EU AI Act: Was KMU jetzt über KI-Verbote und neue Regeln wissen müssen
Die Europäische Union reguliert Künstliche Intelligenz – und zwar weltweit als erstes Gesetz dieser Art. Doch während die großen Konzerne Rechtsabteilungen und Compliance-Teams beschäftigen, stehen viele kleine und mittlere Unternehmen vor der Frage: Was bedeutet das konkret für uns? Ein Überblick über aktuelle Entwicklungen und was KMU jetzt beachten sollten.
Was ist der EU AI Act überhaupt?
Am 21. Mai 2024 haben die 27 EU-Mitgliedstaaten das weltweit erste umfassende Gesetz zur Regulierung von KI verabschiedet. Der sogenannte AI Act verfolgt einen risikobasierten Ansatz: Je gefährlicher eine KI-Anwendung eingeschätzt wird, desto strenger sind die Vorgaben.
Das Gesetz unterscheidet vier Risikostufen:
- Inakzeptables Risiko: Komplett verboten. Dazu gehören KI-Systeme zur gezielten Verhaltensmanipulation, Social Scoring oder die biometrische Echtzeitüberwachung im öffentlichen Raum.
- Hohes Risiko: Strikte Auflagen. Dazu zählen KI-gestützte Bewerbungsverfahren, KI in Medizinprodukten oder Systeme, die über Kreditwürdigkeit entscheiden.
- Begrenztes Risiko: Transparenzpflichten. Chatbots müssen etwa kennzeichnen, dass sie KI sind.
- Minimales Risiko: Keine besonderen Regelungen.
Neue Verbote: Deepfakes und manipulative KI
Die aktuellste Entwicklung betrifft ein neues Verbot von KI-Anwendungen, mit denen sexualisierte Bilder ohne Einwilligung der abgebildeten Personen erstellt werden können. Auslöser war der sogenannte Grok-Skandal Anfang 2026: Über den Chatbot von Elon Musks Plattform X wurden innerhalb von elf Tagen rund drei Millionen KI-generierte Bilder erstellt und verbreitet – viele davon sexualisierte Darstellungen von Frauen, teils auch von Kindern.
Die EU-Länder reagierten schnell und einigten sich auf ein entsprechendes Verbot. Auch das EU-Parlament berät derzeit über eine Verschärfung des Gesetzes. Für KMU, die KI-Tools einsetzen, ist das ein klares Signal: Wer Anbieter auswählt, sollte prüfen, ob die eingesetzten Systeme EU-konform sind.
Zeitplan verschoben: Was wann gilt
Ursprünglich sollten die strengeren Regeln für besonders risikoreiche KI-Systeme ab August 2026 gelten. Die Mitgliedstaaten haben diesen Zeitplan nun verschoben:
- Dezember 2027: Für eigenständige risikoreiche KI-Systeme (z. B. KI-gestützte Recruiting-Tools)
- August 2028: Für in Produkte integrierte risikoreiche KI-Systeme (z. B. KI in Medizinprodukten)
Die Verschiebung gibt Unternehmen mehr Zeit für die Umsetzung. Für KMU ist das eine Entlastung – allerdings kein Grund, sich zurückzulehnen. Denn die Anforderungen sind komplex und die Vorbereitung braucht Zeit.
Wer muss was wann umsetzen?
Der AI Act unterscheidet nicht nur nach Risikostufen, sondern auch nach Rolle am Markt. Hersteller von KI-Systemen tragen die Hauptlast der Compliance-Nachweise. Aber auch Unternehmen, die KI-Systeme einsetzen – also die meisten KMU – haben Pflichten. Sie müssen sicherstellen, dass die von ihnen genutzten KI-Systeme korrekt betrieben werden und die vorgeschriebenen Transparenzregeln eingehalten werden.
Besonders relevant für den Mittelstand: Sobald ein Unternehmen eine Hochrisiko-KI einsetzt – etwa ein Recruiting-Tool, das Bewerbungsunterlagen automatisch filtert –, ist es verpflichtet, das System vor der Nutzung zu registrieren, regelmäßige Risikobewertungen durchzuführen und Menschen in die Entscheidungsschleife einzubauen. Vollautomatisierte Ablehnungen ohne menschliche Prüfung sind nicht erlaubt.
Beispiele aus der Praxis
Nehmen wir ein kleines Logistikunternehmen mit 50 Mitarbeitern, das ein KI-basiertes System für die Tourenplanung nutzt. Solange das System nur optimiert und keine rechtlich relevanten Entscheidungen trifft, fällt es in die Kategorie „minimales Risiko“ – keine besonderen Pflichten.
Sobald das gleiche Unternehmen allerdings ein KI-Tool einsetzt, das Mitarbeiterleistung bewertet und auf dieser Grundlage Einstellungs- oder Kündigungsentscheidungen unterstützt, landet man schnell im Bereich „hohes Risiko“. Dann gelten Transparenz-, Dokumentations- und Prüfpflichten.
Oder ein Online-Shop, der KI-generierte Produktbeschreibungen veröffentlicht: Hier reicht eine Kennzeichnung als KI-Inhalt. Kein Drama – aber eben Pflicht.
Checkliste: So bereiten KMU sich vor
Auch wenn die strengsten Regeln erst 2027 gelten, lohnt es sich jetzt aktiv zu werden:
- KI-Inventar erstellen: Welche KI-Tools laufen im Unternehmen? Wer nutzt sie wofür?
- Risikoklassifizierung: Fällt Ihr Einsatz unter „hochriskant“? Im Zweifel Hersteller oder Berater fragen.
- Transparenzpflichten umsetzen: Chatbots, KI-generierte Inhalte – alles klar kennzeichnen.
- Verträge prüfen: Regelungen zu Haftung und Compliance in Anbieterverträgen verankern.
- Mitarbeiter schulen: Klare Richtlinien für die KI-Nutzung im Arbeitsalltag definieren.
- Dokumentation pflegen: Nachweise über Risikobewertungen und Maßnahmen bereithalten.
Risiken beim Nichtstun
Wer die Regulierung ignoriert, riskiert mehr als nur Bußgelder. Der AI Act sieht bei schweren Verstößen Strafen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes vor. Darüber hinaus droht Reputationsverlust und Vertrauensverlust bei Kunden.
Für KMU sind solche Beträge existenzbedrohend. Umso wichtiger ist es, jetzt aktiv zu werden – auch wenn die strengsten Regeln erst 2027 greifen.
Fazit: Frühzeitig handeln, nicht abwarten
Der EU AI Act ist kein Thema nur für Konzerne. KMU, die KI einsetzen oder einsetzen wollen, sollten sich jetzt mit den kommenden Anforderungen auseinandersetzen. Die verschobenen Fristen schaffen Zeit – aber die Komplexität der Anforderungen bleibt.
Wer sich frühzeitig informiert und dokumentiert, welche KI-Systeme im Unternehmen laufen, hat später weniger Stress bei der Umsetzung.
Brauchen Sie Hilfe bei der Bewertung Ihrer KI-Tools oder der Erstellung interner Richtlinien? Kontaktieren Sie uns für ein kostenloses Beratungsgespräch – wir helfen KMU, KI sicher und regelkonform einzusetzen.
—
Quellen: