Die europäische KI-Verordnung, der EUAI Act, ist in Kraft. Ist das jetzt ein Innovationskiller? Kann man überhaupt noch KI in Firmen einsetzen, wenn er denn mal vollständig ausgerollt ist? Wie können Firmen damit umgehen? Viel zu viele halten sich da aktuell noch die Augen zu und fragen sich gar nicht, ob ihr cooles Recruiting-Tool oder die Customer Support-Automatisierung davon betroffen sind. Wir schauen uns in dieser Absisode an, was im Gesetz steht und was das für Firmen bedeuten könnte, die KI einsetzen. Wie immer ersetzt das natürlich keine Rechtsberatung, aber dafür ist es viel billiger. Willkommen bei Digitale Wissensbissen, ich bin Johannes Stieler. Der EUAI-Act wurde am 12. Juli im Amtsblatt der EU veröffentlicht und ist 20 Tage später, am 1. August 2024, in Kraft getreten. Es ist also kein Entwurf, kein Vorschlag, das ist geltendes Recht. Das Einzige, was verzögert läuft, was gestaffelt läuft, ist die Umsetzung. Seit Februar 2025, also jetzt schon seit über einem Jahr, sind bestimmte Verbote in Kraft. Systeme mit unannehmbarem Risiko, Social Scoring-Anwendungen, bestimmte biometrische Anwendungen sind seit Februar letzten Jahres schlicht verboten. Das betrifft, denke ich, die wenigsten, die hier zuhören, auch die wenigsten, die jetzt irgendwelche KI-Projekte planen. Seit August 2025 sind die Regeln für General Purpose AI in Kraft. Das heißt, die Regeln, die sich auf Modelle wie GPT, Claw, Gemini beziehen und jeden, der diese Modelle einbettet. Dazu kommen wir später noch genauer. Ab August 2026 werden die Hochrisiko-KI-Regeln greifen. Das ist eigentlich die Welle oder beziehungsweise der Teil des Gesetzes, über den am meisten gesprochen wird. Das betrifft dann relativ viele Anwendungen, zum Beispiel Recruiting Tools, Kreditscoring, Leistungsbewertungssysteme, also auch im HR-Bereich einige Anwendungen, die jetzt momentan quasi noch nicht unter diese Regelung fallen. Im August 2027 letzten Endes gibt es dann noch eine zusätzliche Stufe für Hochrisiko-KI in regulierten Produkten. Das betrifft eingebettete KI in Medizintechnik, in Maschinen oder in Fahrzeugen. Für viele Industrieunternehmen ist das ein entscheidender Termin und da wird gar nicht so viel erwähnt. Es gibt häufig das Missverständnis, wenn man mit einzelnen Leuten aus Firmen redet, dass sie denken, der AI gilt nur für große KI-Entwickler, für OpenAI, Google Anthropic. Das ist tatsächlich völlig falsch. Er gilt für jeden, der KI-Systeme auf dem EU-Markt bereitstellt oder der ein Output in der EU genutzt werden soll. Das schließt Unternehmen ein, die KI-Systeme anderer Hersteller einsetzen. Also wenn ich Software anbiete, die Endnutzer in der EU verwenden und dafür verwende ich KI wiederum, dann betrifft mich der AI Act. Oder wenn ich KI anbiete, betrifft mich der AI Act. Oder wenn ich KI-Systeme auf dem europäischen Markt verkaufen will, dann betrifft es mich. Auch wenn ich zum Beispiel mit KI Dokumente erzeuge, in einem anderen Land zum Beispiel, aber die in der EU vertreiben will, verwenden will, auch dann falle ich unter diese Regeln. Das Einzige, wo man davon ausgehen kann, dass sie nicht vom AI-Act betroffen sind, sind irgendwelche internen Experimente. Irgendwas, was nie produktiv geht, das kann natürlich eine Ausnahme sein, aber sobald ein System produktiv ist, echte Entscheidungen beeinflusst oder sogar trifft, dann fallen diese Systeme unter den EU-AI-Act. Der AI Act unterscheidet hier zwischen zwei verschiedenen Kategorien sozusagen. Es unterscheidet zwischen dem Provider, das