Ihre Mitarbeitenden nutzen schon heute KI – oft mit Tools, die Sie nie freigegeben haben. Manche kopieren Kundendaten in ChatGPT, laden Strategie-Dokumente in KI-Summarizer hoch oder verwenden Browser-Extensions, die still im Hintergrund Sitzungsdaten an Drittanbieter-Server senden. In den meisten Organisationen erfasst niemand systematisch, was dabei passiert.
Genau diese Realität adressiert das EU künstliche Intelligenz Gesetz (EU AI Act). Und anders als viele andere Regulierungen ist ein Teil davon bereits verbindliches Recht.
KI-Adoption überholt Governance – mit großem Abstand
Generative KI-Tools sind in Rekordzeit vom Experiment zum festen Bestandteil zentraler Workflows geworden – schneller, als die meisten Unternehmen reagieren konnten. Zwischen 2023 und 2024 stieg die Nutzung generativer KI durch Mitarbeitende in Unternehmen von 74 % auf 96 %. Das Problem ist nicht die Einführung – sondern die Verantwortlichkeit.
Laut einer IDC-Studie für 2025 nutzen 56 % der Beschäftigten nicht autorisierte KI-Tools am Arbeitsplatz, während nur 23 % ausschließlich freigegebene und gesteuerte KI-Tools verwenden. Übersetzt: Die Mehrheit der KI-Aktivitäten in größeren Organisationen findet bereits außerhalb von Security-Kontrollen, Compliance-Frameworks und Monitoring-Systemen statt.
Dieses Phänomen hat einen Namen: Shadow AI. Im DACH-Markt zeigt sich ein ähnliches Bild wie weltweit. 63 % der Unternehmen hatten keine verbindlichen generative KI Richtlinien oder KI Governance Policies, obwohl Mitarbeitende generative KI täglich nutzten. Datenpannen im Zusammenhang mit Shadow AI erhöhten die durchschnittlichen Kosten eines Security Incidents um rund 670.000 US-Dollar – ein Plus von 16 % gegenüber Unternehmen mit wenig oder keiner Shadow AI.
Die Governance-Lücke ist kein Zukunftsthema. Sie kostet Unternehmen heute schon bares Geld – durch Sicherheitsvorfälle, Datenabflüsse und steigende Risiken in der KI Compliance.
Warum der EU AI Act gerade jetzt entscheidend ist
Der EU AI Act ist der erste umfassende Rechtsrahmen für KI weltweit. Er adressiert KI-Risiken, schafft Transparenzanforderungen (KI Transparenz) und macht Europa zum Referenzmarkt für KI Regulierung Europa. Für Mittelstandsunternehmen und Konzerne im DACH-Raum ist das kein fernes Ereignis, sondern eine schrittweise Realität mit bereits geltenden Pflichten.
| Datum | Gilt für | Auswirkungen auf Ihr Unternehmen |
|---|---|---|
| Feb 2, 2025 | Bestimmte verbotene KI-Anwendungen dürfen nicht mehr eingesetzt werden | Mitarbeitende müssen über ausreichende KI-Kompetenz verfügen; bestimmte KI-Anwendungen (z. B. soziale Bewertung) sind jetzt illegal |
| Aug 2, 2025 | Governance-Regeln + Verpflichtungen für GPAI-Modelle aktiv | Transparenz- und Dokumentationspflichten für Allzweck-KI-Modelle treten in Kraft |
| Aug 2, 2026 | KI-Systeme mit hohem Risiko (Anhang III) gelten vollständig | KI-generierte Inhalte müssen gekennzeichnet werden; Betreiber sind dafür verantwortlich, wie KI-Ergebnisse verwendet werden; Strafen von bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes bei Verstößen |
| Dez 2, 2027 | Hochrisiko-KI-Systeme (Anhang III) gelten vollständig | KI in biometrischen Anwendungen, Beschäftigung, Bildung und kritischer Infrastruktur unterliegt vollständigen Compliance-Anforderungen |
| Aug 2, 2028 | In Produkten integrierte Hochrisiko-KI-Systeme | KI in regulierten Produkten (z. B. medizinische Geräte, industrielle Maschinen) muss den Anforderungen entsprechen |
Der zentrale Punkt für Entscheider:innen: Der EU AI Act unterscheidet zwischen Anbietern von KI-Systemen (Model Builder) und Verwendern bzw. Deployern (Unternehmen, die KI einsetzen). Wenn Ihr Unternehmen generative KI nutzt oder integriert, ist eine systematische Bewertung der damit verbundenen KI Risiken Pflicht – also echtes KI Risikomanagement. Selbst wenn ein Modellanbieter bestimmte Verpflichtungen übernimmt, bleiben Deployende dafür verantwortlich, wie KI-Ergebnisse in Prozessen und Entscheidungen verwendet werden. Klare Verträge und konsequente Lieferantenprüfung sind damit Kernbestandteile der KI Governance.
