AI Act Anwalt – KI im Unternehmen rechtssicher umsetzen

AI Act für Unternehmen – Anwalt erklärt, welche Umsetzungsprobleme bei KI-Compliance, Hochrisiko-Systemen, Dokumentation, Betreiberpflichten und DSGVO in der Praxis wirklich zählen.

Über den Autor

Max Hortmann ist Rechtsanwalt sowie Autor für juris, jurisPR-ITR und AZO.
Er publiziert regelmäßig zu Krypto-Betrug, digitaler Forensik, Bankhaftung und Plattformverantwortlichkeit.

In seiner anwaltlichen Praxis vertritt er Mandanten, die Opfer komplexer Online-Betrugsstrukturen geworden sind – insbesondere bei Fake-Broker-Systemen, Wallet-Angriffen und international verschleierten Geldflüssen.

Er trat unter anderem als Experte in BR24, Business Insider und WirtschaftsWoche auf und arbeitet derzeit an einem juristischen Handbuch zum Cybercrime-Recht.

LinkedIn-Profil

‍Weitere Einblicke in aktuelle Fälle, rechtliche Entwicklungen und forensische Analysen im Bereich Krypto-Betrug finden Sie auf meinem LinkedIn-Profil.

Einleitung: Warum der AI Act für Unternehmen schon jetzt praktisch relevant ist

Viele Unternehmen sprechen über künstliche Intelligenz noch in Kategorien der Innovation, Effizienz und Automatisierung. Rechtlich reicht dieser Blick längst nicht mehr aus. Mit dem AI Act ist ein eigenständiger europäischer Regulierungsrahmen entstanden, der nicht nur Anbieter von KI-Systemen betrifft, sondern auch Unternehmen, die solche Systeme einsetzen, anpassen, einkaufen oder in sensible Prozesse integrieren.

Für die Praxis ist entscheidend: Die Umsetzung des AI Act scheitert selten an der schlichten Kenntnis, dass es neue Regeln gibt. Sie scheitert meist daran, dass Unternehmen zu spät erkennen, wie tief der Regulierungsrahmen in bestehende Geschäftsprozesse eingreift. Wer KI im Personalbereich, in internen Kontrollsystemen, in Kundenbewertung, im Finanzbereich, im Monitoring, in Entscheidungsunterstützung oder in der Analyse großer Datenmengen einsetzt, muss nicht nur prüfen, ob die Anwendung technisch funktioniert. Er muss vor allem klären, ob und wie diese Anwendung rechtlich überhaupt eingeordnet wird.

Gerade das ist der erste große Engpass. Viele Unternehmen wissen nicht sicher, ob eine konkrete Softwarelösung bereits ein KI-System im Sinne des AI Act ist. Noch weniger klar ist häufig, ob der konkrete Einsatz als Hochrisiko-Konstellation zu behandeln ist oder „nur“ begrenzte Transparenzpflichten auslöst. Genau an dieser Stelle beginnt der eigentliche Subsumtionsaufwand.

Die praktische Folge ist erheblich: Ohne saubere Einordnung gibt es keine belastbare Compliance. Ohne belastbare Compliance entstehen Risiken bei Dokumentation, Freigabe, Überwachung, Datenschutz, Verantwortlichkeit und später auch bei Haftung und Aufsicht. Das Thema ist deshalb nicht nur juristisch relevant, sondern organisatorisch und wirtschaftlich.

Wenn Sie KI-Systeme im Unternehmen einsetzen oder deren Einführung planen, sollte die Frage nicht lauten, ob Sie sich irgendwann mit dem AI Act beschäftigen müssen. Die richtige Frage lautet: Ist Ihre Organisation heute schon in der Lage, KI rechtlich sauber zu klassifizieren, intern kontrolliert zu steuern und gegenüber Aufsicht, Geschäftspartnern oder Gerichten nachvollziehbar zu dokumentieren?

Wenn Sie hierzu eine erste rechtliche Einordnung wünschen, erreichen Sie mich direkt unter 0160 9955 5525.

