AI Act Beratung in Hamburg

Inhalt in Kürze

• Der EU AI Act (Verordnung 2024/1689) ist seit August 2024 in Kraft — Verbote gelten seit Februar 2025, Transparenzpflichten seit August 2025, Hochrisiko-Pflichten ab August 2026.
• Auch KI-Anwender haben Pflichten: Jedes Unternehmen, das KI einsetzt — ChatGPT, Copilot, Bewerbungstools — braucht Dokumentation, Transparenz und Schulung der Mitarbeitenden.
• Bußgelder bis 35 Mio. Euro oder 7 % des Jahresumsatzes für verbotene KI-Praktiken — Compliance ist keine Option, sondern regulatorische Pflicht.
• DSGVO und AI Act aus einer Hand: frag.hugo berät Hamburger Unternehmen zu beiden Regelwerken — maßgeschneidert, verantwortungsvoll und mit lokaler Expertise.

Der AI Act kommt — und betrifft fast jedes Unternehmen

Am 1. August 2024 ist die EU-Verordnung über Künstliche Intelligenz (AI Act) in Kraft getreten. Die Pflichten gelten stufenweise: Verbote seit Februar 2025, Transparenzpflichten ab August 2025, und die vollständigen Anforderungen für Hochrisiko-KI ab August 2026. Wer jetzt nicht anfängt sich vorzubereiten, wird den Zeitplan nicht einhalten.

Dabei geht es nicht nur um Unternehmen, die selbst KI entwickeln. Jedes Unternehmen, das KI-Systeme einsetzt – als sogenannter „Deployer” – hat Pflichten. Und die Wahrscheinlichkeit ist hoch, dass Sie bereits KI einsetzen: Microsoft Copilot in Office 365, ChatGPT für Texterstellung, KI-basierte Bewerbungsfilter, automatisierte Kundenservice-Chatbots oder KI-gestützte Analytics.

Die vier Risikoklassen des AI Act

Der AI Act folgt einem risikobasierten Ansatz. Je höher das Risiko eines KI-Systems für Grundrechte und Sicherheit, desto strenger die Anforderungen:

1. Unannehmbares Risiko – Verboten

Diese KI-Systeme sind in der EU untersagt:

• Social Scoring durch Behörden oder Unternehmen
• Manipulative KI, die menschliches Verhalten unterschwellig beeinflusst
• Biometrische Echtzeit-Identifikation im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung)
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen

2. Hohes Risiko – Strenge Pflichten

Hier gelten umfangreiche Anforderungen an Dokumentation, Transparenz, Datenqualität und menschliche Aufsicht:

• KI in Bewerbungsverfahren: Automatisches Screening, Ranking oder Filterung von Bewerbungen
• Kreditwürdigkeitsprüfung: KI-basierte Scoring-Systeme bei Banken und Versicherungen
• KI in kritischer Infrastruktur: Energieversorgung, Wasseraufbereitung, Verkehrssteuerung
• KI in Bildung und Ausbildung: Automatische Bewertung, Zugangssteuerung
• KI im HR-Bereich: Leistungsbewertung, Beförderungsentscheidungen

Für Hamburger Unternehmen ist besonders die KI in Bewerbungsverfahren relevant: Wer ein Tool wie Personio, SAP SuccessFactors oder ein ATS mit KI-Funktionen nutzt, muss prüfen, ob es unter die Hochrisiko-Kategorie fällt.

3. Begrenztes Risiko – Transparenzpflichten

KI-Systeme, die direkt mit Menschen interagieren, müssen als KI gekennzeichnet werden:

• Chatbots: Nutzer müssen wissen, dass sie mit einer KI kommunizieren
• KI-generierte Inhalte: Texte, Bilder und Videos müssen als KI-generiert erkennbar sein (Deepfakes)
• Generative KI (wie ChatGPT, Claude, Midjourney): Anbieter haben eigene Pflichten; als Nutzer müssen Sie KI-generierte Inhalte kennzeichnen

4. Minimales Risiko – Keine spezifischen Pflichten

Die meisten KI-Anwendungen fallen in diese Kategorie: Spam-Filter, Autokorrektur, Empfehlungsalgorithmen, Navigationsapps. Hier gelten keine besonderen Anforderungen durch den AI Act – wohl aber die allgemeinen Datenschutzpflichten nach DSGVO.

