• Home
  • Insights
  • Künstliche Intelligenz unter neuen Regeln: Was der EU AI Act für den Mittelstand bedeutet

Künstliche Intelligenz unter neuen Regeln: Was der EU AI Act für den Mittelstand bedeutet

Mit dem EU AI Act hat die EU erstmals einen rechtsverbindlichen Rechtsrahmen für Künstliche Intelligenz geschaffen. Seit dem 1. August 2024 ist die Verordnung in Kraft, und ihre Pflichten kommen stufenweise. Für KMU ergibt sich die zentrale Frage: Welche Vorschriften gelten für mich wirklich und was soll ich heute schon tun?

KI ist im mittelständischen Sektor längst kein Zukunftsbild mehr. Sie ist im CRM-System, das Kundenfragen priorisiert. Sie hilft im Beschaffungswesen bei der Bedarfsplanung. Sie formuliert Texte, bewertet Rechnungen und begleitet die HR-Abteilung bei der Auswahl von Bewerbungen.

Eine aktuelle Bitkom-Erfassung belegt, dass inzwischen rund 57 Prozent der deutschen Unternehmen KI im Marketing benutzen, oft ohne klare Governance und ohne das passende Bewusstsein für regulatorische Konsequenzen. Wer sich jetzt orientiert, umgeht spätere Haftungsrisiken sowie kann die offene Zeit bis zu den kommenden Stichtagen gezielt nutzen.

Was steckt hinter dem EU AI Act?

Der EU AI Act – offizielle Verordnung (EU) 2024/1689 – ist das global erste weitreichende Gesetz, das KI risikoorientiert steuert. Statt individuelle Technologien generell zu untersagen oder freizugeben, gliedert das Vorschriftenwerk KI-Systeme in vier Risikokategorien ein und knüpft die Vorgaben an das jeweilige Gefährdungspotenzial.

  • Unzulässiges Wagnis: Anwendungen wie Social Scoring durch Ämter oder beeinflussende Systeme, die gezielt Schwächen ausnutzen, sind grundsätzlich verboten.
  • Erhebliches Gefährdungsniveau: KI in schutzrelevanten oder grundrechtsrelevanten Sektoren wie Recruiting, Kreditwürdigkeitsprüfung oder wesentlicher Infrastruktur unterliegt rigorosen Auflagen.
  • Eingeschränktes Gefährdungsniveau: Chatbots, Sprachassistenten und KI-generierte Inhalte müssen transparent markiert werden.
  • Geringfügiges Risiko: Klassische Einsatzbereiche wie Spam-Filter oder Empfehlungssysteme verbleiben weitgehend ungeregelt.

Für den KMU-Sektor ist diese Einteilung eine gute Mitteilung: Die überwiegenden KI-Anwendungen, die derzeit in üblichen KMU eingesetzt werden, fallen in die niedrigeren beiden Klassen. Systeme mit hohem Risiko sind eher die Seltenheit, sie tauchen jedoch rascher auf als gedacht, beispielsweise wenn ein HR-Tool selbsttätig Bewerberprofile beurteilt oder ein Finanzmodul eine Darlehensentscheidung fördert.

Der Zeitplan des EU AI Act

Der EU AI Act entwickelt seine Wirkung stufenweise. Entscheidend ist: Einige Pflichten bestehen schon, andere stehen unmittelbar bevor, wieder andere wurden durch den sogenannten Digital Omnibus regierungspolitisch neu verhandelt.

Der verpflichtende Fahrplan sieht bislang folgendermaßen aus:

  • Ab 2. Februar 2025: Verbote bestimmter KI-Praktiken und die Pflicht zur KI-Kompetenz nach Artikel 4 sind anwendbar.
  • Ab 2. August 2025: Vorgaben für Anbieter sogenannter General-Purpose-AI-Modelle gelten.
  • Ab 2. August 2026: Offenlegungspflichten nach Artikel 50 und nach anfänglicher Konzeption die Vorgaben an Hochrisiko-KI-Systeme.

