AI Act und KMU: Was der deutsche Mittelstand jetzt wissen muss

Der AI Act betrifft nicht nur Tech-Giganten. Auch KMU und Handwerksbetriebe, die KI-Tools einsetzen, haben Pflichten — insbesondere die KI-Kompetenz-Pflicht, die bereits seit Februar 2025 gilt. Dieser Leitfaden zeigt, was auf den Mittelstand zukommt.

Rollen im AI Act: Provider vs. Deployer

Der AI Act unterscheidet zwei zentrale Rollen:

Provider (Anbieter)

• Wer: Entwickelt oder lässt ein KI-System entwickeln und bringt es auf den Markt
• Beispiele: OpenAI (ChatGPT), Microsoft (Copilot), SAP (KI-Features)
• Pflichten: Vollumfänglich — Risikoklassifizierung, Dokumentation, Konformitätsbewertung

Deployer (Betreiber/Anwender)

• Wer: Setzt ein KI-System für eigene Zwecke ein
• Beispiele: Ihr Unternehmen, wenn es ChatGPT, Copilot oder KI-gestützte HR-Software nutzt
• Pflichten: Reduziert — aber nicht null

Die meisten KMU sind Deployer. Sie nutzen KI-Tools, entwickeln aber keine eigenen KI-Systeme. Die Pflichten sind geringer, aber real.

KI-Kompetenz: Pflicht seit Februar 2025

Artikel 4 — Die unterschätzte Pflicht

„Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach bestem Wissen und Gewissen sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen."

Was bedeutet das konkret?

| Aspekt | Anforderung | |---|---| | Wer | Alle Mitarbeiter, die mit KI arbeiten | | Was | Verständnis der Fähigkeiten, Grenzen und Risiken | | Wie | Schulungen, Richtlinien, praktische Anleitungen | | Wann | Seit 02.02.2025 | | Nachweis | Dokumentation der Schulungen empfohlen |

Praxisbeispiel: Mittelständisches Unternehmen

Ein Maschinenbauunternehmen mit 150 Mitarbeitern, das folgende KI-Tools einsetzt:

| Tool | Nutzer | Schulungsbedarf | |---|---|---| | Microsoft Copilot | Alle Büro-Mitarbeiter | Grundlagen KI, Grenzen, Datenschutz | | ChatGPT (via API) | Marketing-Team | Prompt Engineering, Output-Prüfung, Halluzinationsrisiken | | KI-basierte Qualitätskontrolle | Produktion | Fehlererkennung, Grenzen des Systems, Eskalationsprozesse | | HR-Tool mit KI-Matching | Personalabteilung | Bias-Risiken, menschliche Endentscheidung, Transparenzpflicht |

Reduzierte Pflichten für KMU

Regulatory Sandbox

Der AI Act sieht KI-Reallabore (Regulatory Sandboxes) vor, in denen KMU innovative KI-Systeme unter behördlicher Aufsicht testen können — mit reduzierten Compliance-Kosten.

Erleichterungen bei Hochrisiko-KI

| Standard-Pflicht | KMU-Erleichterung | |---|---| | Umfassendes Qualitätsmanagement | Vereinfachtes, proportionales QMS | | Konformitätsbewertung durch Dritte | Selbstbewertung in vielen Fällen möglich | | Gebühren für Registrierung/Konformität | Reduzierte Gebühren für KMU | | Technische Dokumentation | Vereinfachte Formate angekündigt |

KMU-Definition im AI Act

| Kategorie | Mitarbeiter | Umsatz | Bilanzsumme | |---|---|---|---| | Kleinstunternehmen | < 10 | ≤ 2 Mio. EUR | ≤ 2 Mio. EUR | | Kleines Unternehmen | < 50 | ≤ 10 Mio. EUR | ≤ 10 Mio. EUR | | Mittleres Unternehmen | < 250 | ≤ 50 Mio. EUR | ≤ 43 Mio. EUR |

Deployer-Pflichten im Detail

Bei Hochrisiko-KI (Art. 26)

Wenn Ihr Unternehmen ein Hochrisiko-KI-System nutzt (z.B. KI-gestützte Bewerberauswahl):

1. Bestimmungsgemäße Verwendung — Nur gemäß Gebrauchsanweisung einsetzen
2. Menschliche Aufsicht — Qualifiziertes Personal für Überwachung benennen
3. Eingabedaten-Qualität — Relevante und repräsentative Daten sicherstellen
4. Monitoring — Funktionsweise überwachen, Anomalien melden
5. Aufzeichnungspflichten — Logs aufbewahren (mindestens 6 Monate)
6. DSFA — Datenschutz-Folgenabschätzung durchführen (Art. 26 Abs. 9)
7. Information — Betroffene informieren (z.B. Bewerber bei KI-Screening)
8. Grundrechte-Folgenabschätzung — Für öffentliche Stellen und bestimmte Private

Bei Transparenzpflichten (Art. 50)

Für Chatbots, generative KI und Deepfakes:

• Nutzer über KI-Interaktion informieren
• KI-generierte Inhalte kennzeichnen
• Emotionserkennung: Betroffene informieren

Für alle KI-Systeme (Art. 4)

• KI-Kompetenz sicherstellen (siehe oben)

10-Punkte-Checkliste für KMU

Sofort (seit 02/2025)

1. ☐ KI-Inventar erstellen — Welche KI-Tools werden im Unternehmen eingesetzt?
2. ☐ Rollen klären — Sind Sie Provider oder Deployer für jedes System?
3. ☐ KI-Kompetenz-Schulungen durchführen und dokumentieren
4. ☐ KI-Richtlinie für Mitarbeiter erstellen (erlaubt/verboten/mit Freigabe)

Bis August 2026

5. ☐ Risikoklassifizierung jedes KI-Systems durchführen
6. ☐ Hochrisiko-Systeme identifizieren — Nutzen Sie KI in HR, Kreditvergabe, Sicherheit?
7. ☐ Transparenzpflichten für Chatbots und generative KI umsetzen
8. ☐ Menschliche Aufsicht bei Hochrisiko-KI definieren

Laufend

9. ☐ Monitoring der KI-Systeme auf Funktionsfähigkeit und Bias
10. ☐ Dokumentation pflegen — Schulungen, Risikoanalysen, Vorfälle

KI-Richtlinie für das Unternehmen: Muster

KI-NUTZUNGSRICHTLINIE — [Firmenname]
Stand: [Datum]

1. Geltungsbereich
   Diese Richtlinie gilt für alle Mitarbeiter, die KI-Tools nutzen.

2. Zugelassene KI-Tools
   [Liste der freigegebenen Tools und Einsatzzwecke]

3. Verbotene Nutzung
   - Eingabe personenbezogener Daten in öffentliche KI-Dienste
   - Eingabe von Geschäftsgeheimnissen oder vertraulichen Informationen
   - Automatisierte Entscheidungen ohne menschliche Überprüfung
   - Erstellung irreführender Inhalte (Deepfakes)

4. Pflichten der Nutzer
   - KI-generierte Inhalte vor Verwendung prüfen
   - Quellen verifizieren (Halluzinationsrisiko)
   - KI-Einsatz gegenüber Betroffenen offenlegen
   - Auffälligkeiten an [Ansprechpartner] melden

5. Schulungen
   Jährliche Pflichtschulung zu KI-Kompetenz und dieser Richtlinie.

6. Verantwortlich
   [Name, Funktion]

Bußgelder bei Verstößen

| Verstoß | Maximum | |---|---| | Verstoß gegen Verbote (Art. 5) | 35 Mio. EUR / 7% Umsatz | | Verstoß gegen Hochrisiko-Pflichten | 15 Mio. EUR / 3% Umsatz | | Falsche Angaben an Behörden | 7,5 Mio. EUR / 1,5% Umsatz |

Für KMU: Die Bußgelder werden proportional angepasst — aber auch reduzierte Bußgelder können existenzbedrohend sein.

Fazit

Der AI Act ist nicht nur für Tech-Unternehmen relevant. Jedes KMU, das KI-Tools einsetzt — und das sind mittlerweile die meisten — muss zumindest die KI-Kompetenz-Pflicht erfüllen und wissen, welche Risikoklasse seine KI-Systeme haben. Starten Sie mit dem Inventar und den Schulungen — das ist der wichtigste erste Schritt.

Scannen Sie Ihre Website kostenlos mit WarDek — OWASP, NIS2, DSGVO, AI Act Compliance in einem Scan.