...und trotzdem etwas Entscheidendes verändert.
Am Montagmorgen ist die Präsentation bereits fertig. Die Zahlen stammen aus dem Dashboard, die Zusammenfassung aus dem Assistenten, die Prognose aus einem Modell, das irgendwo zwischen Cloud und Rechenzentrum arbeitet. Niemand hat es bewusst gebaut, niemand explizit beauftragt. Es war einfach da.
Künstliche Intelligenz ist Teil des Betriebs geworden. Sie lebt nicht mehr in Pilotprojekten, sondern in Updates, Features und Workflows, die reibungslos funktionieren, solange niemand genauer hinsieht. Genau darin liegt das Problem.
Je selbstverständlicher KI wird, desto seltener wird über sie gesprochen. Nicht über ihre Grenzen. Nicht über ihre Annahmen. Schon gar nicht über Verantwortung. Die Systeme liefern Ergebnisse, die Organisation nimmt sie dankbar an. Der Rest bleibt unausgesprochen. Noch.
Dieses Bild beschreibt jedoch weniger die Realität als den Anspruch. In den meisten Organisationen ist KI weder sauber integriert noch nachvollziehbar betrieben. Ergebnisse entstehen, aber ihre Herkunft bleibt diffus. Modelle werden genutzt, ohne dass klar ist, wer sie verantwortet, überwacht oder im Zweifel stoppt und genau diese Lücke ist der eigentliche Auslöser für Regulierung.
Die beruhigende Erzählung vom „später“
Wenn vom EU AI Act die Rede ist, verorten viele ihn zeitlich in der Zukunft: 2026, 2027, dann, wenn Pflichten konkret werden und Durchsetzung beginnt. Daraus entsteht eine bequeme Annahme in vielen IT- und Data-Teams: Solange wir keine Hochrisiko-KI betreiben und „vernünftig“ mit Modellen umgehen, betrifft uns das noch nicht.
Diese Annahme verschiebt Entscheidungen über Zuständigkeiten, Dokumentation und Einordnung auf später. Genau hier liegt der Denkfehler. Der EU AI Act bewertet nicht, ob KI bewusst eingeführt wurde, sondern ob sie faktisch im Betrieb wirkt. Deshalb wird sein erster wirksamer Moment häufig übersehen.
Verantwortung war bisher ein Anspruch. Jetzt wird sie eingefordert.
Ein Datum, das kaum jemand markiert hat
Der 2. Februar 2025 hat keine Systeme gestoppt und keine Prozesse verändert.
Aber er hat den Bewertungsmaßstab verschoben.
Seit diesem Tag sind Teile des EU AI Act anwendbar: bestimmte KI-Praktiken sind untersagt, und Organisationen müssen sicherstellen, dass die Nutzung von KI verstanden wird – nicht abstrakt, sondern im konkreten Einsatz. Der Betrieb lief weiter. Aber die Unschärfe ist verschwunden.
Ab diesem Zeitpunkt gilt:
KI im Einsatz muss benennbar sein.
KI im Betrieb muss erklärbar sein.
KI in Entscheidungen muss einordenbar sein.
Nicht vollständig dokumentiert, nicht perfekt kontrolliert – aber bewusst betrieben. Der AI Act verlangt keine sofortige Umsetzung. Er entzieht aber eine bequeme Schutzbehauptung: „Wir wissen es noch nicht genau.“ Unwissen ist kein neutraler Zustand mehr.
Noch wird diese Erwartung nicht konsequent vollzogen. Aber sie ist gesetzt – und sie wirkt rückwirkend auf alles, was heute eingesetzt wird. Der 2. Februar 2025 ist deshalb kein juristischer Meilenstein. Er ist der Moment, in dem Verantwortung nicht mehr vorausgesetzt, sondern zugerechnet wird.
Die Verbote, die kaum jemanden treffen – und doch alle betreffen
Die verbotenen KI-Praktiken des AI Act wirken wie Grenzfälle. Kaum ein Unternehmen würde von sich sagen, solche Systeme bewusst einzusetzen. Die eigentliche Frage entsteht woanders. KI tritt selten als klar abgegrenztes System auf. Sie steckt in Funktionen, Updates und Empfehlungen – oft eingekauft, nicht selbst gebaut.
Betroffenheit zeigt sich deshalb nicht im Bauchgefühl, sondern im Nachweis. Dort, wo erklärt werden kann, welche KI-Funktionen im Einsatz sind, wofür sie genutzt werden und warum sie nicht unter die verbotenen Praktiken fallen. Fehlt dieser Überblick, entsteht eine Grauzone. Und in genau dieser Grauzone beginnt Regulierung zu wirken.
Wenn KI zur Infrastruktur wird
Der eigentliche Einschnitt des AI Act liegt im Rollenwechsel. KI wird nicht länger als experimentelles Werkzeug betrachtet, sondern als Bestandteil des laufenden Betriebs.
Das hat Folgen. Systeme, die regelmäßig Entscheidungen vorbereiten – Forecasts, Priorisierungen, Empfehlungen –, lassen sich nicht mehr wie Nebenprodukte behandeln. Sie müssen auffindbar sein, nachvollziehbar funktionieren und in Zuständigkeiten eingebettet werden. Nicht, weil sie perfekt wären, sondern weil auf ihrer Grundlage gehandelt wird.
