Der EU AI Act im Überblick: Regeln, Risikoklassen und Fristen für KMU

Mit dem EU AI Act hat die Europäische Union erstmals einen rechtsverbindlichen Regelungsrahmen für Künstliche Intelligenz geschaffen. Seit 1. August 2024 ist die Verordnung in Kraft, und ihre Verpflichtungen greifen in mehreren Stufen. Für mittelständische Unternehmen stellt sich die zentrale Frage: Welche Regeln betreffen mich wirklich – und was muss ich heute schon tun?

KI ist im mittelständischen Sektor längst keine Zukunftsbild mehr. Sie steckt im CRM-System, das Kundenfragen priorisiert. Sie unterstützt im Beschaffungswesen bei der Bedarfsprognose. Sie formuliert Texte, analysiert Rechnungen und unterstützt die HR-Abteilung bei der Sichtung von Bewerbungen.

Eine aktuelle Bitkom-Erfassung belegt, dass gegenwärtig rund 57 Prozent der deutschen Firmen KI im Marketing benutzen – oft ohne klare Governance und ohne das nötige Bewusstsein für regulatorische Konsequenzen (https://www.mindmelt.de/ki-agentur/blog/eu-ai-act-im-marketing-was-der-mittelstand-wissen-muss/). Wer sich heute fokussiert, vermeidet spätere Haftungsrisiken sowie kann die offene Zeit bis zu den kommenden Stichtagen gezielt nutzen.

Einordnung der KI-Verordnung

Der EU AI Act – offiziell Verordnung (EU) 2024/1689 – ist das weltweit erste weitreichende Gesetz, das Künstliche Intelligenz risikobasiert reguliert. Anstelle individuelle Technologien pauschal zu untersagen oder freizugeben, teilt das Regelwerk KI-Systeme in vier Risikoklassen ein und knüpft die Vorgaben an das entsprechende Risikopotenzial.

• Inakzeptables Wagnis: Einsatzformen wie Social Scoring durch Behörden oder beeinflussende Systeme, die gezielt Schwächen ausbeuten, sind grundsätzlich untersagt.
• Hohes Risiko: KI in sicherheits- oder grundrechtsrelevanten Sektoren wie Recruiting, Kreditwürdigkeitsprüfung oder wesentlicher Infrastruktur unterliegt strengen Vorgaben.
• Begrenztes Gefährdungsniveau: Chatbots, Sprachassistenten und KI-generierte Inhalte müssen transparent markiert werden.
• Minimales Gefährdungsniveau: Konventionelle Einsatzbereiche wie Spam-Filter oder Empfehlungssysteme bleiben größtenteils unreguliert.

Für den Mittelstand ist diese Einteilung eine gute Nachricht: Die meisten KI-Anwendungen, die derzeit in üblichen KMU eingesetzt werden, fallen in die unteren zwei Klassen. Hochrisiko-Systeme sind eher die Seltenheit – sie tauchen aber schneller auf als gedacht, beispielsweise wenn ein HR-Tool selbsttätig Bewerberprofile bewertet oder ein Finanzmodul eine Kreditentscheidung unterstützt.

Fristen und Stufen der KI-Verordnung

Das EU-KI-Gesetz entwickelt seine Auswirkung stufenweise. Entscheidend ist: Einige Vorgaben gelten bereits, andere stehen direkt an, wieder andere wurden durch den genannten Digital Omnibus regierungspolitisch neu verhandelt.

Der verpflichtende Zeitplan sieht bisher so aus:
• Ab 2. Februar 2025: Untersagungen gewisser KI-Praktiken und die Pflicht zur KI-Kompetenz nach Artikel 4 sind anwendbar.
• Seit 2. August 2025: Pflichten für Anbieter sogenannter General-Purpose-AI-Modelle gelten.
• Seit 2. August 2026: Transparenzpflichten nach Artikel 50 und – nach ursprünglicher Konzeption – die Vorgaben an Hochrisiko-KI-Systeme.

Warum die Schulungspflicht schon heute greift

Eine der am häufigsten unterschätzten Bestimmungen ist die KI-Kompetenzpflicht nach Artikel 4. Sie gilt schon seit dem 2. Februar 2025 – und zwar unabhängig von Risikoklasse, Branche oder Unternehmensgröße (https://ai-act-law.eu/de/artikel/4/).

Konkret verlangt der Gesetzgeber, dass Anbieter wie auch Betreiber von KI-Systemen gewährleisten, dass ihr Personal und sämtliche in ihrem Auftrag handelnden Personen über ein ausreichendes Maß an KI-Kompetenz verfügen. Das betrifft auch vermeintlich harmlose Einsatzbereiche wie ChatGPT oder Microsoft Copilot. Sobald ein Mitarbeiter ein KI-Tool im Arbeitskontext verwendet, entsteht Schulungsbedarf.

Wir beobachten in der Praxis regelmäßig, dass diese Verpflichtung unterbewertet wird. Der Normgeber fordert zwar keine festgelegte Stundenzahl und kein bestimmtes Schulungsformat, aber drei Kompetenzbereiche sollten berücksichtigt werden:
• Technisches Grundverständnis: Wie arbeitet ein KI-System? Welche Daten verarbeitet es? Wo befinden sich die Grenzen?
• Rechtliches Fachwissen: Welche Vorschriften gelten für den Einsatz, insbesondere im Zusammenwirken mit DSGVO und branchenspezifischer Compliance?
• Anwendungsbezogene Fähigkeiten: Welche Prompts sind sinnvoll, wo liegen übliche Fehlerursachen, wann ist menschliche Überwachung unerlässlich?

