AI Act gilt auch in Deutschland
Seit dem 02.02.2025 gilt der AI Act auch in 🇩🇪
Ist mein Unternehmen vom AI Act betroffen?
Höchstwährlscheinlich JA!
Wenn Ihr Unternehmen KI nutzt oder in Produkte und Prozesse einbindet, sind Sie vom AI Act betroffen. Wichtig ist ob Sie Anbieter, Nutzer oder beides sind. Entscheidend ist also der konkrete Einsatzzweck der künstlichen Intelligenz.
Wann bin ich Anbieter?
Dies ist eine natürliche oder juristische Person, Behörde oder sonstige Stelle, die ein KI-System entwickelt oder entwickeln lässt. Entscheidend ist, dass der Anbieter das System unter seinem eigenen Namen oder seiner eigenen Marke in Verkehr bringt oder in Betrieb nimmt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht.
Beispiel: OpenAI ist Anbieter des KI-Systems ChatGPT.
Wann bin ich Nutzer?
Ein Nutzer ist jede natürliche oder juristische Person, Behörde oder Stelle, die ein KI-System in eigener Verantwortung verwendet. Eine wichtige Ausnahme besteht hier: Wenn das KI-System ausschließlich im Rahmen einer persönlichen, nicht beruflichen Tätigkeit verwendet wird, gilt die Person nicht als „Nutzer“ im Sinne des AI Acts.
Beispiel 1: Maschinenbau GmbH ist Nutzer, da die Mitarbeitenden ChatGPT im Unternehmen einsetzten.
Beispiel 2: Thomas Müller ist kein Nutzer nach AI Act, wenn er ChatGPT im privaten Bereich nutzt.
In 5 Schritten KI im Unternehmen
AI-Act-konform einsetzen
AI Act Kernanforderungen
Der AI Act unterteilt KI-Systeme in Risikoklassen. Je höher das Risiko für Grundrechte und Sicherheit, desto strenger die Regeln.
Risikomodell
Verboten
Praktiken wie Social Scoring, manipulative Verhaltensbeeinflussung oder biometrische Echtzeit-Überwachung.
Risikomodell
Hochrisiko
Systeme in kritischen Bereichen (z. B. Personalwesen, Bildung, Infrastruktur) müssen strenge Auflagen erfüllen.
Risikomodell
Geringes Risiko
Hier gelten primär Transparenzpflichten (z. B. für Chatbots, Deepfakes, KI-Telefonie oder -Avatare.)
Hochrisiko-KI
Daten-Governance
Verwendung von qualitativ hochwertigen, repräsentativen und fehlerfreien Datensätzen zum Training.
HOCHRISIKO-KI
Technische Dokumentation
Lückenlose Nachweise über die Funktionsweise sowie automatische Ereignisprotokollierung (Logs).
HOCHRISIKO-KI
Menschliche Aufsicht
Das System muss so konzipiert sein, dass Menschen den Betrieb wirksam überwachen und steuern können.
Für alle gilt
KI-Kompetenz
Anwender brauchen ein gewisses Maß an KI-Kompetenz für Entiwcklung und Nutzung und müssgen geschult werden.
HOCHRISIKO-KI
Genauigkeit & Sicherheit
Gewährleistung eines angemessenen Niveaus an Robustheit, Cybersicherheit und Präzision.
Pflichten für Nutzer
Einhaltung der Gebrauchsanweisung
Nutzung nur im vorgesehenen Rahmen.
Pflichten für Nutzer
Überwachung
Laufende Kontrolle des Systems auf Fehlfunktionen oder Risiken.
Pflichten für Nutzer
Protokolle
Aufbewahrung der vom System erzeugten Logs und Protokolle.
Kennzeichnungspflicht
KI-Interaktion
Nutzer müssen wissen, dass sie mit einer KI sprechen (z. B. Chatbots oder KI-Telefonie).
KENNZEICHNUNGSPFLICHT
Deepfakes
Künstlich erzeugte Inhalte müssen klar als solche gekennzeichnet werden.
SANKTIONEN
Bußgelder
Bis zu 20 Mio. € oder 4 % bei sonstigen Verstößen gegen die Anforderungen.
Wie wir unsere Kunden im Bereich
AI Act unterstützen
AI (Act) Workshop
Nehmen Sie an unserem AI‒Workshop teil, um die Grundlagen der künstlichen Intelligenz kennenzulernen. Wir stellen Ihnen verschiedene Modelle und Varianten vor und zeigen Ihnen, wie Sie diese sicher und gesetzeskonform in Ihrem Unternehmen einführen können.
Erfüllung der AI Act Anforderungen
Wir unterstützen Sie dabei, den Umgang mit KI im Unternehmen strukturiert, praxisnah und nachvollziehbar aufzubauen. Gemeinsam prüfen wir, welche KI-Anwendungen bereits genutzt werden, welche geplant sind und welche Anforderungen sich daraus für Ihr Unternehmen ergeben. Diese Anforderungen setzten wie anschließend gemeinsam um.
