Der EU-Act betrifft nicht nur Konzerne. Warum KMU jetzt handeln sollte.
Der EU AI Act ist keine Regulierung ausschließlich für Großkonzerne. Er betrifft jedes Unternehmen, das KI in relevanten Geschäftsprozessen entwickelt oder einsetzt – auch den deutschen Mittelstand. Wer heute beginnt, Governance-Strukturen aufzubauen, Verantwortlichkeiten zu definieren und Mitarbeitende zu qualifizieren, reduziert nicht nur regulatorische Risiken. Er schafft auch die Grundlage für einen sicheren, vertrauenswürdigen und nachhaltigen Einsatz von Künstlicher Intelligenz.
KI-Compliance sollte deshalb nicht als Pflichtübung verstanden werden, sondern als Wettbewerbsvorteil. Unternehmen, die Transparenz, Verantwortlichkeit und Governance frühzeitig etablieren, schaffen Vertrauen – bei Kunden, Mitarbeitenden und Aufsichtsbehörden gleichermaßen.
„Wir sind zu klein, das betrifft uns nicht.“
Viele kleine und mittelständische Unternehmen (KMU) gehen davon aus, dass die neue KI-Verordnung vor allem große TECH-Konzerne betrifft. Das ist allerdings ein Irrtum. Der EU AI Act knüpft seine Anforderungen nicht an die Unternehmensgröße, sondern daran, wie Künstliche Intelligenz eingesetzt wird. Wer KI-Systeme entwickelt, bereitstellt oder im Unternehmen einsetzt, kann unter die Verordnung fallen, unabhängig davon, ob es sich um einen internationalen Konzern oder ein mittelständisches Unternehmen handelt. Gerade deshalb sollten KMU jetzt prüfen, welche KI-Anwendungen bereits heute im Einsatz sind und welche regulatorischen Anforderungen sich daraus ergeben.
Der EU AI Act, ein kurzer Überblick
Der EU AI Act ist die weltweit erste umfassende Regulierung für den Einsatz von Künstlicher Intelligenz. Die Verordnung ist am 1. August 2024 in Kraft getreten und wird schrittweise angewendet.
Bereits in Kraft
Seit dem 2. Februar 2025 gelten insbesondere:
- Verbot bestimmter KI-Praktiken
- Verpflichtung zur AI Literacy (KI-Kompetenz) für Unternehmen, die KI einsetzen
- Seit August 2025 gelten zusätzliche Anforderungen für General-Purpose AI (GPAI)-Modelle.
Weitere Meilensteine
Ab August 2026 greifen die wesentlichen Anforderungen für Hochrisiko-KI-Systeme. Unternehmen müssen dann umfangreiche Governance-, Dokumentations- und Compliance-Pflichten erfüllen.
Aktuelle Entwicklung
Parallel wird auf EU-Ebene im Rahmen des AI Omnibus über Anpassungen einzelner Fristen diskutiert. Einige Anforderungen für Hochrisiko-KI-Systeme könnten sich dadurch zeitlich verschieben.
Meine Empfehlung: Unternehmen sollten die regulatorischen Entwicklungen aufmerksam verfolgen – die Vorbereitung auf den EU AI Act jedoch bereits heute konsequent vorantreiben.
Wann gilt eine KI als Hochrisiko-System?
Nicht jede KI-Anwendung fällt automatisch unter die strengsten Vorgaben des EU AI Act. Als Hochrisiko-KI gelten unter anderem Systeme in Bereichen wie:
- Personalgewinnung und Bewerberauswahl
- Leistungs- und Verhaltensbewertung von Mitarbeitenden
- Kreditwürdigkeitsprüfung
- Bonitäts- und Kundenscoring
- Bildung und Prüfungsbewertungen
- Kritische Infrastrukturen
- Medizinprodukte und bestimmte sicherheitsrelevante Anwendungen
Gerade im Mittelstand kommen viele dieser Einsatzgebiete bereits heute zum Einsatz – beispielsweise bei digitalen Bewerbungsprozessen oder automatisierten Kreditentscheidungen.
Welche Anforderungen kommen auf Unternehmen zu?
Wer ein Hochrisiko-KI-System entwickelt oder betreibt, muss deutlich höhere Anforderungen erfüllen als bei gewöhnlichen KI-Anwendungen. Dazu gehören insbesondere:
- Risikomanagement: Unternehmen müssen Risiken systematisch identifizieren, bewerten und kontinuierlich überwachen.
- Technische Dokumentation: Die Funktionsweise der KI muss nachvollziehbar dokumentiert werden. Entscheidungen dürfen keine „Black Box“ sein.
