Der EU AI Act: Was bedeutet er konkret für deutsche mittelständische Unternehmen?

EU AI Act im Überblick – Risikoklassen und Kernpunkte

Der EU AI Act (EU-Verordnung 2024/1689) ist die erste umfassende KI-Regulierung in Europa [wko.at]. Ziel der Verordnung ist es, einen sicheren, transparenten und ethisch vertretbaren Einsatz von KI zu gewährleisten. Herzstück des Gesetzes ist ein risikobasierter Ansatz: KI-Systeme werden je nach Gefährdungspotenzial in Risikoklassen eingeteilt, von denen abgestufte Pflichten abhängen [yneo.ai].

  • Unakzeptables Risiko (Verbotene KI): Bestimmte KI-Praktiken sind vollständig verboten. Dazu zählen z.B. Social Scoring-Systeme oder manipulative KI, die Menschen unbemerkt beeinflusst [yneo.ai]. Auch das Ausnutzen von Schwächen vulnerabler Gruppen, biometrische Echtzeit-Überwachung im öffentlichen Raum zu Strafverfolgungszwecken (mit wenigen Ausnahmen) oder emotionserkennende KI am Arbeitsplatz und in Schulen fallen unter die verbotenen Anwendungen [datenschutz-generator.dedatenschutz-generator.de]. Solche Systeme dürfen in der EU weder angeboten noch genutzt werden.

  • Hohes Risiko: KI-Systeme, die signifikante Auswirkungen auf Sicherheit, Gesundheit oder Grundrechte haben, gelten als hochriskant. Beispiele sind KI in Bereichen wie Medizin, Personalauswahl, Bildung, Kreditvergabe oder kritische Infrastrukturen [yneo.ai]. Diese Systeme dürfen zwar eingesetzt werden, unterliegen aber strengen Auflagen. Anbieter (Hersteller/Entwickler) hochriskanter KI müssen umfangreiche Sicherheits-, Transparenz- und Qualitätsanforderungen erfüllen. Dazu gehören u.a. eine Risikofolgenabschätzung für Grundrechte, ein Risikomanagement-System, Dokumentationspflichten sowie ein Konformitätsbewertungsverfahren vor dem Inverkehrbringen [ihk-muenchen.deihk-muenchen.de]. Betreiber (Anwender) solcher KI-Systeme müssen sicherstellen, dass sie gemäß Anleitung betrieben werden, menschliche Aufsicht gewährleistet ist und etwaige Risiken laufend überwacht und gemeldet werden [datenschutz-generator.de]. Mitarbeitende in verantwortlichen Rollen müssen entsprechend geschult und kompetent sein, um die KI überwachen und eingreifen zu können [datenschutz-generator.de]. Zudem sind Registrierungspflichten zu beachten – hochriskante KI-Systeme müssen in einer EU-Datenbank gemeldet werden [datenschutzkanzlei.de]. Nicht zuletzt gilt es, eine “Stopptaste” bzw. Abschaltfunktion vorzusehen, um im Notfall das System deaktivieren zu können [datenschutzkanzlei.de].

  • Begrenztes oder geringes Risiko: Für KI-Anwendungen, die ein überschaubares Risiko bergen – etwa Chatbots im Kundenservice, generative Text- oder Bildtools, Empfehlungsalgorithmen – bestehen geringere Vorgaben. Hier schreibt der AI Act vor allem Transparenzpflichten vor [datenschutzkanzlei.de]. Nutzer müssen informiert werden, wenn sie mit einer KI interagieren, z.B. durch einen Hinweis im Chatbot-Interface. Inhalte, die von KI erzeugt wurden (Texte, Bilder, Videos), sind als solche kenntlich zu machen, etwa durch Kennzeichnung oder Wasserzeichen [datenschutzkanzlei.de]. Speziell “Deepfakes” – also KI-generierte oder manipulierte Medien – müssen eindeutig als künstlich erstellt ausgewiesen werden [datenschutzkanzlei.de]. Für rein geringfügige Risiko-KI (z.B. Spamfilter, allgemeine Büro-KI-Tools) empfiehlt die EU freiwillige Verhaltenskodizes, jedoch ohne verbindliche Auflagen [ihk-muenchen.deihk-muenchen.de].

