Zum Inhalt springen
Startseite » News » Ratgeber » EU AI Act für Einkäufer: Compliance & KI-Risikomanagement💡

EU AI Act für Einkäufer: Compliance & KI-Risikomanagement💡

Als Einkäufer von Künstlicher Intelligenz (KI) in der EU müssen Sie den risikobasierten Ansatz des AI Act verstehen und umsetzen.

Der AI Act stuft KI-Systeme nach ihrem potenziellen Risiko für Gesundheit, Sicherheit und Grundrechte ein. Ihre zentrale Aufgabe ist die Klassifikation der eingekauften Systeme und die Identifizierung von Hochrisiko-KI-Systemen. Für diese gelten strenge Pflichten wie lückenlose Dokumentation, Risikomanagement und Konformitätsbewertung. Handeln Sie jetzt, um hohe Bußgelder (bis zu 7 % des weltweiten Jahresumsatzes) und Reputationsschäden zu vermeiden.

Inhaltsverzeichnis

  1. Die Grundlagen des AI Act: Risikobasierter Ansatz und Fristen
  2. Hochrisiko-KI: Die zentrale Herausforderung für Einkäufer
  3. Pflichten des Betreibers (Nutzer): Was der Einkauf beachten muss
  4. Checkliste: Ihre 5 Sofortmaßnahmen zur AI Act Compliance
  5. Fazit: KI-Einkauf als strategische Compliance-Funktion
  6. FAQ: Die häufigsten Fragen zum AI Act im Einkauf

 

1. Die Grundlagen des AI Act: Risikobasierter Ansatz und Fristen

EU AI Act für Einkäufer
EU AI Act für Einkäufer

Der EU AI Act (KI-Verordnung) ist die weltweit erste umfassende Regulierung von Künstlicher Intelligenz, die seit August 2024 in Kraft ist.

Die 4 Risikokategorien im Überblick

1. Inakzeptables Risiko (Streng verboten)

  • Beschreibung: Systeme, die Grundrechte verletzen (z. B. Social Scoring).
  • Pflichten: Streng verboten (seit Feb. 2025).
  • Beispiel: KI zur Massenüberwachung.

2. Hohes Risiko (Strenge Pflichten)

  • Beschreibung: Systeme, die kritische Infrastrukturen, Gesundheit, Sicherheit oder Grundrechte betreffen (z. B. in HR- oder Finanzbereichen).
  • Pflichten: Strenge Pflichten (Dokumentation, Risikomanagement, Konformitätsbewertung).
  • Beispiel: KI zur Bewerberauswahl oder zur Kreditwürdigkeitsprüfung.

3. Begrenztes Risiko (Transparenzpflicht)

  • Beschreibung: Systeme, die eine Interaktion mit Menschen haben.
  • Pflichten: Transparenzpflicht (Kennzeichnung, dass es KI ist).
  • Beispiel: Chatbots, Deepfakes (Kennzeichnungspflicht).

4. Minimales/Kein Risiko (Freiwillige Kodizes)

  • Beschreibung: Die Mehrheit der KI-Systeme (z. B. einfache Filter, Spiele).
  • Pflichten: Freiwillige Verhaltenskodizes.
  • Beispiel: Spamfilter, einfache Optimierungs-Tools.

Wichtigste Fristen für Unternehmen

  • Seit Februar 2025: Verbot von KI mit inakzeptablem Risiko.
  • Ab August 2026: Umfassende Pflichten für Hochrisiko-KI-Systeme.
  • Sanktionen: Bei Verstößen drohen Bußgelder von bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes.

 

2. Hochrisiko-KI: Die zentrale Herausforderung für Einkäufer

Kaufen Sie ein Hochrisiko-KI-System, werden Sie zum „Betreiber“ und übernehmen damit umfassende gesetzliche Pflichten.

Wann ist ein KI-System Hochrisiko?

Ein KI-System gilt als Hochrisiko, wenn es in einem der sensiblen Bereiche (Anhang III des AI Act) eingesetzt wird.

Relevante Hochrisiko-Bereiche für den Unternehmenseinkauf:

  • Personalmanagement: KI zur Bewerberauswahl, zur Bewertung der Leistung von Mitarbeitern oder zur Zuweisung von Aufgaben.
  • Finanzen: KI zur Bewertung der Kreditwürdigkeit oder zur Berechnung des Kreditscores.
  • Kritische Infrastrukturen: KI zur Verwaltung und dem Betrieb wichtiger Infrastrukturen (z. B. Energie, Logistik, digitale Infrastruktur).
  • Öffentliche Dienste: KI zur Bearbeitung von Notrufen oder zur Zugangsgewährung zu wesentlichen Diensten.

➡️ Ihre Aufgabe: Klären Sie bei jedem KI-Einkauf, ob der Verwendungszweck des Systems in eine der Hochrisiko-Kategorien fällt.
 

3. Pflichten des Betreibers (Nutzer): Was der Einkauf beachten muss

Als „Betreiber“ eines Hochrisiko-KI-Systems haben Sie konkrete Pflichten:

1. Risikomanagement und Dokumentation

  • Nutzung nach Vorgabe: Verwenden Sie das System strikt nach der vom Anbieter bereitgestellten Gebrauchsanweisung.
  • Überwachung: Stellen Sie sicher, dass die Nutzung kontinuierlich von Menschen überwacht werden kann (Human Oversight).
  • Protokollierung: Zeichnen Sie die Vorgänge („Logs“) des KI-Systems auf und bewahren Sie diese auf, um die Nachvollziehbarkeit zu sichern.
  • Datenqualität: Achten Sie darauf, dass die verwendeten Eingabedaten relevant und repräsentativ sind, um Diskriminierung oder Verzerrungen (Bias) zu vermeiden.