heißt dem Hersteller von KI, und dem Deployer, das heißt dem Anwender von KI. Wenn man zum Beispiel SAP SuccessFactors mit KI-Modulen benutzt, dann ist SAP der Provider. Wenn man ein externes Recruiting-Tool einsetzt, dann ist das Startup hinter diesem Tool oder der Anbieter hinter diesem Tool, der Provider. Aber man selbst als Deployer hat eigene eigenständige Pflichten. Der, der die KI einsetzt, das KI-Tool einsetzt oder die KI auch einbettet, der unterliegt auch einigen Regelungen vom AI-Act. Darüber wird grundsätzlich zu wenig gesprochen. Jetzt muss man keine furchtbare Angst haben oder irgendwas. Es ist nicht so, dass der AI-Act wirklich diesen KI-Initiativen im Allgemeinen den Garaus macht oder es unglaublich viel schwieriger macht, KI einzusetzen. Aber man kann auf der anderen Seite auch nicht ignorieren, dass man mit KI-Systemen bestimmten Pflichten jetzt unterworfen ist, die deutlich konkreter sind, als das in der Vergangenheit der Fall war. Lass mich mal die Grundstruktur des Gesetzes in drei Sätzen beschreiben, also wenn man es wirklich ganz, ganz einfach runterbrechen will. Der AI-Act definiert erstens, wie schon erwähnt, verbotene KI-Systeme. Die stehen in Artikel 5, das sind Systeme, die in der EU schlicht nicht eingesetzt werden dürfen. Social Scoring durch staatliche Stellen, Manipulation durch KI-Interaktion, Echtzeit-Identifikation im öffentlichen Raum, also quasi Biometrie im öffentlichen Raum durch Behörden der Strafverfolgung. Da gibt es aber auch schon wieder gesetzlich definierte Ausnahmen, also zur Terrorabwehr, zur Suche nach Vermissten und für Verfolgung schwere Straftaten darf man das wiederum machen. Es ist also kein absolutes Verbot, sondern ein Verbot mit engen Ausnahmen für den spezifischen Kontext Strafverfolgung. Für ein normales Unternehmen ist das natürlich völlig irrelevant, dann ist es in jedem Fall verboten. Der AI-Act definiert zweitens Hochrisiko-KI-Systeme, also Systeme, die erlaubt sind, aber ein hohes Risiko für den Anwender tragen, die stehen in Artikel 6 und im Anhang 3 und hier sind die Anforderungen streng und die Pflichten umfangreich. Das ist im Prinzip der Kern dieser Verordnung. Drittens gibt es Transparenzpflichten. Das heißt Pflichten, denen ich unterworfen bin, unabhängig davon, ob ich quasi unter einem Hochrisikostatus rangiere. Wenn man KI-Systeme einsetzt, die direkt mit Menschen interagieren, dann müssen diese Menschen wissen, dass sie mit KI interagieren. Das ist Teil dieser Transparenzpflichten. Das ist nicht nur für Hochrisikoanwendungen so, das gilt ganz allgemein. Das ist eine allgemeine Informationspflicht. Und das ist tatsächlich die einzige rechtlich definierte Pflicht, die jetzt für die meisten Chatbot-Einsätze tatsächlich uneingeschränkt gilt, egal in welchem Bereich sie sich agieren. Oft wird von vier Risikokategorien gesprochen, Verboten, Hochrisiko, Mittel und Gering. Das haben wir auch schon gemacht in der Vergangenheit, um das Ganze zu vereinfachen. Aber eigentlich ist es die Compliance-Grundlage, es gibt verbotene Systeme, Hochrisikosysteme und Transparenzpflichten. So, was ist jetzt eigentlich tatsächlich Hochrisiko? Gehen wir mal da mal ins Detail rein. Also Anhang 3 des AI Act listet acht Bereiche auf, in denen KI-Systeme absolut als Hochrisiko eingestuft werden. Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, also Arbeitnehmer-Arbeitgeber-Verhältnisse, Zugang zu wesentlichen Dienstleistungen, Strafverfolgung, Migration und Justiz. Für die meisten Mittelständler zum Beispiel sind dann nur zwei Bereiche unmittelbar relevant. Beschäftigung, also alles was mit HR zu tun hat, kann hier drunter fallen, nicht automatisch. Und Zugang zu Dienstleistungen, die sind auf jeden Fall im Bereich Mittelstand absolut relevant. Ich möchte hier aber präzise sein, weil die pauschale Aussage HR-Tools sind Hochrisiko, wäre auch falsch. Ein HR-System, also ein Tool im Bereich Personalmanagement ist dann Hochrisiko, wenn es entscheidungsrelevant ist. Das heißt, wenn es zum Beispiel Bewerbungen rankt, also definiert, welche Bewerbungen höher zu gewichten sind, wenn es Kandidaten automatisch bewertet, wenn es Leistungsbewertungen von Angestellten generiert, die wiederum Grundlage für Beförderung, Gehaltsanpassung oder Kündigung sind. Das sind Hochrisiko-KI-Anwendungen aus dem Bereich HR. Ein Chatbot, der Bewerberfragen beantwortet, ist genau genommen natürlich auch eine Anwendung im Bereich HR. Die trifft aber keine Entscheidungen oder ist auch nicht entscheidungsrelevant. Das heißt, das ist keine Hochrisikoanwendung. Da gelten dann wieder nur die Transparenzpflichten. Auch ein Schreibassistent für Stellenanzeigen ist keine Hochrisikoanwendung. Auch ein Kalender-Tool für Vorstellungsgespräche, alle so Support-Tools, die nicht entscheidungsrelevant sind, die fallen nicht darunter. Die einzig entscheidende Frage ist also, bewertet oder selektiert das System natürliche Personen, also Menschen, in einem der acht Bereiche, wenn ja, Hochrisiko, wenn nein, nicht. Also CV Ranking Tool filtert automatisch nach Qualifikationen, Hochrisiko. Scoring für Kandidaten, Hochrisiko. Leistungsbewertungssoftware mit KI-Analyse, vielleicht noch auf den Arbeitsergebnissen direkt, Hochrisiko. Chatbot für Bewerberfragen, nein. KI-Assistent, nein. Terminplanungstool, nein. Ähnlich differenziert ist es beim Thema CM-Scoring, also wenn ich in meinem Sales-Prozess KI-Systeme verwende. Ein Scoring-System, das zum Beispiel Leads bewertet, also das mir sagt, dieser Lead ist vielversprechend oder dieser Lead ist weniger vielversprechend, ist in der Regel kein Hochrisikosystem, wenn es Unternehmenskunden bewertet. Also wenn ich sage, das ist ein vielversprechendes Unternehmen und das eben nicht. Aber wenn das Scoring auf natürliche Personen angewendet wird, also zum Beispiel Selbstständige, die einen Dienst beantragen oder Privatpersonen, deren Kreditwürdigkeit bewertet wird, dann kann auch hier wieder Hochrisiko greifen. Die Grenze ist die Bewertung natürlicher Personen für den Zugang zu Dienstleistungen, nicht die Technologie an sich. Schauen wir uns nochmal genauer das Thema General Purpose AI an. Das wird die meisten indirekt betreffen und die wenigsten direkt. Seit 2025, wie gesagt, gilt der Teil des AI Acts, der die Regeln für General Purpose AI festlegt. Also die großen Modelle wie GPT, Five Cloud, Gemini. Das betrifft einen auch als Deployer direkter, als man vielleicht denkt. Also für Model-Provider wie Open AI oder Anthropic ist der Aufwand ziemlich hoch durch diesen AI-Act. Die müssen eigentlich technische Dokumentationen liefern, müssen Trainingsdaten, Transparenz schaffen, also quasi dokumentieren, worauf sie trainieren, müssen beweisen, dass sie compliant sind mit Copyright-Regelungen, was in vielen Fällen nicht der Fall ist tatsächlich. Und bei sehr großen Modellen sind vielleicht sogar externe Audits notwendig. Das ist natürlich nicht das Problem des Anwenders, das ist nicht unser Problem, das ist das Problem von OpenAI. Für uns als Deployer potenziell, also