  • Minimales Risiko: Übliche Software mit KI-Komponenten, die keinerlei nennenswerte Risiken mit sich bringt, fällt in die Kategorie minimales Risiko. Hier sind keine speziellen Pflichten vorgeschrieben. Gleichwohl wird Unternehmen nahegelegt, freiwillig gute KI-Praktiken einzuhalten (ähnlich einem Kodex), um einen vertrauenswürdigen KI-Einsatz zu fördern [ihk-muenchen.de].

Zusammengefasst folgen aus dieser Klassifizierung zwei zentrale Prinzipien: Je höher das Risiko, desto strenger die Regulierung [datenschutzkanzlei.de]. Und unabhängig vom Risiko gilt: KI soll nicht verborgen eingesetzt werden – Transparenz gegenüber Nutzern ist ein Muss. Der AI Act ergänzt insofern bestehende Regelungen (z.B. DSGVO bei personenbezogenen Daten) um spezifische Vorgaben für KI-Systeme [wko.atdatenschutz-generator.de].

Pflichten für Unternehmen – was kommt auf KMU zu?

Alle Unternehmen, die KI-Systeme entwickeln oder einsetzen, müssen die Vorgaben des AI Act beachten – das gilt ausdrücklich auch für kleine und mittlere Unternehmen (KMU) ohne Ausnahme [yneo.ai]. Entscheidend ist nicht die Größe des Unternehmens, sondern das Risiko der KI-Anwendung. Deutsche Mittelständler, die KI nutzen (sei es eigens entwickelte oder eingekaufte KI), sollten daher die folgenden Umsetzungspflichten kennen:

Pflichten als Anbieter von KI-Systemen (bei Entwicklung/Vertrieb)

Wer als Unternehmen selbst ein KI-System anbietet – beispielsweise ein Softwareanbieter, der eine KI-gestützte Lösung für Bewerberauswahl oder Qualitätsprüfung entwickelt und vermarktet – übernimmt die Rolle des „Anbieters“ nach dem AI Act. Für solche Anbieter (insbesondere im Hochrisiko-Bereich) gelten die umfangreichsten Pflichten [ihk-muenchen.de]:

  • Risikomanagement und Datenqualität: Es muss ein Risikomanagement-System etabliert und über den gesamten Lebenszyklus der KI aufrechterhalten werden [ihk-muenchen.de]. Alle bekannten und vorhersehbaren Risiken für Gesundheit, Sicherheit oder Grundrechte durch das KI-System sind laufend zu identifizieren, analysieren und zu minimieren. Dazu gehört auch das Testen des Systems während der Entwicklung auf mögliche Fehlfunktionen. Eng damit verknüpft ist die Gewährleistung von Datenqualität: Die Trainings- und Testdaten der KI müssen geeignet, aussagekräftig und möglichst frei von Verzerrungen (Bias) sein [ihk-muenchen.de]. Das Gesetz verlangt, dass Datensätze den Qualitätsanforderungen entsprechen, um Diskriminierung oder Fehler zu vermeiden.

  • Technische Dokumentation und Anleitung: Vor dem Inverkehrbringen eines hochriskanten KI-Systems ist eine ausführliche technische Dokumentation zu erstellen [ihk-muenchen.de]. Darin muss der Anbieter nachweisen, dass alle Vorschriften eingehalten werden, sodass Behörden die Konformität überprüfen können. Außerdem sind Gebrauchsanweisungen bzw. Betriebsanleitungen für die Betreiber bereitzustellen [ihk-muenchen.de]. Diese sollen klar verständlich die Funktionsweise, den Zweck und die Leistungsgrenzen des KI-Systems beschreiben, Hinweise zur sicheren Nutzung (einschließlich menschlicher Aufsichtspflichten) geben sowie Angaben dazu machen, wie Logfiles auszulesen sind [ihk-muenchen.de]. Auf gut Deutsch: Der Kunde, der die KI einsetzt, muss vom Anbieter vollständig darüber informiert werden, was das System kann und wo seine Grenzen liegen.

