Ab August 2026 gelten die meisten Regeln der KI-Verordnung
Die KI-Verordnung (Verordnung (EU) 2024/1689), oft auch EU-KI-Gesetz oder im Englischen EU AI Act genannt, ist das weltweit erste umfassende Gesetz für künstliche Intelligenz. Und deutsche KMU sind mittendrin. Wer KI einsetzt, ob eingekauft oder selbst entwickelt, muss handeln.
Die Strafen bei Verstößen? Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für KMU gelten reduzierte Sätze, aber die Summen bleiben empfindlich.
Panik ist keine Strategie. Vorbereitung schon.
Was die KI-Verordnung regelt
Die KI-Verordnung klassifiziert KI-Systeme in vier Risikoklassen. Je höher das Risiko, desto strenger die Anforderungen.
Unakzeptables Risiko (verboten). Social Scoring, manipulative KI-Systeme, biometrische Echtzeit-Überwachung in öffentlichen Räumen. Dieses Verbot gilt bereits seit Februar 2025.
Hohes Risiko. KI in Personalauswahl, Kreditvergabe, Gesundheitsdiagnostik, Sicherheitskomponenten. Hier greifen umfangreiche Dokumentations-, Test- und Überwachungspflichten.
Begrenztes Risiko. Chatbots, Deepfake-Tools, Emotionserkennung. Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren.
Minimales Risiko. Spam-Filter, empfehlungsbasierte Suche, automatische Textvervollständigung. Keine besonderen Auflagen.
Die meisten KMU werden in die Kategorien “begrenztes Risiko” oder “minimales Risiko” fallen. Wer aber KI in HR-Prozessen oder Kreditentscheidungen einsetzt, muss die Hochrisiko-Anforderungen erfüllen.
Die Rolle von KMU: Anbieter oder Betreiber?
Die KI-Verordnung unterscheidet zwischen Anbietern und Betreibern. Anbieter entwickeln KI-Systeme und bringen sie auf den Markt. Betreiber setzen sie ein.
Die meisten deutschen KMU sind Betreiber. Sie kaufen ein KI-Tool ein und setzen es in ihren Geschäftsprozessen ein. Betreiber haben weniger Pflichten als Anbieter, tragen aber dennoch Verantwortung.
Was Betreiber von Hochrisiko-KI tun müssen: Risikofolgenabschätzung durchführen, menschliche Aufsicht sicherstellen, Eingabedaten auf Qualität prüfen. Zusätzlich: Vorfälle dokumentieren und an die zuständige Behörde melden.
Wenn Sie ein bestehendes KI-System erheblich verändern, zum Beispiel durch Fine-Tuning auf eigenen Daten, können Sie zum Anbieter werden. Dann gelten die umfangreicheren Anbieterpflichten.
Hochrisiko-KI: Die Details
Nicht jede KI ist gleich reguliert. Die Hochrisiko-Kategorie betrifft spezifische Anwendungsbereiche, die in Anhang III der Verordnung aufgelistet sind.
Dazu gehören: biometrische Identifizierung, kritische Infrastruktur, Bildungszugang, Personalentscheidungen, Kreditvergabe, Strafverfolgung. In jedem dieser Bereiche kann eine fehlerhafte KI-Entscheidung erheblichen Schaden anrichten.
Für Hochrisiko-KI gelten strenge Anforderungen an das Risikomanagement. Sie müssen ein Risikomanagementsystem einrichten, das den gesamten Lebenszyklus des KI-Systems abdeckt.
Die technische Dokumentation muss nachweisen, wie das System funktioniert, welche Daten verwendet werden und welche Tests durchgeführt wurden. Diese Dokumentation muss für die Behörden zugänglich sein.
Menschliche Aufsicht ist Pflicht. Kein Hochrisiko-KI-System darf vollständig autonom Entscheidungen treffen, die Menschen betreffen. Es muss immer einen Menschen geben, der eingreifen kann.
KI-Kompetenz: Die neue Pflicht
Seit Februar 2025 gilt die KI-Kompetenzpflicht. Alle Unternehmen, die KI einsetzen, müssen sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kenntnisse verfügen.
Das heißt nicht, dass jeder Mitarbeiter zum Data Scientist werden muss. Es heißt: Wer mit KI-Tools arbeitet, muss deren Möglichkeiten und Grenzen verstehen.
Wie umfangreich die Schulung sein muss, hängt vom Einsatzbereich ab. Ein Marketing-Team, das einen KI-Textgenerator nutzt, braucht andere Kenntnisse als ein HR-Team mit KI-gestützter Bewerberauswahl.
