Eine Person prüft Dokumente an einem Computer, auf dem die EU-Flagge abgebildet ist, mit digitalen Symbolen im Hintergrund.

Der EU AI Act ist da: Was KMUs jetzt über Transparenz, Risikoeinschätzung und Mitarbeiterschulung wissen müssen – eine praktische Anleitung

Die Europäische Union hat mit der KI-Verordnung, dem sogenannten EU AI Act, einen umfassenden rechtlichen Rahmen für den Einsatz von Künstlicher Intelligenz (KI) geschaffen. Seit August 2025 sind viele Bestimmungen in Kraft und betreffen Unternehmen jeder Größe, auch kleine und mittlere Unternehmen (KMU) sowie Solo-Selbstständige, die KI-Systeme nutzen oder anbieten. Die Verordnung zielt darauf ab, Innovation zu fördern und gleichzeitig Grundrechte und Sicherheit zu schützen. Doch was bedeutet das konkret für den Unternehmensalltag? Welche Pflichten ergeben sich, und wie können sich KMUs vorbereiten, um compliant zu sein und mögliche Sanktionen zu vermeiden?

Dieser Beitrag bietet eine praktische Anleitung und beleuchtet die wichtigsten Aspekte des EU AI Acts, die für KMUs besonders relevant sind: Transparenzpflichten, die Notwendigkeit einer Risikoeinschätzung und die unumgängliche Schulung von Mitarbeitern.

Kernziel des EU AI Acts: Vertrauen und Sicherheit im KI-Zeitalter

Bevor wir in die Details eintauchen, ist es wichtig, das übergeordnete Ziel der Verordnung zu verstehen. Der EU AI Act verfolgt einen risikobasierten Ansatz: Je höher das potenzielle Risiko einer KI-Anwendung für Gesundheit, Sicherheit oder Grundrechte ist, desto strenger sind die Anforderungen. Für KMUs bedeutet dies vor allem, ein Bewusstsein dafür zu entwickeln, welche ihrer eingesetzten oder geplanten KI-Anwendungen unter welche Risikokategorie fallen könnten und welche spezifischen Pflichten sich daraus ergeben.

Transparenzpflichten: Klare Kennzeichnung für mehr Vertrauen

Ein zentraler Aspekt, der viele KMUs direkt betrifft, sind die Transparenzpflichten. Diese sollen sicherstellen, dass Menschen erkennen können, wenn sie mit einer KI interagieren oder wenn Inhalte KI-generiert sind.

  • Kennzeichnung von Chatbots und KI-Systemen mit Interaktion: Wenn KMUs Chatbots im Kundenservice (Thema 45) oder andere KI-Systeme einsetzen, die direkt mit Nutzern interagieren, müssen diese Nutzer darüber informiert werden, dass sie es mit einer KI zu tun haben. Dies schafft Klarheit und vermeidet Täuschung.
  • Offenlegung von KI-generiertem Content: Inhalte wie Texte, Bilder, Audio- oder Videodateien, die durch KI-Systeme erzeugt oder manipuliert wurden (sogenannte Deepfakes oder auch einfachere KI-generierte Marketingmaterialien), müssen als solche gekennzeichnet werden, wenn sie ein Risiko der Irreführung bergen. Für Unternehmen, die KI zur Content-Erstellung nutzen, ist dies ein wichtiger Punkt, um die Authentizität zu wahren.
  • Information über Emotionserkennungs- oder biometrische Kategorisierungssysteme: Setzen Unternehmen solche Systeme ein, müssen die betroffenen Personen darüber informiert werden.

Die Einhaltung dieser Transparenzpflichten ist nicht nur eine rechtliche Notwendigkeit, sondern auch ein wichtiger Beitrag zur Stärkung des Kundenvertrauens.

Risikoeinschätzung: Welche KI-Anwendungen sind kritisch?

Der EU AI Act unterscheidet verschiedene Risikoklassen für KI-Systeme. Während Systeme mit minimalem oder geringem Risiko (z.B. Spamfilter, KI in Videospielen) nur geringen oder keinen zusätzlichen Anforderungen unterliegen (abgesehen von ggf. Transparenzpflichten), gibt es strengere Regeln für Systeme mit hohem Risiko. Hochrisiko-KI-Systeme sind beispielsweise solche, die in kritischen Infrastrukturen, in der Bildung, im Personalwesen (z.B. bei der Bewerberauswahl), in der Strafverfolgung oder bei der Kreditwürdigkeitsprüfung eingesetzt werden. Für die meisten KMUs werden solche Hochrisiko-Anwendungen eher die Ausnahme sein. Dennoch ist es wichtig, eine grundlegende Einschätzung vorzunehmen.

