• Blog
  • Der AI Act ist da: Vom Prototyp zum Compliance-Problem

Der AI Act ist da: Vom Prototyp zum Compliance-Problem

Die EU-KI-Verordnung stellt Unternehmen vor neue Herausforderungen bei Dokumentation, Governance und Risikomanagement. Was ist zu tun?
Von Marvin

Sandkasten

KI-Modell läuft, der Prototyp steht – und jetzt?

Ein mittelständischer Maschinenbauer hat letztes Jahr intern einen KI-Assistenten aufgesetzt. Dokumente zusammenfassen, technische Anfragen vorqualifizieren, erste Entwürfe für Angebote generieren. Das Team war begeistert, die Geschäftsführung sah Potenzial. Dann kam die Frage: Dürfen wir das eigentlich so betreiben? Wer haftet, wenn das Modell Unsinn in ein Kundenangebot schreibt? Und was bedeutet der EU AI Act für uns?

So oder ähnlich sieht es gerade in Hunderten deutschen Unternehmen aus. Die Experimentierphase ist vorbei. KI funktioniert – zumindest im Demo-Modus. Aber der Schritt vom Prototyp zum produktiven, regelkonformen System ist ein ganz anderer. Und genau an dieser Stelle wird es für viele Unternehmen eng: Die internen Teams können KI ausprobieren, aber sie können KI nicht absichern, skalieren und regelkonform betreiben. Zumindest noch nicht.

Gleichzeitig tickt die regulatorische Uhr. Der EU AI Act ist kein Entwurf mehr, er ist geltendes Recht. Und er verändert die Spielregeln dafür, wie Unternehmen KI einsetzen, dokumentieren und verantworten müssen. Wer jetzt die richtigen externen Spezialisten an Bord holt, gewinnt nicht nur Zeit, sondern vermeidet teure Sackgassen.

Der EU AI Act: Was Unternehmen konkret wissen müssen

Seit dem 1. August 2024 ist der EU AI Act in Kraft – das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Die Pflichten werden stufenweise wirksam, aber der Zeitplan ist straff:

Bereits gültig seit Februar 2025: Verbotene KI-Praktiken und die Pflicht zur KI-Kompetenz. Unternehmen müssen sicherstellen, dass Mitarbeitende, die KI-Systeme entwickeln, einsetzen oder beaufsichtigen, über ein ausreichendes Verständnis der Technologie verfügen. Wer das ignoriert, handelt bereits heute pflichtwidrig – auch wenn die aktive Durchsetzung erst später greift.

Gültig seit August 2025: Governance-Regeln und Pflichten für Anbieter von General-Purpose-AI-Modellen (GPAI). Das betrifft Unternehmen, die eigene Basismodelle entwickeln oder anpassen, sowie bestimmte Transparenz- und Dokumentationspflichten.

Voll anwendbar ab August 2026: Die zentralen Vorschriften für Hochrisiko-KI-Systeme. Dazu zählen KI-Anwendungen in Bereichen wie Personalauswahl, Kreditvergabe, Bildung, kritische Infrastruktur oder behördliche Entscheidungsprozesse. Für diese Systeme gelten dann umfassende Anforderungen an Risikomanagement, Datenqualität, technische Dokumentation, menschliche Aufsicht und Transparenz gegenüber Nutzern.

Verlängerte Frist bis August 2027: Für Hochrisiko-KI-Systeme, die als Sicherheitskomponenten in bereits regulierten Produkten eingesetzt werden (etwa in Medizinprodukten, Fahrzeugen oder Maschinen), gilt eine zusätzliche Übergangsfrist.

Der risikobasierte Ansatz

Der AI Act klassifiziert KI-Systeme in vier Risikokategorien:

  • Unannehmbares Risiko (verboten): Dazu gehören Social Scoring, manipulative Systeme, die Schwächen von Personen ausnutzen, biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen (mit engen Ausnahmen für Strafverfolgung) und die Ableitung von Emotionen am Arbeitsplatz oder in Bildungseinrichtungen.

