EU AI Act – Was Autohaus-Chefs jetzt tun müssen
Lenz Automotive KI | Geschäftsführer-Deck
Mehr erfahren
EU AI Act – Was ändert sich für Autohäuser?
Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Für Autohaus-Geschäftsführer bedeutet dies konkrete Handlungspflichten: Die wichtigsten Verbote gelten bereits seit Februar 2025, weitere Pflichten werden gestaffelt bis 2027 wirksam.
Diese Präsentation verschafft Ihnen einen strukturierten Überblick über die relevantesten Pflichten, Risiken und praktischen To-dos. Das Ziel ist klar: Klarheit schaffen, Bußgelder vermeiden und gleichzeitig Wettbewerbsvorteile durch professionelles KI-Management sichern.
Als Betreiber von KI-Systemen im Autohaus tragen Sie die rechtliche Verantwortung – unabhängig davon, ob Sie die Technologie selbst entwickelt oder von Dritten eingekauft haben. Die richtige Vorbereitung entscheidet über Compliance und Marktposition.
Warum das Gesetz relevant ist
Drastische Bußgelder
Verstöße können mit bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ausfällt. Diese Summen können existenzbedrohend sein.
Formale Fehler reichen
Bereits fehlende Dokumentation, unvollständige Logs oder mangelnde Kennzeichnung von KI-Systemen genügen für empfindliche Strafen. Technische Perfektion allein schützt nicht.
Haftung beim Betreiber
Die rechtliche Verantwortung liegt beim Autohaus als Betreiber – nicht beim Software-Hersteller. Sie haften für die ordnungsgemäße Nutzung und Überwachung aller eingesetzten KI-Systeme.
Wettbewerbsvorteil
Compliance-fitte Betriebe gewinnen zunehmend Ausschreibungen und Partnerschaften. Konzerne und öffentliche Auftraggeber prüfen die KI-Compliance ihrer Geschäftspartner systematisch.
Der AI Act in 20 Sekunden
Kernprinzipien des Gesetzes
Der EU AI Act verfolgt drei zentrale Ziele: Grundrechte und Sicherheit der Bürger schützen, einen einheitlichen EU-Standard schaffen und Innovation durch klare Regeln fördern.
Das Gesetz gilt für Anbieter, Importeure, Händler und Betreiber – damit sind Autohäuser direkt in der Pflicht, sobald sie KI-Systeme einsetzen, auch wenn diese von Drittanbietern stammen.
Das zentrale Prinzip ist risikoabhängige Regulierung: Je höher das Risiko für Grundrechte und Sicherheit, desto strenger die Pflichten. Der Einsatzkontext entscheidet über die Risikoklasse – nicht die Technologie allein.
Zeitplan – Was gilt ab wann?
Der EU AI Act tritt gestaffelt in Kraft. Einige Regelungen gelten bereits, andere folgen bis 2027. Für die strategische Planung ist dieser Zeitplan entscheidend:
1
02.02.2025
Verbote wirksam
Social Scoring, manipulative KI-Systeme und Echtzeit-Biometrie im öffentlichen Raum sind verboten. Diese Regelungen gelten ab sofort ohne Übergangsfrist.
2
02.08.2025
Governance aktiv
Die Aufsichtsbehörden nehmen ihre Arbeit auf, Governance-Regeln greifen, und Bußgelder können verhängt werden. Verstöße werden ab diesem Zeitpunkt sanktioniert.
3
02.08.2026
Hochrisiko-Pflichten
Hochrisiko-Systeme müssen vollständig reguliert sein: CE-Kennzeichnung, EU-Register-Eintrag, Konformitätsnachweise und umfassende Dokumentation sind verpflichtend.
4
02.08.2027
Vollständige Umsetzung
Alle restlichen Bestimmungen des AI Acts werden wirksam. Spätestens jetzt müssen sämtliche KI-Systeme im Autohaus vollständig compliant sein.
