EU AI Act: was der Mittelstand wissen muss.
Mit der KI-Verordnung der EU — dem AI Act — gibt es erstmals einen umfassenden Rechtsrahmen für künstliche Intelligenz. Viele mittelständische Unternehmen fragen sich verunsichert: Betrifft uns das überhaupt? Und wenn ja, was müssen wir tun? Dieser Beitrag ordnet sachlich ein, worum es geht, wie das Risiko-Modell funktioniert und wie man sich pragmatisch vorbereitet — ohne Panik, aber auch ohne den Kopf in den Sand zu stecken. Er ersetzt keine Rechtsberatung; die konkrete Einordnung gehört in den Einzelfall.
Was der AI Act ist — und seit wann er gilt.
Der AI Act ist eine Verordnung der Europäischen Union, die 2024 in Kraft getreten ist. Als EU-Verordnung gilt sie grundsätzlich unmittelbar in allen Mitgliedstaaten, also auch in Deutschland — ohne dass es eines eigenen nationalen Umsetzungsgesetzes bedarf. Ihr Ziel ist, den Einsatz von KI sicher und grundrechtskonform zu gestalten, ohne Innovation zu ersticken.
Wichtig zu verstehen: Die Verordnung gilt nicht mit einem Schlag vollständig, sondern wird gestaffelt wirksam. Die einzelnen Pflichten greifen zu unterschiedlichen Zeitpunkten nach dem Inkrafttreten. Konkrete Stichtage und Übergangsfristen sollten Sie tagesaktuell aus verlässlichen offiziellen Quellen oder von fachkundiger Stelle beziehen — hier kursieren viele ungenaue Angaben, und falsche Fristen helfen niemandem. Genau deshalb nennt dieser Beitrag bewusst keine konkreten Datumsangaben.
Das Herzstück: ein risikobasierter Ansatz.
Der zentrale Gedanke des AI Act ist einfach und nachvollziehbar: Nicht jede KI wird gleich behandelt. Je größer das potenzielle Risiko einer Anwendung für Menschen und Gesellschaft, desto strenger die Anforderungen. Die Verordnung teilt KI-Systeme grob in mehrere Risikoklassen ein:
- Verbotene Praktiken: Bestimmte Anwendungen gelten als unannehmbares Risiko und sind untersagt — etwa Systeme, die manipulativ Schwächen ausnutzen, oder bestimmte Formen des Social Scoring. Für die allermeisten Mittelständler ist diese Kategorie schlicht nicht relevant, weil niemand solche Systeme einsetzt.
- Hochrisiko-KI: KI in sensiblen Bereichen — etwa in der Personalauswahl, bei Kreditentscheidungen, in kritischer Infrastruktur oder als Sicherheitsbauteil von Produkten. Hier gelten umfangreiche Pflichten.
- KI mit Transparenzpflichten: Systeme, bei denen Menschen wissen sollten, dass sie es mit KI zu tun haben — etwa Chatbots oder KI-erzeugte Inhalte. Hier geht es vor allem um Kennzeichnung.
- Geringes oder minimales Risiko: Der allergrößte Teil alltäglicher KI-Anwendungen. Hier sieht die Verordnung keine besonderen Auflagen vor.
Diese Einteilung ist die wichtigste Orientierung für jedes Unternehmen. Die entscheidende Frage lautet nicht „Nutzen wir KI?“, sondern „In welche Risikoklasse fällt unsere konkrete Anwendung?“. Davon hängt alles Weitere ab.
Was für den Mittelstand typischerweise gilt.
Die gute Nachricht für die meisten mittelständischen Unternehmen: Die alltäglichen KI-Einsätze, über die ich in dieser Reihe schreibe — Wissensmanagement, Dokumenten- extraktion, E-Mail-Triage, Rechnungsvorerfassung — fallen in aller Regel nicht in die Hochrisiko-Kategorie. Sie sind interne Werkzeuge, die Entscheidungen vorbereiten, statt grundrechtsrelevante Entscheidungen über Menschen automatisiert zu treffen.
