EU AI Act – Was Unternehmen jetzt wissen müssen

Risikoklassen für KI-Systeme im AI Act

Herzstück des AI Act ist die Risikoklassifizierung von KI-Systemen. Die Verordnung teilt KI-Anwendungen in vier Stufen ein, die jeweils unterschiedliche rechtliche Folgen haben:

1. Unannehmbares Risiko (verbotene KI-Praktiken):

Das Gesetz verbietet KI-Systeme, die so gefährlich oder ethisch bedenklich sind, dass ihr Einsatz nicht erlaubt ist. Beispiele sind etwa soziales Scoring (Bewertung von Personen durch KI anhand ihres Verhaltens) oder manipulative Techniken, die Menschen unterbewusst beeinflussen. Auch eine flächendeckende biometrische Echtzeit-Überwachung der Öffentlichkeit zählt dazu. Solche Anwendungen stellen eine untragbare Beeinträchtigung von Grundrechten dar und dürfen in der EU nicht betrieben werden. Für Unternehmen heißt das konkret: Derartige KI-Systeme gar nicht erst einsetzen oder entwickeln.

2. Hohes Risiko:

Diese Kategorie umfasst KI-Systeme, die ein erhebliches Risiko für die Sicherheit, Gesundheit oder Grundrechte von Menschen darstellen. Hierunter fallen z.B. KI-Anwendungen in kritischer Infrastruktur, im medizinischen Bereich, in der Personalentscheidung (Recruiting), im Bildungswesen (z.B. Prüfungsbewertung) oder bei Kreditwürdigkeitsprüfungen. Solche Hochrisiko-KI-Systeme sind erlaubt, unterliegen aber besonders strengen Auflagen. Anbieter dieser Systeme müssen vor dem Inverkehrbringen eine Konformitätsbewertung durchführen und eine EU-Konformitätserklärung ausstellen – ähnlich einer Zertifizierung, die bestätigt, dass das System den gesetzlichen Anforderungen entspricht. Zudem gelten umfangreiche Pflichten über den gesamten Lebenszyklus des Systems, auf die wir weiter unten eingehen. Für KMUs heißt das: Wenn Sie eine KI in diesen Bereichen entwickeln oder einsetzen, müssen Sie mit erhöhtem Aufwand für Compliance rechnen.

3. Begrenztes Risiko:

In diese Kategorie fallen KI-Systeme, die zwar kein hohes Schadenspotenzial haben, aber besondere Transparenzpflichten mit sich bringen. Typische Beispiele sind Chatbots oder KI-gestützte Bild-/Video-Generatoren (sogenannte Deepfakes). Diese Anwendungen dürfen frei genutzt werden, aber Nutzer müssen klar darauf hingewiesen werden, dass sie es mit einer KI zu tun haben. Das heißt z.B.: Ein Chatbot auf Ihrer Website sollte offenlegen, dass er KI-generiert ist, und bei KI-generierten Inhalten (Texte, Bilder) könnte ein Hinweis „Erstellt von KI“ erforderlich sein. Für Unternehmen ist diese Transparenz leicht umzusetzen – z.B. durch Pop-up-Hinweise oder Labels – und hilft, Vertrauen bei Kunden zu schaffen.

4. Minimales oder kein Risiko:

Dies umfasst alle KI-Systeme, die in keine der obigen Kategorien fallen. Dazu zählen die meisten alltäglichen KI-Anwendungen wie Spam-Filter, Empfehlungsalgorithmen oder Datenanalysen im Hintergrund. Für diese niedrigriskanten KI-Systeme schreibt der AI Act keine speziellen Auflagen vor. Unternehmen können solche KI frei einsetzen. Es wird lediglich angeregt, auf freiwilliger Basis Verhaltenskodizes für verantwortungsvolle KI-Nutzung zu entwickeln. Praktisch bedeutet das: Wenn Ihre KI-Anwendung keinem sensiblen Zweck dient und keine direkten Auswirkungen auf Menschenrechte oder Sicherheit hat, müssen Sie außer den üblichen guten Entwicklungspraktiken nichts Weiteres beachten.

Diese Einteilung soll sicherstellen, dass strenge Vorgaben wirklich nur bei erheblichem Risiko greifen und innovative KI-Lösungen nicht unnötig bürokratisch ausgebremst werden. Für KMUs ist es daher der erste wichtige Schritt, eigene KI-Anwendungen richtig einzuordnen: Welche Risikoklasse trifft zu? Davon hängen alle weiteren Pflichten ab.

Pflichten nach Risikoklasse: Was muss mein Unternehmen tun?

