Der EU AI Act ist in Kraft. Während viele Geschäftsführer mittelständischer Unternehmen das Thema noch als abstrakte Regulierungsmaterie betrachten, tickt die Uhr bereits. Die Übergangszeiträume laufen, erste Verbote gelten seit Februar 2025, und die vollständige Anwendbarkeit ist für August 2026 terminiert.
Was das konkret für Ihr Unternehmen bedeutet, welche Pflichten auf Sie zukommen und – entscheidend – wie Sie die Regulierung als strategischen Vorteil nutzen können, lesen Sie in diesem Artikel.
Wir bei awantego begleiten mittelständische Unternehmen bei der praxistauglichen Einführung von KI-Systemen. Der EU AI Act verändert dabei den Rahmen grundlegend. Dieser Leitfaden gibt Ihnen die Orientierung, die Sie als Entscheider brauchen.
Inhalt
Was ist der EU AI Act – und warum betrifft er auch Sie als KMU?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Er wurde am 1. August 2024 in Kraft gesetzt und gilt – wie eine EU-Verordnung – unmittelbar in allen Mitgliedstaaten, ohne nationalen Umsetzungsakt.
Ein weit verbreiteter Irrtum in mittelständischen Unternehmen lautet: „Das betrifft doch nur die großen Tech-Konzerne.“
Das ist falsch. Der EU AI Act gilt für jeden, der KI-Systeme in der EU entwickelt, vertreibt, importiert oder nutzt – unabhängig von der Unternehmensgröße. Als Geschäftsführer eines KMU sind Sie in zwei Rollen betroffen:
- Als Anwender (Deployer): Wenn Sie KI-Tools in Ihrem Unternehmen einsetzen – sei es für Personalentscheidungen, Kreditbewertungen, Qualitätskontrolle oder Kundenkommunikation.
- Als Anbieter (Provider): Wenn Sie KI-Systeme entwickeln oder entwickeln lassen, die intern oder extern genutzt werden.
Beide Rollen sind mit konkreten Pflichten verbunden. Und Unwissenheit schützt nicht vor Bußgeldern, die bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes betragen können.
Die Risikoklassen des EU AI Act: Wo steht Ihr Unternehmen?
Das zentrale Konzept des EU AI Act ist ein risikobasierter Ansatz. KI-Systeme werden in vier Kategorien eingeteilt, die unterschiedliche Pflichten auslösen.
1. Verbotene KI-Praktiken (seit Februar 2025 in Kraft)
Bestimmte KI-Anwendungen sind vollständig verboten. Für den Mittelstand relevante Beispiele:
- Social Scoring: Systeme, die Personen auf Basis ihres sozialen Verhaltens bewerten und benachteiligen
- Manipulative KI: Systeme, die das Verhalten von Personen unbewusst beeinflussen, um ihnen zu schaden
- Biometrische Echtzeitüberwachung im öffentlichen Raum (mit wenigen Ausnahmen für Strafverfolgungsbehörden)
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
Handlungsbedarf: Prüfen Sie sofort, ob KI-Systeme in Ihrem Unternehmen in diese Kategorien fallen. Dieser Bereich ist nicht verhandelbar.
2. Hochrisiko-KI-Systeme (vollständig anwendbar ab August 2026)
Dies ist die für den Mittelstand kritischste Kategorie. Hochrisiko-KI-Systeme unterliegen strengen Anforderungen bezüglich Transparenz, Dokumentation, menschlicher Aufsicht und Datenverwaltung.
Als Hochrisiko gelten KI-Systeme in folgenden Bereichen:
Wichtig für Maschinenbauer und Automotive-Zulieferer: Wenn Sie KI-Systeme in Produkte integrieren, die unter bestehende Produktsicherheitsrichtlinien fallen (z. B. Maschinenrichtlinie, Medizinprodukteverordnung), gelten diese automatisch als Hochrisiko.
3. KI-Systeme mit begrenztem Risiko
Hierunter fallen vor allem Chatbots und generative KI-Anwendungen. Die Hauptpflicht ist die Transparenzpflicht: Nutzer müssen wissen, dass sie mit einem KI-System interagieren.
Für viele KMU, die Chatbots im Kundenservice einsetzen, besteht hier unmittelbarer Handlungsbedarf – auch wenn die Anforderungen überschaubar sind.
4. Minimales oder kein Risiko
KI-Systeme wie Spamfilter oder KI-gestützte Videobearbeitung fallen in diese Kategorie und unterliegen keinen spezifischen Anforderungen. Freiwillige Verhaltenskodizes werden jedoch von der EU empfohlen.
Die konkreten Pflichten für Hochrisiko-Anwender (Deployer)
Wenn Ihr Unternehmen ein Hochrisiko-KI-System einsetzt (nicht entwickelt), treffen Sie folgende Pflichten:
Technische und organisatorische Maßnahmen
1. Risikomanagement-System Sie müssen ein kontinuierliches Risikomanagement-System für den gesamten Lebenszyklus des KI-Systems etablieren. Das ist kein einmaliger Audit, sondern ein dauerhafter Prozess.
