EU AI Act: Was der Mittelstand jetzt wissen muss
Der EU AI Act ist seit August 2024 in Kraft — und er wird den Umgang mit Künstlicher Intelligenz in Europa grundlegend verändern. Ab August 2026 greifen die Pflichten für Hochrisiko-KI-Systeme: Dokumentation, Risikomanagement, menschliche Aufsicht, technische Robustheit. Wer diese Pflichten nicht erfüllt, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.
Viele mittelständische Unternehmen gehen davon aus, dass sie nicht betroffen sind. Das ist ein gefährlicher Irrtum. Schon die Nutzung eines KI-basierten Bewerbungstools, eines automatisierten Kreditscoring-Systems oder einer KI-gestützten Qualitätskontrolle kann unter die Hochrisiko-Kategorie fallen.
KI-Compliance-Partner:innen helfen euch, die Anforderungen zu verstehen, eure KI-Systeme zu klassifizieren und die nötigen Prozesse aufzusetzen — bevor die Prüfbehörden kommen.
Was umfasst KI-Compliance?
Risikoklassifizierung: Welche eurer KI-Systeme fallen unter welche Risikokategorie? Unannehmbares Risiko (verboten), Hochrisiko (strenge Pflichten), Begrenztes Risiko (Transparenzpflichten) oder Minimales Risiko (keine besonderen Pflichten). Diese Klassifizierung ist der erste und wichtigste Schritt.
Dokumentationspflichten: Für Hochrisiko-Systeme müsst ihr umfassend dokumentieren: technische Spezifikationen, Trainingsdaten, Testverfahren, Risikobewertungen, Maßnahmen zur menschlichen Aufsicht. Ein:e Compliance-Partner:in hilft euch, diese Dokumentation aufzubauen, ohne dass euer Team monatelang gebunden ist.
Risikomanagement: Der AI Act verlangt ein Risikomanagementsystem für Hochrisiko-KI. Das umfasst die Identifikation von Risiken, die Bewertung, Maßnahmen zur Risikominderung und regelmäßige Überprüfung. Klingt nach Konzern-Sprache — lässt sich aber auch pragmatisch für den Mittelstand umsetzen.
DSGVO-konforme KI-Nutzung: Der AI Act kommt zusätzlich zur DSGVO, nicht als Ersatz. Gerade bei personenbezogenen Daten (HR, Marketing, Kundenservice) müssen beide Regelwerke gleichzeitig erfüllt werden. Compliance-Partner:innen helfen euch, diese Überschneidungen sauber zu lösen.
KI-Kompetenzpflicht: Seit Februar 2025 müsst ihr nachweisen, dass Mitarbeitende, die KI einsetzen, über ausreichende Kompetenz verfügen. Compliance-Partner:innen können diese Anforderung mit Schulungspartner:innen kombinieren und die Dokumentation der Schulungsnachweise organisieren.
Worauf solltet ihr bei der Auswahl achten?
Juristische plus technische Expertise: Der AI Act erfordert beides. Rein juristische Beratung versteht die Technik nicht; rein technische Beratung übersieht regulatorische Fallstricke. Sucht Partner:innen, die beide Seiten abdecken oder in Teams arbeiten.
Pragmatismus: Der Mittelstand braucht keine 200-seitige Compliance-Studie, sondern ein handhabbares Framework, das mit dem Unternehmen wächst. Fragt nach: Wie sieht die minimal viable Compliance für uns aus?
Aktualität: Der AI Act wird durch delegierte Rechtsakte und Leitlinien laufend konkretisiert. Eure:r Partner:in muss am Puls der Regulierung sein — nicht nur den Gesetzestext von 2024 kennen.