Der EU AI Act ist kein Innovationskiller – er gibt Unternehmen Orientierung, KI verantwortungsvoll und regelkonform einzusetzen.
Dr. Patrick Gilroy
Head of AI & Education
TÜV-Verband
Dr. Patrick Gilroy

#6EU AI Act entmystifiziert: Wie Unternehmen richtig mit der KI-Verordnung umgehen

Anhören
0:00
0:00
SpotifyApple

Intro

Der EU AI Act ist seit August 2024 in Kraft – doch was bedeutet das konkret für Unternehmen, Startups und KI-Anwender? In dieser Episode spricht Felix mit Dr. Patrick Gilroy, Head of Artificial Intelligence und Education beim TÜV-Verband, über Europas ambitioniertestes Regelwerk für künstliche Intelligenz. Patrick erklärt den risikobasierten Ansatz der Verordnung, räumt mit Missverständnissen auf und zeigt, warum die Anforderungen für die meisten Unternehmen überschaubarer sind als befürchtet. Zudem gibt er konkrete Handlungsempfehlungen, wie sich Unternehmen jetzt aufstellen sollten – und warum Compliance by Design der Schlüssel zum Wettbewerbsvorteil sein kann.

Inhaltsübersicht

  • Der EU AI Act als horizontales Regelwerk für vertrauenswürdige KI in Europa und seine Ziele
  • Der risikobasierte Ansatz: Von unregulierten Anwendungen bis zu verbotenen KI-Systemen
  • Unterschiede zwischen KI-Herstellern, Anbietern und Betreibern – wer welche Pflichten hat
  • Praktische Tools zur Selbsteinschätzung: AI Act Explorer und TÜV AI Act Risk Navigator
  • Warum der AI Act nicht zwangsläufig Innovation hemmt und wie der "Brussels Effect" wirkt
  • Gestaffelte Übergangsfristen: Welche Anforderungen wann in Kraft treten
  • Compliance by Design als Wettbewerbsvorteil statt Innovationsbremse
  • Konkrete Handlungsschritte für Anwenderunternehmen
  • Die Rolle des TÜV bei der Prüfung von KI-Systemen und der eigene KI-Einsatz
  • Das TÜV AI Lab als agiles Startup innerhalb der TÜV-Struktur
  • KI-Weiterbildungsbedarfe und die Bedeutung von AI Literacy

Über den Gast

Dr. Patrick Gilroy ist Head of Artificial Intelligence und Education beim TÜV-Verband in Berlin. In dieser Rolle hat er das Gesetzgebungsverfahren zum EU AI Act maßgeblich begleitet und vertritt die Interessen der TÜV-Organisationen in der Digitalpolitik. Der TÜV-Verband ist die gemeinsame Interessenvertretung der verschiedenen TÜV-Organisationen (TÜV Nord, TÜV Süd, TÜV Rheinland und weitere), die zwar untereinander im Wettbewerb stehen, aber über den Verband gemeinsame Standards und politische Positionen entwickeln. Neben künstlicher Intelligenz verantwortet Patrick auch den Bereich Weiterbildung – eine logische Kombination, da der AI Act umfangreiche Qualifizierungsbedarfe schafft, etwa für KI-Beauftragte oder im Bereich Human Oversight. Mit den TÜV-Akademien gehört der TÜV zu den größten privaten Weiterbildungsanbietern in Deutschland und schult jährlich Hunderttausende Menschen. Patrick bringt damit die einzigartige Perspektive eines Prüforganisations-Vertreters mit, der sowohl die regulatorische als auch die praktische Umsetzungsseite versteht.

Detaillierte Zusammenfassung

Der EU AI Act: Europas Regelwerk für vertrauenswürdige KI

Der EU AI Act ist seit August 2024 in Kraft und gilt als weltweit erste umfassende KI-Regulierung. Als horizontales Regelwerk, das branchenübergreifend wirkt, zielt er darauf ab, KI-Systeme in hochriskanten Bereichen sowie Allzweck-KI-Systeme wie ChatGPT oder Google Gemini zu regulieren. Patrick betont, dass der AI Act auf dem New Legislative Framework der EU basiert, das bereits aus anderen Bereichen bekannt ist: Die Anforderungen sind nur so spezifisch wie nötig, vieles wird über Normung und Standardisierung konkretisiert, an der auch Unternehmen mitarbeiten können.