Der erste Praxisfehler: Unternehmen setzen KI ein, bevor sie wissen, was sie regulatorisch einsetzen

In der Unternehmenspraxis beginnt die Problematik meist nicht mit einem Bußgeld und auch nicht mit einer behördlichen Anfrage. Sie beginnt deutlich früher – nämlich in dem Moment, in dem einzelne Abteilungen KI-Werkzeuge nutzen, beschaffen oder testen, ohne dass vorab eine belastbare rechtliche Vorprüfung stattgefunden hat.

Das geschieht oft schleichend. HR testet automatisierte Vorauswahl. Compliance nutzt Analyse- und Clustering-Tools. Vertrieb und Marketing arbeiten mit generativen Anwendungen. Interne Fachbereiche beschaffen cloudbasierte Systeme, weil sie schnell verfügbar sind und operative Probleme lösen. Was auf der Ebene einzelner Teams effizient erscheint, ist auf Unternehmensebene rechtlich häufig unstrukturiert.

Genau hier liegt die erste Schwäche. Der AI Act knüpft nicht an das subjektive Verständnis eines Unternehmens an, sondern an die objektive Funktionsweise des Systems und an dessen konkreten Einsatz. Entscheidend ist daher nicht, wie das Produkt im Haus bezeichnet wird, sondern ob es tatsächlich aus Eingaben Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen ableitet und damit reale oder virtuelle Umgebungen beeinflusst.

Für die Praxis heißt das: Unternehmen brauchen zuerst eine belastbare Bestandsaufnahme. Welche Systeme sind überhaupt im Einsatz? Welche Funktionen werden genutzt? Welche Entscheidungen oder Vorbewertungen werden durch die Anwendung vorbereitet oder beeinflusst? Welche Daten werden verarbeitet? Wer ist intern für Freigabe, Nutzung und Überwachung verantwortlich?

Wer diese Fragen nicht frühzeitig beantwortet, schafft regelmäßig kein beherrschbares KI-Setup, sondern eine Mischung aus Einzellösungen, Verantwortungsdiffusion und spätem Reparaturbedarf. Das ist gerade deshalb gefährlich, weil spätere Verteidigung, Dokumentation und Risikobewertung immer an der tatsächlichen Nutzung ansetzen.

Die eigentliche Schlüsselstelle: Warum die Risikoeinstufung über fast alles entscheidet

Der zweite große Umsetzungsengpass liegt in der Risikoklassifizierung. Für Unternehmen ist diese Frage zentral, weil sich mit ihr entscheidet, ob nur punktuelle Transparenzanforderungen greifen oder ob die Anwendung in einen Regulierungsbereich fällt, der deutlich höhere Anforderungen an Aufbau, Kontrolle und Dokumentation stellt.

Besonders relevant ist das bei Hochrisiko-KI. Denn dort verändern sich die Anforderungen nicht graduell, sondern strukturell. Wer ein System in hochsensiblen Bereichen nutzt, muss nicht nur über die technische Leistung des Systems sprechen, sondern über Datenqualität, menschliche Aufsicht, Nachvollziehbarkeit, Robustheit, Protokollierung, Cybersicherheit und konsistente organisatorische Kontrolle.

In der Praxis wird diese Einstufung häufig unterschätzt. Viele Unternehmen gehen davon aus, dass eine Anwendung schon deshalb unkritisch sei, weil am Ende formal noch ein Mensch „draufschaut“. Rechtlich genügt das nicht automatisch. Entscheidend ist vielmehr, ob das System im konkreten Prozess eine wesentliche Bewertungs-, Steuerungs- oder Entscheidungsvorbereitung übernimmt und welche Auswirkungen dies auf betroffene Personen oder sensible Unternehmensbereiche hat.

Gerade im Personalbereich zeigt sich das besonders deutlich. Wer KI nutzt, um Bewerbungen zu sortieren, Personenprofile zu bewerten, Leistungsdaten zu strukturieren oder Handlungsempfehlungen für arbeitsrelevante Entscheidungen zu erzeugen, berührt einen Bereich, in dem die Regulierung typischerweise deutlich strenger wird. Gleiches gilt im Finanzbereich, bei Risiko- und Scoring-Anwendungen sowie überall dort, wo Grundrechtsbezüge, sensible Rechtsgüter oder erhebliche Fehlentscheidungsrisiken im Raum stehen.

