EU AI Act: Was der neue KI-Rechtsrahmen für den Mittelstand bedeutet
Der erste umfassende KI-Rechtsrahmen der Welt ist da, und mit ihm die Verunsicherung. Wir ordnen ein, was für kleine und mittlere Unternehmen wirklich zählt und was Sie getrost gelassen sehen dürfen.
Künstliche Intelligenz ist im Mittelstand angekommen. In vielen Betrieben im Ruhrgebiet schreibt heute jemand Angebote mit ChatGPT, lässt Produktbeschreibungen generieren oder nutzt einen KI-Chatbot auf der Website. Gleichzeitig macht ein Begriff die Runde, der für Unruhe sorgt: der EU AI Act. Muss man jetzt Angst haben? Drohen Bußgelder? Ist der Einsatz von KI plötzlich riskant geworden?
Die kurze Antwort: Für die allermeisten mittelständischen Unternehmen ist die Lage deutlich entspannter, als die Schlagzeilen vermuten lassen. Dieser Artikel ordnet ein, was wirklich relevant ist. Er ersetzt keine Rechtsberatung, gibt Ihnen aber die Orientierung, um zu verstehen, wo Sie tatsächlich handeln müssen und wo nicht.
Was ist der EU AI Act?
Der EU AI Act (auf Deutsch: KI-Verordnung) ist die weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz. Sie gilt EU-weit unmittelbar, ähnlich wie damals die Datenschutz-Grundverordnung, und muss nicht erst in nationales Recht übertragen werden. Das Ziel: KI soll sicher, transparent und grundrechtskonform eingesetzt werden, ohne Innovation abzuwürgen.
Der zentrale Gedanke dahinter ist ein risikobasierter Ansatz. Nicht jede KI wird gleich behandelt. Entscheidend ist, wie riskant eine Anwendung für Menschen und Gesellschaft ist. Ein KI-System, das über Kreditwürdigkeit oder Bewerbungen entscheidet, unterliegt strengeren Regeln als ein Rechtschreibprüfer oder ein Spam-Filter. Je höher das Risiko, desto mehr Pflichten. Wo kaum Risiko besteht, bleibt fast alles beim Alten.
Die vier Risikoklassen im Überblick
Der AI Act teilt KI-Anwendungen in vier Stufen ein. Diese Einordnung ist der Schlüssel zum Verständnis der ganzen Verordnung.
Die entscheidende Erkenntnis: Der Großteil dessen, was Mittelständler heute mit KI tun, fällt in Stufe 3 oder Stufe 4. Die scharfen Regeln der oberen Stufen zielen auf ganz bestimmte, sensible Anwendungsfelder, nicht auf den alltäglichen Bürobetrieb.
Der Zeitplan: Welche Fristen wann greifen
Der AI Act tritt nicht auf einen Schlag in Kraft, sondern in Stufen. Für die Planung ist es hilfreich zu wissen, was wann gilt.
| Zeitpunkt | Was gilt ab dann |
|---|---|
| Februar 2025 | Die verbotenen Praktiken sind untersagt. Zugleich beginnt die KI-Kompetenz-Pflicht nach Artikel 4: Unternehmen müssen dafür sorgen, dass ihr Personal ausreichend im Umgang mit KI geschult ist. |
| August 2025 | Es greifen die Pflichten für Anbieter von General-Purpose-AI-Modellen (etwa die großen Sprachmodelle). Diese treffen die Hersteller, nicht die Anwender. |
| August 2026 | Die Transparenzpflichten nach Artikel 50 greifen, insbesondere die Kennzeichnung von KI-Chatbots und KI-generierten Inhalten (Risikoklasse begrenztes Risiko). Die technische Wasserzeichen-Pflicht der Anbieter folgt etwas später (Dezember 2026). |
| Dezember 2027 | Die Pflichten für Hochrisiko-KI nach Anhang III (etwa Personalauswahl, Kreditvergabe, Bildung) greifen. Das EU-Vereinfachungspaket von 2026 (Digital Omnibus) hat diese Frist von ursprünglich August 2026 nach hinten verschoben. |
| August 2028 | Die vollen Anforderungen an Hochrisiko-KI in regulierten Produkten nach Anhang I greifen. Relevant vor allem für Hersteller von Maschinen, Medizinprodukten und ähnlichen Gütern. |
Sie sehen: Die schärfsten Pflichten (Hochrisiko) liegen zeitlich am weitesten entfernt und betreffen spezielle Branchen. Was jeden angeht und schon heute gilt, ist die KI-Kompetenz-Pflicht.
Der wichtigste Punkt für die meisten KMU: die KI-Kompetenz-Pflicht
Wenn Sie sich aus diesem Artikel nur eine Sache merken, dann diese: Artikel 4 des AI Act verlangt bereits jetzt, dass Ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das gilt für nahezu jedes Unternehmen, das KI-Systeme betreibt oder einsetzt, unabhängig von der Größe.
Konkret bedeutet das: Wer KI im Betrieb nutzt, muss sicherstellen, dass die Menschen, die damit arbeiten, verstehen, was das Werkzeug kann, wo seine Grenzen liegen und welche Risiken es mit sich bringt. Es geht nicht um Zertifikate oder aufwendige Prüfungen, sondern um ein angemessenes Verständnis. Das umfasst zum Beispiel:
- Wie funktioniert ein KI-Tool grundsätzlich und warum kann es Fehler machen?
- Welche Ergebnisse muss ein Mensch prüfen, bevor sie verwendet werden?
- Welche Daten dürfen in ein KI-System eingegeben werden und welche nicht (Stichwort Datenschutz und Geschäftsgeheimnisse)?