wenn man jetzt zum Beispiel Microsoft Copilot einsetzt oder ein OpenAI basiertes Tool benutzt oder ein SaaS-Produkt kauft, das intern auf einem LLM läuft, für die gilt, man ist weiterhin für den konkreten Einsatz verantwortlich. Wenn ich jetzt zum Beispiel so ein General-Purpose-Modell in eine Hochrisikoanwendung einbette, etwa ein KI-gestütztes Analyse-System für kritisierte Entscheidungen, dann gelten die Hochrisikoregeln für mich als Deployer. Eine Pflicht gilt seit August allerdings pauschal für alle Deployer von General-Purpose-AI-basierten Systeme direkt Nutzerkontakt, nämlich die Transparenz. Der Nutzer muss wissen, dass er mit einem KI-System interagiert. Das klingt trivial, aber in der Praxis sehe ich regelmäßig Unternehmens-Chatbots, wo das nicht kommuniziert wird, wo quasi nicht direkt sichtbar ist, dass da kein Mensch dahinter steht, sondern ein Tool. Das ist zwar total üblich, aber seit letztem Jahr ein Verstoß gegen den EUA-Act. Artikel 26 der KI-Verordnung listet die Pflichten für Deployer von Hochrisikosystemen auf. Das sollte man sich natürlich mal durchlesen und auch verstehen. Ich fasse mal die wichtigsten zusammen. Erstens, bestimmungsgemäßer Einsatz, das ist das erste Thema. Man muss das System so verwenden, wie der Provider es vorgesehen hat. Und wenn ein Recruiting-Tool zum Beispiel, ein SaaS-Tool, das ich irgendwie einkaufe, für eine Vorauswahl konzipiert ist, dann kann man es nicht einfach als alleinigen Entscheidungsautomaten benutzen. Also wenn ich ein Recruiting-Tool, das ausdrücklich dafür gedacht ist, dass ich zum Beispiel Bewerber ranke, aber nicht eine Entscheidung treffe, welchen ich jetzt einlade und welche nicht, wenn ich das benutze, um diese Entscheidung zu treffen, dann verletze ich diese Pflicht. Dann setze ich es nicht bestimmungsgemäß ein. Das heißt, man muss die Zweckbeschreibung des Anbieters lesen und entscheiden, dokumentieren, wie man dieses System einsetzt und das muss dann ein zweckgemäßer Einsatz sein. Zweitens, eine weitere Pflicht für den Deployer ist menschliche Aufsicht. Das Gesetz verlangt nicht, dass ein Mensch die finale Entscheidung trifft. Das ist nicht unbedingt notwendig, je nach Komplexität natürlich. Aber es verlangt, dass menschliche Aufsicht möglich ist. Das heißt, ein System, das in diesem Hochrisikobereich verortet ist, muss überprüft, korrigiert und überstimmt werden können. Also viele automatisierte Prozesse sind grundsätzlich zulässig, solange nachweisbar ist, dass diese Oversight-Mechanismen existieren und auch genutzt werden. Und drittens Protokollierung. Hochrisikosysteme müssen automatisch Loks erzeugen und sie müssen diese Loks auch angemessen aufbewahren. Ein Log, das man erzeugt und dann wegschmeißt, bringt natürlich nichts. Die konkrete Frist hängt vom System, vom Use Case, vom nationalen Recht ab. Es gibt keine gesetzlich festgelegte Mindestpflicht im AI-Act, aber was getan werden muss, es muss geprüft werden, ob der Anbieter überhaupt Loks bereitstellt, für mich als Deployer. Viele SaaS-Produkte tun das nicht unbedingt standardmäßig. Das heißt, das wäre eine Frage, die jeder Hörer seinem Anbieter nächste Woche stellen sollte. Sind überhaupt Logs verfügbar? Und die müssen natürlich auch geliefert werden können, damit man entsprechende Überprüfungen vornehmen kann. Die vierte Pflicht nach Artikel 4, die uns alle betrifft, ist die AI Literacy, heißt das. Das heißt, Unternehmen müssen sicherstellen, dass ihre Mitarbeiter ausreichend KI-kompetent sind, um die KI-Systeme, die