KI Gesetz – Was Unternehmen jetzt wissen müssen

Künstliche Intelligenz ist längst kein Zukunftsthema mehr, sondern bereits mitten in unserem Alltag angekommen. Ob beim Online-Shopping, beim Erstellen von Texten, in der Bilderkennung oder in der Produktionssteuerung – KI-Systeme unterstützen Unternehmen und Verbraucher*innen in unzähligen Situationen. Mit dieser schnellen Entwicklung wächst aber auch der Ruf nach klaren Regeln. Genau hier setzt das KI Gesetz (AI Act) der Europäischen Union an.

Viele erinnern sich noch an die Einführung der DSGVO im Jahr 2018. Damals war die Aufregung groß: Unternehmen mussten plötzlich ihre Datenflüsse dokumentieren, Datenschutzerklärungen anpassen und Prozesse neu aufstellen. Ähnlich wird es beim KI Gesetz sein – nur dass es diesmal um den Einsatz von Algorithmen und lernenden Systemen geht.

Doch warum braucht es überhaupt ein solches Gesetz? Die Antwort ist einfach: KI kann enorme Vorteile bringen, birgt aber auch Risiken. Von diskriminierenden Entscheidungssystemen bis hin zu intransparenten „Black Boxes“ gibt es zahlreiche Beispiele, die zeigen, dass unkontrollierter KI-Einsatz schaden kann. Gleichzeitig möchten Politik und Wirtschaft das Vertrauen der Menschen in KI stärken – denn nur wer Vertrauen hat, nutzt die Technologie auch.

Für Unternehmen bedeutet das: Wer heute schon auf KI setzt oder den Einsatz plant, muss sich mit dem KI Gesetz beschäftigen. Und das betrifft nicht nur Tech-Giganten wie Google oder Microsoft. Auch mittelständische Händler, Hersteller und Dienstleister stehen vor der Aufgabe, ihre Systeme zu prüfen. Denn KI steckt inzwischen in vielen Anwendungen, oft ohne dass es auf den ersten Blick sichtbar ist: in Chatbots, in Empfehlungssystemen für Online-Shops, bei der Betrugserkennung oder in der automatischen Übersetzung.

Das KI Gesetz steht dabei nicht isoliert. Es reiht sich ein in eine ganze Welle von Digitalgesetzen der EU: DSGVO, Digital Services Act, Data Act – die Liste wird immer länger. Für Unternehmen kann das schnell unübersichtlich werden. Aber: Wer die Anforderungen ernst nimmt, kann daraus einen echten Wettbewerbsvorteil ziehen. Denn Kunden honorieren Transparenz und verantwortungsvollen Umgang mit neuen Technologien.

Dieser Artikel soll deshalb einen klaren Überblick geben:

• Was steckt hinter dem KI Gesetz?
• Welche Pflichten kommen auf Unternehmen zu?
• Wie betrifft das Ganze speziell den E-Commerce und ERP-Umgebungen wie Microsoft Dynamics 365?
• Und was können Sie heute schon tun, um vorbereitet zu sein?

Das KI Gesetz (Artificial Intelligence Act, kurz: AI Act) ist die erste umfassende Regulierung für Künstliche Intelligenz weltweit. Verabschiedet wurde es von der Europäischen Union mit dem Ziel, klare Regeln für die Entwicklung und den Einsatz von KI-Systemen zu schaffen. Die Grundidee: KI soll sicher, transparent und im Einklang mit europäischen Werten genutzt werden – ohne Innovation unnötig zu bremsen.

Man kann sagen: So wie die DSGVO den Datenschutz weltweit geprägt hat, wird das KI Gesetz den Standard für den Umgang mit Künstlicher Intelligenz setzen.

Warum die EU ein KI Gesetz braucht und es sinnvoll ist

Künstliche Intelligenz wird zunehmend in Schulen, Behörden, im Gesundheitswesen, in der Industrie und im Handel eingesetzt und ist dort auch nicht mehr wegzudenken. Doch mit jedem neuen Use Case wächst aber auch die Gefahr von Fehlentscheidungen, Diskriminierung oder Missbrauch.