Je nach Risikoeinstufung Ihrer KI-Systeme ergeben sich unterschiedliche Compliance-Pflichten für Ihr Unternehmen. Hier sind die wichtigsten Anforderungen und wie Sie diese praktisch umsetzen können:

• Verbotene KI-Praktiken vermeiden: Stellen Sie sicher, dass Sie keine Anwendung einsetzen, die in die Kategorie „unannehmbares Risiko“ fällt. Sollte Ihr Vorhaben solche Funktionen beinhalten, müssen Sie es anpassen oder darauf verzichten – der Gesetzgeber lässt hier keinen Spielraum.
  Beispiel: Planen Sie ein Scoring-System für Kunden, das über rein sachliche Bonitätsprüfung hinaus persönlichen Verhaltenstracking nutzt (vergleichbar mit Social Scoring), wäre das unzulässig. Maßnahme: Prüfen Sie Ihre KI-Ideen frühzeitig juristisch, um verbotene Ansätze auszuschließen.
• Hochrisiko-KI-Systeme konform machen: Wenn Sie ein Hochrisiko-KI-System entwickeln oder einsetzen, haben Sie den größten Umsetzungsaufwand. Folgende Maßnahmen sind verpflichtend vorgesehen:
  • Risikomanagement etablieren: Entwickeln Sie ein Risikomanagement-System über den gesamten Lebenszyklus der KI. Das bedeutet, fortlaufend Risiken des KI-Einsatzes zu analysieren, zu minimieren und regelmäßig zu überprüfen. Praxis: Dokumentieren Sie mögliche Fehlerrisiken (z.B. falsche Entscheidungen der KI) und legen Sie Maßnahmen fest, wie diese verhindert oder aufgefangen werden (etwa durch menschliche Kontrolle).
  • Datenqualität sicherstellen: Nutzen Sie hochwertige, möglichst unverzerrte Datensätze für Training und Tests. Schlechte oder voreingenommene Daten können zu diskriminierenden oder fehlerhaften KI-Ergebnissen führen – das soll durch diese Pflicht vermieden werden. Praxis: Überprüfen Sie Ihre Trainingsdaten auf Bias und Vollständigkeit; halten Sie ggf. Gründe fest, warum bestimmte Daten genutzt wurden.
  • Technische Dokumentation erstellen: Sie müssen umfangreiche technische Unterlagen führen. Darin beschreiben Sie das KI-System, seinen Zweck, Funktionsweise, die getroffenen Sicherheits- und Qualitätsmaßnahmen, Testergebnisse etc. Diese Dokumentation muss bei einer Prüfung durch Behörden vorgelegt werden können. Praxis: Erstellen Sie früh ein Dokumentationsschema und aktualisieren Sie es bei jeder wesentlichen Änderung am System.
  • Logging & Nachvollziehbarkeit: Das System sollte wichtige Ereignisse und Entscheidungen protokollieren (Log-Dateien). So kann im Nachhinein nachvollzogen werden, wie ein bestimmtes Ergebnis zustande kam. Praxis: Implementieren Sie z.B. Logs für Benutzerabfragen und KI-Antworten oder Entscheidungen, und bewahren Sie diese Daten sicher auf.
  • Konformitätsbewertung und CE-Kennzeichnung: Vor dem Inverkehrbringen eines Hochrisiko-Systems ist eine Konformitätsbewertung Pflicht. In vielen Fällen kann der Anbieter diese Überprüfung selbst durchführen (Selbstbewertung anhand der Kriterien der Verordnung), teils ist aber eine notifizierte Stelle (Prüfstelle) einzubeziehen. Ist die Prüfung bestanden, stellen Sie eine EU-Konformitätserklärung aus und bringen die CE-Kennzeichnung am Produkt an. Praxis: Machen Sie sich früh mit den konkreten Kriterien (in den Anhängen der Verordnung) vertraut oder ziehen Sie einen Zertifizierungsexperten hinzu. Planen Sie genügend Zeit dafür ein, da ohne CE-Zeichen das Produkt nicht auf den EU-Markt darf.
  • Registereintrag: Bestimmte Hochrisiko-KI (die nicht in ein bestehendes, CE-gekennzeichnetes Endprodukt eingebettet sind) müssen in eine EU-Datenbank eingetragen werden. Dadurch sollen Behörden einen Überblick über solche Systeme haben.
  • Laufende Überwachung und Meldung: Betreiber von Hochrisiko-KI müssen die Nutzung beaufsichtigen und schwerwiegende Vorfälle oder Fehlfunktionen den Behörden melden. Praxis: Richten Sie ein internes Monitoring ein – z.B. regelmäßige Überprüfung der KI-Entscheidungen durch fachkundige Mitarbeiter – und definieren Sie einen Prozess zur Meldung an die Aufsichtsbehörde, falls die KI z.B. einen sicherheitsrelevanten Fehler begeht (Meldepflicht bei schwerwiegenden Vorfällen).
  • Qualitätsmanagement: Implementieren Sie ein internes Qualitätsmanagement-System für die KI-Entwicklung. Das geht Hand in Hand mit Risikomanagement und umfasst klare Verantwortlichkeiten, regelmäßige Auditierungen und stetige Verbesserung. Für KMUs mag dies zunächst viel klingen – aber es kann oft auf vorhandenen Prozessen (wie ISO-Zertifizierungen, falls vorhanden) aufbauen.