Ob ChatGPT, Copilot oder KI-gestützte Analytics-Tools: Sobald Sie diese im Unternehmen einsetzen, gelten Sie als Deployer – und tragen Verantwortung.
Das eigentliche Problem: Sie können nicht steuern, was Sie nicht sehen
Den meisten Unternehmen ist bewusst, dass der EU AI Act kommt – oder schon gilt. Deutlich weniger verstehen die operative Lücke zwischen dem Status quo und dem, was das Gesetz in der Praxis verlangt.
Das Problem ist selten vorsätzlicher Missbrauch, sondern: Unternehmen haben keine Sichtbarkeit darüber, wie, wo und mit welchen Daten KI tatsächlich genutzt wird.
Typische Blind Spots sind:
-
Keine Übersicht über KI-Tools: Die wenigsten Organisationen wissen, welche KI-Tools in welchen Teams konkret im Einsatz sind.
-
Keine klaren Nutzungspolicies: Mehr als die Hälfte der befragten Mitarbeitenden gibt an, dass ihr Unternehmen keine offizielle KI-Policy hat (23 %), sie nicht wissen, ob es eine gibt (16 %), oder dass der Einsatz nicht freigegebener KI-Tools sogar aktiv gefördert wird (16 %).
-
Keine Datenkontrollen: Laut einer Cisco-Studie 2025 meldeten 46 % der Organisationen interne Datenabflüsse über generative KI – also Daten, die über Prompts von Mitarbeitenden aus dem Unternehmen herausgetragen wurden, nicht über klassische Datenexfiltration.
-
Keine Verantwortungsstruktur: Wo Zuständigkeiten unklar sind, findet KI Governance nicht statt – sie wird aufgeschoben.
Ein zentrales Element wirksamer KI Governance: Sie müssen sicherstellen, dass Mitarbeitende und Dienstleister, die KI-Systeme in Ihrem Namen bedienen, ausreichend KI-Kompetenz besitzen. Diese Anforderung an KI Literacy ist als rechtliche Verpflichtung im EU AI Act seit Februar 2025 in Kraft.
Wichtig
Die Verpflichtung zur KI-Kompetenz gemäß der EU-KI-Verordnung ist seit dem 2. Februar 2025 in Kraft. Organisationen, die auf dem EU-Markt tätig sind, sind bereits verpflichtet sicherzustellen, dass Mitarbeitende, die KI verwenden oder einsetzen, über ausreichende KI-Kompetenz verfügen. Dies ist keine zukünftige Anforderung – sie gilt jetzt.
Am stärksten exponiert sind nicht die Unternehmen, die offensiv mit KI experimentieren – sondern jene, in denen die Nutzung “organisch” wächst: ohne Struktur, ohne Dokumentation, ohne klar zugeordnete Verantwortung.
Warum Data Governance die Basis von KI Governance ist
In vielen Compliance-Diskussionen kommt ein Punkt zu kurz: KI Governance ist ohne robuste Data Governance nicht umsetzbar.
Der EU AI Act verlangt Nachvollziehbarkeit und Verantwortlichkeit. Organisationen müssen wissen, welche Daten KI-Systeme verarbeiten, wie KI-Outputs Entscheidungen beeinflussen und wer verantwortlich ist, wenn etwas schiefgeht. Ohne tragfähige Data-Governance-Strukturen lässt sich keine dieser Anforderungen sauber erfüllen.
Genau hier setzt KEMB in Projekten zur KI-Einführung an. Die Fragen, die Aufsichtsbehörden stellen werden – Welche Daten hat dieses KI-System genutzt? Wer hat den Einsatz freigegeben? Wie wurden die Ergebnisse geprüft? – sind identisch mit den Fragen, die ein gut aufgebautes Data Governance Framework heute schon beantworten sollte.