Beispiele, die in der öffentlichen Debatte oft genannt werden:

• Gesichtserkennung im öffentlichen Raum, die Persönlichkeitsrechte verletzt
• Chatbots, die Nutzer*innen nicht klar sagen, dass sie mit einer Maschine sprechen
• Algorithmen, die Bewerbungen oder Kreditentscheidungen auf Basis fehlerhafter Daten ablehnen
• Generative KI, die täuschend echte Fake-Bilder oder -Videos erstellt

Die EU sieht es daher als ihre Aufgabe, Vertrauen in KI zu schaffen und gleichzeitig grundlegende Rechte wie Datenschutz, Gleichbehandlung und Sicherheit zu schützen.

Die zentralen Ziele des KI Gesetzes

Das KI Gesetz verfolgt mehrere übergeordnete Ziele. Im Mittelpunkt steht der Schutz der Grundrechte, damit diskriminierende Entscheidungen oder unrechtmäßige Überwachung durch KI-Systeme verhindert werden. Ebenso wichtig ist die Transparenz: Anwendungen sollen nachvollziehbar und erklärbar bleiben, anstatt in undurchsichtigen „Black Boxes“ zu verschwinden. Ein weiteres Kernanliegen ist die Sicherheit – Systeme müssen zuverlässig arbeiten, dürfen nicht leicht manipulierbar sein und keine gravierenden Fehler verursachen.

Gleichzeitig möchte die EU die Innovation fördern: Klare Vorgaben sollen Unternehmen Orientierung geben, ohne Fortschritt und Kreativität zu bremsen. Und schließlich sorgt die Harmonisierung für einen einheitlichen Rechtsrahmen in allen Mitgliedsstaaten, damit kein Flickenteppich an Einzelregelungen entsteht.

Welche Technologien fallen unter das KI Gesetz?

Das Gesetz gilt für alle Anwendungen, die mit KI zu tun haben – und das ist breiter gefasst, als viele denken.

Darunter fallen u. a.:

• Klassische Machine-Learning-Systeme (z. B. Empfehlungssysteme, Betrugserkennung)
• Sprach- und Text-KI (z. B. Chatbots, Übersetzungstools, generative KI wie ChatGPT)
• Bild- und Videoanalyse (z. B. Gesichtserkennung, Objekterkennung in der Logistik)
• Vorhersage- und Scoring-Systeme (z. B. Bonitätsprüfungen, Bewerberauswahl)

Wichtig: Es geht nicht nur um „KI-Produkte“, sondern auch um Anwendungen innerhalb von Softwarelösungen, ERP-Systemen oder Onlineshops. Viele Unternehmen nutzen KI bereits indirekt, ohne es auf den ersten Blick zu wissen – etwa über integrierte Features in Microsoft Dynamics 365 oder in Marketing-Tools.

Warum das KI Gesetz global relevant ist

Auch wenn das Gesetz ein europäisches Projekt ist, wird es weltweit Wirkung entfalten. Schon die DSGVO hat gezeigt: Wer in Europa Geschäfte macht, muss sich an europäische Regeln halten – egal, ob das Unternehmen in München, New York oder Shanghai sitzt.

Das bedeutet:

• Internationale Anbieter müssen ihre KI-Produkte an die EU-Vorgaben anpassen.
• Unternehmen außerhalb der EU orientieren sich oft freiwillig daran, um Zugang zum europäischen Markt zu behalten.
• Das KI Gesetz wird damit de facto zum globalen Standard.

Für europäische Unternehmen ist das eine Chance: Sie können mit der Einhaltung der Vorgaben werben und das Vertrauen von Kund*innen stärken – ein Vorteil, den viele US- oder asiatische Konkurrenten erst noch aufholen müssen.

Das Herzstück des KI Gesetzes ist die Einteilung von Anwendungen in Risikoklassen. Diese bestimmen, welche Pflichten ein Unternehmen erfüllen muss, wenn es KI-Systeme einsetzt. Die EU verfolgt dabei einen risikobasierten Ansatz: Je höher das Risiko für Gesellschaft und Grundrechte, desto strenger die Regeln.

Damit ist das KI Gesetz flexibler als ein pauschales Verbot – und gleichzeitig praxistauglich für Unternehmen.

Überblick über die vier Risikostufen

• Unvertretbares Risiko – bestimmte Anwendungen sind verboten.
• Hohes Risiko – strenge Auflagen und Prüfungen.
• Begrenztes Risiko – Transparenzpflichten.
• Minimales Risiko – kaum Auflagen, freie Nutzung.

1. Unvertretbares Risiko – absolute Verbote

Bestimmte KI-Anwendungen gelten als so gefährlich für Grundrechte, dass sie in der EU grundsätzlich verboten sind.

