Inhaltsverzeichnis
Viele Unternehmen setzen KI längst ein, ohne die regulatorische Seite geklärt zu haben. Mit dem EU AI Act gibt es erstmals einen umfassenden Rechtsrahmen für Künstliche Intelligenz in Europa und er betrifft nicht nur die Hersteller von KI, sondern ausdrücklich auch die Unternehmen, die sie nutzen. Wer LLMs einsetzt, sollte deshalb wissen, welche Pflichten daraus entstehen, bevor eine Prüfung oder ein Vorfall die Frage aufwirft.
Dieser Beitrag ordnet die wichtigsten Punkte verständlich ein und zeigt, wie sich die Anforderungen pragmatisch erfüllen lassen. Er vertieft den Überblick aus LLM-Risiken im Unternehmen und ergänzt die Datenschutzsicht aus Datenschutz und LLMs.
Das Grundprinzip: Regulierung nach Risiko
Der EU AI Act ordnet Anwendungen nach ihrem Risiko ein und knüpft daran die Pflichten.
Grob gibt es drei Ebenen: verbotene Praktiken, die gar nicht zulässig sind, Hochrisiko-Anwendungen mit strengen Auflagen, etwa in sensiblen Bereichen wie Personalauswahl oder Kreditvergabe und Anwendungen mit geringerem Risiko, für die vor allem Transparenzpflichten gelten. Entscheidend ist der konkrete Einsatzzweck, nicht die Technologie an sich. Dasselbe Modell kann in einem Fall unkritisch und in einem anderen hochreguliert sein.
Was das für den typischen LLM-Einsatz bedeutet
Für die meisten Unternehmensanwendungen stehen Transparenz und Dokumentation im Vordergrund.
Ein LLM, das Texte zusammenfasst, Angebote vorformuliert oder im Kundenservice unterstützt, fällt in der Regel nicht in die Hochrisiko-Kategorie. Trotzdem gilt: Nutzer sollten wissen, wenn sie mit KI interagieren und das Unternehmen sollte dokumentieren können, wofür KI genutzt wird und wie sie zu ihren Ergebnissen kommt. Sobald es Richtung Personal, Bonität oder andere sensible Entscheidungen geht, kommen strengere Anforderungen hinzu.
Die zentralen Pflichten im Überblick
Drei Aufgaben sollten Unternehmen frühzeitig angehen, statt sie auf eine Prüfung warten zu lassen.
| Pflicht | Inhalt |
|---|---|
| Einordnung | Anwendungsfälle nach Risiko klassifizieren |
| Transparenz | kenntlich machen, wo KI im Einsatz ist |
| Dokumentation | Funktionsweise und Datenflüsse nachvollziehbar festhalten |
Diese drei Punkte klingen bürokratisch, sind aber vor allem eine Frage des Überblicks: Wer weiß, welche KI wofür genutzt wird und wie sie arbeitet, hat den Großteil bereits erfüllt.
Warum Kontrolle die Einhaltung erleichtert
Nachweise gelingen leichter, wenn das System kein undurchsichtiger externer Dienst ist.
Bei einem öffentlichen Dienst sind weder die Datenflüsse noch das Modellverhalten vollständig bekannt, was jeden Nachweis erschwert. In einer kontrollierten oder lokal betriebenen Umgebung ist dagegen dokumentiert, welche Daten wohin fließen und wie das Modell eingebunden ist. Das vereinfacht sowohl die Anforderungen des EU AI Act als auch die DSGVO-Nachweise. Wie eine solche Lösung aussieht, beschreiben wir in Sichere KI für Unternehmen. Für den speziellen Fall der Softwareentwicklung siehe Compliance beim KI-Einsatz in der Entwicklung.
Typische Fehler bei der Einordnung
Die meisten Versäumnisse entstehen nicht aus bösem Willen, sondern aus fehlendem Überblick.
Ein häufiger Fehler ist, KI nur dort zu vermuten, wo ein sichtbarer Chatbot im Einsatz ist. Tatsächlich stecken Sprachmodelle heute in vielen Werkzeugen: in der Textkorrektur, in der Suche, in Analysefunktionen von Standardsoftware. Wird dieser Einsatz nicht erfasst, fehlt er auch in der Dokumentation. Ein zweiter Fehler ist die pauschale Annahme, ein Anwendungsfall sei unkritisch, ohne den konkreten Zweck zu prüfen. Ob ein Modell Texte zusammenfasst oder Bewerbungen vorsortiert, macht regulatorisch einen großen Unterschied. Der dritte, oft unterschätzte Punkt ist die sogenannte Schatten-KI: Wenn Mitarbeiter eigenmächtig öffentliche Dienste nutzen, entsteht ein Einsatz, den niemand einordnen oder dokumentieren kann. Wie sich das eindämmen lässt, beschreiben wir in Schatten-KI im Unternehmen.
So gehen Unternehmen praktisch vor
Der Einstieg gelingt am besten über ein einfaches Verzeichnis des tatsächlichen KI-Einsatzes.
Sinnvoll ist, zunächst alle Anwendungsfälle zu sammeln: Wo wird KI genutzt, mit welchen Daten, für welchen Zweck und mit welchen Folgen für Betroffene. Aus dieser Liste ergibt sich fast von selbst, welche Fälle unkritisch sind und welche genauer betrachtet werden müssen. Danach folgt die Einordnung nach Risiko, anschließend die Festlegung, wer für welchen Fall verantwortlich ist. Erst zuletzt geht es um zusätzliche Auflagen für die wenigen sensiblen Anwendungen. Dieses Vorgehen hält den Aufwand klein und schafft zugleich die Nachweise, die eine Prüfung verlangt. Eng damit verbunden ist die Frage der Datenhoheit, denn wer weiß, wo seine Daten liegen, kann auch belegen, wie sie verarbeitet werden, siehe Datenhoheit und souveräne KI.
Wie Aliru unterstützt
Wir richten den KI-Einsatz so ein, dass er die Anforderungen des EU AI Act erfüllt und dokumentierbar bleibt.
Von der Einordnung der Anwendungsfälle über die Transparenz gegenüber Nutzern bis zur nachvollziehbaren Dokumentation sorgen wir dafür, dass Sie KI rechtssicher nutzen und die Kontrolle behalten. Sprechen Sie mit uns über einen konformen KI-Einsatz.
Häufig gestellte Fragen
Betrifft der EU AI Act auch normale Unternehmen?

