EU-AI-Act: Transparenz, Dokumentation, Risiko – Was Unternehmen ab August 2025 beachten müssen
Mit dem Inkrafttreten des EU-A-Act ab August 2025 stehen Unternehmen vor neuen Herausforderungen: Transparenzpflichten, Dokumentationsanforderungen und die Frage, wie sie sich gegen Risiken absichern können, rücken in den Fokus. Welche Pflichten kommen auf Unternehmen zu, und wie können sie sich optimal vorbereiten?
Im Rahmen unserer gemeinsamen AI-Law-Talk-Reihe beleuchten wir regelmäßig aktuelle Entwicklungen rund um KI und Recht. Und der EU-AI-Act wird zusätzlich in einer Präsenzveranstaltung in Lübeck thematisiert. In unserem ersten Interview spricht Dr. Oliver Daum, Fachanwalt für IT-Recht, über die grundlegenden Neuerungen für Unternehmen, die sich durch die KI-Verordnung der Europäischen Union ergeben.
KI.SH Online-Redaktion: Ab August 2025 treten weitere Teile des EU-AI-Act in Kraft. Was ändert sich konkret für Unternehmen?
Dr. Oliver Daum: Mit dem Inkrafttreten neuer Regelungen ab August 2025 kommen auf Unternehmen, die KI nutzen, insbesondere Transparenzpflichten zu (Artikel 50). Wenn etwa Deepfakes erzeugt oder veröffentlicht werden, muss klar gekennzeichnet werden, dass es sich um künstlich erzeugte Inhalte handelt. Das gilt für Bilder, Ton- und Videoaufnahmen, die mit KI manipuliert wurden und realistisch wirken. Das kann dann beispielsweise auch das eigene KI-generierte Ich für Werbe- oder Trainingsvideos sein.
KI.SH Online-Redaktion: Wie ist das bei KI-generierten Texten?
Dr. Oliver Daum: Hier gibt es eine wichtige Ausnahme: Wenn eine natürliche oder juristische Person die redaktionelle Verantwortung für einen Text übernimmt – ihn also prüft, anpasst und somit verantwortet –, muss dieser nicht als KI-generiert gekennzeichnet werden. Das ist vor allem für Unternehmen relevant, die KI zur Unterstützung bei der Content-Erstellung nutzen.
Artikel 50
Art. 50 EU-AI-Act regelt Transparenzpflichten: Nutzer sind zu informieren, wenn sie mit KI interagieren, z. B. bei Emotionserkennung, biom. Kategorisierung oder Deepfakes. KI-Inhalte müssen klar gekennzeichnet sein, außer bei offensichtl., legitimen oder redaktionellen Zwecken.
Deepfake Definition
Deepfake wird im EU-AI-Act in Artikel 3, Nr. 60 definiert als "KI-generierte oder manipulierte Bild-, Audio- oder Videoinhalte, die existierenden Personen, Objekten, Orten, Einrichtungen oder Ereignissen ähneln und einer Person fälschlicherweise als authentisch oder wahrheitsgemäß erscheinen würden".
KI.SH Online-Redaktion: Welche Dokumentationspflichten gibt es?
Dr. Oliver Daum: Die Hauptdokumentationspflichten betreffen vor allem die Anbieter und Hersteller von KI-Systemen. Sie müssen sicherstellen, dass ihre Systeme diskriminierungsfrei funktionieren und bestimmte Tests durchlaufen. Für Betreiber, also Unternehmen, die KI nutzen, gibt es nur in bestimmten Kontexten – etwa bei der Verarbeitung personenbezogener Daten – zusätzliche Dokumentationspflichten, so im Rahmen der DSGVO.
KI.SH Online-Redaktion: Welche Risiken drohen bei Verstößen gegen den EU-AI-Act?
Dr. Oliver Daum: Die Risiken sind vielfältig – von Bußgeldern bis hin zu Haftungsfragen, etwa wenn KI rechtswidrige Inhalte generiert. Um sich abzusichern, empfehle ich Unternehmen dringend, eine interne KI-Richtlinie zu erstellen. Darin sollte geregelt werden, für welche Zwecke KI genutzt werden darf, wie Mitarbeitende geschult werden und welche datenschutzrechtlichen Vorgaben zu beachten sind. Dazu gibt bisher zwar keine konkrete rechtliche Verpflichtung, es ist aber empfehlenswert. So kann sich der Arbeitgeber im Problemfall entlasten.
KI.SH Online-Redaktion: Wie können Unternehmen ihre Mitarbeitenden zusätzlich zu einer KI-Richtlinie sensibilisieren?
Dr. Oliver Daum: Regelmäßige Schulungen und eine klare Kommunikation sind unerlässlich. Nur so kann ein Bewusstsein für die Chancen und Risiken von KI geschaffen werden. In den Schulungen sollten zentrale Fragen geklärt werden, zum Beispiel: Welche Programme sind zulässig? Welche Programme dürfen nicht genutzt werden? Wie darf die KI in welchen Bereichen eingesetzt werden und wo nicht? Das ist wichtig, denn eine KI-Richtlinie ist wirkungslos, wenn es ein Unternehmen verpasst, auf die neuen Gefahren hinzuweisen und da eine gewisse Awareness zu schaffen.
Die Dokumentation der Schulungen und Richtlinien schützt das Unternehmen zusätzlich, falls es zu Problemen kommt.
KI.SH Online-Redaktion: Wo können sich Unternehmen weiter informieren?
Dr. Oliver Daum: Neben den Datenschutzbehörden und Verbänden wie Bitkom gibt es praxisnahe Angebote wie unseren AI-Law-Talk. Und wir sollten nicht vergessen: Neben dem AI-Act regulieren weitere Vorgaben den Einsatz von KI in Unternehmen. Im AI-Law-Talk zeigen wir, wie Unternehmen KI rechtssicher einsetzen können. Und wer konkrete Fragen hat, darf sich natürlich jederzeit direkt an uns wenden.
Fazit:
Der EU-AI-Act bringt neue Spielregeln für den KI-Einsatz in Unternehmen. Wer informiert ist, bleibt handlungsfähig – und kann die Chancen der KI sicher und verantwortungsvoll nutzen. Lesen Sie auch den ersten Part unseres Interviews mit Dr. Oliver Daum. Darin thematisieren wir zentrale Grundbegriffe aus dem EU AI Act für Unternehmen.
Disclaimer: Dieser Artikel stellt keine rechtsverbindliche Auskunft dar und kann nicht als Rechtsberatung gewertet werden. Alle Inhalte dienen ausschließlich der allgemeinen Information und ersetzen keine individuelle rechtliche Beratung. Für verbindliche Auskünfte wenden Sie sich bitte an eine qualifizierte Rechtsanwältin oder einen qualifizierten Rechtsanwalt.