Beispiele:

• Social Scoring, bei dem Menschen auf Basis ihres Verhaltens oder ihrer Daten „bewertet“ werden.
• Manipulative KI: Systeme, die gezielt Schwächen von Menschen ausnutzen (z. B. Spielsucht bei Kindern).
• Biometrische Überwachung in Echtzeit im öffentlichen Raum (mit wenigen Ausnahmen, z. B. Terrorabwehr).

Für Unternehmen im Handel oder in der Industrie sind diese Szenarien eher theoretisch – aber sie zeigen deutlich: Die EU zieht eine klare rote Linie.

2. Hohes Risiko – strenge Auflagen

Hier wird es für viele Unternehmen spannend. Systeme mit hohem Risiko dürfen eingesetzt werden, müssen aber strenge Regeln einhalten.

Dazu gehören Anwendungen in Bereichen wie:

• Bildung: KI, die Prüfungen bewertet oder Schüler:innen sortiert
• Gesundheitswesen: Diagnose-Tools, die über Therapien entscheiden
• Arbeitswelt: KI in Bewerbungsverfahren oder Personalentscheidungen
• Kritische Infrastrukturen: z. B. Energie, Wasser, Verkehr
• Recht & Justiz: Systeme, die Urteile oder Strafen beeinflussen

Für Unternehmen mit Hochrisiko-Anwendungen schreibt das KI Gesetz klare Pflichten vor. Dazu gehört eine strenge Dokumentation mit umfassenden Nachweisen, sodass jederzeit nachvollziehbar ist, wie ein System funktioniert und auf welchen Daten es basiert. Ebenso wichtig ist eine transparente Entscheidungslogik, die sicherstellt, dass Ergebnisse erklärbar bleiben und nicht in einer Black Box verschwinden. Ergänzend müssen Unternehmen ein konsequentes Risiko- und Qualitätsmanagement etablieren, um Fehlerquellen frühzeitig zu erkennen und zu vermeiden. Schließlich ist auch eine Registrierung in einer EU-Datenbank vorgeschrieben, damit Aufsichtsbehörden und Öffentlichkeit Transparenz über den Einsatz von Hochrisiko-KI erhalten.

3. Begrenztes Risiko – Transparenz im Vordergrund

Diese Kategorie betrifft schon sehr viel häufiger die Praxis im E-Commerce.

Beispiele:

• Chatbots: Kund:innen müssen klar erkennen, dass sie mit einer Maschine sprechen.
• Emotionserkennung in Marketing- oder HR-Systemen.
• Generative KI: Inhalte müssen ggf. gekennzeichnet werden.

Hier geht es vor allem um Transparenzpflichten. Unternehmen müssen ihre Nutzer*innen informieren, dass sie mit KI interagieren – nicht mehr, aber auch nicht weniger.

Für Onlinehändler bedeutet das zum Beispiel: Ein Chatbot im Shop darf nicht so tun, als sei er ein Mensch.

4. Minimales Risiko – freie Nutzung

Die meisten KI-Anwendungen fallen in diese Kategorie. Dazu zählen:

• Spamfilter in E-Mail-Programmen
• Produktempfehlungen in Online-Shops
• Automatische Übersetzungshilfen

Hier gibt es keine zusätzlichen gesetzlichen Pflichten. Unternehmen können solche Tools frei einsetzen – und tun das oft schon seit Jahren, ohne es überhaupt als „KI“ wahrzunehmen.

Praxisnahe Einordnung für E-Commerce & ERP

Damit die Risikoklassen nicht abstrakt bleiben, ein paar typische Beispiele:

• Produktempfehlung im Online-Shop (Dynamics 365 + PIM) → minimales Risiko
• Chatbot für Kundenservice → begrenztes Risiko (Transparenzhinweis erforderlich)
• KI-gestützte Bewerberauswahl → hohes Risiko (Dokumentation, Qualitätsmanagement)
• Gesichtserkennung zur Kundenanalyse → unvertretbares Risiko (praktisch verboten)

Das KI Gesetz sieht je nach Risikoklasse unterschiedliche Pflichten vor. Während Systeme mit minimalem Risiko nahezu frei genutzt werden können, unterliegen Hochrisiko-Anwendungen strengen Anforderungen. Entscheidend ist: Wer sich frühzeitig mit den Vorgaben beschäftigt, verhindert böse Überraschungen und mögliche hohe Kosten.