Das zentrale Problem ist dabei nicht der abstrakte Gesetzestext, sondern seine Anwendung auf reale Prozesse. Die gleiche technische Funktion kann je nach Einsatzkontext anders zu bewerten sein. Deshalb reicht eine allgemeine Produktbeschreibung nicht aus. Es braucht eine Einzelfallprüfung, die technische Funktionsweise, tatsächliche Einbindung, menschliche Kontrolle und potenzielle Auswirkungen zusammenführt.

Dokumentation und Governance: Warum viele Unternehmen nicht an der KI, sondern an ihrer Organisation scheitern

Viele Unternehmen denken bei AI-Act-Compliance zunächst an Pflichten gegenüber Aufsichtsbehörden oder an technische Nachweise. Das greift zu kurz. Das eigentliche Risiko liegt oft nicht in der einzelnen Norm, sondern in der internen Organisation.

KI-Compliance funktioniert nur, wenn Zuständigkeiten, Prüfpfade und Dokumentationsstandards klar geregelt sind. Es muss intern nachvollziehbar sein, wer ein System identifiziert, wer seine Funktionen beschreibt, wer den Einsatz rechtlich bewertet, wer Datenschutzfragen einbindet, wer Hochrisiko-Konstellationen prüft, wer Freigaben erteilt und wer spätere Änderungen oder Vorfälle überwacht.

Fehlt diese Struktur, entstehen typische Brüche. Die IT kennt den Rechtsrahmen nur ausschnittsweise. Legal erhält die technischen Informationen zu spät. Einkauf beschafft Systeme auf Basis vertraglicher Zusicherungen des Anbieters, ohne deren tatsächliche Reichweite zu prüfen. Datenschutz wird nur punktuell einbezogen. Compliance reagiert erst dann, wenn bereits operative Nutzung stattfindet.

Genau an diesem Punkt wird aus einer technisch funktionierenden Lösung ein regulatorisches Risiko. Denn rechtssichere KI-Nutzung verlangt nicht nur Kenntnis des Systems, sondern Nachweisbarkeit der internen Kontrolle. Dokumentation ist deshalb keine bloße Formalie, sondern die Grundlage jeder späteren Verteidigung. Unternehmen müssen nicht nur erklären können, was ein System tut. Sie müssen auch erklären können, warum sie es so eingeordnet, so freigegeben und so überwacht haben, wie es tatsächlich geschehen ist.

Besonders wichtig ist das deshalb, weil viele rechtliche Konflikte nicht unmittelbar bei der Einführung entstehen, sondern erst später: bei Beschwerden, internen Prüfungen, aufsichtsrechtlichen Rückfragen, arbeitsrechtlichen Konflikten oder Schadensfällen. In all diesen Situationen entscheidet regelmäßig die Qualität der vorbereitenden Dokumentation darüber, ob ein Unternehmen seine Position überhaupt plausibel machen kann.

‍

Schulung, Freigabe, Kontrolle: Warum KI-Kompetenz im Unternehmen funktional verankert werden muss

Die Umsetzung des AI Act erschöpft sich nicht in Richtlinien. Sie verlangt, dass die handelnden Personen im Unternehmen die Systeme, ihre Grenzen und ihre rechtliche Relevanz tatsächlich verstehen.

Das ist in der Praxis oft nicht der Fall. KI wird zunehmend in operativen Bereichen eingesetzt, die fachlich stark, aber regulatorisch nicht spezialisiert arbeiten. Gerade deshalb entstehen typische Fehlannahmen: Das System sei „nur unterstützend“, Entscheidungen träfen „immer noch Menschen“, der Anbieter werde schon compliant sein oder die Nutzung sei unkritisch, solange intern keine Beschwerden vorliegen.