ChatGPT, Copilot & Co.: Die versteckten Risiken

Viele Unternehmen setzen generative KI bereits im Arbeitsalltag ein – oft ohne klare Richtlinien. Die Risiken sind erheblich:

Datenschutz

Wenn Mitarbeiter personenbezogene Daten (Kundennamen, E-Mail-Adressen, Vertragsdaten) in ChatGPT eingeben, verarbeitet OpenAI diese Daten auf US-Servern. Das ist ohne AVV, ohne angemessene Rechtsgrundlage und ohne Information der Betroffenen ein DSGVO-Verstoß. Dasselbe gilt für den Upload sensibler Dokumente.

Geschäftsgeheimnisse

Interne Strategiepapiere, Finanzdaten, Quellcode oder Kundenlisten in ein KI-Tool eingeben? Samsung hat 2023 schmerzhaft erfahren, was passieren kann, als vertraulicher Quellcode über ChatGPT nach außen gelangte. Eine klare KI-Richtlinie ist unverzichtbar.

Urheberrecht

KI-generierte Texte, Bilder und Code werfen Fragen zum Urheberrecht auf. Wer ist Urheber? Dürfen die Ergebnisse kommerziell genutzt werden? Verletzen sie bestehende Urheberrechte? Diese Fragen müssen unternehmensintern geklärt werden.

Maßgeschneiderte AI-Act-Compliance für Hamburger KMU

1. Bestandsaufnahme

Erfassen Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden – auch die, von denen Sie vielleicht nicht wissen, dass sie KI enthalten. Microsoft 365 mit Copilot, das CRM mit Lead-Scoring, das Bewerbertool mit automatischer Vorauswahl: All das ist KI im Sinne des AI Act.

2. Risikoeinstufung

Ordnen Sie jedes KI-System einer Risikoklasse zu. Bei Hochrisiko-Systemen beginnen Sie sofort mit der Umsetzung der Anforderungen – August 2026 ist näher, als man denkt.

3. KI-Richtlinie erstellen

Definieren Sie intern:

• Welche KI-Tools sind erlaubt, welche verboten?
• Welche Daten dürfen eingegeben werden, welche nicht?
• Wie werden KI-generierte Ergebnisse geprüft und freigegeben?
• Wer ist für die KI-Compliance verantwortlich?
• Wie werden Mitarbeiter geschult?

4. Datenschutz sicherstellen

Für jedes KI-System, das personenbezogene Daten verarbeitet, brauchen Sie:

• Einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten
• Ggf. einen Auftragsverarbeitungsvertrag mit dem KI-Anbieter
• Eine Datenschutz-Folgenabschätzung (bei Hochrisiko-KI)
• Eine Aktualisierung Ihrer Datenschutzerklärung

5. KI-Verzeichnis aufbauen

Der AI Act verlangt von Deployers von Hochrisiko-KI die Registrierung in der EU-Datenbank. Aber auch unabhängig von dieser Pflicht empfehlen wir ein internes KI-Verzeichnis: Welches System, wofür eingesetzt, welche Risikoklasse, wer ist verantwortlich, welche Maßnahmen sind umgesetzt.

AI Act und DSGVO: Zwei Regelwerke, ein Thema

Der AI Act ergänzt die DSGVO, ersetzt sie aber nicht. Wenn ein KI-System personenbezogene Daten verarbeitet, gelten beide Regelwerke gleichzeitig. Als Unternehmen, das Datenschutzberatung und AI-Act-Compliance aus einer Hand bietet, stellen wir sicher, dass Sie beide Anforderungen effizient erfüllen – ohne doppelten Aufwand.