Hinweis: Diese Pflichten wirken umfangreich, doch der Gesetzgeber plant Erleichterungen für KMUs: Es soll vereinfachte Konformitätsbewertungsverfahren und standardisierte Dokumentationsvorlagen geben, zudem sollen die Gebühren für Prüfungen für kleinere Firmen geringer ausfallen. Nutzen Sie solche Unterstützungsangebote, um den Aufwand zu bewältigen.

• Transparenz bei begrenztem Risiko erfüllen: Setzt Ihr Unternehmen KI-Systeme ein, die unter begrenztes Risiko fallen (z.B. ein Chatbot auf Ihrer Website, ein Kundenservice-Bot oder ein Tool zur Emotionserkennung), dann müssen Sie vor allem darauf achten, die Nutzer zu informieren. Maßnahme: Bringen Sie gut sichtbare Hinweise an, z.B. „Dieses Gespräch wird von einem KI-System geführt“ oder kennzeichnen Sie AI-generierte Inhalte deutlich. Schulen Sie auch Ihr Kundenservice-Team, damit es Nachfragen der Nutzer hierzu beantworten kann. Die Transparenzpflicht ist kein großer Aufwand, aber essenziell für das Vertrauen: Nutzer sollen wissen, wenn nicht ein Mensch, sondern eine Maschine agiert.
• Mitarbeiter schulen (KI-Kompetenz): Neu im AI Act ist auch eine allgemeine Verpflichtung für Unternehmen, KI-Kompetenzen im Team aufzubauen. Laut Artikel 4 der Verordnung müssen Firmen sicherstellen, dass Mitarbeiter, die KI-Systeme entwickeln, bedienen oder in Entscheidungen einbeziehen, ausreichend geschult sind. Das umfasst technische Kenntnisse (Funktionsweise der KI, Verständnis der Outputs) ebenso wie Bewusstsein für Risiken, ethische und rechtliche Aspekte der KI-Nutzung. Praxis: KMUs sollten frühzeitig Fortbildungsmaßnahmen anbieten. Das kann interne Workshops bedeuten oder externe Schulungen, damit alle Beteiligten wissen, wie das KI-System richtig zu handhaben ist, welche Grenzen es hat und wie man Probleme erkennt. Dokumentieren Sie solche Schulungen, um im Zweifel nachweisen zu können, dass Sie die Vorgabe erfüllt haben.
  Die Schulungen werden auch von der Kanzlei Vorort oder Remote angeboten: weitere Informationen: Schulung zum Thema KI und Urheberrecht
• Datenschutz und bestehende Gesetze beachten: Der AI Act ergänzt bestehende Regeln, er ersetzt sie nicht. Wenn Ihre KI personenbezogene Daten verarbeitet, müssen Sie weiterhin die Datenschutz-Grundverordnung (DSGVO) einhalten (z.B. Rechtsgrundlage, Transparenz und ggf. Datenschutz-Folgenabschätzung sicherstellen). Auch Haftungsfragen sind von der KI-Verordnung separat geregelt – Schäden durch KI fallen unter die normalen Haftungsregeln, es sei denn, künftige KI-Haftungsgesetze ändern dies. Für KMUs heißt das: AI Act-Compliance schützt Sie vor EU-Bußgeldern nach dieser Verordnung, aber Datenschutz oder Produktsicherheitsgesetze bleiben parallel relevant.

Praktische Tipps und Unterstützung für KMUs

Die Umsetzung des AI Act mag komplex wirken, doch es gibt Hilfestellungen – speziell auch für kleinere Unternehmen:

• Frühzeitige Analyse: Verschaffen Sie sich einen Überblick, wo und wie in Ihrem Betrieb KI zum Einsatz kommt oder geplant ist. Machen Sie eine KI-Inventur. Für jedes identifizierte KI-System klären Sie: Welchem Zweck dient es, und fällt es in eine Risikoklasse des AI Act? (Zur Orientierung dienen die obigen Kategorien.) Nur mit dieser Klarheit können Sie die richtigen Schritte einleiten.
• Compliance-Plan aufstellen: Für alle KI-Anwendungen mit Pflichten (sei es Hochrisiko oder begrenztes Risiko) erstellen Sie einen Maßnahmenplan. Priorisieren Sie Hochrisiko-Systeme, da dort der Aufwand am größten ist. Planen Sie z.B. die Erstellung der Dokumentation, technische Anpassungen für Logging, Einrichtung eines Risk-Management-Prozesses und Schulungen ein, und benennen Sie Verantwortliche im Team.
• Regulatorische Sandkästen nutzen: Die EU-Mitgliedstaaten richten regulatorische KI-Sandboxes ein, in denen Unternehmen neue KI-Lösungen zeitweise unter Aufsicht testen dürfen. KMUs haben priorisierten und kostenlosen Zugang zu diesen Sandkästen. Das bietet die Chance, innovative KI-Anwendungen auszuprobieren, Feedback von Regulierern zu erhalten und die Compliance-Anforderungen im geschützten Rahmen zu erfüllen – ohne gleich Sanktionen befürchten zu müssen. Tipp: Informieren Sie sich bei Ihrer nationalen Aufsichtsbehörde oder Wirtschaftsförderung, ob solche Sandboxes bereits verfügbar sind, und nehmen Sie diese Gelegenheit wahr, um Ihre KI-Lösung „fit“ für den Markt zu machen.
• Vereinfachte Vorlagen und Anleitungen verwenden: Die EU-Kommission arbeitet an vereinfachten Dokumentationsvorlagen speziell für KMUs, die von Aufsichtsbehörden anerkannt werden. Halten Sie Ausschau nach diesen offiziellen Templates, um z.B. die technische Dokumentation oder Risikoanalyse effizienter zu erstellen.
• Austausch suchen: KMUs sind nicht alleine mit dieser Herausforderung. Treten Sie Netzwerken oder Initiativen bei, in denen Erfahrungen zum AI Act geteilt werden (z.B. Webinare Ihrer IHK, Fachkonferenzen oder Online-Communities). Oft lassen sich dort praxisnahe Lösungen und Best Practices für typische KMU-Probleme (begrenzte Ressourcen, Know-how) finden.
• Zeitplan beachten: Der AI Act tritt mit Übergangsfristen in Kraft. Einige Regelungen gelten bereits seit Anfang 2025 – z.B. das Verbot unannehmbarer KI-Praktiken und die Pflicht, KI-Kompetenzen zu vermitteln. Die meisten strengen Pflichten (insb. für Hochrisiko-KI) werden ab August 2026 verbindlich. Nutzen Sie diese Übergangszeit, um notwendige Änderungen umzusetzen. Warten Sie nicht bis 2026 – ein Hochrisiko-KI-System braucht vermutlich Monate der Vorbereitung, um alle Anforderungen zu erfüllen. Außerdem zeigen Sie so im Falle einer Prüfung, dass Sie sich proaktiv um Compliance bemühen.
• Sanktionen ernst nehmen: Bei Verstößen gegen den AI Act drohen erhebliche Bußgelder – bis zu 30 Mio. Euro oder 6 % des weltweiten Jahresumsatzes des Unternehmens. Auch wenn diese Höchststrafen wohl nur in außergewöhnlichen Fällen verhängt werden, sollte man sie als Hinweis auf die Ernsthaftigkeit der Regulierung verstehen. Für KMUs heißt das: Selbst wenn Ihr Umsatz kleiner ist, Verstöße können empfindliche Strafen oder Auflagen nach sich ziehen. Durch sorgfältige Befolgung der obigen Schritte minimieren Sie dieses Risiko.

Fazit

Der EU AI Act bringt neue Regeln für den Einsatz Künstlicher Intelligenz – auch und gerade für KMUs. Die gute Nachricht: Nicht jede KI ist betroffen. Viele Anwendungen im Unternehmensalltag bleiben ohne zusätzliche Auflagen, und wo Pflichten gelten (Transparenz oder umfangreiche Sicherheitsmaßnahmen), sind sie machbar, vor allem mit den unterstützenden Maßnahmen, die die EU bereitstellt.

Wichtig ist, dass KMUs sich frühzeitig mit dem Gesetz vertraut machen, Risiken ihrer KI-Projekte realistisch einschätzen und die nötigen Vorkehrungen treffen. Mit einem grundsätzlichen Verständnis der Risikoklassen und einer pragmatischen Herangehensweise an die Compliance (Schritt-für-Schritt Maßnahmen, Nutzung von Hilfsangeboten) lässt sich der AI Act bewältigen – und Ihr Unternehmen kann KI-Technologie weiterhin innovativ und verantwortungsvoll nutzen. So eröffnen die neuen Regeln nicht nur Herausforderungen, sondern schaffen auch Vertrauen bei Kunden und Partnern, dass KI „Made in EU“ hohen Qualitäts- und Ethikstandards entspricht.

Indem Sie jetzt handeln, machen Sie Ihr Unternehmen zukunftssicher für das Zeitalter der Künstlichen Intelligenz.