Je stärker KI in Entscheidungsprozesse eingebunden ist, desto klarer wird diese Verantwortung. Auch dann, wenn das System nur Vorschläge liefert. Auch dann, wenn die letzte Entscheidung formell beim Menschen liegt. Denn vorbereitet wird sie längst woanders.
Die große Verwechslung namens AI Literacy
AI Literacy wird oft mit Schulungen verwechselt. Mit E-Learning-Modulen, Folien, Teilnahmebestätigungen. Mit dem Versuch, ein komplexes Thema organisatorisch abzuhaken.
Tatsächlich zeigt sich AI Literacy im Alltag. In dem Moment, in dem ein Forecast überraschend abweicht und jemand entscheidet, ob er ihm folgt oder nachfragt. In der Situation, in der ein Assistenzsystem eine Empfehlung gibt und klar ist, wer sie verantwortet. Oder dort, wo ein Modell ein Ergebnis liefert, dessen Grenzen bekannt sind – oder eben nicht.
AI Literacy bedeutet, einschätzen zu können, wann ein System hilft und wann Vorsicht geboten ist. Zu wissen, welche Daten einfließen, welche Annahmen getroffen wurden und wo Unsicherheit beginnt. Sie entsteht nicht durch Wissen über KI, sondern durch den Umgang mit ihr. Nicht im Seminarraum, sondern im Betrieb. Dort, wo Entscheidungen vorbereitet werden und jemand bereit ist, sie auch zu tragen.
Die stille Last der IT-Organisationen
In der Praxis heißt diese neue Ordnung zunächst nicht Kontrolle, sondern Klärung. Nehmen wir ein System, das längst Teil des Alltags ist: Eine Prognose, die Aufträge priorisiert, Kennzahlen verdichtet und Entscheidungen vorbereitet – betrieben auf der Plattform der IT, entwickelt von einem Dienstleister, genutzt im Fachbereich, aktualisiert per Software-Update. Bislang war diese Konstellation funktional, aber unsichtbar. Niemand musste benennen, dass hier KI wirkt, niemand festlegen, wer sie verantwortet, niemand erklären, welche Rolle sie in Entscheidungen spielt.
Genau hier setzt der AI Act an. Er verlangt nicht den Umbau über Nacht, aber er macht drei Fragen unausweichlich:
Erstens, welche KI-Systeme tatsächlich im Einsatz sind – nicht im Projektplan, sondern im Betrieb.
Zweitens, wofür sie genutzt werden und wo ihre Ergebnisse wirksam werden.
Drittens, wer dafür einsteht, wenn diese Wirkung relevant wird.
Diese Fragen lassen sich nicht delegieren und nicht vertagen. Sie markieren den Punkt, an dem aus gewachsener Nutzung benennbare Zuständigkeit wird. Wer diese Zuständigkeit übernimmt, ist vielerorts noch offen. Dass sie übernommen werden muss, nicht mehr.
IT muss nun sichtbar machen, Juristen müssen einordnen – doch der größte Aufwand liegt dazwischen: in der Ordnung realer Nutzung, lange bevor formale Compliance greift.
Überblick ist keine Bürokratie
Überblick entscheidet darüber, ob Organisationen handeln oder getrieben werden. Wer weiß, wo KI priorisiert, prognostiziert und empfiehlt, kann eingreifen, erklären und korrigieren. Fehlt dieser Überblick, wirkt der Betrieb stabil – bis Nachfragen entstehen, die niemand beantworten kann.
Warum manche Branchen früher hinschauen müssen
In regulierten Umfeldern gehört Rechenschaft seit Jahren zum Betrieb. Entscheidungen müssen erklärbar sein – gegenüber Aufsicht, Auditoren oder politischen Gremien. Andere Branchen sind das nicht gewohnt. Dort reicht oft das Ergebnis.
Mit dem AI Act verschiebt sich diese Komfortzone. Was bislang als technische Unterstützung galt, wird erklärungsbedürftig, sobald es Entscheidungen vorbereitet. Der Unterschied liegt nicht in der Technologie, sondern in der Übung, Verantwortung sichtbar zu machen.
Eine leise Zäsur
Nicht alles muss geregelt sein. Aber nichts darf mehr unklar bleiben. Der EU AI Act markiert den Übergang von implizitem Vertrauen zu belastbarer Verantwortung – leise, aber unumkehrbar.
KI verantworten heißt, sie betreiben zu können
Bei M2 begleiten wir diesen Übergang nicht als juristische Instanz, sondern entlang eines klaren Aufbaus: von belastbarer Datenqualität über AI-Befähigung bis hin zu stabilen, prüfbaren Betriebsmodellen. Dort, wo KI auf gewachsene Systeme und unklare Zuständigkeiten trifft, schaffen wir zunächst Transparenz und Entscheidungsfähigkeit – und übersetzen sie dann in Architektur, Governance und Betrieb.
Unser Fokus liegt nicht auf abstrakter Compliance, sondern auf der Frage, ob KI verlässlich, skalierbar und auditierbar läuft. Erst wenn Datenqualität gesichert ist, Zuständigkeiten klar sind und Governance technisch verankert wird, entsteht das, was der AI Act voraussetzt: ein Betrieb, der erklärbar ist – nicht erst auf Nachfrage, sondern aus eigener Struktur heraus.