Die Uhr tickt. Ihr Unternehmen vermutlich nicht.

KI-Compliance nach dem EU AI Act: Was jetzt gilt, was droht – und warum das eine Aufgabe für Projektjuristen ist.

Ein Gesetz, das längst läuft

Der EU AI Act ist kein Zukunftsprojekt mehr. Er ist Recht. Seit dem 1. August 2024 in Kraft, seit dem 2. Februar 2025 gelten die Verbote für inakzeptable KI-Risiken unmittelbar – für jedes Unternehmen, das in der EU tätig ist, unabhängig davon, wo es seinen Sitz hat. Weitere Pflichten greifen gestaffelt bis August 2026.

Was in der öffentlichen Wahrnehmung als Tech-Thema gilt, ist in Wirklichkeit ein Compliance-Thema. Und es ist eines, auf das die meisten deutschen Unternehmen noch keine Antwort haben.

Was der AI Act wirklich verlangt

Die populäre Lektüre des AI Act fokussiert auf Verbote – und die sind spektakulär genug: kein Social Scoring, kein biometrisches Real-Time-Surveillance im öffentlichen Raum, keine manipulativen KI-Systeme, die Schwachstellen ausnutzen. Das ist die Verbotsliste für unakzeptable Risiken. Sie gilt bereits.

Aber der Act verlangt weit mehr. Unternehmen, die Hochrisiko-KI-Systeme einsetzen – und das ist ein breites Spektrum, das von KI-gestütztem Recruiting über automatisierte Kreditentscheidungen bis zu KI in der Personalverwaltung reicht –, müssen:

Risikomanagement-Systeme implementieren, technische Dokumentation vorhalten, Konformitätsbewertungen durchführen, menschliche Aufsicht sicherstellen, Registrierungspflichten erfüllen und Transparenz gegenüber Betroffenen herstellen.

Dazu kommen Pflichten für GPAI-Modelle (General Purpose AI) ab August 2025 sowie ein gestuftes Sanktionsregime, das je nach Verstoß bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes erreicht.

Das ist kein Bußgeld-Schreck für Startups. Das ist ein Compliance-Risiko auf Vorstandsebene.

Die Lücke in der Praxis

Trotzdem passiert in den meisten mittelständischen und selbst in größeren deutschen Unternehmen gerade: wenig bis nichts.

Die Gründe sind verständlich, aber nicht entschuldbar. Erstens: Der AI Act fühlt sich nach IT-Recht an, landet also im Zweifel bei der IT-Abteilung oder dem CISO – nicht bei Legal oder Compliance, die den regulatorischen Rahmen tatsächlich kennen. Zweitens: Die Materie ist neu. Weder Inhouse-Juristinnen noch externe Kanzleien haben hier flächendeckend Erfahrung aufgebaut. Drittens: Es fehlt an Kapazität. Die Rechtsabteilungen, die ohnehin unter chronischem Ressourcenmangel leiden, können ein weiteres komplexes Regulierungsprojekt nicht mal eben nebenbei abarbeiten.

Das Ergebnis ist eine Compliance-Lücke, die täglich größer wird – und bei der die Uhr erkennbar läuft.

Warum das eine Projektaufgabe ist

AI-Act-Compliance ist strukturell eine Aufgabe, die sich für klassische Festanstellungslogik schlecht eignet. Es ist kein Dauerthema – sondern ein zeitlich begrenztes, hochintensives Implementierungsprojekt mit klarem Endpunkt: der Erreichung eines dokumentierten Compliance-Status.

Was gebraucht wird, ist jemand, der:

die regulatorische Tiefe des AI Act und des angrenzenden DSGVO-Rechts versteht, methodisch weiß, wie man eine KI-Inventarisierung und Risikoklassifizierung aufbaut, in der Lage ist, interne Prozesse und Stakeholder zu koordinieren, und das Projekt zum Abschluss bringt – inklusive der Dokumentation, die im Zweifel vor einer Aufsichtsbehörde standhält.

Das ist ein Projektjurist. Nicht ein Parallelmandat einer Kanzlei, die das Thema gerade selbst erschließt. Nicht ein IT-Berater ohne rechtliches Fundament. Und nicht die überarbeitete Inhouse-Counsel-Kollegin, die das neben dem Tagesgeschäft mitziehen soll.

Die Chance liegt jetzt

Es gibt eine kurze Periode, in der vorausschauend handelnde Unternehmen einen echten Vorsprung aufbauen können. Die Aufsichtsbehörden sind noch im Aufbau, die Vollzugspraxis ist noch nicht gefestigt. Wer jetzt in geordnete AI-Act-Compliance investiert, muss nicht reagieren – er kann gestalten.

Die Frist für die Kernpflichten bei Hochrisiko-Systemen läuft bis August 2026. Das klingt lang. Ist es nicht, wenn man bedenkt, wie viel Vorarbeit – Inventarisierung, Klassifizierung, Dokumentation, Schulung, interne Governance – realistisch anfällt.

Fazit: Compliance braucht Kapazität, keine Absichtserklärungen

Der EU AI Act ist kein Thema für die nächste Strategierunde. Er ist Recht, das heute gilt. Unternehmen, die KI nutzen – und das ist längst die Mehrheit –, stehen in der Pflicht.

Die Lösung ist nicht, auf die Kanzlei zu warten, die das Thema „in ihre Tech-Praxis“ aufnimmt. Die Lösung ist, den richtigen Juristen mit dem Projekt zu betrauen – fokussiert, erfahren, und ohne den Overhead, der das Projekt teurer macht als es sein muss.

Das ist der Moment, in dem Projektjuristen liefern.