Sie nutzen Bilderkennung in der Endkontrolle? Oder eine Software, die Maschinenstillstände vorhersagt? Dann betrifft Sie eine neue Regelung, die ab dem 2. August 2026 europaweit gilt: die KI-Verordnung (AI Act). Viele produzierende Betriebe setzen bereits KI ein, oft ohne es als solche zu bezeichnen. Eine Software, die Ausschuss erkennt, ein System, das Wartungsintervalle berechnet, ein Algorithmus, der Lieferzeiten prognostiziert: All das kann unter die neue Verordnung fallen.
Laut einer aktuellen Bitkom-Studie nutzen mittlerweile 41 Prozent der deutschen Unternehmen KI aktiv. Doch die wenigsten haben sich bisher mit den rechtlichen Anforderungen beschäftigt. Dabei sind es gerade Fertigungsbetriebe, die mit ihren KI-Systemen in Bereiche vorstoßen, die der Gesetzgeber als regulierungswürdig einstuft. Dieser Beitrag erklärt, was die KI-Verordnung für Ihren Betrieb bedeutet und was Sie in den nächsten fünf Monaten tun sollten.
Was die KI-Verordnung für Produktionsbetriebe ändert
Die KI-Verordnung der Europäischen Union teilt KI-Systeme in Risikokategorien ein. Systeme mit unannehmbarem Risiko werden verboten, etwa Social Scoring oder bestimmte Formen biometrischer Überwachung. Für die meisten Fertigungsbetriebe relevanter ist die Kategorie Hochrisiko-KI. Dazu gehören Systeme, die in sicherheitsrelevanten Bereichen eingesetzt werden.
Was bedeutet das konkret? Wenn Ihre KI-Software Entscheidungen trifft, die direkt die Produktsicherheit betreffen, kann sie als Hochrisiko-System eingestuft werden. Das gilt beispielsweise für automatische Qualitätskontrolle, bei der defekte Teile aussortiert werden, die andernfalls in sicherheitskritische Produkte verbaut würden. Auch KI-gestützte Prozesssteuerungen in der chemischen Industrie oder im Maschinenbau können betroffen sein.
Für Hochrisiko-Systeme verlangt die Verordnung unter anderem: eine technische Dokumentation des Systems, ein Risikomanagement über den gesamten Lebenszyklus, Maßnahmen zur Datenqualität, menschliche Aufsicht über die KI-Entscheidungen und eine Konformitätsbewertung vor der Inbetriebnahme.
Das klingt aufwendig. Ist es auch, wenn man bei null anfängt. Aber viele dieser Anforderungen lassen sich mit einem strukturierten Vorgehen in den Griff bekommen. Und: Nicht jedes KI-System in der Fertigung ist automatisch Hochrisiko. Ein System, das Wartungsintervalle optimiert, ohne dabei sicherheitsrelevante Entscheidungen zu treffen, fällt in eine niedrigere Kategorie. Hier reichen oft Transparenzpflichten, also die Dokumentation, dass und wie KI zum Einsatz kommt.
Entscheidend ist die Frage: Trifft Ihr KI-System Entscheidungen, die die Sicherheit von Produkten oder Personen beeinflussen? Wenn ja, sollten Sie sich intensiv mit den Hochrisiko-Anforderungen beschäftigen. Wenn nein, gelten deutlich geringere Pflichten. In beiden Fällen hilft eine saubere Bestandsaufnahme als erster Schritt.
Wer sich tiefer in die Verbindung zwischen KI-Einsatz und Datenschutzanforderungen einlesen möchte, findet in unserem Leitfaden zur DSGVO-konformen KI-Architektur eine praxisnahe Übersicht.
DSGVO und KI-Verordnung: Warum beides zusammen gedacht werden muss
Viele Unternehmen behandeln Datenschutz und KI-Regulierung als getrennte Themen. Das ist ein Fehler. Die KI-Verordnung ergänzt die DSGVO, ersetzt sie aber nicht. Wenn Ihr KI-System mit personenbezogenen Daten arbeitet, etwa Mitarbeiterleistungsdaten in der Produktionssteuerung oder Kamerabilder in der Qualitätskontrolle, dann gelten beide Regelwerke gleichzeitig.
Konkret heißt das: Neben der KI-Konformitätsbewertung müssen Sie auch eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Ab 2026 wird von Aufsichtsbehörden zunehmend eine vereinheitlichte Folgenabschätzung erwartet, die sowohl die Grundrechte nach KI-Verordnung als auch den Datenschutz nach DSGVO abdeckt.
Für Produktionsbetriebe bedeutet das praktisch: Dokumentieren Sie, welche Daten Ihr KI-System verarbeitet. Klären Sie, ob personenbezogene Daten betroffen sind. Und prüfen Sie, ob Ihre Datenverarbeitung auf einer tragfähigen Rechtsgrundlage steht.
