KI-Regulierung ist kein reines IT-Thema – auch Nachhaltigkeitsabteilungen sind vom EU AI Act betroffen. In diesem Talk der Reihe „Sustainability x AI“ diskutieren Janika Ofterdinger (Nextra Consulting GmbH) und Bengt Petersen (Partner und Rechtsanwalt, Front Wing Litigation), was der AI Act konkret bedeutet, welche Irrtümer in der Praxis häufig auftauchen und wie Unternehmen strukturiert vorgehen können.
Was der AI Act regelt – und warum er auch Nicht-Tech-Unternehmen betrifft
Der EU AI Act ist die weltweit erste umfassende KI-Verordnung und gilt als EU-Verordnung direkt in allen Mitgliedstaaten, ohne nationale Umsetzung. Anders als die DSGVO, die den Umgang mit personenbezogenen Daten regelt, steht beim AI Act das KI-System selbst im Mittelpunkt: welches System für welchen Zweck unter welchen Bedingungen eingesetzt werden darf. Pflichten treffen dabei nicht nur Entwickler von KI-Modellen, sondern auch Betreiber – also Unternehmen und unter Umständen sogar einzelne Mitarbeitende, die KI-Anwendungen im beruflichen Kontext nutzen.
Vier Risikoklassen – und wo Nachhaltigkeitsteams aufpassen sollten Typische Fehleinschätzungen in der Praxis
Der AI Act folgt einem risikobasierten Ansatz mit vier Kategorien: verbotene Anwendungen, Hochrisiko-KI, begrenzte Risiko-KI und minimales Risiko. Für Nachhaltigkeitsteams sind vor allem zwei Bereiche relevant: der Einsatz von KI im HR-Kontext – etwa automatisiertes Bewerberscreening oder Leistungsbeurteilung – fällt in die Hochrisiko-Kategorie. Auch KI-gestützte Kreditwürdigkeitsprüfungen auf Basis von ESG-Kriterien könnten darunter fallen, da der entsprechende Anhang des AI Acts nicht auf natürliche Personen beschränkt ist. Darüber hinaus gilt für Chatbots im Stakeholder-Kontext eine Transparenzpflicht: Es muss klar erkennbar sein, dass keine natürliche Person antwortet.
Typische Fehleinschätzungen in der Praxis
Ein verbreiteter Irrtum ist die Annahme, dass nur speziell beschaffte KI-Systeme unter den AI Act fallen. Tatsächlich können auch gängige Large Language Models wie ChatGPT, Copilot oder Claude – je nach Anwendungsfall – als Hochrisiko-KI eingestuft werden. Ein weiteres Risiko ist die sogenannte Schatten-KI: Wenn Mitarbeitende KI-Anwendungen ohne Wissen der Unternehmensleitung einsetzen, können sie selbst zum Betreiber einer Hochrisiko-KI werden – mit entsprechenden Pflichten und Bußgeldrisiken. Auf Anbieter-Zusicherungen zur AI Act-Konformität sollte man sich dabei nicht blind verlassen.
Timeline und konkrete Vorbereitung
Der AI Act ist seit Mitte 2024 in Kraft; die Pflicht zur KI-Kompetenz gilt bereits seit Februar 2025 und betrifft jedes Unternehmen, das KI einsetzt. Die umfangreichen Pflichten für Hochrisiko-KI (Anhang 3) wurden auf Dezember 2027 verschoben. Bengt Petersen empfiehlt, jetzt mit einem KI-Inventar zu beginnen: welche Anwendungen sind im Einsatz, in welche Risikoklasse fallen sie? Compliance-Strukturen sollten dabei mit bestehenden Datenschutzprozessen verknüpft werden, um Doppelarbeit zu vermeiden. Neue KI-Anwendungen sollten von Anfang an in diese Systematik eingeordnet und Anbieterverträge auf Betreiberpflichten geprüft werden.
Das lernen Sie im Talk
- den AI Act vom Grundansatz her einordnen – risikobasiert, direkt anwendbar, parallel zur DSGVO
- welche Risikoklassen es gibt und welche Use Cases auch Nachhaltigkeitsteams konkret betreffen können
- typische Fehleinschätzungen erkennen: Schatten-KI, Anbieter-Compliance und der Betreiberbegriff
- was seit Februar 2025 bereits gilt und wie die Zeitlinie bis Dezember 2027 aussieht
- wie ein erster Vorbereitungsplan aussieht: KI-Inventar, Risikoklassifizierung, Governance und Vertragscheck
Alle künftigen und vergangenen Webinare finden Sie auf: nextra-consulting.com/webinare. Mehr zu unseren KI-Services finden Sie hier.