Wo KI im Autohaus heute läuft
KI-Systeme sind längst integraler Bestandteil des Autohaus-Alltags – oft unbemerkt. Die Risikobewertung hängt stark vom Einsatzkontext ab:
Die Herausforderung: Ein und dieselbe Technologie kann je nach Nutzung unterschiedlichen Risikoklassen zugeordnet werden. Eine Videoanalyse zur Kundenfrequenzmessung ist anders zu bewerten als eine zur Mitarbeiterüberwachung.
Risikoklassen – Entscheidungslogik
Der EU AI Act kategorisiert KI-Systeme nach ihrem Gefährdungspotenzial. Diese Einstufung bestimmt die Compliance-Anforderungen:
Verboten
Social Scoring, manipulative KI-Systeme, anlasslose Massenüberwachung und biometrische Echtzeiterkennung im öffentlichen Raum sind grundsätzlich untersagt.
Hochrisiko
HR-Systeme zur Bewerberauswahl, sicherheitsrelevante Anwendungen und biometrische Identifikation fallen in diese Kategorie. Maximale Pflichten greifen hier.
Begrenzt
Chatbots, Deepfakes und Emotionserkennung erfordern Transparenz: Nutzer müssen erkennen können, dass sie mit KI interagieren oder dass Inhalte synthetisch erzeugt wurden.
Minimal
Klassische Tools wie Spamfilter, Übersetzer oder einfache Empfehlungssysteme unterliegen nur minimalen Anforderungen – hauptsächlich allgemeine IT-Sicherheit.
Beispiel HR: Bewerber-KI = Hochrisiko
Warum HR-KI besonders kritisch ist
KI-gestützte Bewerberauswahl greift unmittelbar in Grundrechte ein – Diskriminierungsschutz, Chancengleichheit und informationelle Selbstbestimmung stehen auf dem Spiel. Daher wird jedes HR-System zur Vorauswahl, zum Scoring oder zur Persönlichkeitsanalyse als Hochrisiko-System klassifiziert.
Pflichtbausteine:
  • Datenschutz-Folgenabschätzung (DPIA) vor dem Einsatz
  • Bias-Checks zur Vermeidung diskriminierender Muster
  • Human Oversight: Menschen müssen eingreifen und Entscheidungen korrigieren können
  • Logging: Alle Entscheidungen müssen nachvollziehbar dokumentiert werden
Bewerber müssen über den KI-Einsatz informiert werden und haben Auskunfts- sowie Widerspruchsrechte. Die KI darf niemals allein entscheiden – eine menschliche Überprüfung ist zwingend erforderlich.
Beispiel Werkstatt: Predictive & Qualitätskontrolle
Predictive Maintenance
Vorhersage von Wartungsbedarfen ist grundsätzlich minimal-risikobehaftet – außer das System steuert sicherheitsrelevante Entscheidungen (z.B. Bremsenwartung). Dann springt die Einstufung auf Hochrisiko.
Bild-/Video-Qualitätskontrolle
Optische Prüfung von Lackschäden oder Innenraumzustand bleibt minimal. Sobald jedoch sicherheitsrelevante Bauteile (Airbags, Bremsen, Lenkung) geprüft werden, gilt Hochrisiko.
Kontext entscheidet
Die Technologie allein bestimmt nicht die Risikoklasse – der Einsatzkontext ist ausschlaggebend. Dieselbe KI kann je nach Anwendung unterschiedlich reguliert sein.
Praxis-Tipp: Dokumentieren Sie präzise, wofür Sie KI einsetzen – nicht nur welche KI. Die Zweckbeschreibung ist entscheidend für die rechtliche Bewertung.
Beispiel Marketing: Lead & Content KI
Risikobewertung
Marketing-KI für Lead-Generierung, Chatbots und Content-Erstellung wird meist als begrenzt risikoreich eingestuft. Die Hauptpflicht liegt in der Transparenz: Kunden müssen erkennen können, dass sie mit einer KI kommunizieren.