- Woran erkennt man erfundene oder verzerrte Antworten (sogenannte Halluzinationen)?
Diese Pflicht ist erfreulich konkret und gut erfüllbar. Eine strukturierte Schulung, eine interne Kurzunterweisung und klare Regeln reichen in vielen Fällen bereits aus. Genau hier setzen unsere KI-Schulungen an: praxisnah, verständlich und auf den Arbeitsalltag Ihres Teams zugeschnitten.
Anwender oder Anbieter? Ein entscheidender Unterschied
Der AI Act unterscheidet klar zwischen denen, die KI entwickeln und bereitstellen (Anbieter), und denen, die fertige KI-Tools nutzen (Anwender oder Betreiber). Diese Unterscheidung entscheidet über den Umfang Ihrer Pflichten.
Die gute Nachricht für den Mittelstand: Die allermeisten KMU sind Anwender. Sie kaufen oder abonnieren fertige Werkzeuge wie ChatGPT, Microsoft-365-Copilot oder einen KI-Chatbot vom Dienstleister. Sie entwickeln keine eigenen KI-Modelle. Und genau deshalb haben sie deutlich geringere Pflichten als die Hersteller.
Der Löwenanteil der schweren Auflagen (technische Dokumentation, Konformitätsbewertung, Risikomanagementsysteme) liegt bei den Anbietern. Als Anwender müssen Sie im Wesentlichen: Ihr Personal schulen, die Tools bestimmungsgemäß nutzen, bei Chatbots und generierten Inhalten transparent sein und bei Hochrisiko-Systemen die menschliche Aufsicht sicherstellen. Für die typische Büroanwendung ist das gut zu bewältigen.
Praktische Checkliste für Ihren Betrieb
Statt in Aktionismus zu verfallen, arbeiten Sie diese Punkte der Reihe nach ab. Damit sind Sie für die relevanten Anforderungen gut aufgestellt.
- KI-Anwendungen inventarisieren: Erstellen Sie eine Liste aller KI-Tools, die im Unternehmen im Einsatz sind. Oft ist das mehr als gedacht, weil einzelne Abteilungen eigene Werkzeuge nutzen.
- Risikoklasse grob einordnen: Ordnen Sie jede Anwendung einer der vier Stufen zu. Die meisten landen bei minimalem oder begrenztem Risiko. Nur wo es sensibel wird, lohnt ein genauerer Blick.
- Mitarbeiter schulen: Erfüllen Sie die KI-Kompetenz-Pflicht nach Artikel 4 durch eine strukturierte Schulung und dokumentieren Sie diese.
- Transparenz herstellen: Kennzeichnen Sie KI-Chatbots als solche und weisen Sie bei KI-generierten Inhalten (Texte, Bilder) darauf hin, wo es geboten ist.
- Interne KI-Richtlinie erstellen: Legen Sie schriftlich fest, welche Tools erlaubt sind, welche Daten eingegeben werden dürfen und wer Ergebnisse prüft.
- Dokumentation führen: Halten Sie fest, welche Systeme Sie nutzen, welche Einordnung sie haben und wann Sie geschult haben. Das schafft im Zweifel Nachweisbarkeit.
Häufige Irrtümer
Falsch. ChatGPT und vergleichbare Werkzeuge sind für die normale Nutzung völlig legal. Die Anbieterpflichten treffen den Hersteller, nicht Sie als Anwender. Sie müssen lediglich verantwortungsvoll damit umgehen und Ihr Team schulen.
Falsch. Die KI-Kompetenz-Pflicht nach Artikel 4 gilt unabhängig von der Unternehmensgröße. Auch ein Handwerksbetrieb oder eine kleine Kanzlei, die KI einsetzt, ist angesprochen. Der Aufwand ist für KMU aber gering.
Falsch. Die schweren Dokumentations- und Konformitätspflichten gelten für Hochrisiko-Anbieter. Als Anwender im Bereich minimales oder begrenztes Risiko genügen Schulung, Transparenz und eine schlanke interne Regelung.
Falsch. Die Verbote und die KI-Kompetenz-Pflicht gelten bereits seit Februar 2025. Die Hochrisiko-Pflichten wurden 2026 zwar weiter nach hinten verschoben (Ende 2027 beziehungsweise 2028) und betreffen vor allem spezielle Bereiche. Die KI-Kompetenz-Pflicht gilt aber schon heute. Wer KI nutzt, sollte die Schulung nicht aufschieben.
Fazit: Pragmatisch handeln statt in Panik verfallen
Der EU AI Act ist kein Grund, den KI-Einsatz zu stoppen oder in Angst zu verfallen. Für den typischen Mittelständler bedeutet er vor allem drei Dinge: die eigenen KI-Anwendungen kennen, das Team schulen und bei Chatbots und generierten Inhalten transparent sein. Das ist konkret, machbar und in überschaubarer Zeit umzusetzen.
Wer diese Grundlagen ordentlich aufsetzt, kann KI weiter selbstbewusst und rechtssicher nutzen, statt sich von Schlagzeilen verunsichern zu lassen. Behandeln Sie den AI Act wie eine strukturierte Aufgabe, nicht wie eine Bedrohung. Dann wird aus Unsicherheit schnell Klarheit.
KI rechtssicher einsetzen
Sie möchten KI im Betrieb nutzen, ohne bei der Compliance ins Straucheln zu geraten? Wir helfen Ihnen, Ihre Anwendungen einzuordnen, Ihr Team zu schulen und eine schlanke KI-Richtlinie aufzusetzen. Praxisnah, verständlich und auf den Mittelstand im Ruhrgebiet zugeschnitten.
Beratungsgespräch vereinbaren KI-Beratung Übersicht →