Transparenzpflichten

Transparenz ist das Fundament des KI Gesetzes. Nutzer*innen sollen stets nachvollziehen können, ob sie mit einer KI interagieren und wie Entscheidungen zustande kommen.

Das bedeutet:

• Kennzeichnungspflicht: Chatbots oder generative KI-Inhalte müssen klar als solche erkennbar sein.
• Erklärbarkeit: KI-Entscheidungen dürfen nicht in einer „Black Box“ verschwinden. Unternehmen müssen darlegen, nach welchen Kriterien Ergebnisse entstehen.
• Offenlegung von Datenquellen: Bei sensiblen Anwendungen müssen die verwendeten Trainingsdaten benannt werden, um Verzerrungen oder Diskriminierungen offenzulegen.

Beispiel E-Commerce: Ein Chatbot im Kundenservice muss klar als Bot ausgewiesen sein. Ein Bewertungssystem sollte erklären, welche Faktoren in die Berechnung einfließen.

Dokumentation & Nachweispflichten

Besonders bei Hochrisiko-Anwendungen gilt: ohne saubere Dokumentation kein rechtskonformer Betrieb. Unternehmen müssen:

• ein technisches Dossier über Aufbau und Funktionsweise der KI führen,
• eine Risikobewertung vornehmen und regelmäßig aktualisieren,
• Protokolle zum KI-Einsatz speichern,
• eine Konformitätserklärung abgeben, bevor ein Hochrisiko-System genutzt wird.

Diese Pflichten erinnern an CE-Kennzeichnung oder ISO-Zertifizierungen – aufwendig, aber letztlich Sicherheit für Unternehmen und Kund*innen.

Technische Anforderungen

Das KI Gesetz stellt außerdem klare technische Mindeststandards auf:

• Robustheit & Genauigkeit: Systeme müssen zuverlässig und fehlertolerant arbeiten.
• Cybersecurity: Schutz vor Manipulation und Hackerangriffen ist Pflicht.
• Datenqualität: Trainings- und Einsatzdaten müssen aktuell, repräsentativ und diskriminierungsfrei sein.
• Human Oversight: Entscheidungen dürfen nie vollständig maschinell ohne menschliche Kontrolle getroffen werden.

Für den E-Commerce bedeutet das: Wer KI-gestützte Preisprognosen oder Nachfragevorhersagen nutzt, muss Ergebnisse regelmäßig überprüfen und absichern.

Aufsichtsbehörden & Sanktionen

In Deutschland ist noch nicht final entschieden, welche Behörde die Aufsicht übernimmt – wahrscheinlich eine Kombination aus Bundesnetzagentur und Datenschutzaufsicht. Klar ist aber: Verstöße werden teuer.

• Bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes bei verbotenen Anwendungen.
• Bis zu 15 Mio. € oder 3 % bei Verstößen gegen Hochrisiko-Pflichten.
• Bis zu 7,5 Mio. € oder 1,5 % bei unvollständigen oder falschen Angaben.

Übergangsfristen & Zeitplan

Das Gesetz wird schrittweise wirksam:

• Ab 2024/2025: Verbotene Anwendungen gelten sofort.
• Ab 2025: Regeln für Hochrisiko-Systeme greifen.
• Ab 2026: Alle Pflichten gelten vollumfänglich.

Für Unternehmen im Onlinehandel bedeutet das: Auch wenn die strengsten Vorgaben nicht sofort alle betreffen, sollte das Thema keinesfalls aufgeschoben werden. Denn KI ist längst Teil vieler Shop-Systeme, ERP-Lösungen oder Marketing-Tools – oft, ohne dass es auf den ersten Blick erkennbar ist. Wichtig ist vor allem, Kund*innen transparent zu informieren, wenn KI im Einsatz ist, etwa bei Chatbots. Ebenso sollten Produktempfehlungen und KI-gestützte Bewertungen nachvollziehbar gemacht werden, um Vertrauen aufzubauen. Ein weiteres Augenmerk gilt den KI-Features in ERP-Systemen wie Microsoft Dynamics 365, die sich kontinuierlich weiterentwickeln.

Wer frühzeitig für Transparenz sorgt und interne Prozesse anpasst, kann das KI Gesetz sogar als Chance nutzen: Verantwortungsvolle KI wird zu einem echten Wettbewerbsvorteil – und Vertrauen ist im E-Commerce oft entscheidender als der Preis.

(Hinweis: Der Artikel enthält KI generierte Inhalte.)