← Zurück zum Blog
von Nils Radde
KIRegulatorik

Der EU AI Act ist da – was das für IT-Führungskräfte wirklich bedeutet

Der EU AI Act ist da. Was das für IT-Führungskräfte wirklich bedeutet.

Seit August 2024 gilt der EU AI Act. Seit Februar 2025 greifen die ersten verbindlichen Pflichten für alle Unternehmen, die KI-Systeme in der EU einsetzen oder entwickeln. Und seit ich offiziell als AI Officer bei der EDEKABANK AG benannt wurde, werde ich regelmäßig gefragt: Was macht man da eigentlich konkret?

Die ehrliche Antwort: Vieles ist noch im Aufbau. Die Guidance der Aufsichtsbehörden wird schrittweise präzisiert. Aber einige Dinge sind bereits glasklar – und überraschend. Hier sind meine fünf wichtigsten Erkenntnisse aus der Praxis.

Was ist ein AI Officer überhaupt?

Der EU AI Act schreibt für Unternehmen, die KI-Systeme einsetzen oder entwickeln, interne Zuständigkeiten vor. Der AI Officer ist die Person, die sicherstellt, dass KI-Systeme korrekt klassifiziert, bewertet und regulatorisch konform betrieben werden – und dass das Unternehmen gegenüber Aufsichtsbehörden auskunftsfähig ist.

Klingt abstrakt. In der Praxis bedeutet das: Ich muss für jedes KI-System im Haus wissen, in welche Risikoklasse es fällt, welche Pflichten damit verbunden sind, und ob unsere internen Prozesse das abbilden. Und ich muss sicherstellen, dass Mitarbeitende wissen, welche KI-Tools sie einsetzen dürfen – und unter welchen Bedingungen.

Das ist keine reine Compliance-Aufgabe. Es ist eine IT-Governance-Aufgabe. Und sie gehört in die IT-Führung – nicht in die Rechtsabteilung.

Erkenntnis 1: KI ist schon längst im Haus – nur niemand hat es systematisch erfasst.

Der erste Schritt bei der EDEKABANK AG war eine ehrliche Bestandsaufnahme: Welche KI-Systeme nutzen wir überhaupt?

Das Ergebnis war ernüchternd – nicht wegen der Menge, sondern wegen der Unklarheit. Automatisierte Bewertungsmodelle. E-Mail-Filter mit ML-Komponenten. Copilot-Werkzeuge im täglichen Einsatz der Fachabteilungen. Predictive-Analytics-Funktionen in Standardsoftware. Alles KI im Sinne des AI Acts – aber nirgendwo vollständig dokumentiert, bewertet oder verantwortet.

Die Inventarisierung klingt nach Fleißarbeit. Sie ist es auch. Aber sie ist gleichzeitig das wertvollste Ergebnis des gesamten AI-Governance-Prozesses: Zum ersten Mal hat das Unternehmen eine vollständige, strukturierte Übersicht aller KI-Systeme – mit klaren Verantwortlichkeiten. Das ist ein echter Mehrwert, unabhängig von der Regulatorik.

Mein Tipp: Startet die Inventarisierung mit einem breiten Scope. Besser zu viel erfassen und dann priorisieren als relevante Systeme übersehen.

Erkenntnis 2: Risikoklassen sind nicht kompliziert – aber konsequent anwenden muss man sie.

Der AI Act unterscheidet vier Risikoklassen: inakzeptables Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Die meisten unternehmensinternen KI-Tools landen im Bereich begrenztes oder minimales Risiko – mit überschaubaren Pflichten.

Aber: Systeme, die Kreditwürdigkeit bewerten, Personalentscheidungen unterstützen, Sicherheitsprozesse automatisieren oder kritische Infrastruktur betreffen, können schnell in die Hochrisiko-Kategorie fallen. Und dort gelten erhebliche Anforderungen: umfassende Dokumentation, nachweisliche menschliche Aufsicht, regelmäßige Robustheitstests, Transparenzpflichten gegenüber betroffenen Personen.

Was mich in der Praxis überrascht hat: Die Klassifizierung ist methodisch lösbar. Aber sie erfordert Urteile – und die brauchen eine klare interne Entscheidungsstruktur. Wer klassifiziert? Wer validiert? Wer trägt Verantwortung, wenn sich die Einstufung als falsch herausstellt?

Diese Fragen müssen organisatorisch beantwortet sein, bevor man mit der eigentlichen Klassifizierungsarbeit beginnt. Sonst landet man in einer Endlosschleife aus Zuständigkeitsdiskussionen.

Erkenntnis 3: AI Governance und IT-Governance sind keine Konkurrenten – sie sind dasselbe.

