vorbereitung auf den EU AI Act einen strategischen Vorteil. Unternehmen, die verantwortungsvolle KI-Praxis nachweisen können, besitzen einen klaren Differenzierungsfaktor – besonders in Branchen, in denen Transparenz und ethische Standards entscheidend sind.
Eine Verantwortungskultur senkt nicht nur das Sanktionsrisiko, sondern treibt auch Innovation voran. Adaptive Governance, Echtzeit-Observability und kontinuierliche Verbesserungszyklen ermöglichen es, KI sicher und selbstbewusst zu skalieren.
In einer Zeit, in der KI die Wettbewerbsfähigkeit prägt, verschaffen sich die vorbereiteten Unternehmen einen Vorsprung. Der EU Data and AI Act ist nicht nur eine rechtliche Pflicht; er ist ein Rahmen für Vertrauen, Innovation und die verantwortungsvolle Weiterentwicklung der Künstlichen Intelligenz.
Bewertung der KI-Bereitschaft
Wir vergleichen Ihre aktuelle KI-Infrastruktur mit dem KI-Gesetz, erfassen Risiken und erstellen einen priorisierten Plan zur Behebung von Mängeln mit klaren Zuständigkeiten.
Governance, Risk und Compliance
Wir entwerfen und implementieren ein KI-Risikomanagement-Framework, das auf Ihre bestehenden Sicherheits-, Datenschutz- und SDLC-Prozesse abgestimmt ist. Dazu gehören Richtlinien, Kontrollen, Nachweispläne und Playbooks.
Data Governance und Identitätssicherheit
Wir klassifizieren Daten, definieren Herkunft und Aufbewahrung und sichern den Zugriff auf Modelle, Datensätze, Tools und Pipelines mit robusten Identitätskontrollen.
Sicherheit durch Dritte und Lieferkette
Wir katalogisieren Anbieter und Modelle, verankern vertragsrechtliche Klauseln im Einklang mit der Verordnung und etablieren eine laufende Assurance.
Wenn Ihre Organisation Unterstützung bei der Abwehr von KI-bedingten Bedrohungen und der Einhaltung des EU AI Act benötigt, kontaktieren Sie die Expertinnen und Experten von Integrity360.