  • Protokollierung und Überwachung: Hochrisiko-KI-Systeme sind so zu gestalten, dass automatisierte Protokolle ihrer Outputs geführt werden [ihk-muenchen.de]. Diese Logfiles müssen vom Anbieter sorgfältig aufbewahrt werden (gesetzlich mindestens sechs Monate) [datenschutz-generator.de], um bei Bedarf Änderungen nachverfolgen oder Vorfälle untersuchen zu können. Außerdem verpflichten die AI-Act-Vorgaben Anbieter dazu, ihre Systeme kontinuierlich zu überwachen – d.h. auch nach Markteinführung zu beobachten, ob neue Risiken auftreten, und ggf. Maßnahmen zur Korrektur zu ergreifen (Stichwort Post-Market-Monitoring).

  • Menschliche Aufsicht und Sicherheit: Bei der Entwicklung muss der Anbieter sicherstellen, dass eine effektive menschliche Kontrolle möglich ist [ihk-muenchen.de]. In der Praxis bedeutet das: Es muss Schnittstellen oder Funktionen geben, über die menschliche Verantwortliche das System verstehen und bei Fehlverhalten eingreifen können (z.B. Entscheidungsgrundlagen nachvollziehen, Ergebnisse hinterfragen). Insbesondere soll Automatisierungs-Bias vermieden werden – die KI darf nicht völlig unkontrolliert Entscheidungen treffen, ohne dass ein Mensch notfalls überstimmen kann [ihk-muenchen.de]. Konkret fordert der AI Act z.B., dass im Falle erheblicher Fehlfunktionen eine Abschaltung möglich sein muss (Not-Aus oder „Kill-Switch“). Ein Mensch sollte letztlich die finale Entscheidungshoheit behalten, etwa wenn eine KI eine Kreditempfehlung gibt [ihk-muenchen.de]. Parallel dazu müssen Anforderungen an Genauigkeit, Robustheit und Cybersicherheit des Systems erfüllt werden[ihk-muenchen.de]. Das KI-Modell muss also zuverlässig und fehlertolerant arbeiten und gegen Cyberangriffe oder Manipulation geschützt sein, damit niemand unbemerkt die Ergebnisse verfälschen kann [ihk-muenchen.de].

  • Konformitätsbewertung und CE-Kennzeichnung: Bevor ein KI-System in der EU auf den Markt kommt oder in Betrieb geht, ist eine Konformitätsbewertung durchzuführen [ihk-muenchen.de]. Je nach Einstufung kann dies ein internes Prüfverfahren sein oder die Einbeziehung einer benannten Stelle (ähnlich wie bei Medizinprodukten oder Maschinen). Bei erfolgreicher Prüfung stellt der Anbieter eine EU-Konformitätserklärung aus und bringt eine CE-Kennzeichnung am Produkt an [ihk-muenchen.de]. Zusätzlich müssen Hochrisiko-KI-Systeme vom Anbieter in eine offizielle EU-Datenbank eingetragen werden (vgl. Art. 49 AI Act) [ihk-muenchen.de]. Diese Registrierung macht transparent, welche KI-Systeme wo in der EU im Einsatz sind.

Wichtig: Diese Pflichten sind zwar umfassend, doch der Gesetzgeber berücksichtigt die Bedürfnisse von KMU. So soll die EU-Kommission ein vereinfachtes Dokumentations-Template speziell für KMU und Start-ups bereitstellen, um den bürokratischen Aufwand zu reduzieren [haerting.de]. Kleine Anbieter sollen also ihre Nachweisdokumente in Zukunft einfacher erstellen können, ohne inhaltlich Abstriche bei der Compliance zu machen.

Pflichten als Betreiber von KI-Systemen (bei Nutzung im Unternehmen)

Die meisten mittelständischen Unternehmen werden KI eher anwenden als selbst entwickeln. In der Rolle als „Betreiber“ nutzt ein Unternehmen ein KI-System unter eigener Verantwortung (z.B. Einsatz einer zugekauften KI-Software in der Personalabteilung oder die Verwendung eines frei verfügbaren KI-Tools wie ChatGPT im Arbeitsalltag) [datenschutzkanzlei.de]. Auch hierfür definiert der EU AI Act konkrete Pflichten:

  • Einhaltung der Nutzungsanleitung: Betreiber müssen sicherstellen, dass sie die KI zweckbestimmungsgemäß verwenden und alle vom Anbieter mitgelieferten Vorgaben beachten [datenschutz-generator.de]. Man darf ein KI-System also nicht zweckentfremden oder in einem riskanteren Umfeld einsetzen, als wofür es gedacht war. Andernfalls könnte aus einer an sich harmlosen KI schnell eine hochriskante Anwendung werden – und der betreibende Mittelständler würde rechtlich zum „Anbieter“ mit allen erwähnten Pflichten hochgestuft werden [datenschutzkanzlei.de]. Beispiel: Wer einen einfachen KI-Bot in Bereichen einsetzt, für die er nie vorgesehen war (etwa ein DIY-Sprachmodell plötzlich zur medizinischen Diagnose nutzt), trägt die volle Verantwortung für daraus entstehende Risiken.