Compliance-Anforderungen:
  • Klare Kennzeichnung von KI-generierten Inhalten
  • Opt-out-Möglichkeit für automatisierte Interaktion
  • Einhaltung von Datenminimierung und Zweckbindung
  • Regelmäßige Bias-Tests zur Fairness-Sicherung
Don'ts im Marketing
Verboten sind:
  • Versteckte Preis-Diskriminierung basierend auf persönlichen Merkmalen
  • Social-Scoring-Logik zur Kundenbewertung
  • Manipulative Techniken zur Beeinflussung von Kaufentscheidungen
  • Intransparente Profiling-Mechanismen ohne Einwilligung
Best Practice: Implementieren Sie klare Kennzeichnungen für KI-Interaktionen, bieten Sie einfache Opt-out-Wege und dokumentieren Sie Ihre Fairness-Checks systematisch.
Hochrisiko-Paket – Pflichtbausteine
Hochrisiko-Systeme unterliegen den strengsten Anforderungen. Folgende Komponenten sind verpflichtend zu implementieren:
Risikomanagement
Systematische Identifikation, Bewertung und Minimierung von Risiken über den gesamten Lebenszyklus des KI-Systems.
Daten- & Modell-Governance
Qualitätssicherung der Trainingsdaten, Bias-Prävention, Versionskontrolle und dokumentierte Modellpflege.
Human Oversight
Menschen müssen KI-Entscheidungen verstehen, überwachen, eingreifen und das System bei Bedarf deaktivieren können.
Logging & Dokumentation
Lückenlose technische Dokumentation aller Entscheidungen, Parameter und Systemzustände für Audit-Zwecke.
Transparenz & Nutzungshinweise
Klare Information betroffener Personen über KI-Einsatz, Funktionsweise, Zweck und Kontrollmöglichkeiten.
Konformitätsbewertung
Formale Prüfung, CE-Kennzeichnung und Registrierung in der EU-Datenbank für Hochrisiko-Systeme.
Bußgelder & typische Fehler
Sanktionshöhe
Die Bußgelder sind gestaffelt nach Schwere des Verstoßes:
  • Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
  • Bereits formale Verstöße können zu Strafen führen
  • Fehlende Dokumentation genügt für Sanktionen
Die häufigsten Compliance-Fehler
01
Pilot ohne Dokumentation
KI wird „mal eben getestet" – ohne Risikobewertung, DPIA oder Logging. Bei Prüfung fehlen alle Nachweise.
02
HR-KI ohne Oversight
Bewerber-Screening läuft vollautomatisch, ohne menschliche Überprüfung. Diskriminierungsrisiko und Rechtsverstoß.
03
Marketing-KI ohne Transparenz
Chatbots und Lead-Scoring ohne Kennzeichnung oder Opt-out. Kunden wissen nicht, dass sie mit KI interagieren.
Praxis-Warnung: Die Aufsichtsbehörden prüfen nicht nur technische Mängel, sondern vor allem organisatorische und dokumentarische Defizite. Ein fehlendes Log-Protokoll kann teurer werden als ein fehlerhafter Algorithmus.
Roadmap fürs Autohaus (bis 08/2026)
Strukturiertes Vorgehen in vier Phasen sichert fristgerechte Compliance und minimiert Risiken:
Phase 1: Bestandsaufnahme
Vollständige Inventarisierung aller KI-Tools im Einsatz – von Chatbots über HR-Software bis zu Predictive-Systemen. Erfassen Sie Zweck, Datenquellen und Verantwortlichkeiten. Führen Sie eine erste Risikobewertung durch: Welche Systeme fallen in welche Kategorie?
Phase 2: Leitplanken
Entwickeln Sie eine KI-Policy für Ihr Haus: Wer darf was einsetzen? Definieren Sie klare Rollen und Verantwortlichkeiten. Etablieren Sie einen Transparenz-Standard für alle KI-Interaktionen mit Kunden und Mitarbeitern.
Phase 3: Hochrisiko ready
Für alle Hochrisiko-Systeme: Erstellen Sie DPIAs, implementieren Sie Logging-Mechanismen, definieren Sie Human-Oversight-Prozesse und prüfen Sie Ihre Vendor-Verträge auf KI-spezifische Klauseln und Audit-Rechte.
Phase 4: Audit & Schulung
Richten Sie einen jährlichen Audit-Zyklus ein. Definieren Sie KPIs für KI-Compliance (z.B. Dokumentationsgrad, Oversight-Quote). Schulen Sie alle Fachbereiche im Umgang mit KI und den rechtlichen Anforderungen.