2. Vertragliche Absicherung im Einkauf

  • Lieferantenauswahl: Prüfen Sie, ob der Anbieter die strengen Pflichten (Konformitätsbewertung, CE-Kennzeichnung) für das Hochrisiko-System erfüllt.
  • Vertragsgestaltung: Fordern Sie Vertragsgarantien für die AI Act-Compliance. Sichern Sie sich das Recht auf die notwendige technische Dokumentation und die Meldung von schwerwiegenden Vorfällen zu.
  • Schulungspflicht: Sorgen Sie dafür, dass das Personal, das das KI-System bedient, ausreichend geschult ist und die Risiken versteht.

3. Incident Reporting

Etablieren Sie Prozesse, um schwerwiegende Vorfälle, die Schäden oder die Verletzung von Grundrechten verursachen könnten, unverzüglich an die nationalen Aufsichtsbehörden zu melden.

4. Checkliste: Ihre 5 Sofortmaßnahmen zur AI Act Compliance

  1. Inventur & Klassifikation: Erstellen Sie eine Liste aller eingesetzten KI-Systeme und ordnen Sie diese den vier Risikokategorien des AI Act zu.
  2. Governance etablieren: Benennen Sie einen zentralen KI-Compliance-Verantwortlichen und klären Sie die Zuständigkeiten zwischen den Abteilungen (Einkauf, Legal, IT).
  3. Vertrags-Audit: Überprüfen Sie alle KI-Verträge. Fügen Sie standardisierte AI Act-Klauseln hinzu, die die Pflichten des Anbieters (Zertifizierung, Dokumentation) und des Betreibers (Nutzungsrahmen) absichern.
  4. Schulungspflicht erfüllen: Beginnen Sie mit der Schulung der Mitarbeiter, die mit Hochrisiko-KI-Systemen arbeiten, um die geforderte KI-Kompetenz im Unternehmen zu gewährleisten.
  5. Risikobewertung in den Sourcing-Prozess integrieren: Machen Sie die AI Act-Compliance zu einem verbindlichen K.O.-Kriterium im Lieferantenauswahlprozess (Due Diligence).

 

5. Fazit: KI-Einkauf als strategische Compliance-Funktion

Der EU AI Act transformiert den Einkauf von KI-Systemen von einer rein kommerziellen zu einer strategischen Compliance-Funktion. Die Zeit, KI-Systeme ohne tiefgreifende Risikoanalyse einzukaufen, ist vorbei. Einkäufer müssen sich von „technischen Nutzern“ zu „regulierungsbewussten Betreibern“ entwickeln.

„Die Zukunft des technologischen Fortschritts hängt nicht nur von Innovation ab, sondern entscheidend von Vertrauen. Und Vertrauen entsteht durch verantwortungsvolle Regulierung.“

Wer jetzt die Klassifikation der Systeme, die vertragliche Absicherung und die interne Governance klärt, sichert nicht nur die Compliance, sondern positioniert das Unternehmen als vertrauenswürdigen und zukunftssicheren Akteur.

 

6. FAQ: Die häufigsten Fragen zum AI Act im Einkauf

Sind nur europäische Anbieter betroffen?

Nein, der AI Act hat extraterritoriale Wirkung. Er gilt für jeden Anbieter weltweit, der ein KI-System auf dem EU-Markt in Verkehr bringt. Als Einkäufer sind Sie verpflichtet, die Einhaltung der Vorschriften auch bei US- oder asiatischen Anbietern zu prüfen.

Gilt der AI Act auch für Open-Source-KI-Modelle?

Grundsätzlich ja, aber mit Ausnahmen. Obwohl viele Open-Source-Modelle von direkten Anbieterpflichten befreit sind, gelten die strengen Pflichten für den Betreiber (Sie als Einkäufer/Nutzer), wenn diese Modelle im Rahmen eines Hochrisiko-Systems verwendet werden.

Was ist der Unterschied zwischen Anbieter und Betreiber?

  • Anbieter (Hersteller): Die Person oder das Unternehmen, die das KI-System entwickelt und in Verkehr bringt (z. B. ein Softwareunternehmen).
  • Betreiber (Nutzer): Das Unternehmen (z. B. der Einkäufer), das das KI-System in seinem beruflichen Kontext verwendet (z. B. zur Analyse von Finanzdaten). Der Betreiber übernimmt spezifische Pflichten, insbesondere bei Hochrisiko-Systemen.

Ist mein interner Chatbot eine Hochrisiko-KI?

In der Regel nicht, aber prüfen Sie den Anwendungsfall. Ein einfacher Chatbot zur Beantwortung von Fragen fällt meist in die Kategorie „Begrenztes Risiko“ (Transparenzpflicht). Ein KI-System zur Entscheidung über Beförderungen oder zur Bewertung von Mitarbeitern hingegen ist eine Hochrisiko-KI. Der Einsatzzweck ist entscheidend.