  • Überwachung und Meldepflichten: Auch Betreiber sollten die Leistung der KI laufend beobachten. Treten Fehlfunktionen oder gravierende Risiken zutage, sind Meldungen an den Anbieter oder ggf. Aufsichtsbehörden vorgesehen [datenschutz-generator.de]. So soll ein frühzeitiges Gegensteuern ermöglicht werden. In der Praxis empfiehlt es sich, interne Prozesse zur Incident-Erkennung einzurichten – ähnlich wie man Sicherheitsvorfälle in der IT oder Datenschutzverletzungen nach DSGVO meldet.

  • Dokumentation und Verzeichnis: Unternehmen müssen ihren KI-Einsatz dokumentieren, um Rechenschaft ablegen zu können. Der AI Act fordert zwar kein offizielles „KI-Verzeichnis“ wie ein Verarbeitungsverzeichnis der DSGVO, legt aber nahe, dass Betreiber den Überblick über alle eingesetzten KI-Systeme behalten [datenschutz-generator.de]. Viele Unternehmen integrieren diese Dokumentation in ihr bestehendes Datenschutz- oder Compliance-Management. Konkret sollte man festhalten: Welche KI wird wo eingesetzt? Zu welchem Zweck? Welche Daten fließen ein? Welche Risiken wurden geprüft? – Dies hilft nicht nur im Ernstfall, sondern dient auch intern der Transparenz.

  • Transparenz gegenüber Nutzern: Setzt ein Unternehmen KI ein, die nach außen wirkt (z.B. ein Chatbot auf der Website, ein KI-basiertes Entscheidungsmodul gegenüber Kunden oder ein Tool zur Mitarbeiterbewertung), muss es betroffene Personen klar informieren. Kunden, Geschäftspartner oder Mitarbeiter sollen wissen, dass und wofür KI eingesetzt wird [yneo.ai]. Bei Chatbots oder virtuellen Assistenten bedeutet das etwa einen Hinweis „Dieses Gespräch erfolgt mit einem KI-System“. Werden KI-generierte Inhalte ausgegeben – sei es Produkttexte, Bilder oder Entscheidungsbriefe – sind diese entsprechend kenntlich zu machen [datenschutzkanzlei.de]. Diese Kennzeichnungspflicht zielt darauf ab, Vertrauen zu schaffen und den Empfängern die Einordnung zu ermöglichen. Ein Praxisbeispiel: Ein mittelständischer Onlineshop nutzt eine KI, um Kundenanfragen zu beantworten. Hier sollte der Chatdialog einen kurzen Hinweis enthalten („Antwort durch KI generiert“), damit der Kunde dies einordnen kann. Genauso sollte ein Unternehmen, das KI-Tools zur Lebenslaufanalyse im Bewerbungsprozess einsetzt, Bewerber transparent darüber informieren.

  • Mitarbeiterschulung und interne Kompetenzen: Compliance im KI-Bereich erfordert Wissen. Der AI Act schreibt vor, dass Mitarbeitende, die mit KI-Systemen arbeiten, angemessen instruiert und geschult werden müssen [yneo.aiwko.at]. Ab Februar 2025 tritt sogar explizit in Kraft, dass Unternehmen ihre Mitarbeiter nachweislich zu den eingesetzten KI-Systemen schulen müssen [wko.at]. Für KMU bedeutet das: rechtzeitig Trainings einplanen. Inhaltlich sollten Schulungen mindestens die technischen Grundlagen der KI, die regulatorischen Anforderungen (inkl. DSGVO, Haftung) und ethische Fragestellungen wie Bias und Fairness abdecken [yneo.ai]. Nur wenn das eigene Personal die Chancen und Risiken eines KI-Systems versteht, kann es dieses sicher bedienen und überwachen. Insbesondere für Führungskräfte und IT-/Compliance-Beauftragte im Mittelstand sind Fortbildungen zum AI Act jetzt ratsam, damit sie die neuen Pflichten im Unternehmen verankern können.

