Der EU AI Act (offiziell: KI-Verordnung) ist die erste umfassende gesetzliche Regelung für Künstliche Intelligenz in Europa. Für viele Geschäftsführer und Ops-Verantwortliche im Mittelstand stellt sich seit dem Inkrafttreten dieselbe Frage: Betrifft mich das überhaupt – und wenn ja, was muss ich konkret tun? Dieser Leitfaden ordnet die Pflichten ein, nennt die wichtigsten Fristen und gibt eine umsetzbare Checkliste. Er ersetzt keine Rechtsberatung, hilft aber, die richtigen Fragen zu stellen.
Wen betrifft der EU AI Act?
Die Verordnung trat am 1. August 2024 in Kraft und gilt EU-weit unmittelbar. Sie unterscheidet vor allem zwischen Anbietern (wer ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt) und Betreibern (wer ein KI-System beruflich einsetzt). Die meisten KMU sind Betreiber: Sie nutzen ein KI-Tool, das sie eingekauft oder bauen lassen haben.
Wichtig: Auch wer ein zugekauftes System wesentlich verändert, anpasst oder unter eigenem Namen weitervertreibt, kann in die strengere Anbieterrolle rutschen. Wenn Sie also ein eigenes KI-Tool entwickeln lassen oder ein Standardmodell tief in Ihre Prozesse integrieren, lohnt eine frühe Einordnung der Rolle.
Die vier Risikoklassen – kurz erklärt
Der AI Act reguliert nicht KI pauschal, sondern nach Risiko für Menschen und Grundrechte:
- Verbotene Praktiken: z. B. manipulatives Social Scoring oder bestimmte biometrische Bewertungen. Diese sind seit dem 2. Februar 2025 untersagt.
- Hochrisiko-Systeme: KI in sensiblen Bereichen wie Personalauswahl, Kreditwürdigkeit, kritischer Infrastruktur oder Bildung. Hier gelten umfangreiche Pflichten zu Risikomanagement, Datenqualität, Dokumentation und menschlicher Aufsicht.
- Begrenztes Risiko: Systeme mit Transparenzpflicht, etwa Chatbots oder KI-generierte Inhalte. Nutzer müssen erkennen können, dass sie mit KI interagieren bzw. dass Inhalte künstlich erzeugt wurden.
- Minimales Risiko: der Großteil betrieblicher Anwendungen – Textbausteine, Zusammenfassungen, interne Recherche. Hier gibt es keine besonderen Pflichten aus dem AI Act.
Die gute Nachricht für den Mittelstand: Viele typische Anwendungsfälle – ein interner Assistent für Dokumente, eine Vorlagen-Generierung, eine Klassifizierung von E-Mails – fallen in die Kategorie minimales oder begrenztes Risiko. Hochrisiko wird es vor allem dann, wenn KI über Menschen entscheidet, etwa im Recruiting oder bei Bonitätsfragen.
Die wichtigsten Fristen im Überblick
Der AI Act gilt nicht auf einen Schlag, sondern stufenweise:
- 2. Februar 2025: Verbotene KI-Praktiken sind untersagt; zudem gilt die Pflicht zur KI-Kompetenz (siehe unten).
- 2. August 2025: Regeln für KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI) und Governance-Strukturen greifen.
- 2. August 2026: Die meisten übrigen Pflichten, insbesondere für viele Hochrisiko-Systeme nach Anhang III, werden anwendbar.
- 2. August 2027: Pflichten für Hochrisiko-Systeme, die als Sicherheitskomponente in regulierten Produkten stecken.
Für die meisten KMU sind die ersten beiden Termine bereits relevant – vor allem die KI-Kompetenz.
KI-Kompetenz: die unterschätzte Pflicht
Seit Februar 2025 müssen Anbieter und Betreiber sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen – angemessen zu Vorwissen, Aufgabe und Einsatzkontext. Das gilt unabhängig von der Risikoklasse und damit für praktisch jedes Unternehmen, das KI beruflich einsetzt.
Konkret heißt das nicht, dass jeder ein KI-Experte werden muss. Sinnvoll sind:
- eine kurze, dokumentierte Schulung für Teams, die KI-Tools nutzen (Grundlagen, Grenzen, Datenschutz, typische Fehler wie Halluzinationen);
- klare Nutzungsregeln, welche Tools für welche Daten erlaubt sind;
- eine benannte Ansprechperson für Rückfragen.
Diese Maßnahmen lassen sich pragmatisch umsetzen und schaffen gleichzeitig betrieblichen Nutzen, weil Mitarbeitende KI sicherer und produktiver einsetzen.
Transparenzpflichten: oft mit wenig Aufwand erfüllbar
Setzen Sie einen Chatbot im Kundenkontakt ein, sollten Nutzer erkennen können, dass sie mit einer KI sprechen. Veröffentlichen Sie KI-generierte Texte oder Bilder, kann eine Kennzeichnung erforderlich sein. Für viele Mittelständler bedeutet das vor allem: ehrliche Hinweise, ein kurzer Satz im Tool oder auf der Website – und keine Verschleierung des KI-Einsatzes.
Praktische Checkliste für den Mittelstand
Sie müssen nicht alles auf einmal lösen. Folgende Schritte schaffen schnell Klarheit:
- Inventar erstellen: Welche KI-Tools nutzen Sie bereits – auch inoffiziell in einzelnen Abteilungen?
- Rolle klären: Sind Sie bei dem jeweiligen System Betreiber oder Anbieter?
- Risiko einordnen: Entscheidet das System über Menschen (Hochrisiko) oder unterstützt es nur (meist gering)?
- KI-Kompetenz sichern: Schulung dokumentieren, Nutzungsregeln festhalten.
- Transparenz herstellen: Chatbots und KI-Inhalte kennzeichnen.
- Datenschutz mitdenken: Der AI Act ersetzt nicht die DSGVO – beide gelten parallel.
- Verträge prüfen: Lassen Sie sich von Anbietern bestätigen, dass deren Systeme konform sind.
Was das für KI-Projekte bedeutet
Der AI Act ist kein Grund, Automatisierung aufzuschieben. Im Gegenteil: Wer Anwendungsfälle sauber dokumentiert, Rollen klärt und Mitarbeitende schult, hat regulatorisch wie operativ einen Vorsprung. Entscheidend ist, Compliance früh in die Auswahl und Entwicklung einzubeziehen – nicht nachträglich aufzusetzen. Gerade bei maßgeschneiderten Lösungen sollten Risikoklasse und Dokumentationspflichten Teil des Pflichtenhefts sein.
Die meisten produktivitätssteigernden Anwendungen im Mittelstand bewegen sich im Bereich mit geringen Anforderungen. Der reale Aufwand liegt häufig bei Organisation und Nachweisbarkeit, nicht bei technischen Hürden.
Fazit
Der EU AI Act betrifft auch den Mittelstand, aber selten so dramatisch, wie es zunächst wirkt. Verschaffen Sie sich einen Überblick über Ihre KI-Nutzung, ordnen Sie die Risiken ein, schulen Sie Ihr Team und sorgen Sie für Transparenz. Für rechtsverbindliche Bewertungen – insbesondere bei Hochrisiko-Anwendungen oder einer möglichen Anbieterrolle – sollten Sie rechtlichen Rat einholen. So nutzen Sie KI verantwortungsvoll und bleiben handlungsfähig, statt sich von Unsicherheit ausbremsen zu lassen.