Ich hatte anfangs die Sorge, dass AI Governance ein separates Silo werden würde: ein weiterer Governance-Strang neben DORA, NIS2 und ISO 27001, mit eigenen Gremien, eigenen Prozessen, eigenen Berichten an den Vorstand.

Das ist nicht passiert – weil wir es aktiv verhindert haben. Wir haben AI Governance als natürliche Erweiterung unserer bestehenden IT-Governance-Strukturen aufgebaut. Dieselben Risikobewertungsprozesse, dieselben Gremien, dieselbe Eskalationslogik. KI-Risiken sind IT-Risiken. KI-Vorfälle sind IT-Vorfälle. Die Berichtslinie an den Vorstand ist dieselbe.

Das hat zwei entscheidende Vorteile: Erstens spart es erheblichen Aufwand – kein paralleles Berichtswesen, keine doppelten Strukturen. Zweitens erhöht es die Akzeptanz im Unternehmen. Mitarbeitende verstehen ein integriertes Framework besser als drei separate Compliance-Programme, die scheinbar dasselbe tun.

Erkenntnis 4: Die größte Herausforderung ist nicht die Technik – es sind die Menschen.

Meine ehrlichste Erkenntnis aus dem ersten Jahr als AI Officer: Die technische Bewertung von KI-Systemen ist lösbar. Was deutlich schwieriger ist: Mitarbeitende und Führungskräfte zu sensibilisieren, was KI im regulatorischen Sinne überhaupt ist.

Viele haben ein intuitives Bild von KI: Chatbots, generative Modelle, Roboter. Dass ein Kreditscoring-Algorithmus, der seit Jahren im Einsatz ist, ebenfalls unter den AI Act fällt – das ist für viele eine Überraschung. Und dass sie als Anwender eines solchen Systems regulatorische Pflichten haben, noch mehr.

Change Management ist hier genauso wichtig wie die eigentliche Compliance-Arbeit. Schulungen, klare Kommunikation, niedrigschwellige Anlaufstellen für Fragen. Wer das unterschätzt, wird bei der Umsetzung auf passiven Widerstand stoßen – nicht aus böser Absicht, sondern aus mangelndem Verständnis.

Mein Ansatz: Nicht mit Verboten und Pflichten beginnen, sondern mit dem Mehrwert. Was bringt eine gute AI Governance dem Unternehmen? Warum schützt sie Mitarbeitende genauso wie Kunden?

Erkenntnis 5: Der AI Act und DORA greifen ineinander – stärker als die meisten ahnen.

Für IT-Führungskräfte in regulierten Branchen ist das die relevanteste Verbindung: Wer KI-Systeme in kritischen oder operativen Prozessen einsetzt, hat automatisch eine DORA-Dimension.

Das KI-System ist ein ICT-Asset – und fällt damit in den DORA-Geltungsbereich. Sein Ausfall oder seine Fehlfunktion ist ein ICT-Vorfall mit Meldepflicht. Seine Abhängigkeit von externen Modellen oder Cloud-Diensten ist ein Drittparteienrisiko im Sinne des ICT-Drittparteienmanagements. Und seine Resilienz muss im Rahmen von Business Continuity und TLPT mitgedacht werden.

Das klingt nach Doppelbelastung. Ist es aber nicht – wenn man es richtig aufbaut. Wer beide Frameworks von Anfang an gemeinsam denkt, kann Bewertungsprozesse, Dokumentationsanforderungen und Meldestrukturen konsolidieren. Die Synergien sind real und erheblich.

Was bedeutet das zusammengefasst für IT-Führungskräfte?

Der EU AI Act ist kein reines Rechtsthema und kein Thema, das man in die Compliance-Abteilung delegieren kann. Er ist ein Governance-, Risiko- und Führungsthema – mit direktem Bezug zur IT-Strategie, zur Organisationsstruktur und zur täglichen Betriebspraxis.

Meine drei konkreten Empfehlungen:

  1. Übernehmt die AI Officer-Rolle aktiv. Wer sie an die Rechtsabteilung delegiert, verliert den strategischen Gestaltungsspielraum. Die AI Officer-Rolle ist eine IT-Führungsaufgabe.

  2. Baut AI Governance in eure bestehenden IT-Governance-Strukturen ein. Kein neues Silo. Dieselben Prozesse, dieselbe Berichtslinie, dasselbe Framework.

  3. Startet mit der Inventarisierung – jetzt. Nicht warten, bis die Guidance vollständig ist. Der erste Schritt ist immer derselbe: Klarheit darüber, welche KI-Systeme im Einsatz sind.