KI-Schulung: Pflicht nach dem EU AI Act

Seit Februar 2025 sind Unternehmen verpflichtet, Mitarbeitende im Umgang mit KI zu schulen (Art. 4 AI Act). Diese Schulungspflicht gilt unabhängig von der Risikoklasse und betrifft alle Mitarbeitenden, die KI-Systeme einsetzen. Eine maßgeschneiderte Schulung vermittelt:

• Grundlagen des EU AI Act und der regulatorischen Anforderungen
• Risiken und ethische Aspekte beim Einsatz von KI im Unternehmen
• Verantwortungsvoller Umgang mit KI-generierten Inhalten
• Transparenzpflichten bei der Nutzung von KI-Systemen
• Datenschutz und KI: Schnittstellen zur DSGVO

Unsere Schulungen sind interaktiv, praxisnah und auf Ihre Branche zugeschnitten. Sie können als Ergänzung zu unserer Datenschutzschulung gebucht werden.

Innovation und Compliance vereinen

Der AI Act soll KI nicht verhindern, sondern verantwortungsvoll gestalten. Für Hamburger KMU bedeutet das: Die Transformation zur KI-gestützten Arbeitsweise ist möglich — wenn die regulatorischen Anforderungen von Anfang an berücksichtigt werden. Wir beraten Sie dabei, KI-Projekte compliant umzusetzen, ohne die Innovationskraft Ihres Unternehmens zu bremsen. Unsere maßgeschneiderte AI-Act-Beratung berücksichtigt Ihre Branche, Ihre eingesetzten KI-Systeme und Ihre bestehende Compliance-Struktur — keine Lösung von der Stange, sondern maßgeschneidert auf Ihre Anforderungen.

Maßgeschneiderte Beratungsangebote und Services im Bereich Künstliche Intelligenz

Künstliche Intelligenz verändert die Arbeitswelt grundlegend — von der Automatisierung repetitiver Arbeitsabläufe über KI-gestützte Entscheidungssysteme bis hin zu innovativen Geschäftsmodellen. Unsere interdisziplinäre Expertise verbindet technologisches Know-how mit rechtlichem Fachwissen, um KI-Systeme sicher und rechtskonform in Ihrem Unternehmen zu implementieren. Dabei verbinden wir Data Governance, ethische Standards und regulatorische Anforderungen zu einem ganzheitlichen Consulting-Ansatz — certified und praxiserprobt.

Unser Beratungsangebot umfasst:

• KI-Kompetenz für Führungskräfte: Interaktive Workshops vermitteln Best Practices für den sicheren Umgang mit KI und ethische Standards — praxisnahe Insights statt abstrakter Theorie
• KI-Projekte begleiten: Von der Einführung von KI bis zur Implementierung begleiten wir Ihre KI-Projekte entlang der rechtlichen Rahmenbedingungen und helfen, Risiken zu minimieren
• Audits und Compliance-Checks: Regelmäßige Überprüfung Ihrer KI-Systeme auf Konformität mit dem EU AI Act und der DSGVO
• Schutz geistigen Eigentums: Beratung zu Urheberrecht, Data Governance und dem verantwortungsvollen Einsatz generativer KI-Lösungen wie Large Language Models

Für KMU, Start-ups und Unternehmen in der Industrie bieten wir maßgeschneiderte Services, die auf die spezifischen Anforderungen Ihrer Branche zugeschnitten sind. Mit langjähriger Erfahrung beraten unsere Expertinnen und Experten effizient und zielorientiert — damit Sie KI verantwortungsvoll und rechtskonform einsetzen, ohne Reputationsschäden zu riskieren.

Starten Sie jetzt mit einem KI-Quick-Check: Buchen Sie ein kostenloses Erstgespräch und klären Sie, welche KI-Systeme Sie einsetzen und welche Pflichten sich daraus ergeben. Nils Oehmichen berät Sie persönlich — mit Expertise in Datenschutz, KI-Compliance und der Hamburger Unternehmenslandschaft.