Datensouveränität und der EU AI Act – was Unternehmen jetzt konkret tun müssen
Der EU AI Act ist seit August 2024 in Kraft – aber die entscheidenden Pflichten greifen erst ab August 2026. Fünf Monate bleiben noch. Für viele Unternehmen ist das weniger Zeit, als sie denken.
Der EU AI Act klassifiziert KI-Systeme in vier Risikoklassen: verbotene Praktiken, Hochrisiko-KI, Systeme mit begrenzter Transparenzpflicht und KI mit minimalem Risiko. Das klingt übersichtlich. Die Herausforderung liegt im Detail: Was genau fällt wo rein – und wer im Unternehmen ist dafür verantwortlich?
Besonders betroffen sind Branchen, in denen KI direkt in Entscheidungen eingreift, die Menschen erheblich betreffen. Die Verordnung nennt explizit: Kreditwürdigkeitsprüfung, Versicherungs-Underwriting, Personalauswahl, medizinische Diagnostik. Wer heute schon automatisierte Scoring-Modelle oder KI-gestützte Risikoprüfungen betreibt, ist in der Regel bereits im Hochrisiko-Bereich.
Was Hochrisiko konkret bedeutet
Für Hochrisiko-KI-Systeme schreibt der EU AI Act eine Reihe von Maßnahmen vor: technische Dokumentation, Risikomanagementsystem, Datengouvernanz, Transparenz gegenüber Nutzern, menschliche Aufsicht und Genauigkeits- sowie Robustheitsstandards. Das ist kein Formular, das man einmal ausfüllt – es ist ein fortlaufender Prozess, der in bestehende Qualitätsmanagementsysteme integriert werden muss.
Für viele Unternehmen bedeutet das erstmalig, dass sie KI-Systeme überhaupt systematisch inventarisieren müssen. Welche Modelle laufen wo? Welche Entscheidungen beeinflussen sie? Wer ist intern verantwortlich? Diese Fragen klingen trivial – in der Praxis sind sie es oft nicht.
Ab dem 2. August 2026 müssen Hochrisiko-KI-Systeme die vollständigen Anforderungen des EU AI Act erfüllen. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist.
Die Datensouveränitätsfrage
Parallel zur Compliance-Frage stellt sich eine strategischere: Wer verarbeitet eigentlich die Daten, auf denen KI-Entscheidungen basieren? Die meisten Unternehmen nutzen heute US-amerikanische Anbieter – AWS, Azure, Google Cloud, OpenAI, Salesforce. Das ist legitim, solange die Datenschutzgrundlagen stimmen (aktuell das EU-US Data Privacy Framework). Aber es schafft Abhängigkeiten.
Die Diskussion um Datensouveränität hat sich in den letzten Monaten verschärft – nicht zuletzt durch veränderte geopolitische Rahmenbedingungen. Europäische Alternativen wie Mistral (Frankreich) oder Aleph Alpha (Deutschland) haben aufgeholt. Für besonders sensible Daten oder regulierte Branchen wird die Frage „Wo liegen unsere Daten wirklich?" zunehmend relevant.
Was Unternehmen jetzt tun sollten
Drei Schritte haben sich in der Praxis als sinnvolle Einstiegspunkte herausgestellt: Erstens ein internes KI-Inventar aufbauen – welche Systeme sind im Einsatz, welche davon könnten als Hochrisiko eingestuft werden? Zweitens Verantwortlichkeiten klären – der EU AI Act erwartet, dass jemand im Unternehmen nachweislich zuständig ist. Drittens die Lieferkette unter die Lupe nehmen – wer stellt die KI-Komponenten bereit, und welche Dokumentationspflichten leiten sich daraus ab?
Das Gute: Wer bereits sauber mit Daten umgeht und Prozesse dokumentiert, hat vieles davon schon. Der EU AI Act ist weniger ein technisches Problem als ein Governance-Problem.
Einschätzung: Der EU AI Act wird für viele Unternehmen kein Sprint, sondern ein Marathon. Die August-Deadline kommt schnell – aber die eigentliche Arbeit ist die kulturelle: KI nicht mehr als Black Box zu behandeln, sondern als dokumentierten, verantworteten Prozess. Unternehmen, die das jetzt angehen, schaffen sich einen Vorsprung. Und eine solide Grundlage für alles, was danach kommt.