Der EU AI Act wird für deutlich mehr deutsche Unternehmen relevant als bislang angenommen. Diejenigen, die Standardsoftware mit integrierten KI-Funktionen einsetzen – etwa in den Bereichen Biometrie, Leistungsbewertung oder Lernanwendungen –, können unter die Vorschriften für Hochrisiko-KI-Systeme fallen. Fehlende Standards, unklare Zuständigkeiten der Behörden und verschobene Fristen verschärfen die Unsicherheit bei der Umsetzung der Compliance-Anforderungen. Rechtsexpertin Erena Langley, Director of Regulatory Solutions bei NAVEX, erläutert, warum der AI Act nicht nur Anbieter von KI betrifft, welchen Haftungs- und Reputationsrisiken Unternehmen ausgesetzt sind und welche Maßnahmen für eine wirksame AI Compliance entscheidend sind.
Berlin, 30.06.2026. „Der EU AI Act gilt nicht nur für künstliche Intelligenz (KI), die Unternehmen selbst entwickeln, sondern auch für den Einsatz von Unternehmenssoftware, in die KI integriert ist“, erklärt Erena Langley, Director of Regulatory Solutions bei NAVEX. Auch die Nutzung von KI-Software von Drittanbietern begründet konkrete Dokumentations-, Kontroll- und Nachweispflichten. Das größte Missverständnis rund um den EU AI Act bestehe darin, dass er in erster Linie KI-Entwickler und Technologieanbieter betreffe. Tatsächlich gilt das Gesetz für alle Organisationen, die KI-Systeme einsetzen. Das Problem: KI hat sich in Unternehmen längst etabliert, wird jedoch häufig nicht als regulatorisches Risiko wahrgenommen. In vielen Fällen wird KI nicht als eigenständiges Projekt eingeführt, sondern ergänzt bestehende HR-, Rechts- oder Finanzsysteme um zusätzliche Funktionen. „Genau hier besteht Nachholbedarf: Unternehmen müssen sich des tatsächlichen Anwendungsbereichs des EU AI Acts bewusst werden, um die Anforderungen rechtzeitig in Prozesse, Verantwortlichkeiten und Kontrollmechanismen zu überführen“, so Langley.
Fehlende Standards, unklare Zuständigkeiten und mangelnde Orientierung
„Dass viele Unternehmen auf den AI Act schlechter vorbereitet sind als bislang angenommen, ist nicht ausschließlich auf interne Versäumnisse zurückzuführen“, ergänzt Langley. Sie fährt fort: „Unternehmen warten weiterhin darauf, dass die europäischen Normungsorganisationen die erforderlichen Compliance-Standards veröffentlichen und die deutsche Bundesregierung die Bundesnetzagentur sowie die Deutsche Akkreditierungsstelle mit den entsprechenden Aufgaben betraut.“ Derzeit fehlen vielen Unternehmen sowohl verbindliche technische Standards, anhand derer sie ihre Systeme bewerten können, als auch nationale Behörden, die erläutern, wie die Vorgaben auf dem deutschen Markt ausgelegt und überwacht werden. „Solange diese Orientierung fehlt, bleibt die Unsicherheit groß. Viele Unternehmen warten zunächst auf nationale Leitlinien, bevor sie mit der Umsetzung beginnen. Genau darin liegt das Kernproblem“, so Langley weiter. Gleichzeitig kann eine unzureichende Vorbereitung auf den EU AI Act schnell zu einem erheblichen Haftungsrisiko werden. Bei schwerwiegenden Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Nach Einschätzung der Rechtsexpertin ist dabei vor allem der Faktor Zeit entscheidend: „Da in den kommenden zwei Jahren mehrere Fristen greifen, verliert wertvolle Vorbereitungszeit, wer auf fertige Checklisten wartet.“ Für zusätzliche Verunsicherung sorgt die jüngste EU-Digital-Omnibus-Gesetzgebung, die einige – jedoch keineswegs alle – Fristen der ursprünglichen Verordnung angepasst hat. „Viele deutsche Organisationen ordnen die Fristen des AI Acts falsch ein. Sie gehen davon aus, dass sämtliche Verpflichtungen durch den Omnibus verschoben wurden. Das ist jedoch nicht der Fall“, warnt Langley. Sie ergänzt: „Die Transparenzpflichten gelten weiterhin ab dem 2. August 2026 und wurden nicht verschoben. Der Omnibus hat lediglich die Anforderungen für Hochrisiko-KI-Systeme nach hinten verlegt – und selbst das nicht einheitlich. Für eigenständige Systeme, beispielsweise KI-Tools zur Bewerberauswahl, gilt derzeit voraussichtlich eine Frist bis Dezember 2027. KI, die Bestandteil regulierter Produkte wie Medizinprodukte oder Maschinen ist, muss die entsprechenden Anforderungen hingegen erst bis August 2028 erfüllen.“
Millionenstrafen drohen – der größere Schaden ist jedoch der Vertrauensverlust
Für Unternehmen dürfte der Reputationsschaden sogar schwerer wiegen als finanzielle Sanktionen. „Wenn ein Unternehmen den Eindruck vermittelt, dass KI ohne ausreichende menschliche Kontrolle über Beschäftigung, Einkommen oder berufliche Perspektiven von Menschen entscheidet, kann dies das Vertrauen von Mitarbeitenden, Kunden, Investoren und der Öffentlichkeit massiv beeinträchtigen“, so Langley. Diskriminierende Entscheidungen bei der Bewerberauswahl oder intransparente KI-gestützte Leistungsbewertungen können schnell erhebliche geschäftliche Risiken nach sich ziehen. „Ein öffentlich bekannt gewordener Compliance-Verstoß kann die wirtschaftliche Handlungsfähigkeit eines Unternehmens erheblich einschränken. Für Vorstände schafft der AI Act deshalb klare Erwartungen: AI Governance gehört künftig auf die Agenda aller Risiko- und Compliance-Gremien“, erklärt Langley weiter. Dazu gehören regelmäßige Bewertungen des Einsatzes von KI-Systemen, um die erforderlichen Risikobewertungen durchführen zu können, Berichte über Hochrisiko-KI-Systeme, die Überprüfung veröffentlichter KI-generierter Inhalte im Hinblick auf die Transparenzanforderungen sowie eine lückenlose Dokumentation zum Nachweis der Compliance.