Die Verordnung verfolgt das Ziel, einerseits ein hohes Schutzniveau für die Bevölkerung zu gewährleisten und andererseits Innovation nicht zu ersticken. Der Gesetzgeber hat sich bewusst für einen risikobasierten Ansatz entschieden, um die Regulierung zukunftsfest zu gestalten. Deutschland muss nun als Mitgliedstaat Durchführungsbestimmungen erlassen und die nationale KI-Aufsicht organisieren.

Ein wichtiger Punkt: Der AI Act kommt stark aus der Produktsicherheitslogik, kombiniert diese aber mit Grundrechtsschutz. In bestimmten Bereichen müssen Betreiber und Hersteller hochriskanter KI-Systeme auch Fundamental Rights Impact Assessments durchführen – also bewerten, inwieweit ihr System Grundrechte wie Privatsphäre tangiert.

Der EU AI Act ist ein Balanceakt zwischen Schutz und Innovation im KI-Bereich. Er verfolgt das Ziel, trustworthy AI made in Europe sicherzustellen.

Der risikobasierte Ansatz: Pyramide der KI-Regulierung

Das Herzstück des AI Acts ist der risikobasierte Ansatz, den Patrick als Pyramide beschreibt: Je größer das Risiko, desto strikter die Anforderung – aber die gute Nachricht: Das allermeiste der KI bleibt unreguliert oder unterliegt nur leichten Transparenzverpflichtungen.

Unregulierte KI bildet das breite Fundament der Pyramide. Dazu gehören Anwendungen wie Gaming, Spam-Filter oder viele interne Geschäftsprozesse. Hier gelten keine spezifischen AI-Act-Anforderungen.

KI mit begrenzten Risiken unterliegt verpflichtenden Transparenzanforderungen. Das klassische Beispiel: Ein Kunde im Customer Service muss wissen, dass er mit einem KI-Voice-Chatbot spricht und nicht mit einem echten Menschen. Diese Kennzeichnungspflicht gilt unabhängig vom Alter oder der technischen Kompetenz des Nutzers.

Hochrisiko-KI ist der eigentliche Fokus des AI Acts. Diese Kategorie umfasst zwei Bereiche: Erstens KI-Systeme, die laut Anhang 1 in bereits sektoral drittprüfungspflichtigen Bereichen eingesetzt werden – etwa Medizinprodukte oder autonomes Fahren. Zweitens KI-Anwendungen aus Anhang 3, wo der Gesetzgeber den Anwendungsbereich als hochriskant eingestuft hat: Zugang zu Beruf und Bildung, Kreditwürdigkeitsprüfungen oder KI-Systeme, die über Lebenschancen von Menschen entscheiden. Patrick nennt als warnendes Beispiel den Skandal in den Niederlanden, wo Tausende alleinerziehende Mütter aufgrund eines Algorithmusfehlers ihre Sozialleistungen verloren.

Verbotene KI-Anwendungen bilden die Spitze der Pyramide. Dazu gehören Social Scoring, Echtzeitüberwachung biometrischer Natur, Emotionserkennung am Arbeitsplatz oder die Ausnutzung vulnerabler Gruppen. Diese Verbote gelten bereits seit Anfang 2025.

Rollen und Verantwortlichkeiten: Wer muss was tun?

Ein entscheidender Punkt für Unternehmen ist die Unterscheidung zwischen verschiedenen Rollen in der KI-Wertschöpfungskette: Bin ich ein KI-Hersteller, ein Anbieter oder ein Betreiber? Diese Unterscheidung ist fundamental, denn sie bestimmt, welche Anforderungen gelten.

KI-Hersteller und Anbieter – also Unternehmen, die KI-Systeme entwickeln und in den Markt bringen – tragen die umfangreichsten Pflichten. Bei den großen Allzweck-KI-Modellen (General Purpose AI) betrifft das praktisch nur eine Handvoll Unternehmen: OpenAI mit ChatGPT, Google mit Gemini, Anthropic mit Claude und wenige weitere.

Betreiber und Nutzer von KI-Systemen – und das ist die Mehrheit der Unternehmen – haben deutlich geringere Anforderungen. Patrick verwendet die hilfreiche Unterscheidung zwischen Upstream (wer bringt etwas in den Markt) und Downstream (wer nutzt oder implementiert es). Für Downstream-Akteure sind die Anforderungen überschaubarer, allerdings gibt es noch Klärungsbedarf bei Haftungsfragen in der KI-Value-Chain.

Für Entscheider gilt: Die entscheidende Frage ist erstens – welche Rolle habe ich? Und zweitens – welche Risikoklasse habe ich? Aus dieser Kombination ergeben sich die verpflichtenden Anforderungen. Wichtig ist aber auch: Nichts hindert Unternehmen daran, freiwillig über die gesetzlichen Mindestanforderungen hinaus zu gehen und sich als Leaders in Responsible AI zu positionieren.

Praktische Tools für die Selbsteinschätzung

Patrick empfiehlt zwei konkrete Tools für eine erste Einschätzung. Das Future of Life Institute bietet einen AI Act Explorer, der den komplexen Gesetzestext interaktiv zugänglich macht, mit Querverlinkungen zwischen Artikeln und Begriffserklärungen.

Noch praktischer ist der TÜV AI Act Risk Navigator unter der Adresse tuev-risk-navigator.ai. Dieses Tool wurde vom TÜV AI Lab entwickelt und ist kostenfrei nutzbar. Unternehmen können sich durchklicken, ihre Rolle bestimmen und die Risikoklasse ihrer KI-Anwendungen ermitteln. In einer zweiten Phase wird das Tool auch ableiten, welche konkreten Anforderungen sich daraus ergeben. Am Ende erhalten Nutzer ein downloadbares PDF als Ersteinschätzung.

Ein wichtiger Hinweis: Der Risk Navigator ist juristisch geprüft und arbeitet mit Herausgebern verschiedener AI-Act-Kompendien zusammen, stellt aber keine letztverbindliche juristische Beratung dar. Als niedrigschwelliges Instrument für eine erste Orientierung ist er jedoch ideal für Geschäftsführer und Entscheider, die sich dem Thema nähern wollen, ohne sofort ein sechsstelliges Budget für Anwaltsteams aufzuwenden.

Innovation versus Regulierung: Der "Brussels Effect"

Die Debatte um den AI Act wird kontrovers geführt. Kritiker befürchten, Europa bringe zur weltweiten "KI-Party" nur die Regulierung mit, während die USA die Software und China die Hardware liefern. Patrick nimmt diese Bedenken ernst, sieht aber Anzeichen, dass sie sich nicht bewahrheiten werden.

Der sogenannte Brussels Effect – die globale Strahlkraft europäischer Regulierung – zeigt sich bereits. Selbst in Kalifornien liegt mit SB 1047 ein Gesetzentwurf auf dem Tisch, der ähnliche Ansätze verfolgt. Die Tatsache, dass sogar in den USA – traditionell regulierungsskeptisch – ähnliche Debatten geführt werden, zeigt: Der AI Act könnte zum globalen Standard werden.

Gleichzeitig warnt Patrick vor den Lehren aus der DSGVO: Eine fragmentierte, föderal zersplitterte Umsetzung ist kontraproduktiv und schadet besonders KMU und Startups. Entscheidend ist jetzt eine einheitliche, praktikable Umsetzung mit klaren Leitlinien.

Patrick betont: Angst ist immer ein schlechter Berater. Der AI Act ist weder gut noch schlecht per se – er ist ein Mittel zum Zweck. Die entscheidende Frage ist, wie er umgesetzt wird. Jetzt haben wir ihn. Keiner ist wirklich happy damit, wie das halt so ist mit politischen Kompromissen. Aber es gibt ihn und jetzt machen wir das Beste draus.