Unternehmen mit sauberer, dokumentierter und in ihrer Herkunft nachverfolgbarer BI-Infrastruktur sind deutlich besser auf KI Compliance im Sinne des EU AI Act vorbereitet als Organisationen mit fragmentierten Datenlandschaften. Wenn Ihre Reporting-Daten bereits transparent, gesteuert und auditierbar sind – im Rahmen einer klar definierten Datenstrategie – ist die Übertragung dieser Prinzipien auf KI-Nutzung der nächste logische Schritt.
Umgekehrt starten Unternehmen, die grundlegende Fragen wie “Welche Teams nutzen welche KI-Tools?” oder “Welche Kundendaten wurden an externe KI-Services übermittelt?” nicht beantworten können, faktisch bei null – operativ und regulatorisch.
Was Unternehmen jetzt tun sollten: eine praktische Governance-Roadmap
Der EU AI Act ist kein reines Rechtsprojekt, das sich vollständig in die Compliance-Abteilung auslagern lässt. Es handelt sich um eine operative Herausforderung, die Marketing, BI, Data, IT, HR und Führungsebene gleichermaßen betrifft. Die gute Nachricht: Die erforderlichen Schritte sind praxisnah, aufeinander aufbauend – und bieten Mehrwert weit über KI Regulierung Europa und reine Gesetzeserfüllung hinaus.
1. Überblick über Ihre KI-Tool-Landschaft
Identifizieren Sie jedes KI-Tool, das derzeit in Ihrer Organisation verwendet wird – einschließlich Tools, die Mitarbeiter eigenständig nutzen (Shadow AI). Dazu gehören ChatGPT, Copilot, Gemini, Browser-Erweiterungen, KI-Funktionen, die in SaaS-Tools eingebettet sind, und alle internen KI-Modelle. Sie können nichts regeln, was Sie nicht sehen können.
2. Definieren und Kommunizieren einer KI-Nutzungsrichtlinie
Erstellen Sie eine klare, schriftliche Richtlinie, die Folgendes abdeckt: Welche Tools freigegeben sind, welche Daten mit KI-Systemen geteilt werden dürfen und welche nicht, wer für die KI-Ergebnisse verantwortlich ist, und wie Verstöße behandelt werden. Bleiben Sie praktisch – Richtlinien mit vager Formulierung ändern nichts.
3. Verantwortung zuweisen und Rechenschaftspflicht festlegen
Weisen Sie einen KI-Verantwortlichen oder eine zuständige Funktion zu (kann in IT, Data, Legal oder Operations liegen). Definieren Sie, wer für das Risikomanagement von KI, die Dokumentation und fortlaufende Compliance-Überprüfungen verantwortlich ist. Ohne klare Verantwortlichkeit stagniert die Governance.
4. KI-Kompetenz im gesamten Unternehmen stärken
Der EU AI Act verlangt von Organisationen, sicherzustellen, dass die Mitarbeitenden über ausreichende KI-Kompetenz verfügen – eine Pflicht, die seit Februar 2025 besteht. Führen Sie Awareness-Schulungen durch, die KI-Risiken, verantwortungsvollen Einsatz, Datenverarbeitung und Ihre internen Richtlinien abdecken. Dies gilt für alle Mitarbeitenden, die mit KI-Tools interagieren, nicht nur für technische Teams.
5. Die Grundlage Ihrer Daten-Governance stärken
KI-Governance beginnt mit Daten-Governance. Klassifizieren Sie Ihre Daten nach Sensitivität, dokumentieren Sie, welche Daten in KI-Tools fließen, und stellen Sie sicher, dass Ihre BI- und Reporting-Infrastruktur klare Herkunft und Zugriffskontrollen hat. Diese Grundlage macht die Nutzung von KI auditierbar, transparent und unter dem EU AI Act verteidigbar.
6. Regelmäßig überprüfen und iterieren
KI-Tools und -Regelungen entwickeln sich rasch weiter. Planen Sie Vierteljahres-Überprüfungen Ihres KI-Tool-Bestands, Aktualisierungen der Richtlinien und Weiterbildungsprogramme. Stimmen Sie Ihre Compliance-Roadmap mit den Fristen des EU AI Act ab – insbesondere auf das endgültige Durchsetzungsdatum am 2. August 2026.