Best Practices: AI Compliance strukturiert statt reaktiv angehen
Nach Einschätzung der Expertin sollten Unternehmen die bevorstehenden regulatorischen Anforderungen proaktiv angehen und frühzeitig kontinuierliche Prozesse etablieren. So lässt sich sicherstellen, dass sowohl die für die Compliance erforderlichen Informationen als auch die zugrunde liegenden Prozesse rechtzeitig verfügbar sind. Unternehmen sollten zunächst erfassen, welche KI-Systeme sie einsetzen, zu welchen Zwecken diese genutzt werden und welche Ergebnisse sie erzeugen. Daraus sollte ein vollständiges KI-Inventar entstehen, das nicht nur selbst entwickelte Anwendungen, sondern auch KI-Funktionen in eingekaufter Software umfasst. Anschließend können die einzelnen Systeme entsprechend ihrer Risikokategorie gemäß EU AI Act eingeordnet werden, um einen Überblick über die jeweiligen Fristen und Verpflichtungen zu erhalten. Voraussetzung dafür sind klar definierte Verantwortlichkeiten. „AI Compliance erfordert die enge Zusammenarbeit verschiedener Bereiche – darunter Recht, Compliance, IT, Einkauf, Personal und Management“, erläutert Langley. Unternehmen sollten daher frühzeitig festlegen, wer für die AI Governance verantwortlich ist, und geeignete Systeme schaffen, über die Mitarbeitende potenzielle Probleme unkompliziert melden können. Langley empfiehlt: „Die EU hat zwar ein zentrales Meldeportal speziell für Verstöße gegen den EU AI Act eingerichtet. Unternehmen, die bereits heute eigene Hinweisgebersysteme etablieren, ermöglichen ihren Mitarbeitenden jedoch eine geschützte interne Meldung und können potenzielle Probleme frühzeitig intern erkennen und beheben.“ Ebenso sollten Unternehmen eine kontinuierliche Dokumentation und Überwachung ihrer KI-Systeme etablieren. Sie müssen jederzeit nachweisen können, welche Risiken bewertet wurden, wer Entscheidungen überwacht und ob KI-Systeme diskriminierende oder anderweitig schädliche Ergebnisse erzeugen. „Wer bereits heute belastbare Prozesse aufsetzt, kann diese später problemlos anpassen, sobald technische Standards und Leitlinien vorliegen. Wer hingegen weiter abwartet, riskiert Compliance-Lücken, Zeitdruck und eine deutlich schwächere Position gegenüber Behörden und Kunden“, warnt Langley. Genau dabei unterstützt NAVEX Unternehmen mit Softwarelösungen, Schulungen und strukturierten Risikoprozessen, damit aus einzelnen Compliance-Maßnahmen belastbare und dauerhaft tragfähige Strukturen entstehen.
AI Compliance wird für manuelle Prozesse zunehmend zu komplex
Die regulatorischen Anforderungen lassen sich mit rein manuellen Prozessen zunehmend kaum noch bewältigen. AI Compliance ist deshalb keine einmalige Aufgabe, sondern ein fortlaufender Prozess, der regelmäßig angepasst werden muss. Parallel entstehen neue technische Standards, nationale Aufsichtsstrukturen werden aufgebaut und die Europäische Kommission veröffentlicht ihre Leitlinien schrittweise. Unternehmen benötigen deshalb eine flexible Infrastruktur, die diese kontinuierlichen Veränderungen abbilden kann. „KI-gestützte Compliance-Lösungen wie NAVEX One können Unternehmen dabei unterstützen, regulatorische Komplexität zu beherrschen und Risiken frühzeitig sichtbar zu machen“, erklärt Langley. Solche Plattformen bündeln KI-Inventare, Risikobewertungen, Dokumentation und Verantwortlichkeiten in einer zentralen Lösung. „Unternehmen, die heute in belastbare Strukturen investieren, gewinnen nicht nur regulatorische Sicherheit, sondern verschaffen sich auch einen Wettbewerbsvorteil, wenn die Durchsetzung des EU AI Acts weiter an Dynamik gewinnt. Wer die Fristverlängerungen dagegen lediglich als Einladung zum Aufschieben versteht, wird später unter deutlich größerem Handlungsdruck stehen“, resümiert Langley.
About NAVEX:
Trusted by 13,000 organizations, including 75 percent of Fortune 100 and 500 companies, NAVEX is the global leader in risk and compliance solutions. Its NAVEX One platform strengthens risk and compliance programs, empowering organizations with unparalleled industry benchmark data and insights. NAVEX One provides a 360-degree view of enterprise, third party and ecosystem risk for enhanced regulatory compliance and proactive risk management.
Based in Lake Oswego, OR, with a global presence, NAVEX continues to shape the future of governance, risk and compliance. Visit our blog or follow us on LinkedIn, Facebook, and YouTube.
More Information can be found here: www.navex.com/de-de
NAVEX Germany GmbH
Westend Tower, Grüneburgweg 58-62
60322 Frankfurt am Main
Press contact: Fullstop Public Relations GmbH; navex@fullstoppr.com