EU AI Act – was jetzt rechtlich auf KMU zukommt

Ein neues Software-Update erscheint, eine KI-Funktion wird freigeschaltet – und plötzlich nutzt das Unternehmen Künstliche Intelligenz. Nicht als Projekt, sondern im Alltag: beim Schreiben von Angeboten, im Support-Chat, in der Auswertung von Kundendaten. Was praktisch klingt, hat inzwischen eine rechtliche Dimension. Denn mit dem Inkrafttreten der EU-Verordnung zu KI Nutzung (EU AI Act) gilt in Europa erstmals ein verbindlicher Rechtsrahmen für den Einsatz von KI.

Für viele Mittelständler ist das Neuland. Sie entwickeln keine eigenen KI-Tools, sondern setzen Standardsoftware ein – und genau deshalb sind sie betroffen. Der EU AI Act unterscheidet nicht zwischen Entwicklern und Anwendern. Entscheidend ist allein, ob KI im Betrieb eingesetzt wird – und das ist heute fast überall der Fall. Der Artikel zeigt auf, das der EU AI Act für kleine und mittelständische Unternehmen bedeutet.

Am 1. August 2024 ist der EU AI Act in Kraft getreten - offiziell: Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz. Das Ziel des EU AI Act ist klar umrissen: Innovation ermöglichen, Risiken begrenzen und Vertrauen schaffen. Er richtet sich an alle, die KI entwickeln, einsetzen oder weitergeben – und damit auch an KMU, die KI ganz selbstverständlich in ihren Alltagsprozessen nutzen.

Kern des Gesetzes sind drei Grundprinzipien: Transparenz, Risikomanagement und Nachvollziehbarkeit. Unternehmen müssen offenlegen, wenn Künstliche Intelligenz im Spiel ist. Sie müssen Risiken erkennen und angemessen steuern. Und sie müssen in der Lage sein, Entscheidungen, die durch KI beeinflusst wurden, zu dokumentieren und zu erklären. Das ist kein Selbstzweck. Diese drei Elemente des EU AI Act bilden die Grundlage, damit Künstliche Intelligenz verlässlich, verantwortungsvoll und rechtssicher genutzt werden kann – ohne die unternehmerische Gestaltungsfreiheit zu blockieren.

Herzstück des EU AI Act ist die Einteilung von KI-Systemen in Risikoklassen. Die Risikoklasse entscheidet darüber, welche Pflichten gelten.

• Verbotene KI: Systeme, die Menschen manipulieren oder grundlegend diskriminieren (z.B. Social Scoring, verdeckte Emotionserkennung im Arbeitskontext).
• Hochrisiko-KI: Systeme, die wesentliche Lebensbereiche betreffen – etwa Bildung, Personal, Justiz, Kreditvergabe oder Gesundheitswesen.
• Begrenztes Risiko: Systeme mit potenziellen Risiken, die aber durch Transparenzpflichten ausreichend abgesichert werden können (z.B. KI-Chatbots).
• Minimales Risiko: Systeme mit sehr geringem Risiko, z.B. automatische Sortierfunktionen, Spamfilter, KI-Vorschläge in Texteditoren.

Für KMU sind in der Praxis meist zwei Ebenen relevant: Begrenztes Risiko und Hochrisiko-KI. Ein Chatbot auf der Website, ein Copilot in der Bürosoftware oder ein KI-gestütztes Assistenzsystem kann bereits rechtliche Anforderungen auslösen. Entscheidend ist nicht, ob ein Unternehmen Künstliche Intelligenz selbst entwickelt – sondern ob KI in den betrieblichen Prozessen eine Rolle spielt. Und das tut sie inzwischen fast überall.

Der EU AI Act ist bereits in Kraft. Seine Vorgaben werden aber schrittweise in den nächsten Jahren verbindlich werden. Das verschafft Unternehmen Zeit, sich vorzubereiten – aber es ist keine Ausrede, untätig zu bleiben.

• 1. August 2024: Inkrafttreten, die Übergangszeit beginnt.
• 2. Februar 2025: Verbot illegaler KI + Pflicht zur Schulung (AI Literacy).
• 2. August 2025: Transparenzpflichten für generative KI, Sanktionen greifen erstmals.
• 2. August 2026: Vollanwendung des Gesetzes, Vorgaben für Hochrisiko-KI gelten verbindlich.
• 2. August 2027: Ende der Übergangsfrist.

2026 ist also kein „Beobachtungsjahr“. Es ist das Jahr, in dem Unternehmen ihre Strukturen anpassen müssen: Überblick schaffen, Verantwortlichkeiten klären, Schulungen starten, Dokumentation aufsetzen. Wer das frühzeitig tut, kann Anforderungen mit ruhiger Hand in die laufenden Prozesse integrieren. Wer abwartet, wird später unter Druck handeln müssen.

Die Umsetzung des EU AI Act findet nicht nur in Brüssel statt. Sie wird national überwacht und durchgesetzt. Die nationale Umsetzung befindet sich allerdings noch in der Entwicklung. Laut aktuellem Referentenentwurf des Bundesministerium für Digitales und Staatsmodernisierung soll die zentrale Zuständigkeit in Deutschland bei der Bundesnetzagentur (BNetzA) liegen, die mit der KoKIVO eine nationale Koordinierungsstelle für KI-Überwachung aufbaut. Daneben spielen sektorale Aufsichten, etwa BaFin, eine wichtige Rolle. Der Referentenentwurf ist beigefügt zum Download verfügbar.