Eine rudimentäre Checkliste zur ersten Risikoeinschätzung für KMUs:

Stellen Sie sich bei jeder eingesetzten oder geplanten KI-Anwendung folgende Fragen:

  1. Zweck der KI: Dient die KI einem Zweck, der in den Anhängen des EU AI Acts als potenziell hochriskant eingestuft wird (z.B. Entscheidungen über den Zugang zu Bildung, Beschäftigung, wesentlichen Dienstleistungen)?
  2. Auswirkungen auf Grundrechte: Könnte die KI-Anwendung die Grundrechte von Personen (z.B. Datenschutz, Nichtdiskriminierung, Meinungsfreiheit) negativ beeinflussen?
  3. Sicherheitsrelevanz: Hat die KI Auswirkungen auf die Sicherheit von Produkten oder Dienstleistungen?
  4. Abhängigkeit von der KI-Entscheidung: Treffen Menschen die finale Entscheidung oder agiert die KI weitgehend autonom in kritischen Bereichen?

Im Zweifel oder bei Unklarheiten empfiehlt es sich, fachkundigen Rat einzuholen. Das Mittelstand-Digital Zentren Netzwerk bietet hier oft wertvolle Unterstützung und Checklisten, um KMUs bei der Einordnung ihrer KI-Systeme zu helfen.

Mitarbeiterschulung: Eine unverzichtbare Pflicht

Ein weiterer zentraler Punkt des EU AI Acts, der alle Unternehmen betrifft, die KI einsetzen, ist die Notwendigkeit, Mitarbeiter im Umgang mit diesen Systemen zu schulen und zu sensibilisieren.

  • Verständnis für die eingesetzte KI: Mitarbeiter sollten grundlegend verstehen, wie die von ihnen genutzten KI-Tools funktionieren, welche Daten sie verarbeiten und wo deren Grenzen liegen.
  • Kenntnis der rechtlichen Rahmenbedingungen: Eine Sensibilisierung für die Anforderungen des EU AI Acts, insbesondere hinsichtlich Transparenz und Datenschutz (siehe KI-Datenschutz-Checkliste), ist unerlässlich.
  • Ethische Aspekte und verantwortungsvoller Umgang: Mitarbeiter sollten für potenzielle ethische Risiken (z.B. Bias, Diskriminierung) sensibilisiert werden und wissen, wie sie verantwortungsvoll mit KI umgehen (siehe FairAI-Check und unser KI-Lernpfad für Weiterbildung).

Die Schulung der Mitarbeiter ist nicht nur eine Compliance-Aufgabe, sondern stärkt auch die Kompetenz im Unternehmen und fördert einen souveränen Umgang mit der Technologie.

Vorbereitung für KMUs und mögliche Sanktionen

Was können KMUs also konkret tun, um sich auf die Anforderungen des EU AI Acts vorzubereiten und mögliche Sanktionen zu vermeiden?

  1. Inventarisierung der KI-Systeme: Verschaffen Sie sich einen Überblick, wo und wie KI in Ihrem Unternehmen bereits eingesetzt wird oder geplant ist.
  2. Risikobewertung durchführen: Nutzen Sie die oben genannte Checkliste oder externe Hilfen zur ersten Einschätzung.
  3. Transparenzpflichten umsetzen: Stellen Sie sicher, dass Interaktionen mit KI und KI-generierter Content entsprechend gekennzeichnet werden.
  4. Datenschutz sicherstellen: Überprüfen Sie Ihre Datenschutzpraktiken im Kontext von KI-Anwendungen.
  5. Mitarbeiter schulen: Planen und implementieren Sie Schulungsmaßnahmen.
  6. Dokumentation erstellen: Halten Sie Ihre Maßnahmen und Entscheidungen im Zusammenhang mit KI schriftlich fest.
  7. Entwicklungen beobachten: Der EU AI Act ist ein lebendiges Regelwerk. Bleiben Sie über aktuelle Auslegungen und Leitlinien informiert.

Bei Verstößen gegen den EU AI Act drohen empfindliche Geldbußen, die je nach Schwere des Verstoßes und Unternehmensgröße erheblich sein können. Eine proaktive Auseinandersetzung mit den Anforderungen ist daher dringend anzuraten.

Fazit: Den EU AI Act als Chance für verantwortungsvolle Innovation begreifen

Der EU AI Act stellt zweifellos neue Anforderungen an Unternehmen, die KI nutzen. Doch er bietet auch die Chance, einen Rahmen für vertrauenswürdige und verantwortungsvolle KI-Anwendungen zu schaffen. Für KMUs geht es nun darum, sich pragmatisch und schrittweise mit den für sie relevanten Aspekten auseinanderzusetzen, Transparenz zu schaffen, Risiken zu managen und ihre Mitarbeiter fit für den Umgang mit KI zu machen. So kann der EU AI Act nicht nur als regulatorische Hürde, sondern auch als Impulsgeber für eine ethisch fundierte und zukunftsfähige Digitalisierung im eigenen Unternehmen verstanden werden.

Schlagworte:
HybridTeam

Markus Slobodeaniuk, GF Klest UG (haftungsbeschränkt) und freiberuflicher Berater schreibt zu Themen rund um KI in Kleinstunternehmen. Die Beiträge und Bilder auf dieser Website sind alle in Co-Kreation zwischen KI und Mensch entstanden (Hinweis gem. EU AI Act)