sie einsetzen, zu verstehen und sachgerecht zu nutzen. Das ist jetzt keine abstrakte Bildungsempfehlung, sondern es ist eine eigenständige Pflicht und ein wichtiger Schritt in Richtung Compliance. Das heißt, ich kann nicht einfach sagen, ich werfe meinen Mitarbeitern irgendein KI-Tool hin und die kennen weder die Grenzen dieser KI noch vielleicht die Fehlerfälle, die da auftauchen können, noch wissen sie genau, wie sie damit umgehen sollen. Das ist definitiv nicht erlaubt, sondern ich muss die KI-Einsetzenden oder die Mitarbeiter, die wirklich KI einsetzen wollen, auf ein Kompetenzlevel bringen, das diesen Einsatz auch sinnvoll erlaubt. Fünftens, schon erwähnt, Mitarbeiterinformationen. Wenn ein Hochrisikosystem am Arbeitsplatz eingesetzt wird, müssen Betriebsrat und betroffene Mitarbeiter informiert sein. Nicht im Nachhinein, also nicht, dass man im Nachhinein kommuniziert, dass das im Einsatz ist seit einem halben Jahr, sondern eigentlich muss proaktiv vor dem Einsatz informiert werden. Viele IT-Entscheider vergessen diesen Schritt, weil er arbeitsrechtlich und nicht IT-rechtlich verankert ist, ist trotzdem notwendig. Sechstens gibt es auch eine Meldepflicht, wie auch beim DSGVO zum Beispiel. Bei schwerfiehenden Inzidenz müssen der Provider und die zuständige Marktaufsichtsbehörde informiert werden. Das ist noch ein bisschen ungeklärt, wer jetzt diese zuständige Marktaufsichtsbehörde ist. in Deutschland plant man eigentlich die Bundesnetzagentur als zentrale Stelle. Das ist aber noch nicht final geregelt, soweit ich weiß und je nach Sektor können auch andere Behörden zuständig sein. Zum Beispiel im Bildungsbereich ist es natürlich so, dass Bildung ja Ländersache ist und dann entsprechend andere Behörden zum Einsatz kommen können. Das ist leider wieder ein bisschen unübersichtlich und ein bisschen ungeregelt, aber damit muss man umgehen. Noch ein Wort zu Bußgeldern. Da wird ja oft auch mit sehr großen Zahlen geworfen oder mit ganz schrecklichen Szenarien. Die KI-Verordnung sieht hier drei Stufen vor. Die erste Stufe ist falsche Angaben gegenüber Behörden. Also ich habe quasi meine Einsätze nicht korrekt gemeldet. Das Maximum da ist bei 7,5 Millionen Euro oder 1,5 Prozent des Jahresumsatzes. Verstoß gegen Hochrisiko oder General Purpose AI Pflichten wäre bei 15 Millionen Euro oder 3 Prozent. Und Verstoß gegen Verbote, Also ich mache irgendeine KI-Anwendung, die tatsächlich eigentlich verboten ist oder ich setze eine KI auf eine Weise ein, die verboten ist, da liegen wir dann bei 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für kleine und mittelständische Unternehmen gilt jeweils der niedrigere Betrag. Das macht die Verhältnismäßigkeit natürlich etwas besser, falls man doch mal in diese Regelungen fällt, aber es ändert natürlich nichts an den Pflichten. Genau wie beim DSGVO gibt es natürlich Leute, die versuchen, das Thema möglichst lange auszusitzen, weil der verordnungsgemäße Einsatz von KI ist natürlich aufwendiger, als einfach irgendwas zu deployen und das Beste zu hoffen. Und im Wesentlichen hört man drei Einwände. Der erste Einwand ist, wird doch eh nie durchgesetzt. Und das ist richtig. Natürlich im Moment gelten zwar einige von diesen Regelungen, aber die Infrastruktur, die man braucht, um sie durchzusetzen, ja, die ist noch nicht da. Es gibt Vorschläge, die Hochrisikofrist zum Beispiel weiter zu verschieben, weil eben harmonisierte Standards noch nicht fertig sind. Es ist noch nicht klar, welche Behörden zuständig sind und so weiter und