Das EU-KI-Gesetz fragt nicht, welches Tool Sie nutzen. Es fragt, wofür.

Der Denkfehler, den die meisten Unternehmen machen

Die meisten Unternehmen erfassen ihren KI-Einsatz nach Produkten. Welche Tools abonniert sind, welche Teams bereits damit arbeiten, welche Integrationen aktiv sind. Das klingt nach einem vernünftigen Compliance-Ansatz... bis man versteht, dass das EU-KI-Gesetz genau das nicht tut.

Das Gesetz fragt nicht, welches Tool Sie verwenden. Es fragt, was Sie damit tun.

Diese eine Unterscheidung ist der Punkt, an dem die meisten KI-Compliance-Strategien scheitern. Und mit dem vollständigen Inkrafttreten der Hochrisiko-Anforderungen im August 2026 wird der Abstand zwischen „wir setzen KI verantwortungsvoll ein" und dem tatsächlichen Wissen um die eigene Regulierungsstufe kleiner.

Vier Stufen, ein Prinzip

Das EU-KI-Gesetz unterteilt KI-Systeme in vier Risikostufen: verboten, hochriskant, eingeschränkt und minimal. Die verbotene Kategorie umfasst die erwartbaren Extremfälle... soziale Bewertungssysteme, manipulative Verhaltensbeeinflussung ohne Wissen der Nutzenden, Gesichtserkennung aus öffentlichen Kameras. Seit Februar dieses Jahres vollständig verboten.

Die drei Stufen darunter sind der Bereich, in dem sich die meisten Unternehmen tatsächlich bewegen.

Minimales Risiko umfasst den Großteil des alltäglichen KI-Einsatzes: E-Mails verfassen, Dokumente zusammenfassen, Blogbeiträge schreiben. Das Gesetz hat dazu nichts zu sagen. Keine Compliance-Pflichten, keine Registrierungsanforderungen.

Eingeschränktes Risiko fügt eine wesentliche Pflicht hinzu: Transparenz. Wer mit einem KI-System interagiert... einem Chatbot auf der Unternehmenswebsite, einem KI-generierten Bild... muss darüber informiert werden. Offenlegungspflicht, keine Genehmigungspflicht. In der Theorie eindeutig; in der Praxis oft unzureichend umgesetzt.

Hochrisiko bedeutet erhebliche Pflichten: Konformitätsbewertungen vor der Inbetriebnahme, dokumentierte menschliche Aufsicht, laufendes Monitoring und Registrierung in einer EU-Datenbank. Die vom Gesetz genannten Kategorien sind präzise: Beschäftigungs- und HR-Systeme, Kreditwürdigkeitsbewertung, Zugang zu Bildung und Gesundheitsversorgung, kritische Infrastruktur, Strafverfolgung, Gerichtsverfahren. Was sie verbindet: Konsequenz... es geht um Entscheidungen, die Berufsaussichten, finanziellen Zugang oder Gesundheitsergebnisse von Menschen direkt beeinflussen.

Verboten bedeutet Bußgelder bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Kein Einsatz, keine Ausnahmen.

Ein Unternehmen. Drei Produkte. Drei verschiedene Regulierungspositionen.

Nehmen wir ein mittelständisches Unternehmen, das KI in verschiedenen Teams einsetzt... ein Szenario, das vielen deutschen Mittelstandsunternehmen vertraut sein dürfte.

Das Marketing-Team nutzt ein KI-Schreibtool für Textentwürfe und Wettbewerbsrecherche. Minimales Risiko. Kein Handlungsbedarf.

Der Kundenservice betreibt einen Chatbot für die Erstbearbeitung von Anfragen. Eingeschränktes Risiko. Nutzende müssen wissen, dass sie mit einem KI-System kommunizieren... etwas, das gut entwickelte Produkte inzwischen standardmäßig tun, wenn auch mit unterschiedlicher Klarheit.

Die HR-Abteilung setzt ein KI-Tool ein, das Bewerbungsunterlagen filtert und Kandidaten bewertet, bevor ein Mensch sie überhaupt sieht. Hochrisiko. Das Gesetz nennt beschäftigungsbezogene KI-Systeme ausdrücklich in der Hochrisiko-Kategorie. Die daraus folgenden Pflichten... Dokumentation, Transparenz gegenüber betroffenen Personen, menschliche Aufsicht, Konformitätsbewertung... sind erheblich.

Gleiches Unternehmen. Gleiche allgemeine Position „wir nutzen KI-Tools." Drei völlig verschiedene Positionen im Gesetz. Wer das Enterprise-Abonnement abgeschlossen hat, weiß möglicherweise nicht, dass der dritte Anwendungsfall das gesamte Unternehmen in eine andere Regulierungsstufe gehoben hat.

Kredit und Gesundheit folgen demselben Muster. Eine Bank, die KI zur Beurteilung von Kreditanträgen oder zur Zinsfestsetzung einsetzt, bewegt sich in Hochrisiko-Territorium... nicht wegen der Modellsophistikation, sondern weil der Output etwas Wesentliches im Leben einer Person betrifft. Dabei spielt auch die DSGVO eine Rolle: Automatisierte Entscheidungsfindung mit erheblicher Auswirkung auf Personen unterliegt bereits nach Art. 22 DSGVO besonderen Anforderungen... das EU-KI-Gesetz kommt obendrauf, nicht stattdessen.

Die Deployer-Frage, die die meisten Unternehmen nicht stellen

Das Gesetz unterscheidet zwischen Anbietern... den Unternehmen, die KI-Systeme entwickeln... und Betreibern... den Organisationen, die sie einsetzen. Die öffentliche Compliance-Diskussion konzentriert sich meist auf die Anbieter: OpenAI, Google, Anthropic.

Aber auch Betreiber tragen echte Pflichten, insbesondere im Hochrisikobereich. Der Kauf eines konformen Produkts überträgt die Compliance nicht. Wie das Tool eingesetzt wird, welche menschliche Aufsicht tatsächlich existiert, ob betroffene Personen wissen, dass KI an Entscheidungen über sie beteiligt war... das liegt beim Betreiber, nicht beim Hersteller.

Wer ein handelsübliches Bewerbungsscreeningtool nutzt, erbt nicht die Compliance des Anbieters. Die Implementierungsverantwortung bleibt im Unternehmen. Das ist die Annahme, die vor August 2026 auf den Prüfstand gehört.

Die meisten Unternehmen erfassen KI-Nutzung nach Abonnements und Toolnamen. Das Gesetz erfasst nach Aufgabe, Daten, Entscheidung und wer von den Ergebnissen betroffen ist. Diese beiden Bestandsaufnahmen stimmen selten überein. In der Lücke zwischen ihnen entstehen die regulatorischen Überraschungen.

Wenn Sie Ihre KI-Anwendungsfälle vor dem Inkrafttreten der Durchsetzung den richtigen Stufen zuordnen möchten, sprechen Sie uns an. Wir arbeiten mit Operations- und Compliance-Teams genau daran.

Ursprünglich veröffentlicht auf Substack. Jetzt abonnieren.