Vorsicht ist dort geboten, wo KI über Menschen entscheidet oder Entscheidungen maßgeblich beeinflusst. Die folgende Übersicht gibt eine grobe Orientierung — sie ersetzt keine Einzelfallprüfung:
| Anwendung | Häufige Einordnung | Anmerkung |
|---|---|---|
| Interner Wissens-Chatbot | Geringes Risiko, Transparenz | Nutzer sollten wissen, dass sie mit KI sprechen |
| Rechnungs- & Dokumentenextraktion | Meist geringes Risiko | Bereitet Entscheidungen vor, Mensch entscheidet |
| KI im Bewerber-Screening | Potenziell Hochrisiko | Personalauswahl ist ein sensibler Bereich — genau prüfen |
| Automatisierte Bonitäts-/Kreditentscheidung | Potenziell Hochrisiko | Direkter Eingriff in Lebenschancen — genau prüfen |
| Kundenservice-Chatbot | Transparenzpflicht | Kennzeichnung als KI erforderlich |
| KI-erzeugte Texte/Bilder/Audio | Transparenzpflicht | Kennzeichnung kann erforderlich sein |
Die Spalte „häufige Einordnung“ ist bewusst vorsichtig formuliert. Ob eine konkrete Anwendung tatsächlich als Hochrisiko gilt, hängt von Details ab und muss im Einzelfall geprüft werden. Wer KI in der Personalauswahl oder bei Kreditentscheidungen einsetzt, sollte dies frühzeitig fachkundig klären lassen.
Was Hochrisiko-Pflichten ungefähr bedeuten.
Fällt eine Anwendung in die Hochrisiko-Kategorie, kommen substanzielle Pflichten auf das Unternehmen zu. Ohne in juristische Tiefe zu gehen, lässt sich die Stoßrichtung umreißen: ein Risikomanagement über den Lebenszyklus des Systems, Anforderungen an die Datenqualität, technische Dokumentation, Protokollierung, Transparenz gegenüber Nutzern, menschliche Aufsicht sowie ein angemessenes Maß an Genauigkeit und Robustheit.
Das klingt aufwendig — und ist es auch. Genau deshalb ist die saubere Einordnung so wichtig: Wer fälschlich annimmt, harmlos zu sein, riskiert Verstöße. Wer umgekehrt jede triviale Anwendung wie ein Hochrisiko-System behandelt, lähmt sich selbst mit unnötigem Aufwand. Die ehrliche Klassifikation der eigenen Anwendungen ist die wertvollste Vorarbeit.
KI-Kompetenz: eine Pflicht, die alle betrifft.
Ein Aspekt des AI Act betrifft praktisch jedes Unternehmen, das KI einsetzt — unabhängig von der Risikoklasse: die Anforderung, für ein ausreichendes Maß an KI-Kompetenz der mit KI befassten Personen zu sorgen. Vereinfacht gesagt: Wer KI nutzt oder bereitstellt, soll verstehen, was er da tut, welche Grenzen die Systeme haben und welche Risiken bestehen.
Das ist keine bürokratische Schikane, sondern guter Pragmatismus — und etwas, das ohnehin im Eigeninteresse jedes Unternehmens liegt. Mitarbeiter, die die Stärken und Schwächen von KI verstehen, treffen bessere Entscheidungen, fallen seltener auf Halluzinationen herein und nutzen die Werkzeuge wirkungsvoller. Eine grundlegende Schulung der Beteiligten ist daher ein sinnvoller erster Schritt, ganz unabhängig von der formalen Pflicht.
Sonderfall: Universalmodelle und ihre Anbieter.
Der AI Act adressiert auch sogenannte KI-Modelle mit allgemeinem Verwendungszweck — die großen Sprachmodelle, auf denen viele Anwendungen aufbauen. Hier liegen wesentliche Pflichten beim Anbieter des Modells, nicht beim Mittelständler, der es nutzt.