Testen Sie die KI-Readiness Ihrer Organisation mit unserem Assessment:
KI-Inventar
-
Haben Sie eine vollständige Übersicht aller KI-Systeme, die in Ihrer Organisation eingesetzt werden?
-
Sind Ihre KI-Systeme nach Risikostufe kategorisiert, zum Beispiel hoch, begrenzt oder minimal?
-
Dokumentieren Sie Zweck und Auswirkungen jedes KI-Systems?
Richtlinien
-
Haben Sie interne Richtlinien für die Nutzung von KI etabliert?
-
Sind diese Richtlinien auf die Anforderungen des EU AI Acts abgestimmt?
-
Werden Ihre KI-Richtlinien regelmäßig überprüft und aktualisiert?
Verantwortlichkeiten
-
Gibt es eine klar benannte Person, die für die KI-Compliance verantwortlich ist?
-
Sind Rollen und Verantwortlichkeiten für KI-Governance klar definiert?
-
Gibt es einen Eskalationsprozess für KI-bezogene Vorfälle?
KI-Kompetenz
-
Haben Ihre Mitarbeitenden Schulungen zum verantwortungsvollen Umgang mit KI erhalten?
-
Sind Ihre Teams mit den Risikokategorien des EU AI Acts vertraut?
-
Gibt es fortlaufende Weiterbildungsangebote zur Stärkung der KI-Kompetenz?
Data Governance
-
Haben Sie ein Data-Governance-Framework implementiert?
-
Stellen Sie Datenqualität und Herkunftsnachweise für KI-Trainingsdaten sicher?
-
Sind geeignete Datenschutzmaßnahmen gemäß DSGVO für Ihre KI-Systeme umgesetzt?
Wie viele Fragen können Sie mit Ja beantworten?
12–15 „Ja“: Sie sind AI-ready.
Sie haben eine starke Grundlage in den Bereichen Inventar, Governance und KI-Kompetenz geschaffen. Jetzt geht es darum, diese belastbar zu machen: Dokumentieren Sie, was bereits aufgebaut wurde, gleichen Sie es mit den konkreten Anforderungen des EU AI Acts ab und etablieren Sie einen regelmäßigen Review-Prozess.
9–11 Antworten „Ja“: Sie sind auf dem richtigen Weg, aber es bestehen noch Lücken.
In mehreren Bereichen gibt es bereits solide Fortschritte, in anderen bestehen noch klare Schwachstellen. Die meisten Organisationen auf diesem Niveau benötigen 6–12 Monate strukturierte Arbeit, um vollständige Compliance zu erreichen. Die Fristen des EU AI Acts laufen bereits — beginnen Sie jetzt mit Ihrem schwächsten Bereich.
5–8 Antworten „Ja“: Sie stehen noch am Anfang.
Es gibt erste Sensibilisierung, aber nur begrenzte formale Strukturen. Ohne gezielte Maßnahmen trägt Ihre Organisation ein reales Compliance-Risiko, während die Pflichten des EU AI Acts schrittweise wirksam werden. Ein fokussierter 90-Tage-Sprint kann helfen, die grundlegenden Lücken zu schließen.
0–4 Antworten „Ja“: Die Compliance-Arbeit hat noch nicht begonnen.
Es sind kaum oder keine Grundlagen vorhanden. Der EU AI Act ist für bestimmte Pflichten bereits in Kraft. Heute zu starten ist deutlich besser, als weiter abzuwarten — schon drei grundlegende Schritte können Ihr Risiko spürbar reduzieren.
Wichtigste Erkenntnisse
Der EU AI Act ist kein Zukunftsthema, sondern ein bereits wirksamer Regulierungsrahmen mit laufenden Pflichten und einem entscheidenden Durchsetzungsstichtag am 2. August 2026. Für die meisten DACH-Unternehmen, die generative KI-Tools wie ChatGPT, Copilot oder KI-gestützte Business-Software nutzen, ergeben sich daraus kurzfristig vier Prioritäten im KI Risikomanagement:
-
Transparenz schaffen, welche KI-Tools von wem und mit welchen Daten eingesetzt werden
-
Klare Policies definieren – vage oder fehlende Vorgaben erhöhen KI Risiken und regulatorische wie sicherheitsbezogene Gefahren direkt
-
KI-Kompetenz aufbauen – KI Literacy und Verständnis für KI Transparenz und KI Governance sind seit Februar 2025 rechtlich gefordert
-
KI Governance fest in Data Governance verankern – Nachvollziehbarkeit, Datenherkunft und Verantwortlichkeit beginnen bei Ihrer Dateninfrastruktur
Unternehmen, die das Thema als strategische und operative Priorität behandeln – nicht als reines Legal-Checkbox-Projekt -, werden schneller agieren, sicherer steuern und eine Datenbasis aufbauen, die ihnen weit über die KI Regulierung Europa hinaus Wettbewerbsvorteile bringt.