Für Unternehmen bedeutet das: Die Anforderungen werden in Deutschland geprüft und durchgesetzt, nicht in ferner Zukunft, sondern mit konkreten Ansprechpartnern und Verfahren. Auch wenn sich Details des nationalen Rahmens noch in der Ausgestaltung befinden, ist die Richtung eindeutig. Das Zeitfenster für proaktives Handeln ist jetzt.

Ein mittelständischer Dienstleister hatte bereits an mehreren Stellen Künstliche Intelligenz im Einsatz – ohne dass es jemand so genannt hätte. Ein Chatbot beantwortete Kundenfragen, ein Copilot half beim Schreiben von Angeboten und internen Berichten. Alles funktionierte reibungslos – bis die Geschäftsführung im Sommer 2024 vom EU AI Act hörte und sich fragte: „Betrifft uns das überhaupt?“

Eine kurze interne Prüfung brachte Überraschendes ans Licht: Der Chatbot fiel unter die neuen Transparenzpflichten, weil er direkt mit Kunden interagierte. Und der Copilot verarbeitete teilweise sensible Kundendaten – ein klarer Fall für interne Freigaberegeln und Mitarbeiterschulung.

Statt ein großes Projekt aufzusetzen, entschied sich das Unternehmen für einen pragmatischen Weg:

• In einem Workshop wurde erhoben, wo KI bereits genutzt wird.
• Anschließend wurde ein einfacher Freigabeprozess eingeführt – fünf Fragen, eine Unterschrift, fertig.
• Zum Schluss erhielten alle Mitarbeitenden eine kurze Schulung, was bei der Nutzung von KI erlaubt ist und was nicht.

Nach drei Wochen stand das Ergebnis: Kein Bürokratiemonster, kein IT-Großprojekt – aber klare Zuständigkeiten und Transparenz. Die Geschäftsführung wusste, wo Künstliche Intelligenz im Einsatz ist, und konnte nachweisen, dass sie die gesetzlichen Vorgaben erfüllt.

Das Ergebnis: Sicherheit ohne Aufwand – und Führung mit System.

Der EU AI Act richtet sich nicht an die IT-Abteilung. Er adressiert die Unternehmensführung. KMU können sich systematisch vorbereiten, ohne riesige Compliance-Apparate aufzubauen. Entscheidend ist, den Überblick zu gewinnen und Verantwortung zu klären, bevor externe Aufsichten dies einfordern.

Empfohlen sind insbesondere fünf Schritte:

1. Bestandsaufnahme: Welche KI-Systeme sind im Einsatz, wo werden Daten verarbeitet, wer nutzt sie?
2. Risikoklassen prüfen: Handelt es sich bei den genutzten Tools um verbotene, hochriskante oder begrenzt risikobehaftete Systeme?
3. Verantwortlichkeiten definieren: Wer entscheidet, wer dokumentiert, wer überwacht?
4. Schulungen starten: Ab Februar 2025 gesetzlich verpflichtend.
5. Nachvollziehbarkeit sichern: Dokumentation, Freigaben, strukturierte Prozesse.

Das ist kein Formalismus, sondern Führungsarbeit. Wer diese Schritte früh geht, schafft klare Linien – und verschafft sich zugleich rechtliche Sicherheit und Handlungsspielraum.

Der Artikel zeigt: Der EU AI Act ist kein fernes Regulierungsthema, sondern bereits ein heute geltendes Gesetz in Bezug auf Künstliche Intelligenz - mit ganz klaren Pflichten. Und er ist ein Führungsthema, das tief in die Steuerung mittelständischer Unternehmen eingreift. Er verändert, wie Organisationen über Verantwortung, Transparenz und Risiko von KI sprechen müssen.

Frühzeitig zu handeln ist strategisch klüger, wirtschaftlich günstiger und rechtlich sicherer.

Die beigefügten Materialien ergänzen diesen Artikel und sollen Führungskräften einen schnellen Überblick zu den wichtigsten Fakten des EU AI Act geben:

• KI-Dossier „Der EU AI Act – Grundlagen“: Liefert einen klar gegliederten Überblick über Geltungsbereich, Risikoklassen, Umsetzungsfristen und Aufsichtsstrukturen des EU AI Act.
• KI-Dossier „Der EU AI Act – Konkrete Pflichten“: Übersetzt die gesetzlichen Anforderungen in praktische Schritte. Enthält Hinweise zu Schulungspflichten, Transparenzanforderungen, Verantwortlichkeiten und internen Prozessen.
• Originaltext (Deutsch) des EU AI Act (EU-Verordnung 2024/1689): Die konsolidierte Fassung der Verordnungstexte in deutscher Sprache.
• Referentenentwurf „Umsetzung des EU AI Act in Deutschland“: Offizieller Entwurf des Bundesministerium für Digitales und Staatsmodernisierung. Er beschreibt die geplante nationale Umsetzung, Zuständigkeiten und Aufsichtsstrukturen.
• Hinweispapier “KI-Kompetenzen nach Artikel 4 KI-Verordnung” der Bundesnetzagentur: Offizielle Informationen, welche Anforderungen in Bezug auf die Pflichtschulungen nach dem EU AI Act bestehen.

Wenn Sie zum Thema Fragen haben oder vertieftere Informationen erhalten möchten, melden Sie sich bitte bei der Autorin unter den angegebenen Kontaktdaten.

1. KI als Wettbewerbsfaktor – Geschäftsmodelle neu denken
   Jetzt lesen

2. KI strategisch führen – nicht einfach nur nutzen
   Jetzt lesen

3. Künstliche Intelligenz im KMU-Alltag – Regeln statt Zufall
   Jetzt lesen