  • Hohes Risiko: KI-Systeme in sensiblen Bereichen mit erheblichen Auswirkungen auf Grundrechte oder Sicherheit. Diese unterliegen den strengsten Anforderungen: Konformitätsbewertung vor Marktzugang, CE-Kennzeichnung, lückenlose Dokumentation, Qualitätsmanagement, Protokollierung und Marktbeobachtung.

  • Begrenztes Risiko: Systeme mit Transparenzpflichten – etwa Chatbots, die offenlegen müssen, dass der Nutzer mit einer KI interagiert, oder Deepfake-Generatoren mit Kennzeichnungspflicht.

  • Minimales Risiko: Die große Mehrheit der KI-Anwendungen (Spamfilter, KI-gestützte Empfehlungssysteme, Übersetzungstools). Diese unterliegen keinen besonderen Auflagen, nur allgemeinen Sorgfaltspflichten.

Was das für den Unternehmensalltag bedeutet

Die praktischen Auswirkungen gehen weit über juristische Fragen hinaus. Unternehmen müssen unter anderem:

  • ein Risikomanagementsystem für Hochrisiko-KI etablieren, das den gesamten Lebenszyklus abdeckt

  • technische Dokumentation erstellen, die nachweist, dass das System die Anforderungen erfüllt

  • Datensätze, die für Training und Validierung verwendet werden, auf Qualität, Repräsentativität und Bias prüfen

  • menschliche Aufsicht so gestalten, dass qualifizierte Personen das System effektiv überwachen und eingreifen können

  • Nutzer transparent über Funktionsweise, Einschränkungen und beabsichtigte Verwendung informieren

  • automatische Logs führen, die eine spätere Nachvollziehbarkeit ermöglichen

    Das ist kein Papiertiger. Bei Verstößen gegen die Vorschriften zu verbotenen Praktiken drohen Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Für Verstöße gegen Hochrisiko-Vorschriften sind bis zu 15 Millionen Euro oder 3 % des Umsatzes vorgesehen.

    Für die meisten Unternehmen liegt die eigentliche Herausforderung allerdings nicht in den Bußgeldern, sondern im Aufwand: Wer hat intern die Kompetenz, eine Konformitätsbewertung durchzuführen? Wer erstellt die technische Dokumentation? Wer kennt sich gleichzeitig mit dem Risikomanagement, der Technik und den regulatorischen Anforderungen aus? Genau hier entsteht ein massiver Bedarf an spezialisierten Freelancern.

KI-Einführung ist kein Ein-Personen-Thema

Viele Unternehmen unterschätzen, wie viele verschiedene Fähigkeiten für einen sinnvollen KI-Einsatz zusammenkommen müssen.

Es reicht in der Regel nicht, jemanden "mit KI-Erfahrung" zu suchen. Erfolgreiche KI-Projekte brauchen meist eine Kombination aus technischem Verständnis, Datenkompetenz, Prozesswissen, Security, Governance und pragmatischer Umsetzungserfahrung.

Gerade intern ist diese Mischung oft nicht sofort vorhanden. Ein Data Scientist allein löst das Problem ebenso wenig wie ein klassischer Softwareentwickler ohne Erfahrung mit KI-Systemen in Produktion.

Hinzu kommt, dass viele Unternehmen sich noch in einer frühen Phase befinden. Sie wollen zügig vorankommen, aber zunächst keine dauerhaften Teams aufbauen, solange noch nicht klar ist, welche Anwendungsfälle sich wirklich rechnen. Genau hier können IT-Freelancer eine sehr sinnvolle Rolle spielen.

