Mit dem EU AI Act hat die EU erstmalig einen rechtsverbindlichen Regelungsrahmen für Künstliche Intelligenz geschaffen. Seit dem 1. August 2024 ist die Verordnung wirksam, und ihre Verpflichtungen greifen stufenweise. Für KMU ergibt sich die zentrale Fragestellung: Welche Vorschriften betreffen mich wirklich – und was muss ich heute schon tun?

KI ist im Mittelstand längst keine Zukunftsbild mehr. Sie ist im CRM-System, das Kundenfragen an die erste Stelle rückt. Sie hilft im Einkauf bei der Bedarfsplanung. Sie formuliert Texte, analysiert Rechnungen und unterstützt die Personalabteilung bei der Sichtung von Bewerbungen.

Eine aktuelle Bitkom-Untersuchung belegt, dass gegenwärtig rund 57 Prozent der deutschen Firmen KI im Marketing einsetzen – oft ohne klare Governance sowie ohne das nötige Bewusstsein für regulatorische Folgen. Wer sich jetzt fokussiert, vermeidet spätere Haftungsrisiken und kann die verbleibende Zeit bis zu den nächsten Stichtagen gezielt nutzen.

Was die KI-Verordnung im Kern regelt

Der EU AI Act – offiziell Verordnung (EU) 2024/1689 – ist das weltweit erste weitreichende Regelwerk, das Künstliche Intelligenz risikobasiert steuert. Anstelle einzelne Technologien pauschal zu untersagen oder zuzulassen, gliedert das Vorschriftenwerk KI-Systeme in vier Risikoklassen ein und knüpft die Pflichten an das entsprechende Risikopotenzial.

• Inakzeptables Risiko: Einsatzformen wie Social Scoring durch Ämter oder manipulative Systeme, die gezielt Anfälligkeiten ausnutzen, sind prinzipiell untersagt.
• Hohes Risiko: KI in schutzrelevanten oder grundrechtsbezogenen Sektoren wie Recruiting, Kreditwürdigkeitsprüfung oder kritischer Infrastruktur unterliegt rigorosen Auflagen.
• Eingeschränktes Gefährdungsniveau: Chatbots, Sprachassistenten sowie KI-generierte Beiträge müssen offen gekennzeichnet werden.
• Geringfügiges Risiko: Klassische Einsatzbereiche wie Spam-Filter oder Empfehlungssysteme bleiben weitgehend ungeregelt.

Für den KMU-Sektor ist diese Klassifizierung eine positive Nachricht: Die überwiegenden KI-Anwendungen, die derzeit in typischen KMU laufen, fallen in die niedrigeren zwei Klassen. Systeme mit hohem Risiko sind vergleichsweise die Seltenheit – sie tauchen jedoch rascher auf als vermutet, beispielsweise wenn ein HR-Tool selbsttätig Bewerberprofile beurteilt oder ein Finanzmodul eine Darlehensentscheidung unterstützt.

Welche Fristen jetzt gelten

Das EU-KI-Gesetz entfaltet seine Auswirkung stufenweise. Maßgeblich ist: Einige Vorgaben bestehen schon, andere stehen direkt an, erneut andere wurden durch den sogenannten Digital Omnibus regierungspolitisch neu verhandelt.

Der verbindliche Fahrplan sieht bisher folgendermaßen aus:
• Seir 2. Februar 2025: Untersagungen bestimmter KI-Praktiken und die Pflicht zur KI-Kompetenz nach Artikel 4 sind gültig.
• Seit 2. August 2025: Vorgaben für Bereitsteller genannter General-Purpose-AI-Modelle gelten.
• Ab 2. August 2026: Offenlegungspflichten nach Artikel 50 und – nach ursprünglicher Konzeption – die Vorgaben an Hochrisiko-KI-Systeme.

Die KI-Kompetenzpflicht: Was jedes Unternehmen heute leisten muss

Eine der am öftesten unterschätzten Bestimmungen ist die KI-Kompetenzpflicht nach Artikel 4. Sie gilt bereits seit dem 2. Februar 2025 – und zwar unabhängig von Risikoklasse, Branche oder Unternehmensgröße.

Konkret fordert der Normgeber, dass Anbieter und Betreiber von KI-Systemen sicherstellen, dass ihr Personal und alle in ihrem Auftrag handelnden Personen über ein angemessenes Maß an KI-Kompetenz verfügen. Das umfasst auch vermeintlich harmlose Anwendungen wie ChatGPT oder Microsoft Copilot. Sobald ein Mitarbeiter ein KI-Tool im Arbeitskontext verwendet, ergibt sich Schulungsbedarf.

Wir beobachten in der Anwendungspraxis immer wieder, dass diese Verpflichtung unterschätzt wird. Der Normgeber fordert zwar keine konkrete Stundenzahl und kein vorgegebenes Schulungsformat, aber drei Fähigkeitsbereiche sollten abgedeckt sein:
• Technisches Verständnis: Wie funktioniert ein KI-System? Welche Daten nutzt es? Wo liegen die Beschränkungen?
• Juristisches Fachwissen: Welche Regeln bestehen für den Gebrauch, insbesondere im Zusammenspiel mit DSGVO und branchenbezogener Compliance?
• Anwendungsbezogene Kenntnisse: Welche Prompts sind zweckmäßig, wo liegen übliche Fehlerquellen, wann ist personelle Aufsicht zwingend?