Solche Annahmen reichen nicht. Wer KI auswählt, freigibt, einführt, konfiguriert oder anwendet, muss in der Lage sein, Warnsignale zu erkennen und Eskalationswege einzuhalten. Schulung ist deshalb keine kosmetische Ergänzung, sondern funktionaler Bestandteil jeder belastbaren Umsetzung. Es geht nicht um abstrakte Sensibilisierung, sondern um rollenspezifische Kompetenz.

Ein Unternehmen, das KI ernsthaft rechtssicher einsetzen will, muss deshalb nicht nur Regeln formulieren, sondern Wissen verankern. Dazu gehören klare Freigabeprozesse, Schulungen der relevanten Bereiche und eine laufende Beobachtung technischer und regulatorischer Entwicklungen. Gerade weil sich beides dynamisch weiterentwickelt, genügt eine einmalige Einführung regelmäßig nicht.

Warum Mandanten mich mit AI-Act-Fragen zur KI-Umsetzung beauftragen

Unternehmen brauchen beim AI Act regelmäßig keinen allgemeinen Überblick, sondern eine konkrete juristische Übersetzung in ihre eigene Struktur. Genau dort liegt der anwaltliche Mehrwert. Es geht nicht nur darum, den Gesetzestext zu kennen, sondern ihn auf reale Prozesse, Zuständigkeiten, Datenflüsse und Haftungsrisiken anzuwenden.

Ich arbeite an der Schnittstelle von Plattformverantwortlichkeit, Haftungsstruktur, datenbezogener Anspruchsdurchsetzung und digitaler Forensik. Gerade diese Perspektive ist für Unternehmen wichtig, die KI nicht nur als Innovationsthema, sondern als Teil regulierter, dokumentationspflichtiger und potenziell streitiger Prozesse begreifen müssen.

In meiner Arbeit steht daher nicht die abstrakte Frage im Vordergrund, ob der AI Act „irgendwie relevant“ ist. Entscheidend ist, wie ein Unternehmen seine Systeme konkret einordnet, welche regulatorischen Pflichten tatsächlich greifen, welche Kontroll- und Freigabestrukturen erforderlich sind und wie die Organisation so aufgebaut werden muss, dass sie den Einsatz von KI im Konfliktfall auch rechtlich erklären und verteidigen kann.

Viele Mandate beginnen genau an der Stelle, an der Unternehmen bereits KI einsetzen, aber feststellen, dass ihnen eine belastbare rechtliche Struktur fehlt. Dann geht es regelmäßig um die Einordnung konkreter Systeme, die Prüfung möglicher Hochrisiko-Konstellationen, die Verzahnung mit der DSGVO, die Ausgestaltung interner Governance und die Frage, wie spätere Haftungs- und Aufsichtsrisiken reduziert werden können.

Was Unternehmen jetzt konkret tun sollten

Wer KI-Systeme einsetzt oder deren Einsatz vorbereitet, sollte nicht erst auf Leitlinien, Beschwerden oder Vorfälle warten. Erforderlich ist ein frühes, strukturiertes Vorgehen.

Am Anfang steht die vollständige Erfassung der eingesetzten oder geplanten Systeme. Daran muss sich eine juristisch-technische Vorprüfung anschließen, die Funktionsweise, Verwendungszweck, Datenbezug, Risikoklasse und Entscheidungsrelevanz sauber einordnet. Auf dieser Grundlage können Zuständigkeiten, Freigabepfade, Dokumentationsanforderungen und Kontrollmechanismen aufgebaut werden.

Ebenso wichtig ist die Verzahnung mit Datenschutz und interner Compliance. KI darf nicht isoliert durch einzelne Abteilungen eingeführt werden. Wer dies doch zulässt, riskiert genau jene strukturellen Lücken, die später zu Aufsichtsproblemen, Dokumentationsdefiziten und Haftungsfragen führen.

Wenn Sie unsicher sind, ob Ihre derzeit eingesetzten Systeme bereits AI-Act-relevant sind oder ob Ihre Organisation die nötige Struktur für eine rechtssichere KI-Nutzung hat, kann ich die Ausgangslage kurzfristig einordnen und die relevanten Prüfpfade mit Ihnen aufbauen.