Welche Aufgaben jetzt typischerweise anfallen

Unternehmen beschäftigen sich aktuell vor allem mit fünf Arten von KI-Aufgaben:

  • Identifikation und Priorisierung sinnvoller Anwendungsfälle

  • technische Integration von KI in bestehende Systeme und Prozesse

  • Aufbau einer belastbaren Daten- und Betriebsgrundlage

  • Risikobewertung, Dokumentation und Governance

  • Schulung und Befähigung der internen Teams

    Nicht jede dieser Aufgaben erfordert eine Festanstellung. Viele Unternehmen benötigen zunächst erfahrene Spezialisten auf Zeit, die eine tragfähige Struktur schaffen, erste Lösungen produktiv bringen und internes Wissen aufbauen.

Diese Freelancer-Rollen werden besonders wichtig

KI-Lösungsarchitekt

Eine der wichtigsten Rollen ist aktuell der KI-Lösungsarchitekt. Diese Person übersetzt Geschäftsziele in eine tragfähige technische Architektur.

Sie bewertet, welche KI-Komponenten überhaupt sinnvoll sind, wie sich bestehende Systeme anbinden lassen und wo Datenschutz, Security, Kosten oder Performance Grenzen setzen. Gerade bei Unternehmen, die mehrere mögliche Anwendungsfälle diskutieren, kann diese Rolle enorme Klarheit schaffen.

Oft verhindert ein guter Architekt nicht nur Fehlentscheidungen, sondern auch teure Pilotprojekte, die später nie produktiv werden.

Data Engineer

Viele KI-Initiativen scheitern nicht an der Modellidee, sondern an Datenqualität, Schnittstellen oder fehlender Betriebsfähigkeit.

Ein erfahrener Data Engineer sorgt dafür, dass relevante Datenquellen sauber erschlossen, transformiert und nutzbar gemacht werden. Er baut die Brücke zwischen Fachbereich, Datenhaltung und späterer KI-Nutzung.

Für Auftraggeber ist diese Rolle besonders wertvoll, weil sie ein strukturelles Problem adressiert. Ohne belastbare Datenbasis bleibt KI oft bei Demos und Einzeltests stehen.

MLOps- oder KI-Plattform-Spezialist

Sobald aus einem Prototyp ein produktiver Prozess werden soll, reicht reine Modellkompetenz nicht mehr aus.

Dann geht es um Deployment, Monitoring, Versionierung, Sicherheit, Zugriffsmodelle, Kostenkontrolle und nachvollziehbaren Betrieb. Genau hier werden MLOps- oder KI-Plattform-Spezialisten relevant.

Viele Unternehmen haben solide DevOps-Teams, aber noch wenig Erfahrung damit, KI-Workloads zuverlässig in produktive Umgebungen einzubetten. Externe Spezialisten können diese Lücke oft deutlich schneller schließen als ein interner Lernprozess unter Zeitdruck.

Spezialisten für AI Governance und Compliance

Mit dem AI Act wächst der Bedarf an Personen, die nicht nur technische Lösungen verstehen, sondern diese auch in ein Governance-Modell übersetzen können.

Dabei geht es nicht nur um juristische Fragen. In der Praxis müssen Verantwortlichkeiten geklärt, Prozesse definiert, Dokumentationspflichten verstanden und interne Freigaben strukturiert werden.

Für viele Unternehmen ist das ein neues Feld. Externe Spezialisten mit Erfahrung an der Schnittstelle zwischen Technik, Compliance und Organisation können hier sehr wertvoll sein.

Besonders relevant ist das, weil Unternehmen bereits jetzt verpflichtet sind, Maßnahmen zur Sicherstellung ausreichender AI Literacy ihrer Mitarbeitenden zu ergreifen. Auch wenn die eigentliche Aufsicht und Durchsetzung hierfür erst ab August 2026 greift, gilt die Pflicht dem Grunde nach bereits seit dem 2. Februar 2025.

Security-Spezialisten mit KI-Bezug

KI-Systeme bringen eigene Sicherheitsfragen mit sich. Dazu gehören etwa Zugriffskonzepte, Prompt-basierte Angriffe, Datenabfluss, missbräuchliche Nutzung von Modellen oder unsaubere Anbindungen an interne Systeme.