Ein Beispiel: Ein mittelständischer Maschinenbauer nutzt Kamerasysteme mit Bilderkennung, um Schweißnähte automatisch zu prüfen. Die Kameras erfassen dabei auch Bilder von Mitarbeitern am Arbeitsplatz. Hier greifen sowohl die KI-Verordnung (automatisierte Qualitätskontrolle) als auch die DSGVO (Verarbeitung personenbezogener Bilddaten).
Die gute Nachricht: Wer bereits DSGVO-konform arbeitet, hat einen Vorsprung. Vieles, was die KI-Verordnung fordert, ähnelt dem, was die DSGVO bereits verlangt: Transparenz, Dokumentation, Risikofolgenabschätzung, technische und organisatorische Maßnahmen.
Wer seine KI-Systeme auf europäischer Infrastruktur betreibt, vereinfacht die Compliance deutlich. Europäische KI-Anbieter wie Mistral investieren aktuell massiv in eigene Rechenzentren innerhalb der EU. Das erleichtert die Einhaltung beider Regelwerke erheblich, weil die Daten den europäischen Rechtsraum nie verlassen. Mehr zu dieser Entwicklung lesen Sie in unserem Beitrag über Mistrals europäische Rechenzentrumsinvestition.
Fünf Schritte, die Sie bis August umsetzen sollten
Fünf Monate klingen nach wenig Zeit. Aber mit einem klaren Plan ist die Vorbereitung machbar. Hier sind die wichtigsten Schritte, die Sie jetzt angehen sollten.
Erstens: Bestandsaufnahme aller KI-Systeme. Listen Sie jede Software auf, die Entscheidungen automatisiert oder Vorhersagen trifft. Das umfasst offensichtliche Systeme wie Bilderkennung in der Qualitätskontrolle, aber auch weniger offensichtliche wie automatische Bestellvorschläge im ERP-System oder vorausschauende Wartungsplanung.
Zweitens: Risikoeinstufung. Ordnen Sie jedes System einer Risikokategorie zu. Fragen Sie sich: Beeinflusst dieses System die Sicherheit von Produkten oder Personen? Trifft es Entscheidungen, die Mitarbeiter direkt betreffen? Je nach Antwort fallen Ihre Systeme in die Kategorie Hochrisiko oder begrenztes Risiko.
Drittens: Dokumentation aufbauen. Beginnen Sie mit der technischen Dokumentation Ihrer KI-Systeme. Halten Sie fest, welche Daten das System nutzt, wie es trainiert wurde, welche Entscheidungen es trifft und wie die menschliche Aufsicht gewährleistet ist. Diese Dokumentation ist für Hochrisiko-Systeme verpflichtend, aber auch für andere Systeme sinnvoll.
Viertens: Verantwortlichkeiten klären. Benennen Sie eine Person oder ein Team, das sich um KI-Compliance kümmert. Das muss keine neue Stelle sein. Oft lässt sich die Aufgabe mit bestehenden Rollen im Qualitätsmanagement oder Datenschutz verbinden.
Fünftens: Anbieter prüfen. Wenn Sie KI-Software von Drittanbietern einsetzen, fordern Sie vom Hersteller eine Konformitätserklärung an. Seriöse Anbieter bereiten sich bereits auf die KI-Verordnung vor und können Ihnen die nötigen Unterlagen liefern. Bevorzugen Sie Anbieter, die auf europäischer Infrastruktur arbeiten. Wie solche Systeme datenschutzkonform eingesetzt werden, beschreiben wir in unserem Beitrag zu Mistral Document AI für den Mittelstand.
Wenn Sie bei diesen Schritten Unterstützung brauchen, etwa bei der Risikobewertung Ihrer KI-Systeme oder der Auswahl DSGVO-konformer Lösungen, sprechen Sie uns an.
"Aber bei uns ist das anders..."
"Wir nutzen doch gar keine richtige KI." Diesen Satz hören wir oft. Doch die KI-Verordnung definiert KI breiter, als viele denken. Jedes System, das aus Daten Muster erkennt und daraus Vorhersagen oder Entscheidungen ableitet, kann betroffen sein. Das schließt viele Softwarelösungen ein, die im Alltag nicht als KI bezeichnet werden.
"Das betrifft nur die Großen." Die KI-Verordnung unterscheidet nicht nach Unternehmensgröße. Sie richtet sich nach dem Risiko des Systems. Ein kleiner Zulieferer, der KI-gestützte Qualitätskontrolle für sicherheitsrelevante Bauteile einsetzt, unterliegt denselben Pflichten wie ein Konzern.
"Das dauert doch noch ewig." Ab dem 2. August 2026 gelten die Regeln für Hochrisiko-KI nach Anhang III vollständig. Das sind weniger als fünf Monate. Wer erst im Juli anfängt, wird nicht rechtzeitig fertig. Zumal die Bundesnetzagentur als zuständige Aufsichtsbehörde gerade ihr Koordinierungszentrum (KoKIVO) aufbaut und ab Herbst mit Prüfungen beginnen kann.