Sie erreichen mich direkt unter 0160 9955 5525.

Großes FAQ: AI Act im Unternehmen rechtssicher umsetzen

Was ist für Unternehmen die größte Schwierigkeit bei der Umsetzung des AI Act?
Die größte Schwierigkeit liegt meist nicht in einzelnen Pflichten, sondern in der vorgelagerten Einordnung. Unternehmen müssen zunächst klären, ob eine konkrete Anwendung überhaupt als KI-System einzustufen ist und ob der konkrete Einsatz in einen besonders regulierten Bereich fällt.

Wann ist eine Software im Unternehmen ein KI-System im Sinne des AI Act?
Das hängt nicht von der Bezeichnung des Produkts ab, sondern von seiner tatsächlichen Funktionsweise. Maßgeblich ist, ob das System aus Eingaben Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen ableitet und damit reale oder virtuelle Umgebungen beeinflusst.

Warum ist die Hochrisiko-Einstufung so wichtig?
Weil sie über den Umfang der Pflichten entscheidet. Mit der Einordnung als Hochrisiko-KI steigen die Anforderungen an Dokumentation, Daten-Governance, menschliche Aufsicht, Robustheit, Cybersicherheit und organisatorische Kontrolle erheblich.

Sind HR-Systeme besonders kritisch?
Ja, häufig. Systeme zur Bewerberauswahl, Bewertung von Personen, Leistungsanalyse oder anderen entscheidungsnahen Funktionen im Beschäftigungskontext können besonders regulierungsintensiv sein.

Reicht es aus, wenn am Ende noch ein Mensch entscheidet?
Nicht automatisch. Eine formale menschliche Beteiligung genügt nicht immer. Entscheidend ist, welche tatsächliche Rolle das KI-System im Gesamtprozess spielt und ob der Mensch eine echte, substanzielle Kontrolle ausübt.

Kann ein Unternehmen AI-Act-Compliance einfach über seine Datenschutzprozesse lösen?
Nein. AI Act und DSGVO laufen nebeneinander. Datenschutzprozesse sind wichtig, ersetzen aber nicht die eigenständigen Einordnungs-, Dokumentations- und Governance-Pflichten des AI Act.

Welche Abteilungen müssen in die Umsetzung einbezogen werden?
Typischerweise Legal, Compliance, Datenschutz, IT, Einkauf, Geschäftsleitung und die jeweils fachlich verantwortlichen Bereiche. Gerade weil KI oft dezentral eingeführt wird, ist eine zentrale Steuerung besonders wichtig.

Warum ist Dokumentation beim AI Act so wichtig?
Weil sie im Konfliktfall den Unterschied macht. Unternehmen müssen nachvollziehbar darlegen können, wie sie ein System eingeordnet, freigegeben, überwacht und in ihre Organisation eingebettet haben.

Braucht jedes Unternehmen eine eigene KI-Governance?
Wer KI nicht nur punktuell, sondern strukturiert nutzt, braucht jedenfalls klare Zuständigkeiten, Freigabepfade, Dokumentationsstandards und Kontrollmechanismen. Ohne diese Struktur bleibt KI-Nutzung regulatorisch angreifbar.

Wann sollte ein Anwalt für AI-Act-Compliance eingeschaltet werden?
Möglichst früh – idealerweise vor Einführung oder Ausweitung des KI-Einsatzes. Spätere Korrekturen sind regelmäßig teurer, aufwendiger und rechtlich riskanter als eine frühe Strukturierung.

Fazit: Der AI Act verlangt echte Organisationsarbeit

Der AI Act ist für Unternehmen kein bloßes Rechtsupdate, sondern ein Strukturthema. Wer KI im Unternehmen nutzt, muss nicht nur technische Fragen beantworten, sondern den Einsatz rechtlich einordnen, organisatorisch kontrollieren und dokumentarisch absichern.