AI Kompetenzvermittlung für Mitarbeitende (KI-Schulung)
KI kann nur dann sinnvoll und sicher genutzt werden, wenn Mitarbeitende verstehen, was erlaubt ist, wo Risiken liegen und worauf im Alltag zu achten ist. Mit einer praxisnahen KI‒Schulung schaffen wir die Grundlage für einen verantwortungsvollen Einsatz im Unternehmen.
Wie sieht eine Zusammenarbeit aus?
Unser optimierter Prozess, transparente Zeitpläne und maßgeschneiderte IT-Strategien sorgen für schnellere Ergebnisse und langfristigen Erfolg.
Schritt 2
Risiko-Call
Wir besprechen Ihre aktuellen Herausforderungen und Risiken. Zudem zeigen wir Ihnen, wo Sie am besten ansetzen können, um Ihre Ziele zu erreichen.
Schritt 3
Ihre AI-Roadmap
Sie erhalten einen klaren Fahrplan, um KI rechtssicher in Ihrem Untenrehmen zu implementieren. Sie entscheiden, ob Sie die Umsetzung selbst übernehmen oder ob wir Sie dabei unterstützen.
Wer alles macht, kann nichts richtig!
IT-Dienstleister sorgen dafür, dass IT funktioniert.
Wir sorgen dafür, dass Sie sicher sind!
MSP
Klassische IT‒Dienstleister
Externe Security Abteilung
Das macht uns anders
Seit 2025 helfen wir Kunden in ganz Deutschland, hohe fünf‒ bis sechsstellige Schäden zu vermeiden und Compliance‒Vorgaben wie die NIS2‒Richtlinie oder den AI Act zu erfüllen. Wir bieten einen hohen Mehrwert durch unsere Kombination aus TÜV‒geprüftem Compliance‒Fachwissen und tiefgreifendem technischen Know‒how.
Starkes Netzwerk
Unser Partnernetzwerk liefert alles was Unternehmen im IT‒Bereich benötigen. Von klassischen IT‒Systemhaus Dienstleistungen über Datenschutz, KI‒Telefonie bis hin zu Open‒Source‒Spezialisten und Penetrationstestern die das BSI überprüfen!
250+ Security Analysen
In über 250 Sicherheitsanalysen haben wir wiederkehrende Risiken und Schwachstellen bei mittelständischen Unternehmen identifiziert. Daraus haben wir einen praxisorientierten Leitfaden entwickelt, der die IT‒Sicherheit unserer Kunden auf ein neues Niveau hebt.
Häufig gestellte Fragen
Wurden Ihre Fragen nicht beantwortet? Dann kontaktieren Sie uns gerne per E‒Mail oder rufen Sie einfach an.
Was ist der EU AI Act und warum betrifft er den Mittelstand?
Der EU AI Act ist das europäische Gesetz für den sicheren und vertrauenswürdigen Einsatz von Künstlicher Intelligenz. Er betrifft nicht nur große Tech-Konzerne, sondern auch mittelständische Unternehmen, wenn sie KI entwickeln, einkaufen, in Prozesse integrieren oder im Arbeitsalltag nutzen. Entscheidend ist also nicht nur, wer KI baut, sondern auch, wer sie im Unternehmen einsetzt.
Gilt der AI Act auch für mein Unternehmen, wenn wir nur KI nutzen und nicht selbst entwickeln?
Kurz gesagt Ja! Der AI Act unterscheidet unter anderem zwischen Anbietern und Nutzern bzw. „Deployern“ von KI-Systemen. Auch wer KI “nur” einsetzt, hat Pflichten – zum Beispiel beim sicheren Einsatz, bei interner Aufsicht, bei Schulungen oder bei bestimmten Dokumentations- und Transparenzanforderungen.
Bin ich vom AI Act betroffen und wie finde ich das heraus?
Betroffen sind Sie meist dann, wenn in Ihrem Unternehmen KI-Systeme genutzt werden, die Entscheidungen vorbereiten, Inhalte erzeugen, Daten analysieren oder Abläufe automatisieren. Der erste Schritt ist deshalb eine Bestandsaufnahme: Welche KI-Tools sind im Einsatz, wofür werden sie genutzt und wie kritisch ist der jeweilige Anwendungsfall? Besonders relevant wird es, wenn KI Einfluss auf Personalentscheidungen, Kundenbewertungen, Sicherheit, Compliance oder sensible Daten hat.
Welche Pflichten haben Unternehmen beim Einsatz von KI?