so fort. Das kann man natürlich jetzt als Argument nutzen, um nichts zu tun, so wie 2016 auch irgendwie alle das gleiche Argument benutzt haben, um sich mit der DSGVO nicht auseinanderzusetzen. Aber auch damals war es ja so, dass relativ früh dann Panik aufkam, als klar war, okay, das gilt wirklich und das muss auch wirklich implementiert werden. Von daher ist es sicher ein Vorteil, früher anzufangen und sich einen strukturellen Vorteil zu verschaffen. Nicht, weil es sofort irgendwelche Strafen verhängt werden, das ist auch sehr unwahrscheinlich, sondern weil man halt früher die Systeme im Griff hat und sich quasi mit dem Thema nicht mehr auseinandersetzen muss. Der zweite Einwand ist, wir setzen nur Standardsoftware ein, vielleicht für Microsoft, Copilot, was weiß ich. Die Verantwortung liegt also beim Anbieter. Das stimmt teilweise. Also der Provider ist für die Konformität des Systems verantwortlich. Microsoft ist dafür verantwortlich, dass Copilot KI-verordnungskonform agiert. Aber wir als Deployer von solchen Tools sind für den konkreten Einsatz verantwortlich. Das ist kein Entweder-Oder. Wenn der Anbieter ein conformes Recruiting Tool liefert, ich es aber ohne nachweisbare menschliche Aufsicht einsetze zum Beispiel, dann liegt die Pflichtverletzung natürlich bei mir. Oder wenn ich es nicht bestimmungsgemäß einsetze, das ist alles dann mein Problem. Der dritte Einwand, den ich häufig höre, betrifft noch Enotech-Konzerne. Die Risikokategorie richtet sich nun aber weder nach der Geschäftsausrichtung noch nach der Größe des Unternehmens. Ein Mittelständler mit 200 Mitarbeitern im Bereich Maschinenbau, der KI-gestütztes Recruiting einsetzt, ist in der Hochrisikokategorie unabhängig von seiner eigenen Industrie und seinem eigenen Umsatz. Die Bußgeld-Obergrenzen sind natürlich für kleinere Unternehmen gedeckelt, aber die Pflichten sind exakt die gleichen. Also bitte nicht sich zurücklehnen und sagen, okay, es ist noch lange nicht so weit oder es betrifft mich nicht. Es ist jetzt ein guter Zeitpunkt, um sich damit auseinanderzusetzen und quasi die Weichen zu stellen, dass man wirklich compliant mit der KI-Verordnung agiert. Das kann dann kurzfristig auch ein Wettbewerbsvorteil sein, wenn man dieses Thema schon mal abgehakt hat. Meine Empfehlung wäre, man sollte sich möglichst schnell mit fünf Dingen auseinandersetzen, vielleicht nicht diese Woche, aber vielleicht diesen Monat. Schritt 1 wäre KI-Inventar, also alle KI-Systeme auflisten, die im Unternehmen produktiv im Einsatz sind. Nicht nur die Sichtbaren ist auch wichtig, auch die eingebetteten. Das heißt KI-Funktionen, SaaS-Produkten, mittlerweile sind so viele Software-Tools irgendwie KI-powered oder zumindest KI-enhanced. Das sind potenziell sehr, sehr viele. Da wird man grundsätzlich mehr finden, als man erwartet. Schritt 2 ist die Risikozuordnung. Für jedes System in diesem Inventar trifft es Entscheidungen über oder bewertet es natürliche Personen in einem der acht Risikobereiche. Wenn ja, dann finden natürlich die Hochrisikopflichten Anwendung. Wenn nein, dann muss man immerhin prüfen, ob die entsprechenden Transparenzpflichten gelten bzw. umgesetzt wurden. Das ist bei jedem System mit direktem Nutzerkontakt der Fall. Schritt 3 ist die Anbieter befragen. Für jedes Hochrisikosystem brauche ich eine schriftliche Antwort vom Anbieter. Ist das System auf den EU-AI-Act vorbereitet? Welche Dokumentationen gibt es für die Compliance? Können wir als Deployer auf die generierten Logs zugreifen? Wenn der