Sie möchten verstehen, wo Ihre Organisation aktuell steht? Starten Sie mit einem ehrlichen Audit der eingesetzten KI-Tools. Wenn Ihre Datenarchitektur nicht auf Transparenz und Verantwortlichkeit ausgelegt ist, ist genau das der erste Baustein, den Sie mit KEMB legen sollten.
Gilt die EU-KI-Verordnung für mein Unternehmen, wenn wir nur Tools wie ChatGPT oder Copilot verwenden – keine KI entwickeln?
Ja. Die EU-KI-Verordnung unterscheidet zwischen KI-Anbieter (die Modelle erstellen) und Bereitsteller (Unternehmen, die KI-Tools in ihren Geschäftsprozessen verwenden). Als Bereitsteller sind Sie dafür verantwortlich, wie KI-Ausgaben in Ihren Geschäftsprozessen verwendet werden. Dazu gehören Verpflichtungen zu Transparenz, Dokumentation und sicherzustellen, dass Mitarbeiter über ausreichende KI-Kompetenz verfügen.
Was ist Shadow-KI und warum ist es ein Risiko der EU-KI-Verordnung?
Shadow-KI bezieht sich auf Mitarbeiter, die KI-Tools eigenständig verwenden, ohne IT-Genehmigung oder unternehmensweite Aufsicht – denken Sie an persönliche ChatGPT-Konten, browserbasierte KI-Assistenten oder KI-Funktionen in SaaS-Tools. Nach der EU-KI-Verordnung bleibt Ihre Organisation für die Nutzung von KI in Ihren Abläufen verantwortlich, auch wenn Sie diese Tools nicht offiziell genehmigt haben. Shadow-KI schafft Nachverfolgungs- und Rechenschaftspflicht-Lücken, die direkt im Widerspruch zu den Anforderungen der Verordnung stehen.
Was sind die Bußgelder nach der EU-KI-Verordnung?
Bußgelder variieren je nach Art der Verstöße. Die höchsten Strafen – für verbotene KI-Praktiken – können bis zu €35 Millionen oder 7% des weltweiten Jahresumsatzes betragen (je nachdem, welcher Betrag höher ist). Verstöße gegen andere Verpflichtungen (z. B. Transparenz, Governance) können mit Strafen von bis zu €15 Millionen oder 3% des weltweiten Umsatzes belegt werden. Die vollständige Durchsetzung für die meisten Betreiber tritt am 2. August 2026 in Kraft.
Was bedeutet KI-Kompetenz unter der EU-KI-Verordnung?e
Die Verordnung verlangt von Organisationen sicherzustellen, dass Mitarbeiter, die an dem Betrieb oder der Nutzung von KI-Systemen beteiligt sind, über ausreichende KI-Kompetenz verfügen – das bedeutet, sie verstehen, wie die von ihnen genutzten KI-Tools funktionieren, welche Risiken bestehen und wie sie sie verantwortungsvoll einsetzen. Diese Verpflichtung ist seit dem 2. Februar 2025 in Kraft. Sie gilt sowohl für technische als auch für nicht-technische Mitarbeitende, die mit KI-Tools interagieren.
Wie hängt Daten-Governance mit der Einhaltung der EU-KI-Verordnung zusammen?
Daten-Governance ist die Grundlage der KI-Governance. Die EU-KI-Verordnung verlangt Rechenschaftspflicht und Nachvollziehbarkeit darüber, wie KI-Systeme eingesetzt werden – und das bedeutet zu wissen, welche Daten in KI-Tools fließen, wie sie verwendet werden und wer verantwortlich ist. Unternehmen mit starker Daten-Governance (dokumentierte Datenherkunft, klare Zugriffskontrollen, definierte Eigentumsverhältnisse) sind deutlich besser positioniert, um die Einhaltung nachzuweisen, als solche mit fragmentierten oder undurchsichtigen Datenlandschaften.