Ein Zuwiderhandeln gegen Artikel 4 ist gegenwärtig noch nicht direkt sanktionsbewehrt. Im Schadensfall kann aber eine mangelnde Schulung als Missachtung der Sorgfaltspflicht gewertet werden – mit daraus resultierenden Haftungsfolgen für die Geschäftsleitung. Aus unserer Praxiserfahrung als IT-Dienstleister ist die Aussage eindeutig: Lieber ein pragmatisches, dokumentiertes Schulungskonzept als gar keines.

Transparenz und Hochrisiko-KI: Was sonst noch auf den Mittelstand zukommt

Zwei weitere Regelungsblöcke sind für den Mittelstand besonders bedeutsam. Zum Ersten die Transparenzpflichten nach Artikel 50, die voraussichtlich zum 2. August 2026 anwendbar werden. Zum anderen die Vorgaben an Hochrisiko-Systeme, deren Anwendung – abhängig vom Digital Omnibus – in den Kalenderjahren 2027 und 2028 folgt.

Die Transparenzpflichten sind schnell erläutert: Wer Chatbots oder KI-Telefonassistenten einsetzt, muss die Nutzer darüber informieren, dass diese mit einem KI-System interagieren. Wer KI-generierte Texte, Bilder, Audios oder Clips veröffentlicht, muss jene prinzipiell automatisiert auslesbar markieren. Bei Deepfakes, also verblüffend realistischen Darstellungen wirklicher Personen, ist zusätzlich eine deutlich erkennbare Kennzeichnung vorgeschrieben. Für ein mittelständisches Unternehmen bedeutet das: Ein klarer Hinweis am Chatbot, ein Eintrag im Impressum und ein Zusatz in der Datenschutzerklärung decken den Großteil der Anforderungen ab.

Abweichend schaut es bei Hochrisiko-KI aus. Wer ein System nach Anhang III betreibt – etwa eine Recruiting-Software mit automatisierter Vorauswahl oder ein Werkzeug zur Kreditwürdigkeitsprüfung – muss eine Konformitätsbewertung durchführen, ein Risikomanagementsystem etablieren, technische Dokumentation vorhalten, Protokolle mindestens sechs Monate aufbewahren und eine menschliche Aufsicht gewährleisten. Diese Anforderungen greifen ungeachtet der Unternehmensgröße. Ein 30-Personen-Mittelständler muss hier genauso erfüllen wie ein Konzern.

Die Geldbußen verdeutlichen, wie ernst es die EU meint: Bei Verstößen drohen bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes, je nachdem, welcher Betrag höher ist (https://www.ing-ism.de/magazin/eu-ai-act-informationssicherheit-compliance-mittelstand/).

Roadmap: So bereiten Sie Ihr Unternehmen vor

Eine tragfähige Vorplanung muss kein Mammutprojekt sein. Erfahrungsgemäß betrachtet reicht ein systematisches Vorgehen in fünf Etappen.

• KI-Inventur: Dokumentieren Sie systematisch, welche KI-Systeme in welchen Abteilungen im Einsatz sind – inklusive zugekaufter Software, integrierter Funktionen in vorhandenen Tools und möglicher Shadow-IT.

• Risikoklassifizierung: Ordnen Sie jedes System einer Risikoklasse zu. Oft befindet sich die überwiegende Anzahl im Bereich „minimal“ oder „begrenzt“, einzelne Kandidaten erfordern aber einen genaueren Blick.

• Verantwortlichkeiten festlegen: Legen Sie fest, wer intern für KI-Compliance verantwortlich ist. Das kann eine neue Rolle sein oder in vorhandene Organisationseinheiten wie Datenschutz oder Informationssicherheit integriert werden.

• Schulungskonzept realisieren: Stellen Sie ein Basistraining für alle Mitarbeitenden auf, ergänzt durch vertiefte Schulungen für Fachbereiche mit stärkerem KI-Einsatz.

• Dokumentation sichern: Halten Sie Rollen, Prozesse, Schulungsnachweise und Bewertungen schriftlich fest. Im Prüfungsfall entscheidet eine transparent nachvollziehbare Dokumentation.

Zahlreiche dieser Maßnahmen können sich mit bestehenden Prozessen aus DSGVO- und NIS-2-Compliance verbinden. Wer dort schon strukturiert organisiert ist, hat für den EU AI Act einen deutlichen Startvorteil.

Wer jetzt handelt, gewinnt Spielraum

Der EU AI Act ist kein Bedrohungsszenario, aber auch keine Nebensächlichkeit. Er greift bereits gegenwärtig – über die KI-Kompetenzpflicht – und wird in den kommenden Monaten und Jahren durch Transparenzregeln und Hochrisiko-Pflichten konkreter. Selbst wenn der Digital Omnibus die Fristen für Hochrisiko-Systeme nach hinten verlegt, bleibt die Entwicklung unverändert: Wer KI im Unternehmen nutzt, muss Verantwortung nachweisbar festhalten, Kompetenzen aufbauen und Prozesse belastbar ausrichten.

Für den Mittelstand liegt darin eine zweifache Möglichkeit. Zum einen schafft ein strukturierter Umgang mit KI Vertrauen bei Kunden, Partnern und Prüfern. Andererseits ergibt sich so die Grundlage, um KI gewinnbringend und rechtssicher in die eigene Wertschöpfung zu integrieren, anstatt sie aus Unsicherheit zu bremsen.

Sie möchten prüfen, wo Ihr Unternehmen beim Thema EU AI Act steht, und einen praxisnahen Fahrplan erstellen? Kontaktieren Sie uns gerne – als Ihr IT-Dienstleister unterstützen wir Sie von der KI-Inventur über die Risikoeinstufung bis zur Schulung Ihrer Mitarbeitenden.