- Transparenz: Betroffene Personen müssen nachvollziehen können, wann und wie KI eingesetzt wird.
- Human Oversight: Ein zentrales Prinzip des EU AI Act ist die menschliche Aufsicht. Kritische Entscheidungen dürfen nicht vollständig automatisiert erfolgen. Menschen müssen Ergebnisse überprüfen und bei Bedarf eingreifen können.
- Datenqualität: Die verwendeten Trainings- und Testdaten müssen geeignet sein, um Verzerrungen (Bias) und Diskriminierung möglichst zu vermeiden.
- Protokollierung: Unternehmen müssen nachvollziehen können, wie ein KI-System zu seinen Ergebnissen gelangt ist und wie es genutzt wurde.
Diese Anforderungen zeigen deutlich: Der EU AI Act ist nicht nur ein IT-Thema. Er betrifft Governance, Compliance, Datenschutz, Fachbereiche und das Management gleichermaßen.
AI Literacy: Eine oft unterschätzte Pflicht
Viele Unternehmen konzentrieren sich auf technische Anforderungen und übersehen dabei eine Verpflichtung, die bereits heute gilt.
Der EU AI Act verlangt von Unternehmen, Maßnahmen zur AI Literacy umzusetzen. Das bedeutet, Mitarbeitende müssen über ausreichende Kenntnisse verfügen, um KI verantwortungsvoll einzusetzen.
Dazu gehören beispielsweise:
- Verständnis für Chancen und Risiken von KI,
- Kenntnisse über Datenschutz und Informationssicherheit,
- der richtige Umgang mit generativer KI,
- sowie das Erkennen fehlerhafter oder verzerrter Ergebnisse.
Schulungen sind deshalb nicht nur eine gute Idee, sie sind ein wesentlicher Bestandteil einer wirksamen KI-Governance.
Warum gerade KMU betroffen sind
Viele mittelständische Unternehmen setzen bereits KI ein, ohne dies bewusst als regulierte KI-Anwendung wahrzunehmen. Typische Beispiele sind:
- automatische Bewerbervorauswahl
- KI-gestützte Bonitätsprüfungen
- Kundenbewertung und Scoring
- intelligente Preisempfehlungen
- automatisierte Entscheidungsunterstützung
- generative KI im Kundenservice
Oft stammen diese Lösungen von Softwareanbietern und sind bereits in bestehende Systeme integriert. Das entbindet Unternehmen jedoch nicht von ihrer Verantwortung. Auch wer KI "nur" nutzt, kann je nach Rolle im Sinne des EU AI Act als Betreiber (Deployer) Pflichten erfüllen müssen.
Verstöße können teuer werden, finanziell und reputativ.
Der EU AI Act sieht empfindliche Sanktionen vor. Je nach Art des Verstoßes können Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes sowie – bei besonders schwerwiegenden Verstößen – sogar bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes verhängt werden. Maßgeblich ist jeweils der höhere Betrag. Mindestens ebenso kritisch ist jedoch das Reputationsrisiko.
Wenn KI zu diskriminierenden Personalentscheidungen, fehlerhaften Kreditbewertungen oder intransparenten Kundenentscheidungen führt, leidet nicht nur die Compliance – sondern vor allem das Vertrauen von Kunden, Mitarbeitenden und Geschäftspartnern.
Vertrauen lässt sich deutlich schwerer wiederherstellen als ein Bußgeld bezahlen.
Governance statt Aktionismus
Der EU AI Act macht deutlich, dass KI künftig wie jede andere geschäftskritische Technologie gesteuert werden muss. Unternehmen sollten deshalb frühzeitig:
- eine KI-Strategie entwickeln,
- Verantwortlichkeiten festlegen,
- ein KI-Register führen,
- KI-Risiken bewerten,
- interne Richtlinien erstellen,
- Mitarbeitende schulen,
- und Governance-Prozesse etablieren.
Besonders bewährt hat sich eine zentrale Koordination, beispielsweise durch ein Chief Digital Office, ein AI Governance Board oder eine vergleichbare Governance-Funktion. Fachabteilungen treiben zwar die fachlichen Anwendungsfälle voran, doch Standards, Compliance und Risikomanagement sollten unternehmensweit einheitlich gesteuert werden.
--
Über kimaco
kimaco begleitet KMU dabei, KI strukturiert und sicher einzuführen – mit klaren Prozessen, echtem Mitarbeiter-Enablement und einem Governance-Rahmen, der zu Ihrem Unternehmen passt. Nehmen sie gerne Kontakt auf 👉 Jetzt KI Governance aufbauen