Zeitschiene und gestaffelte Übergangsfristen

Der AI Act ist seit August 2024 in Kraft, aber die Anforderungen greifen gestaffelt. Patrick skizziert die wichtigsten Meilensteine:

Nach 6 Monaten (Februar 2025): Die Verbote nach Artikel 5 sind bereits wirksam. Unternehmen müssen sicherstellen, dass sie keine verbotenen KI-Anwendungen einsetzen – etwa Social Scoring, unzulässige Emotionserkennung oder die Ausnutzung vulnerabler Gruppen.

Nach 24 Monaten (August 2026): Die strikteren Anforderungen für Hochrisiko-KI nach Anhang 3 werden verpflichtend. Das betrifft KI-Systeme in Bereichen wie Zugang zu Bildung, Beruf oder Kreditwürdigkeitsprüfungen.

Nach 36 Monaten (August 2027): Auch für Hochrisiko-KI in bereits drittprüfungspflichtigen Bereichen nach Anhang 1 (etwa Medizinprodukte, autonomes Fahren) greifen die AI-Act-Anforderungen zusätzlich zu den sektoralen Regulierungen.

Diese gestaffelte Zeitschiene gibt Unternehmen Planungssicherheit und Zeit zur Vorbereitung – vorausgesetzt, sie fangen jetzt an. Compliance by Design von Anfang an zahlt sich aus.

Handlungsempfehlungen für Anwenderunternehmen

Für die Mehrheit der Unternehmen, die KI intern nutzen wollen – etwa für Kundenservice-Automatisierung, Marketing-Beschleunigung, repetitive Aufgaben oder datenbasierte Entscheidungen – skizziert Patrick einen pragmatischen Ansatz:

Schritt 1: Rolle klären – Bin ich Hersteller, Anbieter oder Betreiber? Für die meisten gilt: Betreiber/Nutzer.

Schritt 2: Use Cases auflisten – Welche KI-Anwendungen nutze oder plane ich? Von ChatGPT für Mitarbeiter-Produktivität über Chatbots im Kundensupport bis zu Predictive Analytics für Kundenabwanderung oder Maschinenwartung.

Schritt 3: Risikoklassen zuordnen – Mit Tools wie dem TÜV AI Act Risk Navigator lassen sich die Anwendungsfälle den Risikoklassen zuordnen. Die gute Nachricht: Die meisten internen Anwendungen fallen in niedrige oder gar keine Risikoklassen.

Schritt 4: Anforderungen ableiten – Für jede Risikoklasse ergeben sich spezifische Pflichten. Vieles lässt sich an bestehende Risikomanagement- oder Qualitätsmanagementsysteme anknüpfen. Das Rad muss nicht neu erfunden werden.

Schritt 5: Prüfen auf Verbote – Sicherstellen, dass keine verbotenen Anwendungen geplant sind oder bereits laufen. Diese Verbote gelten bereits seit Februar 2025.

Schritt 6: Zeitplan erstellen – Je nach Risikoklasse die relevanten Fristen (6, 24 oder 36 Monate) im Blick behalten und Compliance-Maßnahmen entsprechend planen.

Die gute Nachricht: Für die allermeisten Unternehmen ist interne Selbstregulierung ausreichend. Externe Prüfung ist nur in wenigen hochriskanten Bereichen verpflichtend – kann aber freiwillig als Wettbewerbsvorteil genutzt werden.

Der TÜV und das TÜV AI Lab: Prüfen von und mit KI

Der TÜV-Verband und die verschiedenen TÜV-Organisationen positionieren sich als zentrale Akteure im KI-Ökosystem – und zwar in doppelter Hinsicht: einerseits KI prüfen, andererseits prüfen mit KI.

Beim Prüfen von KI sieht sich der TÜV als Enabler, nicht als Innovationsbremse. Besonders für KMU und Startups in hochriskanten Bereichen kann unabhängige Drittprüfung ein entscheidender Wettbewerbsvorteil sein – das bekannte "TÜV geprüft" als vertrauensstiftendes Label. Der TÜV entwickelt Prüfkriterien und -methoden, arbeitet an KI-Normung und Standardisierung mit (etwa im JTC21-Gremium von CEN-CENELEC) und bereitet sich auf die Rolle in der nationalen KI-Aufsicht vor.