KI-Kompetenz: Pflicht für alle Unternehmen mit KI-Einsatz

Eine der am häufigsten unterschätzten Vorgaben ist die KI-Kompetenzpflicht nach Artikel 4. Sie gilt bereits seit dem 2. Februar 2025 und zwar unabhängig von Risikoklasse, Branche oder Unternehmensgröße.

Konkret verlangt der Gesetzgeber, dass Anbieter und Betreiber von KI-Systemen gewährleisten, dass ihr Personal und alle in ihrem Auftrag tätigen Personen über ein angemessenes Maß an KI-Kompetenz verfügen. Das betrifft auch scheinbar unkritische Einsatzbereiche wie ChatGPT oder Microsoft Copilot. Wenn ein Mitarbeiter ein KI-Tool im Arbeitskontext verwendet, entsteht Schulungsbedarf.

Wir beobachten in der Anwendungspraxis immer wieder, dass diese Verpflichtung unterschätzt wird. Der Gesetzgeber fordert zwar keine festgelegte Stundenzahl und kein vorgegebenes Schulungsformat, aber drei Kompetenzbereiche sollten abgedeckt sein:

  • Technologisches Grundverständnis: Wie arbeitet ein KI-System? Welche Daten verarbeitet es? Wo liegen die Beschränkungen?
  • Rechtliches Wissen: Welche Regeln gelten für den Einsatz, besonders im Zusammenwirken mit DSGVO und branchenspezifischer Compliance?
  • Praxisbezogene Fähigkeiten: Welche Prompts sind zweckmäßig, wo liegen übliche Fehlerquellen, wann ist personelle Aufsicht unerlässlich?

Ein Zuwiderhandeln gegen Artikel 4 ist aktuell noch nicht unmittelbar bußgeldbewehrt. Im Fall eines Schadens kann aber eine mangelnde Schulung als Missachtung der Sorgfaltspflicht eingestuft werden, mit entsprechenden Haftungsfolgen für die Geschäftsleitung. Aus unserer Erfahrung als IT-Dienstleister ist die Botschaft klar: Lieber ein praxisnahes, dokumentiertes Schulungskonzept als gar keines.

Die weiteren Pflichten im Überblick

Zwei zusätzliche Regelungsbereiche sind für den KMU-Sektor besonders relevant. Zum einen die Transparenzpflichten nach Artikel 50, die voraussichtlich zum 2. August 2026 gelten werden. Zum Zweiten die Vorgaben an Hochrisiko-Systeme, deren Anwendung, abhängig vom Digital Omnibus, in den Jahren 2027 und 2028 folgt.

Die Transparenzpflichten sind rasch erklärt: Wer Chatbots oder KI-Telefonassistenten einsetzt, muss die Anwender darüber unterrichten, dass sie mit einem KI-System kommunizieren. Wer KI-generierte Texte, Bilder, Audios oder Videos veröffentlicht, muss jene prinzipiell maschinenlesbar markieren. Bei Deepfakes, also verblüffend echten Darstellungen wirklicher Personen, ist zusätzlich eine sichtbare Markierung vorgegeben. Für ein mittelgroßes Unternehmen heißt das: Ein eindeutiger Hinweis am Chatbot, ein Eintrag im Impressum und ein Vermerk in der Datenschutzerklärung decken den überwiegenden Teil der Anforderungen ab.

Anders schaut es bei Hochrisiko-KI aus. Wer ein System nach Anhang III betreibt, etwa eine Recruiting-Software mit automatisierter Vorauswahl oder ein Werkzeug zur Kreditwürdigkeitsprüfung, muss eine Konformitätsbewertung durchführen, ein Risikomanagementsystem etablieren, fachtechnische Dokumentation bereitstellen, Protokolle mindestens sechs Monate aufbewahren und eine menschliche Aufsicht sicherstellen. Diese Vorgaben greifen unabhängig von der Unternehmensgröße. Ein 30-Personen-Mittelständler muss hier genauso erfüllen wie ein Konzern.