"Unsere Software macht der Anbieter, also ist der auch verantwortlich." Teilweise stimmt das. Aber als Betreiber eines KI-Systems tragen Sie eigene Pflichten. Sie müssen sicherstellen, dass das System bestimmungsgemäß eingesetzt wird, die menschliche Aufsicht gewährleistet ist und die Dokumentation vorliegt.
Der klügste Schritt ist, die Vorbereitung nicht als Last zu sehen, sondern als Qualitätsgewinn. Wer seine KI-Systeme sauber dokumentiert und die Risiken kennt, versteht diese Systeme auch besser und kann sie gezielter einsetzen.
Häufig gestellte Fragen
Was ist die KI-Verordnung und ab wann gilt sie?
Die KI-Verordnung (AI Act) ist ein europäisches Gesetz, das den Einsatz von Künstlicher Intelligenz reguliert. Sie gilt schrittweise: Verbote für bestimmte KI-Praktiken gelten bereits seit Februar 2025. Ab dem 2. August 2026 werden die Pflichten für Hochrisiko-KI-Systeme nach Anhang III vollständig wirksam. Das betrifft unter anderem Systeme in der Produktsicherheit, im Personalwesen und in der Kreditvergabe. Für Fertigungsbetriebe ist besonders relevant, dass KI-Systeme in sicherheitsrelevanten Anwendungen als Hochrisiko eingestuft werden können.
Ist mein System zur vorausschauenden Wartung betroffen?
Das hängt davon ab, ob das System sicherheitsrelevante Entscheidungen trifft. Eine Software, die lediglich den optimalen Zeitpunkt für einen Ölwechsel vorschlägt, fällt in der Regel nicht unter Hochrisiko. Ein System, das eigenständig entscheidet, ob eine sicherheitsrelevante Komponente noch funktionstüchtig ist, kann dagegen als Hochrisiko eingestuft werden. Entscheidend ist die Auswirkung der automatisierten Entscheidung auf die Sicherheit von Personen oder Produkten.
Welche Strafen drohen bei Verstößen?
Die KI-Verordnung sieht Bußgelder vor, die sich an der Unternehmensgröße orientieren. Für die schwerwiegendsten Verstöße, etwa den Einsatz verbotener KI-Systeme, können Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes verhängt werden. Für andere Verstöße gelten niedrigere Grenzen. Auch wenn solche Höchstbeträge vor allem auf Großkonzerne abzielen, sind auch kleinere Unternehmen grundsätzlich bußgeldfähig.
Brauche ich einen KI-Beauftragten?
Die KI-Verordnung schreibt keinen KI-Beauftragten im Sinne eines Datenschutzbeauftragten vor. Aber Sie müssen sicherstellen, dass jemand die Compliance verantwortet. In der Praxis bietet es sich an, diese Aufgabe beim Qualitätsmanagement, beim Datenschutzbeauftragten oder bei der Geschäftsleitung anzusiedeln. Für den Einstieg reicht eine Person, die sich in das Thema einarbeitet und die Bestandsaufnahme koordiniert.
Kann ich meine KI-Systeme weiter nutzen, wenn ich bis August nicht fertig bin?
Ja, die Systeme müssen nicht abgeschaltet werden. Aber Sie riskieren Bußgelder und behördliche Anordnungen, wenn Sie die Anforderungen nicht erfüllen. Die Aufsichtsbehörden werden voraussichtlich zunächst auf Aufklärung setzen, aber ein bewusstes Ignorieren der Anforderungen ist keine gute Strategie. Für einen umfassenden Überblick über DSGVO-konforme KI-Architektur empfehlen wir unseren ausführlichen Leitfaden.
Fazit und nächster Schritt
Die KI-Verordnung bringt klare Spielregeln für den KI-Einsatz in Europa. Für Fertigungsbetriebe, die KI bereits in der Qualitätskontrolle, Wartungsplanung oder Prozesssteuerung einsetzen, bedeutet das Handlungsbedarf in den nächsten Monaten. Die gute Nachricht: Wer seine Systeme kennt, dokumentiert und auf europäischer Infrastruktur betreibt, ist auf einem guten Weg.
Starten Sie mit einer Bestandsaufnahme. Klären Sie die Risikokategorie Ihrer Systeme. Und holen Sie sich Unterstützung, wo nötig. Bei Flownova beraten wir produzierende Betriebe bei der Auswahl und Implementierung DSGVO-konformer KI-Lösungen, von der Bestandsaufnahme bis zur technischen Umsetzung.
Lassen Sie uns in einem unverbindlichen Erstgespräch klären, wo Ihr Betrieb steht und welche Schritte für Sie sinnvoll sind: Jetzt Gespräch vereinbaren.