Beim Prüfen mit KI durchläuft der TÜV selbst eine tiefgreifende Transformation. Früher kletterten TÜV-Seilkletterer Atomkraftwerke hoch, um Risse zu finden. Heute übernehmen Drohnen diese Aufgabe mit höherer Präzision und ermöglichen Predictive Maintenance ohne Produktionsunterbrechung.

Das TÜV AI Lab ist ein besonderes Konstrukt: eine GmbH als Joint Venture der verschiedenen TÜV-Organisationen, gegründet im November 2023. Patrick beschreibt das Lab als agiles Schnellboot neben den großen Tankern der etablierten TÜV-Strukturen. Das Lab entwickelt Lösungen wie den AI Act Risk Navigator, arbeitet an Prüfkriterien und unterstützt Unternehmen bei der AI-Act-Compliance.

Weiterbildung und AI Literacy: Der unterschätzte Faktor

Ein oft übersehener Aspekt des AI Acts sind die umfangreichen Weiterbildungsbedarfe, die er schafft. Der AI Act fordert in Artikel 4b AI Literacy, also KI-Kompetenz bei allen Beteiligten.

Konkret entstehen neue Berufsbilder und Qualifikationsbedarfe: KI-Beauftragte müssen geschult werden, Menschen in Human-Oversight-Rollen bei hochriskanten Systemen brauchen spezifisches Wissen, Führungskräfte müssen New Leadership im KI-Zeitalter lernen.

Im KI-Bereich entwickeln die Akademien sowohl inhaltliche Angebote als auch neue didaktische Ansätze: Educational Technology mit KI-unterstützten, individualisierten Learning Journeys, Virtual Reality, Augmented Reality und virtuelle Campus-Konzepte.

Kernaussagen

  1. Balanceakt zwischen Schutz und Innovation — Der EU AI Act verfolgt das Ziel, trustworthy AI made in Europe sicherzustellen, indem er das berechtigte Interesse an Sicherheit mit dem geopolitisch wichtigen Interesse an Innovationsförderung in Einklang bringt.
  2. Überschaubare Anforderungen für die meisten Unternehmen — Das allermeiste der KI bleibt unreguliert oder mit leichten Transparenzverpflichtungen versehen. Nur im Hochrisikobereich gibt es strikte Anforderungen – aber genau da macht es auch Sinn.
  3. Kein Wait-and-See-Approach — Wer sich jetzt mit dem AI Act auseinandersetzt, hat einen echten Wettbewerbsvorteil. Compliance by Design, Safety by Design, Security by Design – all das zahlt sich aus. Der erste Schritt ist der wichtigste: sich zu trauen, anzufangen.
  4. Vertrauenswürdige KI als europäischer USP — Das europäische Alleinstellungsmerkmal ist und wird die Vertrauenswürdigkeit der KI-Offerings sein. Das beschleunigt Marktzugang und Marktdurchdringung.
  5. Der Brussels Effect ist real — Selbst in Kalifornien gibt es Gesetzesinitiativen, die dem AI Act ähneln. Die globale Strahlkraft europäischer Regulierung ist real – so wie bei der DSGVO.

Fazit und Takeaways

Für KI-Anwenderunternehmen und KMU

  • Proaktiv statt abwartend: Keine Wait-and-See-Haltung einnehmen, sondern jetzt mit der Vorbereitung beginnen. Die gestaffelten Fristen geben Zeit, aber nur wer frühzeitig startet, hat einen Wettbewerbsvorteil.
  • Pragmatische Ersteinschätzung: Tools wie den TÜV AI Act Risk Navigator oder den AI Act Explorer nutzen, um eine erste Orientierung zu bekommen, ohne sofort teure Beratung einzukaufen.
  • Rolle und Risikoklasse klären: Die beiden zentralen Fragen beantworten: Bin ich Hersteller, Anbieter oder Betreiber? In welche Risikoklasse fallen meine KI-Anwendungen?
  • An Bestehendes anknüpfen: Viele AI-Act-Anforderungen lassen sich in bestehende Risikomanagement- und Qualitätsmanagementsysteme integrieren. Das Rad muss nicht neu erfunden werden.
  • Freiwillig mehr tun: Auch wenn gesetzlich nicht verpflichtend, kann freiwillige Prüfung und Zertifizierung ein wichtiges Differenzierungsmerkmal und Vertrauenssignal sein.

