EU AI Act: Was der Mittelstand jetzt wissen muss

Mit dem EU AI Act (Verordnung (EU) 2024/1689) gibt es erstmals einen einheitlichen Rechtsrahmen fuer Kuenstliche Intelligenz in Europa. Die Verordnung ist am 1. August 2024 in Kraft getreten und greift gestaffelt bis 2027. Viele mittelstaendische Unternehmen fragen sich: Betrifft uns das ueberhaupt - und wenn ja, was muessen wir tun? Dieser Beitrag gibt einen praxisnahen Ueberblick. Er ersetzt keine Rechtsberatung, schafft aber Orientierung.

Betrifft der EU AI Act auch den Mittelstand?

Kurz gesagt: ja, sobald Sie KI einsetzen, entwickeln oder in Produkte einbauen. Die Verordnung unterscheidet nicht nach Unternehmensgroesse, sondern nach Rolle und Risiko. Relevant ist der Mittelstand vor allem in zwei Rollen:

• Als Betreiber (Deployer): Sie nutzen ein KI-System im eigenen Betrieb, etwa ein Tool zur Bewerberauswahl, zur Bonitaetspruefung oder zur Qualitaetskontrolle.
• Als Anbieter (Provider): Sie entwickeln ein KI-System selbst oder lassen es entwickeln und bringen es unter eigenem Namen auf den Markt oder in Betrieb.

Schon der Einkauf einer KI-Loesung bei einem Dienstleister kann Pflichten ausloesen - etwa Transparenz gegenueber Mitarbeitenden oder die Sicherstellung, dass das eingekaufte System konform ist.

Die vier Risikoklassen

Der EU AI Act folgt einem risikobasierten Ansatz. Entscheidend ist nicht die Technologie, sondern der Anwendungszweck:

1. Unannehmbares Risiko (verboten): Bestimmte Praktiken sind untersagt, etwa Social Scoring oder manipulative Systeme. Diese Verbote gelten bereits seit dem 2. Februar 2025.
2. Hohes Risiko: KI in sensiblen Bereichen wie Personalauswahl, Kreditwuerdigkeit, kritischer Infrastruktur oder als Sicherheitskomponente in Produkten. Hier gelten umfangreiche Pflichten - Risikomanagement, Datenqualitaet, Dokumentation, menschliche Aufsicht.
3. Begrenztes Risiko: Hier greifen vor allem Transparenzpflichten. Nutzerinnen und Nutzer muessen zum Beispiel erkennen koennen, dass sie mit einem Chatbot sprechen oder dass ein Inhalt KI-generiert ist.
4. Minimales Risiko: Der Grossteil betrieblicher Anwendungen - etwa Prognosemodelle in der Disposition oder Automatisierung der Belegerfassung - faellt hierunter und ist weitgehend frei von zusaetzlichen Pflichten.

Fuer den Mittelstand bedeutet das: Die meisten typischen Anwendungsfaelle sind nicht hochriskant. Genau diese Einordnung ist aber der erste, oft unterschaetzte Schritt.

Die wichtigsten Fristen im Ueberblick

• Seit 2. Februar 2025: Verbote fuer KI mit unannehmbarem Risiko gelten. Ebenfalls seit diesem Datum: die Pflicht zur KI-Kompetenz (AI Literacy) - Unternehmen muessen sicherstellen, dass Mitarbeitende, die mit KI arbeiten, ein angemessenes Grundverstaendnis haben.
• Seit 2. August 2025: Pflichten fuer Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General-Purpose AI).
• Ab 2. August 2026: Der Grossteil der Pflichten fuer Hochrisiko-Systeme wird wirksam.
• Ab 2. August 2027: Verlaengerte Frist fuer bestimmte Hochrisiko-Systeme, die als Sicherheitskomponente in regulierte Produkte eingebettet sind.

Was Sie jetzt konkret tun sollten

Auch wenn die grossen Hochrisiko-Pflichten erst 2026/2027 greifen, lohnt sich der Einstieg jetzt. Drei pragmatische Schritte:

1. KI-Inventar erstellen

Verschaffen Sie sich einen Ueberblick: Wo im Unternehmen wird bereits KI eingesetzt - auch in eingekauften Tools, Cloud-Diensten oder Office-Erweiterungen? Ein einfaches Inventar ist die Grundlage fuer jede weitere Bewertung.

2. Anwendungen den Risikoklassen zuordnen

Ordnen Sie jede Anwendung einer Risikoklasse zu. Die meisten werden in "minimal" oder "begrenzt" fallen. Fuer den Rest klaeren Sie fruehzeitig die Pflichten - das vermeidet boese Ueberraschungen bei kuenftigen Projekten.

3. KI-Kompetenz aufbauen

Die AI-Literacy-Pflicht ist bereits aktiv und mit ueberschaubarem Aufwand erfuellbar: Sensibilisieren Sie Teams, die mit KI arbeiten, fuer Chancen, Grenzen und Risiken. Das zahlt nicht nur auf Compliance ein, sondern auch auf die Qualitaet Ihrer KI-Projekte.

Compliance als Wettbewerbsvorteil

Der EU AI Act wird oft als Buerokratie wahrgenommen. In der Praxis ist eine saubere Governance aber ein Verkaufsargument: Kunden, Investoren und Pruefer fragen zunehmend nach nachvollziehbaren, dokumentierten KI-Prozessen. Wer hier strukturiert vorgeht, baut Vertrauen auf - gerade im B2B-Geschaeft.

Genau hier setzen wir an: In der KI-Strategie verbinden wir Use-Case-Priorisierung mit regulatorischer Einordnung, damit Sie in das richtige Projekt investieren und es von Beginn an konform aufsetzen. Wie das in der Praxis aussieht, zeigen unsere Use Cases - von der automatisierten Pruefung in der Wirtschaftspruefung bis zur vorausschauenden Wartung im Maschinenbau.

Fazit

Der EU AI Act betrifft den Mittelstand - aber meist weniger dramatisch als befuerchtet. Die wichtigsten Schritte sind ein KI-Inventar, eine Risikoeinordnung und der Aufbau von KI-Kompetenz. Wer jetzt beginnt, ist nicht nur rechtzeitig vorbereitet, sondern verschafft sich auch einen Vorsprung bei Qualitaet und Vertrauen.

Sie wollen wissen, wo Ihre Anwendungen stehen? Lassen Sie uns sprechen - in einem Erstgespraech ordnen wir Ihre KI-Vorhaben ein und zeigen den besten Einstieg.