Der AI Act der EU verändert die Spielregeln für Künstliche Intelligenz in Europa – mit weitreichenden Folgen für Unternehmen. In unserem Interview mit KPMG-Experten erfahren Sie, welche Branchen besonders betroffen sind, wie sich Firmen auf diese Veränderungen vorbereiten können, welche Maßnahmen jetzt Priorität haben und wie sich die Regulierung langfristig auf die Wettbewerbsfähigkeit unserer Wirtschaft auswirken könnte.

Der AI Act der EU markiert einen Wendepunkt in der Regulierung Künstlicher Intelligenz in Europa. Mit seinen strengen Vorgaben zielt das Gesetz darauf ab, Innovation zu fördern, Risiken zu minimieren und Vertrauen in den Einsatz von KI zu schaffen. Doch diese ambitionierten Ziele bringen auch erhebliche Herausforderungen mit sich: Unternehmen stehen vor der Aufgabe, ihre KI-Systeme zu identifizieren, Risiken zu bewerten und neue Governance-Strukturen aufzubauen. Gleichzeitig wirft das Gesetz Fragen zur Wettbewerbsfähigkeit europäischer Unternehmen auf, insbesondere im Vergleich zu Ländern mit weniger strengen Regularien.

In diesem Interview beleuchtet ein Experten-Team von KPMG – Jan Stoelting, Nicolas Milte und Francois Heynike – die praktischen Auswirkungen des EU AI Acts. Sie analysieren die Herausforderungen, geben Einblicke in die Einstufung nach Risikoklassen und zeigen auf, wie Unternehmen den Spagat zwischen Compliance und Innovation meistern können. 

Die KPMG-Experten Jan Stölting, Nicolas Milte und Francois Heynike (v.l.).

Der AI Act verfolgt das Ziel, Innovation im Bereich der Künstlichen Intelligenz zu fördern und gleichzeitig den Missbrauch dieser Technologie einzudämmen. Wie nehmen Sie dieses neue Regelwerk in Ihrer Beratungspraxis wahr? Welche Reaktionen beobachten Sie bei Ihren Kunden, und welche Herausforderungen oder Diskussionen ergeben sich daraus?
Die Reaktionen auf den AI Act sind aktuell eher zurückhaltend und von einer gewissen Skepsis geprägt. Viele Unternehmen empfinden die neuen Anforderungen zunächst als zusätzliche Belastung, da sie in den letzten Jahren bereits zahlreiche Regularien umsetzen mussten. Der AI Act wird oft als zusätzlicher Compliance-Aufwand wahrgenommen, der Ressourcen bindet und Kosten verursacht.
Besonders deutlich wird das bei Unternehmen, die an der Spitze der technologischen Entwicklung stehen und versuchen, proaktiv Innovationen auf den Markt zu bringen. Hier stößt das Regelwerk häufig auf Widerstand, da es als potenzielles Wettbewerbshemmnis gesehen wird – insbesondere im Vergleich zu Ländern ohne vergleichbare Vorgaben. Gleichzeitig gibt es aber auch Branchen wie den Finanzsektor, die mit regulatorischen Anforderungen vertrauter sind. Internationale Banken beispielsweise verfügen häufig über die nötigen Strukturen und Kapazitäten, um solche Regelwerke relativ reibungslos umzusetzen. Dennoch ist auch für sie die Umsetzung des AI Act mit erheblichem Aufwand verbunden.
Auf der anderen Seite erkennen viele Unternehmen den grundsätzlichen Sinn hinter der Regulierung: Risiken sollen eingedämmt und KI-Technologien verantwortungsvoll eingesetzt werden. Die EU verfolgt hier eine ähnliche Strategie wie bei der Datenschutzgrundverordnung (DSGVO), indem sie ein weltweit beachtetes Regelwerk schafft, an dem sich andere orientieren müssen. Das kann langfristig auch Wettbewerbsvorteile für europäische Unternehmen schaffen, da Anbieter aus Drittstaaten wie China sich ebenfalls an die Vorgaben halten müssen, wenn sie in Europa tätig sein wollen.