Ja. Der EU AI Act betrifft nicht nur KI-Hersteller, sondern auch Unternehmen, die KI einsetzen. Je nach Anwendungsfall gelten Pflichten zu Transparenz, Dokumentation und Risikobewertung.
Wie ordnet der EU AI Act KI-Anwendungen ein?

Nach Risiko. Es gibt verbotene Praktiken, Hochrisiko-Anwendungen mit strengen Auflagen und Anwendungen mit geringerem Risiko, für die vor allem Transparenzpflichten gelten. Die Einordnung hängt vom konkreten Einsatz ab.
Was müssen Unternehmen konkret tun?

Den eigenen KI-Einsatz einordnen, dokumentieren, wie und wofür KI genutzt wird und je nach Risikoklasse zusätzliche Pflichten erfüllen. Wichtig ist, nachweisen zu können, wie das System arbeitet.
Wie erleichtert eine kontrollierte Lösung die Einhaltung?

Weil Datenflüsse und Modellverhalten bekannt und dokumentierbar sind. Eine undurchsichtige Blackbox erschwert den Nachweis, eine kontrollierte oder lokale Lösung macht ihn deutlich einfacher.
Inhaltsverzeichnis
Sie haben Fragen zu Dynamics 365?
Wir haben die Antworten.
Vereinbaren Sie einfach ein unverbindliches Erstgespräch mit einem Dynamics-Experten.
Termin vereinbaren




