Für ein Unternehmen, das ein solches Modell etwa über eine Cloud-API in eine eigene Anwendung einbindet, ist die Rollenverteilung relevant: Man wird in der Regel zum „Betreiber“ beziehungsweise nimmt eine nachgelagerte Rolle ein und nicht die Rolle des Modellanbieters. Die genaue rechtliche Einordnung dieser Rollen — Anbieter, Betreiber, Importeur — ist anspruchsvoll und gehört im Zweifel fachkundig geklärt, weil sich daran die konkreten Pflichten bemessen.
Wie sich der Mittelstand pragmatisch vorbereitet.
Statt in Aktionismus oder Schockstarre zu verfallen, hilft ein nüchternes, schrittweises Vorgehen. Folgende Schritte sind aus meiner Sicht ein sinnvoller, machbarer Anfang:
- Bestandsaufnahme machen: Welche KI-Anwendungen setzen Sie überhaupt ein oder planen Sie? Oft ist das mehr, als man denkt — auch KI-Funktionen in eingekaufter Software zählen. Ein einfaches Verzeichnis ist die Grundlage für alles Weitere.
- Jede Anwendung grob einordnen: Verbotene Praxis, Hochrisiko, Transparenzpflicht oder geringes Risiko? Schon diese erste Sortierung zeigt, wo überhaupt Handlungsbedarf besteht — und das ist meist nur ein kleiner Teil.
- Sensible Anwendungen herausgreifen: Alles, was Richtung Personalauswahl, Kreditentscheidung oder andere grundrechtsrelevante Bereiche geht, gehört priorisiert und fachkundig geprüft.
- KI-Kompetenz aufbauen: Eine grundlegende Schulung der beteiligten Mitarbeiter ist niedrigschwellig, erfüllt eine Anforderung und verbessert nebenbei die Qualität des KI-Einsatzes.
- Transparenz herstellen: Wo Kunden oder Mitarbeiter mit KI interagieren, sollten sie das wissen. Eine klare Kennzeichnung ist einfach umzusetzen und schafft Vertrauen.
Dieser Weg ist bewusst undramatisch. Für die meisten mittelständischen Unternehmen mit internen Effizienz-Anwendungen ist der tatsächliche Anpassungsbedarf überschaubar. Aufwendig wird es nur dort, wo wirklich sensible, menschenbezogene Entscheidungen automatisiert werden — und dort lohnt sich die sorgfältige Prüfung dann auch.
Was ich aus der Praxis mitgebe.
- Erst klassifizieren, dann handeln. Die Risikoklasse Ihrer Anwendung bestimmt alles. Ohne diese Einordnung tappt man im Dunkeln.
- Die meisten internen Anwendungen sind unkritisch. Wissensmanagement, Dokumentenverarbeitung und ähnliche Werkzeuge fallen in aller Regel nicht in die Hochrisiko-Kategorie.
- Bei Entscheidungen über Menschen genau hinschauen. Personalauswahl und Bonität sind die sensiblen Bereiche — hier früh fachkundigen Rat einholen.
- Keine erfundenen Fristen. Konkrete Stichtage tagesaktuell aus offiziellen Quellen beziehen, statt sich auf Hörensagen zu verlassen.
Eine abschließende Klarstellung: Dieser Beitrag dient der Orientierung und Bildung. Er ist ausdrücklich keine Rechtsberatung. Die konkrete Beurteilung Ihrer KI-Anwendungen unter dem AI Act gehört in die Hände fachkundiger juristischer Beratung, die Ihren Einzelfall kennt.
Sie wollen wissen, welche Ihrer KI-Vorhaben unter den AI Act fallen und wie Sie sie sauber aufsetzen? Unverbindlich anfragen — wir verschaffen Ihnen einen Überblick über Ihre Anwendungen und einen pragmatischen Fahrplan; rechtliche Detailfragen klären wir mit fachkundiger Stelle.