Anbieter das nicht beantworten kann, ist das schon mal ein schlechtes Zeichen, weil dann ist er nämlich selber nicht wirklich gut auf den AI-Act vorbereitet. Schritt 4 wäre Dokumentieren der Aufsicht und Verantwortlichkeiten. Also für jedes Hochrisikosystem sollte man eine verantwortliche Person benennen mit Kompetenz, mit Schulungsnachweis und auch mit Eingriffsbefugnis. Also jemanden, der tatsächlich diese Oversight-Rolle, die verpflichtend notwendig ist für Hochrisikosysteme, tatsächlich ausfüllen kann, wo es auch plausibel ist, dass der im Ernstfall handlungsfähig ist und auch entsprechend geschult. Schritt 5. Auch DSGVO spielt wieder eine Rolle. Für jedes Hochrisikosystem, das personenbezogene Daten verarbeitet, kommt natürlich auch wieder die DSGVO ins Spiel. Haben wir da schon eine Datenschutzfolgeabschätzung nach Artikel 35? Falls nein, das ist unabhängig von der KI-Verordnung sowieso schon Pflicht. Falls ja, sollte man prüfen, ob die KI-Komponenten explizit auch in dieser Abschätzung adressiert werden. In vielen Fällen ist das nicht so, weil die Datenschutzfolgeabschätzung vor der KI-Integration bzw. Erweiterung erstellt wurde und damit quasi veraltet ist im Prinzip. Ich weiß, heute reden wir über ein relativ trockenes Thema. So rechtliche Themen sind natürlich immer Stiefkinder in Podcasts und auch in Unternehmensinformationen. für jeden, der das hört und sagt, oh, das interessiert mich, aber noch mehr interessiert mich die technischen Details oder die Einbindung von KI in Softwareprojekten, dann bitte abonniert doch diesen Podcast, dann kriegen wir auch quasi mit, wie viele Leute sich dafür interessieren und passen auch die Frequenzen ein bisschen an unsere Veröffentlichung. Ich würde mich auch über einen Kommentar freuen, Feedback ist immer wichtig. Wer das auf YouTube anschaut, bitte abonnieren und die Notifications anmachen. Wer es im Web hört, warum nicht in der Podcast-App abonnieren, Wir haben regelmäßig neue Episoden, die sich mit diesen Themen beschäftigen und versuchen das eigentlich immer so aufzubereiten, dass es auch ein bisschen Spaß macht. Zugegeben beim EU-AI-Act ist das ein bisschen schwieriger als bei anderen Themen, weil man hier so ein bisschen natürlich mit einer ernsthaften Brille drauf schauen muss. Aber rechtliche Themen sind auf unserem Podcast definitiv auch in der Minderzahl. Gut, was haben wir festgestellt? Der EUAI-Act, die KI-Verordnung ist einerseits komplizierter als diese vier Kategorien, von denen man ab und zu hört und die man sofort wiedergibt, ist aber auch einfacher als ein 400-seitiges Gutachten. Die Pflichten für Deployer sind überschaubar, wenn man weiß, worauf man achten muss. Das KI-Inventar ist der erste und wichtigste Schritt. Vielleicht kann der eine oder andere Hörer das ja diese Woche schon angehen. Und genau wie bei DSGVO ist es so, dass es natürlich es nicht einfacher macht, jetzt innovative Prozesse zu implementieren mit KI oder auch innovative Software zu schreiben mit KI, aber es macht es auch auf der anderen Seite definitiv nicht unmöglich, genauso wenig wie die DSGVO. Man muss halt auf bestimmte Dinge achten und kann nicht einfach die Augen davor verschließen, dass das nun mal jetzt unsere Realität ist. Wenn ihr Unterstützung bei der Einordnung eurer Systeme braucht, ihr wisst, wo ihr uns findet. Neomo.com zeigt unser Portfolio. Auch da würden wir uns natürlich freuen, wenn wir den einen oder anderen Kontakt herstellen können. Wir sind immer für ein Gespräch zu haben. Bis zum nächsten Mal.