Das hängt davon ab, welche Rolle Ihr Unternehmen einnimmt und wie risikoreich das eingesetzte KI-System ist. Grundsätzlich geht es um einen nachvollziehbaren, kontrollierten und verantwortlichen KI-Einsatz,also um klare Zuständigkeiten, geschulte Mitarbeitende, menschliche Kontrolle, passende Prozesse und die Einhaltung der jeweiligen Vorgaben des Systems. Für Hochrisiko-KI gelten deutlich strengere Anforderungen als für allgemeine Alltagsanwendungen.
Was muss ich beachten, wenn Mitarbeitende Tools wie ChatGPT oder Copilot nutzen?
Unternehmen sollten den Einsatz solcher Tools nicht dem Zufall überlassen. Wichtig sind klare Regeln dazu, welche Daten eingegeben werden dürfen, wofür die Tools genutzt werden dürfen, wie Ergebnisse geprüft werden müssen und wer die Verantwortung trägt. Außerdem verlangt der AI Act, dass Personen, die mit KI arbeiten, über eine ausreichende KI-Kompetenz verfügen, also nicht nur Zugriff auf das Tool haben, sondern es auch verantwortungsvoll einschätzen und nutzen können.
Was passiert, wenn wir den AI Act nicht beachten?
Wer den AI Act ignoriert, riskiert nicht nur regulatorische Folgen, sondern auch operative Probleme wie Fehlentscheidungen, Datenschutzverstöße, Reputationsschäden oder unsichere Prozesse. Je nach Verstoß sieht der AI Act auch empfindliche Sanktionen vor. Für Unternehmen ist deshalb meist nicht die Frage, ob sie sich mit KI-Regeln beschäftigen sollten, sondern wie früh sie dafür eine tragfähige Struktur schaffen.
Wie finde ich heraus, ob wir KI im Unternehmen bereits unkontrolliert einsetzen?
Am besten starten Sie mit einem pragmatischen KI-Inventar. Prüfen Sie, welche Tools in Fachbereichen, IT, HR, Marketing, Vertrieb oder Geschäftsführung bereits genutzt werden, auch informell. Gerade bei frei verfügbaren KI-Anwendungen entsteht schnell sogenannter Schatteneinsatz, also Nutzung ohne Freigabe, ohne Regeln und ohne Risikobewertung.
Welche Risiken entstehen durch den Einsatz von KI ohne klare Regeln?
Ohne klare Leitplanken entstehen schnell rechtliche, organisatorische und sicherheitsrelevante Risiken. Dazu gehören falsche oder verzerrte Ergebnisse, unzulässige Verarbeitung sensibler Informationen, fehlende Nachvollziehbarkeit von Entscheidungen und ein Verlust von Kontrolle über interne Prozesse. Besonders kritisch wird es, wenn Mitarbeitende KI-Ergebnisse ungeprüft übernehmen oder vertrauliche Unternehmensdaten in externe Tools eingeben.
Wie kann ich KI nutzen, ohne rechtliche und organisatorische Fehler zu machen?
Der beste Weg ist ein strukturierter, aber praxisnaher Einstieg. Unternehmen sollten zuerst klären, welche KI-Anwendungen sinnvoll sind, welche Risiken bestehen und welche Regeln für Nutzung, Prüfung und Verantwortung gelten. Wer KI früh sauber einordnet, Mitarbeitende schult und einfache Prozesse für Freigabe, Dokumentation und Kontrolle schafft, kann KI produktiv nutzen, ohne den Überblick zu verlieren.
Welche internen Regeln braucht es für den sicheren Einsatz von KI?
Sinnvoll sind einfache, verbindliche Spielregeln. Welche Tools sind erlaubt, welche Daten dürfen verarbeitet werden, wann ist eine menschliche Prüfung nötig und wer entscheidet bei kritischen Anwendungsfällen? Ergänzend sollten Zuständigkeiten, Freigabeprozesse, Mindestanforderungen an Dokumentation und Schulungen festgelegt werden. So wird aus ungeordnetem KI-Einsatz ein kontrollierter und unternehmensgeeigneter Prozess.
IT-Sicherheit erhöhen
Ransomware Risiko senken?
Möchten Sie Ihr Ransomware-Risiko strukturiert reduzieren? Wir unterstützen Sie dabei, eine robuste Abwehrstrategie zu entwickeln, die Ihr Unternehmen effektiv schützt. Mit unserer Expertise helfen wir Ihnen, potenzielle Schwachstellen zu identifizieren und maßgeschneiderte Lösungen zu implementieren, die über die bloße Erfüllung von Compliance-Anforderungen hinausgehen.
© 2026 nordwand cybersecurity Dürrwächter & Gipperich eGbR
TISAX® ist eine eingetragene Marke der ENX Association
Diese Website steht in keiner Verbindung zu Facebook, Google oder Meta Platforms, Inc. Facebook und Google sind eingetragene Marken ihrer jeweiligen Eigentümer. Wir verwenden Cookies und Remarketing-Pixel, um relevante Werbung anzuzeigen und unsere Website zu verbessern. Die Nutzung dieser Website erfolgt auf eigenes Risiko.