Die Bußgelder machen klar, wie ernst es die EU meint: Bei Verstößen drohen bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes, je nachdem, welcher Wert höher ist.

Konkrete Umsetzung im Mittelstand

Eine tragfähige Vorplanung muss kein Großprojekt sein. Erfahrungsgemäß reicht ein systematisches Verfahren in fünf Etappen.

  • KI-Inventur: Erfassen Sie strukturiert, welche KI-Systeme in welchen Bereichen im Einsatz sind, einschließlich zugekaufter Software, integrierter Funktionen in bestehenden Tools und eventueller Shadow-IT.
  • Risikoklassifizierung: Ordnen Sie jedes System einer Risikoklasse zu. Oft befindet sich die Mehrheit im Segment „minimal“ oder „begrenzt“, vereinzelte Kandidaten erfordern aber einen genaueren Blick.
  • Verantwortlichkeiten festlegen: Legen Sie fest, wer unternehmensintern für KI-Compliance zuständig ist. Das kann eine neue Rolle sein oder in vorhandene Strukturen wie Datenschutz oder Informationssicherheit eingebunden werden.
  • Schulungskonzept realisieren: Stellen Sie ein Basistraining für alle Mitarbeitenden auf, ergänzt durch weiterführende Schulungen für Fachbereiche mit intensiverem KI-Einsatz.
  • Dokumentation sichern: Halten Sie Rollen, Prozesse, Schulungsnachweise und Bewertungen dokumentiert fest. Im Prüfungsfall zählt nachvollziehbare Dokumentation.

Viele dieser Schritte lassen sich mit bestehenden Prozessen aus DSGVO- und NIS-2-Compliance verzahnen. Wer dort bereits strukturiert organisiert ist, hat für den EU AI Act einen erheblichen Vorsprung.

Unser Fazit zum EU AI Act

Der EU AI Act ist kein Bedrohungsszenario, aber auch keine Randnotiz. Er wirkt bereits heute über die KI-Kompetenzpflicht und wird in den kommenden Zeitabschnitten und Jahreszeiträumen durch Transparenzregeln und Hochrisiko-Pflichten konkreter. Selbst wenn der Digital Omnibus die Fristen für Hochrisiko-Systeme nach hinten verlegt, bleibt die Richtung unverändert: Wer KI im Unternehmen nutzt, muss Verantwortung nachweisbar festhalten, Kompetenzen aufbauen und Prozesse robust gestalten.

Für den Mittelstand besteht darin eine doppelte Möglichkeit. Einerseits schafft ein strukturierter Umgang mit KI Zuversicht bei Kunden, Partnern und Prüfern. Zum anderen ergibt sich so die Grundlage, um KI gewinnbringend und rechtssicher in die unternehmenseigene Wertschöpfung zu bringen, statt sie aus Unsicherheit zu behindern.

Sie möchten Künstliche Intelligenz in Ihrem Unternehmen nicht nur rechtskonform, sondern auch strategisch und gewinnbringend einsetzen? Wir begleiten Sie mit unserer 4-Stufen-Strategie für den erfolgreichen KI-Einsatz – von der organisatorischen Vorbereitung über die Identifikation passender Use Cases bis hin zur Umsetzung und kontinuierlichen Weiterentwicklung. Erfahren Sie, wie wir Ihr Unternehmen auf dem Weg zu einer sicheren und zukunftsfähigen KI-Nutzung unterstützen.

Diesen Artikel teilen

Ähnliche Artikel aus unserem Insight-Hub

Fernwartung

Damit wir Ihnen am einfachsten direkt über Fernwartung helfen können, laden Sie sich bitte hier das Programm Teamviewer herunter und setzen sich mit unserem Support in Verbindung. 

Unser Support-Team unterstützt Sie dann direkt bei der Einrichtung des Tools.