Deshalb genügt es nicht, KI isoliert als reine Fachanwendung zu behandeln. Security muss von Anfang an mitgedacht werden.

Freelancer mit Erfahrung in Cloud-Sicherheit, IAM, API-Sicherheit oder sicherer Systemintegration können hier gerade in frühen Projektphasen entscheidend sein.

Was Unternehmen nicht tun sollten

So naheliegend der Einsatz externer Spezialisten ist, so häufig werden sie am Anfang falsch eingesetzt.

Typische Fehler sind:

  • Es wird zu früh nach einer einzelnen „KI-Allzweckperson“ gesucht

  • Es gibt keinen klaren Anwendungsfall und keine echte Priorisierung

  • Ein Freelancer soll strategische, technische, organisatorische und rechtliche Fragen gleichzeitig lösen

  • Die internen Fachbereiche werden zu spät eingebunden

  • Die Erwartungen an Tempo und Ergebnis sind nicht sauber definiert

    Gerade bei KI ist die Versuchung groß, mit viel Bewegung und wenig Struktur zu starten. In der Praxis zahlt sich das selten aus.

Wofür Freelancer besonders gut geeignet sind

Freelancer sind vor allem dort stark, wo Unternehmen:

  • schnell Orientierung und technische Klarheit benötigen

  • einzelne Schlüsselrollen temporär besetzen wollen

  • neue Themen starten möchten, ohne sofort ein dauerhaftes Team aufzubauen

  • interne Mitarbeiter parallel befähigen wollen

  • für Pilot- und Aufbauphasen erfahrene Praktiker suchen

    Weniger geeignet ist das Modell dort, wo ein Unternehmen dauerhaft große KI-Teams mit breiter Prozessverantwortung aufbauen möchte. Hier werden langfristig meist interne Strukturen wichtiger.

    Der typische sinnvolle Weg ist daher oft: Erst mit gezielten externen Spezialisten beginnen, Grundlagen schaffen, erste produktive Anwendungsfälle umsetzen und anschließend ausgewählte Kompetenzen intern verstetigen.

Welche Auftraggeber jetzt im Vorteil sind

Unternehmen, die heute schon damit beginnen, KI sauber zu strukturieren, verschaffen sich in mehrfacher Hinsicht einen Vorsprung.

Sie gewinnen operative Erfahrung, bevor der Wettbewerbsdruck weiter steigt. Sie vermeiden teure Umwege bei Architektur und Tooling. Und sie bauen rechtzeitig eine Arbeitsweise auf, die sich mit den regulatorischen Anforderungen vereinbaren lässt.

Der AI Act verändert deshalb nicht nur die Compliance-Seite von KI. Er verändert auch den Bedarf an externen Spezialisten. Gefragt sind erfahrene Praktiker, die Technologie, Prozesse und Governance zusammenbringen.

Fazit: Nicht KI einkaufen, sondern Umsetzungsfähigkeit

Für Unternehmen ist der EU AI Act kein Grund, KI zu vertagen. Er ist vielmehr ein Anlass, KI-Projekte professioneller aufzusetzen.

Gerade in dieser Phase können IT-Freelancer einen großen Beitrag leisten. Sie helfen, den tatsächlichen Bedarf zu klären, tragfähige technische Grundlagen zu schaffen und Risiken früh zu adressieren.

Wichtig ist nur, die richtigen Rollen zu besetzen. Wer heute gezielt auf Architektur, Daten, Betrieb, Security und Governance setzt, schafft aus einem KI-Vorhaben kein loses Experiment, sondern einen belastbaren Baustein für die Zukunft des Unternehmens.

Alle Artikel

ByteCookie ist die erste kooperative Plattform für IT-Projekte.

Unser Experten-Netzwerk empfiehlt Auftraggebern die passenden Freelancer und Freelancern ihr Wunschprojekt.

Freelancer   -> Ich binfreelancer Auftraggeber   -> Ich bincustomer

Denn der beste Weg, Experten zu finden, ist mit den Experten zu sprechen.Ohne Vermittler.