Rollen & Verantwortlichkeiten
Compliance funktioniert nur mit klarer Aufgabenteilung. Diese Rollen sind in jedem Autohaus essenziell:
Geschäftsführung
Mandat: Strategische Freigabe für KI-Einsatz
Risiko: Gesamtverantwortung und Haftung
Budget: Ressourcen für Compliance-Maßnahmen
Die GF trägt die letzte Verantwortung und muss sich regelmäßig über den Status berichten lassen.
KI-Beauftragter
Register: Pflege des KI-System-Inventars
Governance: Überwachung der Richtlinien-Einhaltung
Audit: Koordination interner und externer Prüfungen
Zentrale Anlaufstelle für alle KI-Themen – kann mit anderen Rollen kombiniert werden.
Datenschutz
DPIA: Durchführung von Folgenabschätzungen
Verträge: Prüfung von Auftragsverarbeitungs-Vereinbarungen
Betroffenenrechte: Umsetzung von Auskunft und Widerspruch
Enge Verzahnung mit KI-Compliance ist zwingend erforderlich.
IT/Security
Logging: Technische Implementierung von Protokollierung
Zugriff: Rechteverwaltung und Zugriffskontrolle
Cybersecurity: Schutz vor Manipulation und Angriffen
Technisches Rückgrat der Compliance-Infrastruktur.
Fachbereiche
Human Oversight: Praktische Überwachung im Tagesgeschäft
Qualität: Meldung von Auffälligkeiten und Fehlern
Feedback: Verbesserungsvorschläge aus der Praxis
Die operativen Nutzer sind erste Verteidigungslinie gegen KI-Fehler.
Quick-Checkliste
Prüfen Sie den aktuellen Status Ihres Autohauses anhand dieser sieben kritischen Punkte:
KI-Tools inventarisiert + Risikoklasse vergeben
Transparenz & Opt-out für alle Kundenkontakte aktiv
DPIA für Hochrisiko-Systeme erstellt und freigegeben
Logging aktiv und prüffähig dokumentiert
Human Oversight definiert und dokumentiert
Vendor-Due-Diligence erledigt (AV, SLA, Audit-Rechte)
Schulungen für alle relevanten Mitarbeiter durchgeführt
Jeder nicht abgehakte Punkt ist ein potenzielles Compliance-Risiko. Priorisieren Sie Hochrisiko-Bereiche und schaffen Sie schnell transparente Prozesse für Kundenkontakte.
Nächste Schritte (90 Tage)
Konkrete Handlungsempfehlungen für die nächsten drei Monate – priorisiert nach Dringlichkeit und Wirkung:
1
Tool- & Risiko-Inventar erstellen
Woche 1-3: Erfassen Sie alle KI-Systeme im Einsatz. Bewerten Sie jedes Tool nach Risikoklasse. Erstellen Sie ein zentrales Register mit Verantwortlichkeiten und Datenflüssen.
2
Transparenz + Opt-out live schalten
Woche 4-6: Implementieren Sie Kennzeichnungen für alle Chatbots und KI-generierten Inhalte. Richten Sie einfache Opt-out-Mechanismen für Kunden ein. Schulen Sie das Vertriebsteam.
3
HR & Sicherheits-KI priorisieren
Woche 7-9: Starten Sie mit Hochrisiko-Systemen: Führen Sie DPIAs für HR-Tools durch, definieren Sie Human-Oversight-Prozesse, prüfen Sie Vendor-Compliance.
4
DPIA + Logging einführen, dann Audit
Woche 10-12: Implementieren Sie Logging-Mechanismen für kritische Systeme. Führen Sie ein internes Audit durch. Erstellen Sie einen Action-Plan für identifizierte Lücken.
Ihr Ansprechpartner
Für Rückfragen, individuelle Beratung oder vertiefende Workshops stehen wir Ihnen gerne zur Verfügung:

Wichtiger Hinweis: Diese Präsentation ersetzt keine individuelle Rechtsberatung. Die dargestellten Inhalte dienen der Information und sollten durch eine juristische Prüfung Ihrer spezifischen Situation ergänzt werden.