Gibt es über die allgemeine Skepsis hinaus spezifische Bereiche, die den Unternehmen besondere Sorgen bereiten? Zeichnen sich konkrete Nachteile ab, etwa im Vergleich zu Wettbewerbern?
Ein zentrales Problem ist der zusätzliche Aufwand, den das EU-Regelwerk mit sich bringt. Unternehmen müssen neue Prüfprozesse etablieren, Register führen und Abteilungen aufbauen, um die geforderten Transparenzen zu gewährleisten. Besonders anspruchsvoll wird es bei komplexen KI-Lösungen oder kritischen Services, da die Trainingsdaten detailliert dokumentiert und nachvollziehbar aufbereitet werden müssen. Das betrifft sowohl die Herkunft der Daten als auch deren Verarbeitung. Dieser Aufwand ist enorm und stellt viele Unternehmen vor große Herausforderungen.
Ein weiteres Thema ist die Überschneidung mit anderen Regelwerken wie dem Cyber Resilience Act. Gerade bei smarten Produkten oder KI-basierten Lösungen müssen Unternehmen nicht nur die Vorgaben des AI Act erfüllen, sondern auch umfangreiche Anforderungen an Cybersicherheit berücksichtigen. Diese zusätzlichen Sicherheitsmaßnahmen erhöhen die Komplexität und verlangsamen häufig die Produktentwicklung – was sich negativ auf die Time-to-Market auswirken kann. Insbesondere für Unternehmen, die international agieren, stellt dies einen potenziellen Wettbewerbsnachteil dar.
Auf der anderen Seite verfolgt der AI Act auch das Ziel, Vertrauen in den Einsatz von KI zu schaffen. Dieses Vertrauen ist essenziell, da Missbrauch oder intransparente Anwendungen – etwa in Wahlkämpfen oder Social-Media-Kampagnen – das Vertrauen der Nutzer schnell beschädigen können. Der Act soll hier einen klaren Rahmen setzen, der sowohl Anwendern als auch Verbrauchern Sicherheit bietet. Leider wird dieser positive Aspekt in der breiten Diskussion oft übersehen. Stattdessen stehen häufig Innovationshemmnisse und Kosten im Vordergrund.
Zudem gibt es noch Unklarheiten darüber, wie verschiedene Regulierungen zusammenwirken sollen. Insbesondere produzierende Unternehmen müssen sich durch ein komplexes Geflecht von Vorschriften kämpfen, um zu verstehen, welche Anforderungen vorrangig gelten – sei es im Bereich Produktsicherheit oder Cybersicherheit. Diese Unsicherheiten erschweren es vielen Firmen zusätzlich, den Überblick zu behalten und effizient zu handeln.

Sind von der Regulierung alle Unternehmen unabhängig von ihrer Größe gleichermaßen betroffen, oder gibt es Ausnahmen für kleine und mittelständische Unternehmen? Wie stellt sich die Herausforderung für unterschiedliche Unternehmensgrößen dar?
Grundsätzlich macht der EU AI Act keinen Unterschied zwischen kleinen, mittelständischen und großen Unternehmen – die Anforderungen gelten für alle gleichermaßen. Allerdings gibt es Unterschiede in der Praxis: Kleine und mittelständische Unternehmen setzen oft weniger KI-Systeme ein als große Konzerne. Dennoch müssen auch sie sich zunächst einen Überblick verschaffen: Welche Systeme nutzen sie, und fallen diese unter die Risikokategorien, die der AI Act definiert?
Für kleinere Unternehmen kann dies eine größere Herausforderung sein, da sie häufig weniger strukturierte IT-Prozesse haben. Große Unternehmen verfügen in der Regel über zentralisierte IT-Strukturen und haben dadurch einen besseren Überblick über ihre eingesetzten Systeme. Das erleichtert es ihnen, KI-Anwendungen zu identifizieren und zu bewerten. Kleinere Unternehmen hingegen müssen oft erst grundlegende Transparenz schaffen, was mehr Aufwand bedeuten kann. Gleichzeitig ist die IT-Landschaft in kleinen und mittelständischen Unternehmen meist weniger komplex, was die Analyse wiederum vereinfacht.
Unabhängig von der Unternehmensgröße bleibt die Kernanforderung dieselbe: Alle Firmen müssen ihre KI-Systeme identifizieren und ein Risiko-Assessment durchführen. Diese Aufgabe ist für jedes Unternehmen essenziell, um den Vorgaben des AI Acts gerecht zu werden. Der Aufwand mag je nach Größe und Struktur variieren, aber die Herausforderung betrifft letztlich alle gleichermaßen.

Welche Maßnahmen empfehlen Sie Unternehmen, die sich bisher kaum oder gar nicht mit der KI-Regulierung der EU auseinandergesetzt haben? Wo sehen Sie den größten Handlungsbedarf, und welche Schritte sollten Unternehmen priorisieren, wenn sie jetzt bei Null starten?
Der wichtigste erste Schritt für Unternehmen ist eine umfassende Bestandsaufnahme, um zu analysieren, wo bereits KI-Systeme eingesetzt werden. Angesichts der breiten Definition von KI im AI Act müssen Unternehmen prüfen, ob KI-Elemente in Produkten, Prozessen oder internen Abläufen vorhanden sind. Darauf aufbauend sollten sie strategisch festlegen, welche Rolle KI künftig spielen soll, und klare Verantwortlichkeiten schaffen – sei es im Datenschutz, in der Entwicklung oder im Compliance-Bereich. Für ambitionierte Unternehmen kann es sinnvoll sein, Kompetenzen zu bündeln und eine zentrale Organisationseinheit für KI-Governance zu etablieren. Dabei sollten auch andere Regularien wie der Data Act oder der Cyber Resilience Act berücksichtigt werden.
Ein weiterer zentraler Punkt ist der Umgang mit bestehenden Risiken. Viele Mitarbeitende nutzen bereits KI-Tools, wie Chatbots oder Plattformen, zur Datenverarbeitung – oft ohne klare Vorgaben. Unternehmen sollten dringend interne Richtlinien entwickeln, um Datenschutzverstöße und Know-how-Abfluss zu vermeiden. Diese Policies schaffen Sicherheit und schützen vor ungewollten Konsequenzen.
Darüber hinaus ist es entscheidend, ob Unternehmen lediglich reaktiv handeln oder proaktiv vorgehen möchten. Ein proaktiver Ansatz – etwa durch die Entwicklung eigener Guidelines und einer strategischen Integration von KI – bietet nicht nur bessere Vorbereitung auf zukünftige Regularien, sondern auch Wettbewerbsvorteile durch eine klar definierte Governance-Struktur. Der regulatorische Druck wird weltweit zunehmen, und Unternehmen, die heute vorausschauend handeln, sind langfristig besser aufgestellt.