Für KI-Entwickler und Startups

  • Compliance by Design: Von Anfang an sicherheits- und compliance-orientiert entwickeln, statt nachträglich zu korrigieren. Dies beschleunigt später die Markteinführung erheblich.
  • Responsible AI als USP: In der Konkurrenz mit US-amerikanischen und asiatischen Anbietern ist vertrauenswürdige, regelkonforme KI das europäische Alleinstellungsmerkmal.
  • Ressourcen klug einsetzen: Insbesondere für ressourcenarme Startups ist es wichtig, die richtigen Prioritäten zu setzen. Nicht alles muss sofort perfekt sein, aber die Richtung muss stimmen.
  • Netzwerke nutzen: An KI-Normung und Standardisierung mitarbeiten (etwa im JTC21-Gremium), um die technische Umsetzung der politischen Vorgaben mitzugestalten.

Für Entscheider und Führungskräfte

  • Realistische Einschätzung: Der AI Act ist weder Innovationskiller noch Heilsbringer. Er ist ein Regelwerk, das bei kluger Umsetzung Planungssicherheit schaffen und Europa im globalen KI-Wettbewerb differenzieren kann.
  • Zeitplan im Blick behalten: Die wichtigsten Meilensteine: Verbote gelten seit Februar 2025, Hochrisiko-KI-Anforderungen ab August 2026 und 2027. Entsprechend planen.
  • Weiterbildung nicht vergessen: Der AI Act schafft umfangreiche Qualifikationsbedarfe – von KI-Beauftragten über Human-Oversight-Rollen bis zu AI Literacy für alle Mitarbeitenden.
  • Chancenperspektive einnehmen: Wer jetzt vorausschauend agiert, kann sich als vertrauenswürdiger KI-Anbieter oder -Nutzer positionieren und damit einen nachhaltigen Wettbewerbsvorteil aufbauen.

Der EU AI Act ist Realität – und mit der richtigen Herangehensweise weniger Hindernis als vielmehr Chance für europäische Unternehmen, sich im globalen KI-Markt durch Vertrauenswürdigkeit und Qualität zu differenzieren. Die Unternehmen, die jetzt anfangen, haben die Nase vorn.

Mach keinen Wait-and-See-Approach. Wer sich jetzt mit dem AI Act auseinandersetzt, hat einen echten Wettbewerbsvorteil. Der erste Schritt des Weges ist der wichtigste: sich daran zu trauen, anzufangen.

Zum Gast: Dr. Patrick Gilroy

Podcast

Felix Riedl

Erfahre jeden Freitag aus erster Hand, wie Unternehmer und Führungskräfte AI einsetzen.

SpotifyApple
Der Nightmare Competitor Ansatz bei Gebr. Dorfner: "Wie würde ein Wettbewerber mit KI unser Geschäftsmodell disruptieren?”
Tim Lüken
Head of Innovation
Gebrüder Dorfner GmbH & Co. KG
Tim Lüken — Gast bei AI FIRST Podcast
#79
Wie Finanzfluss menschliche Stärken mit KI-Fähigkeiten im Journalismus verbindet
Mary Abdelaziz-Ditzow
Chefredakteurin Wirtschaft & News
Finanzfluss
Mary Abdelaziz-Ditzow — Gast bei AI FIRST Podcast
#78
Die andere Seite der KI-Medaille: Brain Fry, Arbeitsmarkt-Druck und Adaptionsprobleme
Elisabeth L’Orange
Partnerin AI & Data
Deloitte
Elisabeth L’Orange — Gast bei AI FIRST Podcast
#77