  • Datenschutz und IT-Sicherheit: Betreiber müssen weiterhin alle einschlägigen Gesetze einhalten – allen voran die DSGVO, sofern personenbezogene Daten verarbeitet werden [datenschutz-generator.de]. Das bedeutet z.B.: Prüfen, ob für den KI-Einsatz eine Rechtsgrundlage vorliegt (etwa Einwilligung oder berechtigtes Interesse), Anpassung der Datenschutzerklärung um den KI-Einsatz zu erläutern, ggf. Durchführung einer Datenschutz-Folgenabschätzung (DPIA) bei hohem Risiko für Betroffene [datenschutz-generator.de]. Oft lässt sich diese Pflicht mit der KI-Risikoanalyse verbinden. Ebenso muss die IT-Sicherheit gewährleistet sein – KI-Systeme dürfen kein Einfallstor für Cyberangriffe darstellen. Mittelständische Betriebe tun gut daran, ihre IT-Standards (z.B. ISO 27001) auch auf KI-Anwendungen auszudehnen: regelmäßige Security-Updates, Zugriffskontrollen, Überprüfung externer KI-Dienste auf Sicherheitszertifikate etc. Schließlich verlangt der AI Act robuste KI, was ohne solide IT-Sicherheit nicht erreichbar ist [ihk-muenchen.deihk-muenchen.de].

Haftungs- und Sanktionsrisiken bei Verstößen

Schon die Höhe der möglichen Bußgelder zeigt, dass der EU AI Act ernst zu nehmen ist. Bei schweren Verstößen – etwa dem Einsatz verbotener KI oder grober Missachtung von Auflagen – drohen Strafen von bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist) [haerting.de]. Diese Obergrenze übersteigt sogar die bekannten DSGVO-Bußgelder und könnte für Mittelständler existenzbedrohend sein. Allerdings trägt die Verordnung dem Rechnung: In Artikel 99 ist festgehalten, dass bei der Sanktionierung die Interessen und das wirtschaftliche Überleben von KMU berücksichtigt werden müssen [haerting.de]. Konkret soll bei kleineren Unternehmen stets eher der niedrigere Strafrahmen zur Anwendung kommen und nicht der maximale [haerting.de]. Dennoch – selbst „nur“ einige Prozent vom Jahresumsatz können ein hoher Betrag sein. Zusätzlich zu Bußgeldern drohen Haftungsrisiken: Verletzt ein Unternehmen durch KI-Nutzung die Rechte Dritter (z.B. Persönlichkeitsrechte, Urheberrechte bei generierten Inhalten, Diskriminierungsverbote im Arbeitsrecht), können Schadensersatzforderungen und Abmahnungen folgen [datenschutz-generator.dedatenschutz-generator.de]. Nicht zu unterschätzen ist auch der Reputationsschaden, wenn bekannt wird, dass eine Firma KI unsachgemäß oder rechtswidrig einsetzt. Für den deutschen Mittelstand, der oft auf gewachsenes Vertrauen bei Kunden und Geschäftspartnern baut, wäre das besonders schmerzhaft.

Spezielle Herausforderungen und Chancen für den Mittelstand

Für deutsche mittelständische Unternehmen stellt der EU AI Act einerseits eine Herausforderung dar – es kommen neue Compliance-Themen hinzu –, andererseits bietet er auch Chancen.

Keine Ausnahmen, aber Unterstützung: Anders als bei manch anderer Regulierung gibt es im AI Act keine generelle Ausnahme für KMU [yneo.ai]. Jedes Unternehmen, das KI mit mittlerem oder hohem Risiko einsetzt, muss die Regeln befolgen. Allerdings hat die EU explizit zugesichert, die besonderen Umstände von KMU zu berücksichtigen [haerting.de]. Ziel ist, unverhältnismäßige Kosten und Bürokratie zu vermeiden, damit Innovation nicht abgewürgt wird [haerting.de]. So sollen nationale Anlaufstellen eingerichtet werden, die KMU kostenlose Beratung zum AI Act anbieten [haerting.de]. Mitgliedstaaten (also auch Deutschland) müssen eine Behörde benennen, die als Beratungsstelle für KMU fungiert und bei Fragen zur Umsetzung hilft [haerting.de]. Zudem plant die EU finanzielle Förderprogramme und KI-Reallabore (Regulatory Sandboxes), bei denen Start-ups und Mittelständler kostengünstig oder gratis KI-Anwendungen testen können [haerting.de]. In solchen Sandboxes können neue KI-Ideen unter Aufsicht erprobt werden, ohne von Tag 1 an sämtliche Pflichten voll erfüllen zu müssen [haerting.de]. Das verschafft kleineren Firmen Spielraum zum Experimentieren. Diese Unterstützungsmaßnahmen abzurufen, kann für Mittelständler sehr sinnvoll sein, um die Umsetzung der KI-Vorgaben mit vertretbarem Aufwand zu stemmen.

Synergien nutzen: Viele mittelständische Unternehmen haben bereits Compliance-Strukturen – etwa durch die DSGVO (Datenschutzbeauftragte, Verarbeitungsverzeichnisse, IT-Sicherheitskonzepte). Hier lässt sich anknüpfen. Der AI Act lässt sich in Teilen in bestehende Prozesse integrieren: Die Risikobewertung von KI kann z.B. zusammen mit einer Datenschutz-Folgenabschätzung durchgeführt werden; die Inventarisierung von KI-Systemen lässt sich ins Verarbeitungsverzeichnis aufnehmen [datenschutz-generator.dedatenschutz-generator.de]. Wenn bereits ein Compliance-Team oder ein Digitalisierungsbeauftragter existiert, kann dieser Personenkreis auch die KI-Compliance mit übernehmen – eventuell ergänzt um externe Expertise. Mittelständler müssen das Rad also nicht neu erfinden, sondern sollten KI-Aspekte in ihr vorhandenes Compliance- und Qualitätsmanagement einbetten. Auch vorhandene IT-Sicherheitsaudits oder ISO-Zertifizierungen können erweitert werden, um KI-spezifische Punkte abzudecken.

Wettbewerbsvorteil durch Vertrauen: Die Chancen liegen vor allem darin, dass vertrauenswürdige KI zum Wettbewerbsvorteil werden kann. Unternehmen, die frühzeitig die AI-Act-Vorgaben umsetzen, senden ein Signal an ihre Kunden und Partner: “Wir gehen verantwortungsvoll mit KI um.” Gerade im B2B-Geschäft könnte dies ein entscheidendes Kriterium sein – z.B. wenn ein Mittelständler als Zulieferer nachweisen kann, dass seine KI-gestützten Produkte oder Prozesse KI-Act-konform und sicher sind. Das schafft Vertrauen, welches im Zeitalter von KI-Skepsis Gold wert ist [yneo.ai]. Zudem ermöglicht der einheitliche EU-Rechtsrahmen es Unternehmen, ihre KI-Innovationen EU-weit anzubieten, ohne sich auf unterschiedliche nationale Vorschriften einstellen zu müssen. Für exportorientierte Mittelständler ist das ein Plus an Planungssicherheit. Last but not least kann die Auseinandersetzung mit den AI-Act-Anforderungen intern Innovationen befeuern: Wer gezwungen ist, die Datenqualität und Wirkung seiner KI zu überprüfen, wird dabei möglicherweise Verbesserungsmöglichkeiten entdecken. Insgesamt gilt: Der AI Act ist nicht nur eine Bürde, sondern kann bei vorausschauender Umsetzung zum Qualitätsmerkmal werden [haerting.de].

Checkliste: Erste Schritte für KMU zur Umsetzung der KI-Verordnung

Zum Abschluss eine praxisorientierte Checkliste. Sie hilft mittelständischen Unternehmen, die Umsetzungspflichten strukturiert anzugehen – damit Compliance kein Papiertiger bleibt, sondern im Unternehmensalltag verankert wird:

  1. Bestandsaufnahme aller KI-Systeme: Verschaffen Sie sich einen Überblick, wo bereits KI im Einsatz ist oder geplant wird. Definieren Sie, welche Anwendungen unter den KI-Begriff fallen (Tipp: alles, was maschinelles Lernen oder Entscheidungen aufgrund von Daten vornimmt) [datenschutz-generator.de]. Prüfen Sie für jedes identifizierte System, welche Risiko-Kategorie vorliegt – insbesondere, ob hochriskante Anwendungen dabei sind (z.B. KI im Recruiting, in der Kreditprüfung, in sicherheitskritischen Prozessen) [datenschutz-generator.dedatenschutz-generator.de]. Falls ja, markieren Sie diese für besondere Maßnahmen.

  2. Verbotene Anwendungen ausschließen: Stellen Sie sicher, dass Sie keine verbotenen KI-Praktiken nutzen [datenschutz-generator.dedatenschutz-generator.de]. Überprüfen Sie Ihre eingesetzten Tools darauf, ob sie z.B. unangemessene Verhaltensbeeinflussung, Social Scoring oder unerlaubte biometrische Erkennung durchführen. Solche Funktionen sind umgehend abzuschalten oder zu ersetzen, um Rechtsverstöße zu vermeiden.

  3. Verantwortlichkeiten festlegen: Benennen Sie intern einen oder mehrere Verantwortliche für KI-Compliance. Ähnlich wie ein Datenschutzbeauftragter sollte jemand den Überblick behalten, was der AI Act erfordert. Diese Person (oder Task-Force) koordiniert die Umsetzung der unten genannten Schritte. Sie sollte sich auch kontinuierlich über neue Entwicklungen des Gesetzes informieren. Gerade im Mittelstand kann dies eine zusätzliche Rolle für den Datenschutz- oder IT-Sicherheitsbeauftragten sein, sofern entsprechendes Know-how vorhanden ist.

  4. Risikobewertung durchführen: Für jedes KI-System – insbesondere die hochriskanten – führen Sie eine Risikobeurteilung durch. Identifizieren Sie mögliche Risiken für Personen oder die Sicherheit durch die KI. Dokumentieren Sie, welche Schutzmaßnahmen bereits bestehen und wo Lücken sind. Bei KI-Systemen, die personenbezogene Daten verarbeiten, verbinden Sie dies mit einer Datenschutz-Folgenabschätzung nach DSGVO [datenschutz-generator.de]. Tipp: Nutzen Sie vorhandene Methoden aus Qualitätsmanagement oder IT-Risk-Management und passen Sie sie auf KI an.

  5. Maßnahmenplan & technische Umsetzung: Leiten Sie aus der Risikobewertung konkrete Maßnahmen ab. Beispielsweise: Müssen Bias-Tests durchgeführt werden, um Diskriminierung auszuschließen? Welche menschlichen Kontrollmechanismen (Vier-Augen-Prinzip, Freigabeprozesse) richten Sie ein, damit die KI nicht unbeaufsichtigt kritische Entscheidungen trifft? Gibt es eine Notfallprozedur, um die KI bei Fehlverhalten abzuschalten? Implementieren Sie außerdem technische Vorkehrungen: Aktivieren Sie Logging-Funktionen in KI-Systemen und speichern Sie Ergebnisse mindestens sechs Monate [datenschutz-generator.de]. Sorgen Sie dafür, dass Sicherheitsupdates regelmäßig eingespielt werden, um die Cybersecurity der KI zu gewährleisten [ihk-muenchen.de].

  6. Dokumentation erstellen: Erarbeiten Sie für die identifizierten KI-Systeme eine verständliche Dokumentation. Diese sollte enthalten: Zweck der KI, Funktionsweise in groben Zügen, Art der eingesetzten Daten, erzielte Ergebnisse, bekannte Einschränkungen oder Fehlerquellen, sowie die Ergebnisse Ihrer Risikobewertung. Anbieter im Mittelstand, die eigene KI-Produkte vertreiben, können hier auf das angekündigte vereinfachte EU-Template warten [haerting.de] – nutzen Sie es, sobald verfügbar, um Zeit zu sparen. Betreiber sollten zumindest für den internen Gebrauch eine ähnliche Doku haben. Halten Sie diese Unterlagen bereit, falls Aufsichtsbehörden oder Geschäftspartner Nachweise verlangen.

  7. Transparenz sicherstellen: Überprüfen Sie sämtliche Punkte, wo Ihre Organisation mit Mitarbeitern, Kunden oder der Öffentlichkeit mittels KI interagiert. Entwickeln Sie Transparenz-Hinweise und schulen Sie Ihre Belegschaft, diese konsequent umzusetzen. Zum Beispiel: Kennzeichnen Sie einen KI-Chatbot auf der Website deutlich; fügen Sie in automatisch generierten E-Mails einen Satz wie „Erstellt mit Unterstützung von KI“ ein, wenn zutreffend. Wenn Ihr Marketing KI-erstelle Bilder/Videos verwendet, versehen Sie diese mit einem Hinweis auf KI-Generierung. Schaffen Sie intern Richtlinien, dass Deepfake-Inhalte für offizielle Zwecke verboten sind, es sei denn, sie werden ausdrücklich als solche deklariert [datenschutzkanzlei.de].

  8. Mitarbeiter informieren und schulen: Entwickeln Sie ein Schulungskonzept für relevante Mitarbeitergruppen. Dabei geht es nicht nur um Entwickler, sondern auch um alle, die KI-Ergebnisse beurteilen oder nutzen (HR-Manager, Kundenbetreuer mit Chatbot, etc.). Klären Sie über die Grundlagen der KI und die spezifischen Pflichten nach AI Act auf [yneo.ai]. Sensibilisieren Sie insbesondere für Bias (verzerrte Ergebnisse) und die richtige Reaktion, wenn die KI Fehler macht. Halten Sie fest, welche Mitarbeiter wann geschult wurden – denken Sie an die Nachweispflicht ab 2025 [wko.at]. Zusätzlich sollten alle Mitarbeiter im Unternehmen zumindest darüber informiert sein, wo KI-Systeme zum Einsatz kommen (Transparenz nach innen). Binden Sie gegebenenfalls auch den Betriebsrat ein, wenn KI z.B. in der Personalsteuerung genutzt wird, um Akzeptanz zu schaffen und Mitbestimmungsrechte zu wahren [datenschutz-generator.de].

  9. Externe Hilfe und Tools nutzen: Scheuen Sie sich nicht, Beratung in Anspruch zu nehmen – es gibt bereits zahlreiche Angebote von Kammern, Verbänden oder spezialisierten Beratungen für den Mittelstand. Halten Sie Ausschau nach Förderprojekten oder Testumgebungen (Sandboxes), die von Behörden angeboten werden [haerting.dehaerting.de]. Diese können Ihnen helfen, die neuen Anforderungen in der Praxis auszuprobieren, ohne direkt Haftungsrisiken einzugehen. Auch technische Compliance-Tools kommen auf den Markt, die beispielsweise KI-Systeme automatisiert auf Bias prüfen oder Dokumentationsvorlagen bereitstellen. Solche Hilfsmittel können gerade für kleinere Unternehmen eine Arbeitserleichterung sein.

  10. Kontinuierliche Überprüfung und Anpassung: KI-Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Etablieren Sie einen Rhythmus (z.B. halbjährlich oder bei jeder größeren KI-Änderung), um die Einhaltung der KI-Vorgaben zu überprüfen. Passen Sie Ihre Prozesse an, wenn sich das Gesetz weiterentwickelt oder neue Normen und Standards veröffentlicht werden – der AI Act wird von europäischen Gremien mit technischen Standards untermauert, an denen auch KMU mitwirken können [haerting.de]. Bleiben Sie hier am Ball, damit Ihre KI-Anwendungen stets auf dem neuesten Stand von Sicherheit und Compliance sind.

Mit dieser Checkliste legen Mittelständler den Grundstein, um den EU AI Act proaktiv umzusetzen. Wichtig ist, jetzt zu beginnen: Auch wenn einige Pflichten erst 2025/2026 wirksam werden, verschafft frühzeitiges Handeln einen Vorsprung. So wird KI-Compliance nicht nur zur Pflichterfüllung, sondern zum Enabler für vertrauenswürdige Innovation im deutschen Mittelstand. Wer die neuen Regeln strategisch nutzt, kann Risiken minimieren und das Vertrauen von Kunden, Mitarbeitern und Partnern stärken – ein klarer Gewinn in der KI-getriebenen Zukunft [yneo.aihaerting.de].

Datenschutz bei No-/Low-Code-Plattformen und generativer KI im Mittelstand ›