Die eigentliche Herausforderung liegt dabei weniger in spektakulären Einzelfällen als in der alltäglichen Umsetzung: Welche Systeme werden eingesetzt? Wer bewertet sie? Welche Risikoklasse greift? Welche Daten fließen ein? Welche Freigabeschritte sind erforderlich? Welche menschliche Kontrolle ist tatsächlich vorhanden? Wie wird dokumentiert? Und wie wird auf neue regulatorische Entwicklungen reagiert?

Wer diese Fragen früh sauber beantwortet, reduziert nicht nur spätere Haftungs- und Aufsichtsrisiken. Er schafft auch die Voraussetzung dafür, KI im Unternehmen überhaupt belastbar und verantwortbar einsetzen zu können.

Wenn Sie prüfen möchten, ob Ihre Organisation für den AI Act bereits tragfähig aufgestellt ist, oder wenn Sie konkrete KI-Systeme rechtlich einordnen lassen wollen, können Sie mich direkt kontaktieren – telefonisch unter 0160 9955 5525oder über das Kontaktformular.

‍

‍

AI Act & KI-Recht – Leitfäden im Überblick

Die folgenden Beiträge bilden eine geschlossene Struktur zum AI Act – von der Einordnung einzelner KI-Systeme über Hochrisiko-Klassifizierung und Datenschutz bis hin zu Haftung, Bußgeldern und spezifischen Fragestellungen im Bereich Krypto-Betrug und KI-gestützter Täuschung.

1. Grundlagen der AI-Act-Umsetzung

AI Act Anwalt: Wann ist KI überhaupt reguliert?
https://www.hortmannlaw.com/articles/ai-act-anwalt-wann-ist-ki-reguliert
Die zentrale Vorfrage: Wann fällt eine Softwarelösung unter den AI Act – und wann nicht? Maßgeblich für alle weiteren Pflichten.

2. Hochrisiko-KI und regulatorische Anforderungen

AI Act Anwalt: Hochrisiko-KI im Unternehmen richtig einstufen
https://www.hortmannlaw.com/articles/ai-act-anwalt-hochrisiko-ki-unternehmen
Die Einordnung als Hochrisiko-KI entscheidet über den gesamten Compliance-Aufwand. Darstellung der maßgeblichen Kriterien und Folgen.

AI Act Anwalt: KI und DSGVO im Unternehmen
https://www.hortmannlaw.com/articles/ai-act-anwalt-dsgvo-ki-unternehmen
Zusammenspiel von AI Act und DSGVO: Datenverarbeitung, Transparenzpflichten und Grenzen automatisierter Entscheidungen.

AI Act Anwalt: Haftung, Bußgeld und KI-Governance
https://www.hortmannlaw.com/articles/ai-act-anwalt-haftung-bussgeld-ki-governance
Haftungsrisiken, Organisationspflichten und Bußgeldrahmen. Warum KI-Governance zwingend auf Leitungsebene verankert werden muss.

3. Krypto-Betrug, Love Scam und KI

AI Act Anwalt: Einfluss auf Krypto Betrug, Love Scam und Romance Scam
https://www.hortmannlaw.com/articles/ai-act-anwalt-krypto-betrug-love-scam-romance-scam
Einordnung des AI Act im Kontext klassischer Betrugsdelikte. Der Einfluss ist mittelbar, aber strukturell relevant.

AI Act Anwalt: Manipulative KI bei Krypto Betrug und Love Scam
https://www.hortmannlaw.com/articles/ai-act-anwalt-manipulative-ki-krypto-betrug-love-scam-deepfakes
Deepfakes, automatisierte Kommunikation und gezielte Täuschung: Wann KI-gestützte Manipulation unter den AI Act fällt.

AI Act Anwalt: Krypto Betrug, Finanz-Compliance und Hochrisiko-KI
https://www.hortmannlaw.com/articles/ai-act-anwalt-krypto-betrug-finanz-compliance-hochrisiko-ki
Bedeutung des AI Act für Banken, Finanzinstitute und Krypto-nahe Systeme: Monitoring, Betrugsprävention und regulatorische Pflichten.

‍