Der EU AI Act für KMU: Was ändert sich und wie bleibe ich auf der sicheren Seite?

14. Juli 2025
1 Minuten
4 mal angesehen

Was der EU AI Act für kleine und mittlere Unternehmen bedeutet

Am 13. März 2024 wurde der EU AI Act offiziell vom Europäischen Parlament verabschiedet, ein Meilenstein in der Regulierung von Künstlicher Intelligenz. Spätestens seitdem stellt sich für kleine und mittlere Unternehmen (KMU) in Deutschland die Frage: Was kommt da auf uns zu? Was müssen wir beachten und wie können wir uns rechtzeitig vorbereiten.

Was ist der EU AI Act?

Der EU AI Act ist die weltweit erste umfassende Gesetzgebung zur Regulierung von KI-Systemen. Ziel ist es, Innovation zu ermöglichen und gleichzeitig Risiken für Sicherheit, Grundrechte und demokratische Werte zu minimieren. Der Gesetzesrahmen basiert auf einem risikobasierten Ansatz: Je höher das Risiko, das von einem KI-System ausgeht, desto strenger sind die regulatorischen Anforderungen.

Was bedeutet das für KMU?

Auch kleine und mittlere Unternehmen sind direkt vom EU AI Act betroffen – insbesondere, wenn sie KI-Systeme zur Entscheidungsunterstützung, Analyse oder im Kundenkontakt einsetzen. KMU, die KI-Lösungen nutzen, integrieren oder entwickeln, müssen künftig die Risikostufe dieser Systeme bestimmen und gesetzlich vorgeschriebene Compliance-Maßnahmen umsetzen.

Die vier Risikostufen im Überblick:

Unannehmbares Risiko – Verbotene Anwendungen (z. B. soziale Bewertung durch den Staat).
Hohes Risiko – z. B. KI in Bereichen wie Personalmanagement, Kreditvergabe oder Bildung.
Begrenztes Risiko – etwa KI-Chatbots mit Transparenzanforderungen.
Minimales Risiko – z. B. KI-gestützte Spamfilter, ohne spezifische Auflage

Konkrete Pflichten für KMU

Wer KI-Systeme mit hohem Risiko einsetzt, ist verpflichtet, verschiedene Maßnahmen umzusetzen. Dazu gehört zunächst die Durchführung einer Risikobewertung, um potenzielle Gefahren frühzeitig zu erkennen. Außerdem müssen Unternehmen eine technische Dokumentation erstellen, die eine Nachvollziehbarkeit der Entscheidungen sicherstellt. Ebenso ist es erforderlich, eine menschliche Aufsicht über die eingesetzten KI-Systeme zu gewährleisten.

Die Kommunikation mit den Nutzenden muss transparent erfolgen, insbesondere hinsichtlich der Funktionsweise und des KI-Einsatzes. Darüber hinaus ist ein internes Kontrollsystem zur kontinuierlichen Überwachung und Qualitätssicherung der Systeme zu etablieren.

Auch bei KI-Systemen mit begrenztem Risiko, wie beispielsweise Chatbots, gelten bestimmte Anforderungen. So besteht etwa die Pflicht, deutlich zu machen, dass es sich um ein KI-System handelt.

Wie können sich KMU vorbereiten?

Um den Anforderungen des EU AI Act gerecht zu werden, sollten kleine und mittlere Unternehmen systematisch vorgehen. Zunächst gilt es, alle bestehenden und geplanten KI-Anwendungen zu erfassen, um einen vollständigen Überblick zu gewinnen. Im nächsten Schritt sollte eine Risikoeinstufung der eingesetzten Systeme erfolgen, basierend auf den Vorgaben des EU AI Act.

Anschließend ist es wichtig, klare Verantwortlichkeiten zu definieren, etwa durch die Benennung einer zertifizierten EU AI Act Beauftragten oder eines Beauftragten. Auch die Schulung der Mitarbeitenden spielt eine zentrale Rolle, um ein Bewusstsein für Risiken, gesetzliche Pflichten und den verantwortungsvollen Umgang mit KI zu schaffen.

Darüber hinaus müssen KMU eine strukturierte Dokumentation aufbauen, die technische Spezifikationen, Anleitungen und Protokolle umfasst. Ergänzend dazu sind geeignete IT-Sicherheitsmaßnahmen zu integrieren, wie beispielsweise Zugriffskontrollen oder die Protokollierung von Systemaktivitäten.