
Der EU AI Act sorgt in vielen Unternehmen aktuell eher für Unsicherheit als für klare Orientierung. Im Gespräch erklärt Lutz Keppeler, Partner bei Heuking und Lehrbeauftragter für Datenschutz- und Informationssicherheitsrecht, warum der Blick in die Praxis oft deutlich weniger dramatisch ausfällt als die öffentliche Debatte rund um KI-Regulierung vermuten lässt. Entscheidend sei weniger die abstrakte Frage nach „der KI“, sondern vielmehr der konkrete Anwendungsfall im Unternehmen und die damit verbundenen Risiken.
„Eigentlich ist es keine KI-Verordnung, sondern eher eine komplexe Software-Verordnung.“

Der EU AI Act wird häufig verkürzt als klassische „KI-Verordnung“ verstanden, tatsächlich handelt es sich laut Keppeler aber eher um eine umfassende Regulierung von Software mit besonders risikobehafteten Entscheidungsprozessen. Im Zentrum stehen nicht nur moderne Sprachmodelle, sondern auch traditionelle algorithmische Systeme, die zunehmend autonomer werden und Auswirkungen auf Menschen oder kritische Prozesse haben können. Dadurch entsteht ein deutlich breiteres regulatorisches Feld, als viele Unternehmen zunächst erwarten.
Ob ein KI-System als Hochrisiko eingestuft wird, hängt weniger vom eingesetzten Tool ab, sondern stark vom konkreten Einsatzbereich. Besonders sensibel sind etwa Anwendungen im Personalwesen, in sicherheitskritischen Maschinen oder in regulierten Infrastrukturen, bei denen automatisierte Entscheidungen direkte Auswirkungen auf Menschen oder Systeme haben können. Gleichzeitig zeigt sich in der Praxis, dass viele Unternehmen genau in solchen Bereichen bereits KI-ähnliche Funktionen nutzen, ohne sich der möglichen Einordnung bewusst zu sein.
Obwohl der EU AI Act formal bereits beschlossen ist, steckt die tatsächliche Umsetzung in vielen Bereichen noch in einer frühen Phase. Zuständigkeiten auf nationaler Ebene, konkrete Aufsichtsstrukturen und die operative Durchsetzung entwickeln sich erst nach und nach. Für Unternehmen bedeutet das eine Übergangsphase, in der rechtliche Anforderungen existieren, praktische Konsequenzen aber oft noch nicht vollständig greifbar sind.
Statt KI-Initiativen zu verlangsamen, empfiehlt sich ein pragmatischer, risikoorientierter Ansatz. Unternehmen sollten zunächst erfassen, wo KI bereits eingesetzt wird, welche Prozesse betroffen sind und welche potenziellen Risiken daraus entstehen könnten. Auf dieser Basis lassen sich einfache Governance-Strukturen und interne Leitlinien aufbauen, ohne direkt in komplexe Zertifizierungslogiken einzusteigen. Ziel ist nicht Perfektion, sondern ein belastbarer Rahmen, der Entwicklung ermöglicht und gleichzeitig Risiken kontrollierbar hält.
Analysen, Beobachtungen und Hintergründe über die Frage, was sich durch KI in Unternehmen wirklich verändert. Kurz, prägnant, wöchentlich. Bald in deinem Postfach.