Was eine gute KI-Schulung abdeckt: Grundverständnis der Technologie, Erkennen von Halluzinationen und Fehlern, korrekte Prompt-Formulierung, Datenschutz bei KI-Nutzung. Dokumentieren Sie die Schulungen, denn die Behörden können Nachweise verlangen.
Erleichterungen für KMU
Die EU hat erkannt, dass KMU nicht dieselben Ressourcen haben wie Konzerne. Deshalb gibt es Erleichterungen.
Vereinfachte technische Dokumentation. KMU müssen weniger ausführlich dokumentieren als Großunternehmen. Der Umfang wird angepasst, die Grundanforderungen bleiben.
Regulatorische Sandboxes. Geschützte Umgebungen, in denen KMU ihre KI-Systeme unter Aufsicht testen können. Deutschland richtet diese über das BSI und die Bundesnetzagentur ein.
Zugang zu Testinfrastruktur. Die EU stellt KMU Testumgebungen zur Verfügung, um KI-Systeme auf Konformität zu prüfen. Das senkt die Kosten für die Zertifizierung erheblich.
Reduzierte Bußgelder. Während Großunternehmen mit bis zu 35 Millionen Euro rechnen müssen, gelten für KMU proportionale Sätze. Das mindert das Risiko, nimmt aber die Pflicht nicht weg.
Konkrete Handlungsschritte für deutsche KMU
Wo fangen Sie an? Ein pragmatischer Fahrplan in fünf Schritten.
Schritt 1: Inventur. Listen Sie alle KI-Systeme auf, die Sie einsetzen. Auch die unbewussten: automatische Textvervollständigung, KI-gestützte Suchfunktionen, Chatbots auf der Website.
Schritt 2: Risikoklassifizierung. Ordnen Sie jedes System einer Risikoklasse zu. Die meisten werden “minimal” oder “begrenzt” sein. Identifizieren Sie die wenigen mit hohem Risiko.
Schritt 3: Transparenz sicherstellen. Für alle KI-Systeme mit begrenztem Risiko: Kennzeichnen Sie KI-generierten Content. Informieren Sie Nutzer, wenn sie mit KI interagieren.
Schritt 4: Hochrisiko-Systeme aufrüsten. Dokumentation erstellen, menschliche Aufsicht implementieren, Monitoring einrichten. Hier lohnt sich professionelle Unterstützung.
Schritt 5: Mitarbeiter schulen. Die KI-Kompetenzpflicht gilt bereits seit Februar 2025. Starten Sie Schulungsprogramme für alle, die mit KI arbeiten.
Die Verschiebungsdebatte
Die EU-Kommission hat vorgeschlagen, die Umsetzungsfrist für Hochrisiko-KI um bis zu 16 Monate zu verschieben. Das betrifft Verpflichtungen, die ab August 2026 gelten sollten.
Warten Sie nicht darauf. Die Grundpflichten gelten bereits: verbotene Praktiken seit Februar 2025, KI-Kompetenz ebenfalls. Und die Vorbereitung auf Hochrisiko-Anforderungen dauert Monate.
Wer jetzt anfängt, hat Vorsprung. Wer wartet, hetzt hinterher.
Zusammenspiel mit DSGVO und NIS2
Die KI-Verordnung existiert nicht isoliert. Wer KI-Systeme mit personenbezogenen Daten betreibt, muss gleichzeitig die DSGVO einhalten.
Die Schnittmengen sind groß. Ein KI-System, das Kundendaten verarbeitet, unterliegt der DSGVO-Datenschutzfolgenabschätzung und den Transparenzpflichten der KI-Verordnung. Wer in einem NIS2-regulierten Sektor operiert, hat zusätzliche Cybersicherheitspflichten.
Einen Überblick über alle regulatorischen Anforderungen bietet unser EU-Compliance-Leitfaden. Die NIS2-spezifischen Anforderungen beschreiben wir im NIS2-Umsetzungsleitfaden.
Förderung für KI-Compliance
Die Umsetzung der KI-Gesetz-Anforderungen kostet Geld. Die gute Nachricht: Es gibt Förderprogramme. Unser Fördermittel-Leitfaden für KI-Projekte listet die relevanten Programme auf.
Sie setzen KI ein und wollen sicherstellen, dass Ihre Systeme konform sind? Vereinbaren Sie ein Erstgespräch. Wir prüfen Ihre KI-Anwendungen und zeigen Ihnen, was Sie konkret tun müssen.