Talkbook: Digitale Transformation im Mittelstand

Wie mittelständische Unternehmen digitale Geschäftsmodelle entwickeln, künstliche Intelligenz erfolgreich einsetzen und Cyberrisiken begegnen.

Jetzt herunterladen

Sind bestimmte Branchen stärker von den EU-Vorgaben betroffen als andere? Lassen sich daraus besondere Handlungsbedarfe für einzelne Sektoren ableiten?
Der AI Act der EU zielt auf KI-Systeme ab, die in spezifische Risikokategorien fallen, und diese Kategorien sind in einigen Branchen deutlich häufiger vertreten als in anderen. Wie Francois bereits erwähnt hat, ist die Finanzbranche ein gutes Beispiel. Hier kommen KI-Anwendungen häufig in Bereichen wie Kreditentscheidungen oder Ratingprozessen zum Einsatz – Anwendungen, die oft in die Kategorie der Hochrisiko-Systeme fallen.
Ähnliches gilt für den Bereich der kritischen Infrastruktur, etwa bei Energieversorgern oder Unternehmen im Versorgungssektor. In solchen Branchen ist der Einsatz von KI-Systemen mit strengen Anforderungen verbunden, da sie potenziell erhebliche Auswirkungen auf Sicherheit und Grundrechte haben können. Diese Unternehmen stehen daher vor einem besonders hohen Anpassungsbedarf.
Branchen, die weniger stark auf KI setzen oder deren Anwendungen typischerweise in niedrigere Risikokategorien fallen – wie etwa Systeme mit begrenztem Risiko –, sind hingegen weniger betroffen. Dennoch müssen auch diese Unternehmen prüfen, ob und wie ihre Systeme unter die Vorgaben des AI Act fallen.

Wie praktikabel ist die Einstufung von KI-Systemen nach Risikoklassen in der Praxis? Welche Herausforderungen sehen Sie bei der Umsetzung dieses Klassifizierungssystems?
Die Einstufung von KI-Systemen nach Risikoklassen ist ein sinnvoller Ansatz, der auf einer risikobasierten Governance basiert. Je höher das Risiko einer KI-Anwendung, desto strenger sind die Compliance-Anforderungen – ein Prinzip, das Transparenz schaffen und eine gezielte Umsetzung der Vorgaben ermöglichen soll. Unternehmen müssen ihre KI-Systeme identifizieren, bewerten und einer Risikokategorie zuordnen, um Klarheit über die erforderlichen Maßnahmen zu erhalten. Dieser abgestufte Ansatz ist effizient und entspricht bewährten Frameworks aus Wissenschaft und Wirtschaft.
Dieser Regulierungsbereich entwickelt sich derzeit allerdings sehr dynamisch, was zusätzliche Herausforderungen mit sich bringt. So wurde etwa Anfang Februar von der EU eine Guideline veröffentlicht, die beispielsweise logistische Regressionen explizit von der Definition von KI-Systemen ausnimmt. Diese Präzisierung schafft Klarheit in einem Bereich, der zuvor für Unsicherheiten sorgte, da Unternehmen logistische Regressionen unterschiedlich bewerteten. Solche Entwicklungen zeigen, dass sich die regulatorischen Rahmenbedingungen stetig weiterentwickeln und Unternehmen flexibel darauf reagieren müssen.
Ein weiterer wichtiger Punkt ist hier auch der mit Spannung erwartete Standardisierungsauftrag der EU. Von den kommenden Normen erwarten wir und unsere Kunden klare Vorgaben dazu, wie zentrale Begriffe wie „Transparenz“, „Robustheit“ oder „Genauigkeit“ praktisch umzusetzen sind. Diese Standards werden entscheidend dazu beitragen, die derzeit bestehenden Unklarheiten in der Anwendung des AI Acts zu beseitigen.

Fazit: Der AI Act der EU mag kurzfristig als Belastung erscheinen, doch er bietet langfristig Chancen für Unternehmen, die proaktiv handeln. Ein strategischer Umgang mit den Regularien ermöglicht nicht nur die Einhaltung der Vorgaben, sondern stärkt auch die Innovationskraft und Wettbewerbsfähigkeit im internationalen Kontext. Unternehmen sollten daher vorausschauend agieren und den regulatorischen Rahmen als Möglichkeit begreifen, um sich nachhaltig erfolgreich zu positionieren.