Ein Verstoß gegen Artikel 4 ist aktuell noch nicht direkt bußgeldbewehrt. Im Schadensfall kann aber eine fehlende Schulung als Verletzung der Sorgfaltspflicht eingestuft werden – mit entsprechenden Haftungsfolgen für die Geschäftsleitung. Aus unserer Praxiserfahrung als IT-Dienstleister ist die Botschaft eindeutig: Lieber ein pragmatisches, nachweisbares Schulungskonzept als gar keines.

Transparenz und Hochrisiko-KI: Was sonst noch auf den Mittelstand zukommt

Zwei weitere Regelungsblöcke sind für den KMU-Sektor insbesondere bedeutsam. Zum einen die Transparenzpflichten nach Artikel 50, die voraussichtlich zum 2. August 2026 anwendbar werden. Zum anderen die Vorgaben an Hochrisiko-Systeme, deren Geltung – bedingt vom Digital Omnibus – in den Kalenderjahren 2027 und 2028 folgt.

Die Transparenzpflichten sind rasch erklärt: Wer Chatbots oder KI-Telefonassistenten verwendet, muss die Nutzer darüber informieren, dass sie mit einem KI-System interagieren. Wer KI-generierte Beiträge, Bilder, Audios oder Videos publiziert, muss diese grundsätzlich automatisiert auslesbar kennzeichnen. Bei Deepfakes, also täuschend echten Darstellungen wirklicher Personen, ist ergänzend eine deutlich erkennbare Kennzeichnung vorgegeben. Für ein mittelgroßes Unternehmen heißt das: Ein klarer Hinweis am Chatbot, ein Eintrag im Impressum und ein Zusatz in der Datenschutzerklärung decken den überwiegenden Teil der Anforderungen ab.

Anders schaut es bei Hochrisiko-KI aus. Wer ein System nach Anhang III einsetzt – beispielsweise eine Recruiting-Software mit automatisierter Vorauswahl oder ein Tool zur Kreditwürdigkeitsprüfung – muss eine Konformitätsbewertung vornehmen, ein Risikomanagementsystem einführen, fachtechnische Dokumentation bereitstellen, Protokolle mindestens sechs Monate aufbewahren und eine personelle Überwachung gewährleisten. Diese Vorgaben greifen ungeachtet der Unternehmensgröße. Ein 30-Personen-Mittelständler muss hier gleichermaßen erfüllen wie ein Konzern.

Die Geldbußen verdeutlichen, wie konsequent es die EU meint: Bei Verstößen drohen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist (https://www.ing-ism.de/magazin/eu-ai-act-informationssicherheit-compliance-mittelstand/).

In fünf Schritten zur EU-AI-Act-Compliance

Eine belastbare Vorbereitung muss kein Mammutprojekt sein. Erfahrungsgemäß genügt ein systematisches Verfahren in fünf Schritten.

• KI-Inventur: Dokumentieren Sie strukturiert, welche KI-Systeme in welchen Abteilungen im Einsatz sind – inklusive extern beschaffter Software, eingebetteter Funktionen in bestehenden Tools und möglicher Shadow-IT.

• Risikoklassifizierung: Ordnen Sie jedes System einer Risikoklasse zu. Häufig befindet sich die Mehrheit im Segment „minimal“ oder „begrenzt“, vereinzelte Kandidaten verdienen aber einen genaueren Blick.

• Verantwortlichkeiten festlegen: Bestimmen Sie, wer unternehmensintern für KI-Compliance verantwortlich ist. Das kann eine neue Rolle sein oder in bestehende Strukturen wie Datenschutz oder Informationssicherheit eingebunden werden.

• Schulungskonzept realisieren: Stellen Sie ein Basistraining für alle Mitarbeitenden auf, erweitert um vertiefte Schulungen für Fachbereiche mit stärkerem KI-Einsatz.

• Dokumentation sichern: Halten Sie Rollen, Prozesse, Schulungsnachweise und Bewertungen schriftlich fest. Im Prüfungsfall zählt transparent nachvollziehbare Dokumentation.

Zahlreiche dieser Schritte können sich mit vorhandenen Prozessen aus DSGVO- und NIS-2-Compliance verzahnen. Wer dort schon sauber aufgestellt ist, hat für den EU AI Act einen deutlichen Vorsprung.

Was am Ende wirklich zählt

Der EU AI Act ist kein Schreckgespenst, aber auch keine Randnotiz. Er wirkt bereits heute – über die KI-Kompetenzpflicht – und wird in den kommenden Monaten und Jahreszeiträumen durch Transparenzregeln und Hochrisiko-Pflichten greifbarer. Selbst wenn der Digital Omnibus die Zeitvorgaben für Hochrisiko-Systeme nach hinten verlegt, bleibt die Entwicklung gleichbleibend: Wer KI im Unternehmen nutzt, muss Zuständigkeiten nachweisbar festhalten, Fähigkeiten entwickeln und Prozesse robust ausrichten.

Für den KMU-Bereich besteht darin eine doppelte Chance. Einerseits schafft ein strukturierter Umgang mit KI Zuversicht bei Kunden, Partnern und Prüfern. Andererseits ergibt sich so die Grundlage, um KI produktiv und rechtskonform in die eigene Wertschöpfung zu bringen, anstatt sie aus Unsicherheit zu bremsen.

Noch mehr interessante Blogartikel findest du hier !