2. Qualitätsmanagement der Trainingsdaten Daten, auf deren Basis KI-Entscheidungen getroffen werden, müssen relevant, repräsentativ und frei von systematischen Fehlern sein. Für Unternehmen, die eigene Modelle trainieren, bedeutet das eine klare Dokumentationspflicht.
3. Technische Dokumentation Für jedes Hochrisiko-KI-System ist eine umfangreiche technische Dokumentation zu erstellen und aktuell zu halten. Diese muss auf Anfrage der zuständigen Behörde vorgelegt werden können.
4. Logging und Protokollierung Hochrisiko-KI-Systeme müssen automatisch Protokolle ihrer Aktivitäten erstellen. Diese Logs müssen für einen definierten Zeitraum aufbewahrt werden.
5. Transparenz gegenüber Nutzern Personen, die von einem Hochrisiko-KI-System betroffen sind, müssen in klarer Sprache informiert werden, dass sie mit einem KI-System interagieren.
6. Menschliche Aufsicht Hochrisiko-KI-Systeme müssen so gestaltet sein, dass Menschen die Ausgaben des Systems überwachen, hinterfragen und übersteuern können. Vollautomatische Entscheidungen ohne menschliche Kontrolle sind in diesen Bereichen nicht zulässig.
7. Robustheit und Genauigkeit Das System muss nachweislich präzise, robust und cybersicher sein.
Registrierungspflicht
Hochrisiko-KI-Systeme müssen in einer EU-weiten Datenbank registriert werden, die von der Europäischen Kommission verwaltet wird. Die Registrierung liegt beim Anbieter, aber Anwender müssen sicherstellen, dass die von ihnen genutzten Systeme registriert sind.
Sonderfall: Allgemeine KI-Modelle (GPAI) – relevant für Anwender von ChatGPT, Gemini & Co.
Der EU AI Act enthält spezifische Regelungen für sogenannte General Purpose AI Models (GPAI) – also Modelle wie GPT-4, Gemini oder Claude, die für eine Vielzahl von Zwecken genutzt werden können.
Anbieter dieser Modelle (OpenAI, Google, Anthropic) tragen primär die Compliance-Verantwortung. Als Unternehmen, das diese Modelle einsetzt, sind Sie jedoch nicht vollständig aus der Pflicht entlassen:
- Sie bleiben verantwortlich für den konkreten Anwendungsfall in Ihrem Unternehmen
- Sie müssen sicherstellen, dass die Nutzung nicht in verbotene oder Hochrisiko-Kategorien fällt
- Sie tragen die Verantwortung für die Daten, die Sie in diese Systeme einspeisen
Genau hier liegt einer der stärksten Argumente für eine Private-AI-Strategie: Wer eigene Modelle lokal betreibt, minimiert die Abhängigkeit von der Compliance-Politik externer Anbieter. Wie das technisch heute möglich ist, zeigen wir in unserem Artikel Private AI für den Mittelstand: Mistral Forge & Small 4 im Einsatz .
Die Zeitachse: Wann müssen Sie was tun?
Viele Geschäftsführer unterschätzen, wie wenig Zeit noch bleibt. Hier die verbindliche Zeitachse:
Die Botschaft für Entscheider: Sie haben für die Hochrisiko-Anforderungen noch Zeit bis August 2026. Aber wer mit dem Aufbau von Risikomanagement-Systemen, technischer Dokumentation und internen Prozessen erst 2026 beginnt, wird in Zeitnot geraten. Erfahrungsgemäß benötigen mittelständische Unternehmen 12 bis 18 Monate, um diese Strukturen aufzubauen.
Der richtige Zeitpunkt zu starten ist jetzt.
Was bedeutet der EU AI Act für spezifische Branchen im Mittelstand?
Maschinenbau und Fertigungsindustrie
Wenn Sie KI in Maschinen oder Anlagen integrieren, die Sicherheitsfunktionen übernehmen, sind Sie fast automatisch im Hochrisiko-Bereich. Die Anforderungen des EU AI Act überlagern sich mit der Maschinenrichtlinie und der neuen Maschinenverordnung (EU) 2023/1230.
Konkrete Handlungsfelder:
- Überprüfung aller KI-basierten Sicherheitskomponenten
- Aufbau einer lückenlosen technischen Dokumentation
- Integration von Logging-Funktionen in bestehende Systeme
Mehr zu KI im Fertigungsumfeld lesen Sie in unserem Artikel KI in der Fertigung: Praxisbeispiele für den Mittelstand .
Finanzdienstleistungen und Versicherungen
KI-gestützte Kreditbewertung, Versicherungsrisiko-Kalkulation und Betrugserkennung fallen in den Hochrisiko-Bereich. Für Unternehmen in diesem Sektor kommen die Anforderungen des EU AI Act zusätzlich zu bestehenden Regulierungen (BaFin, DSGVO) hinzu.
Besondere Herausforderung: Die Pflicht zur Erklärbarkeit von KI-Entscheidungen (Explainable AI) kollidiert häufig mit der Komplexität moderner Modelle. Hier sind technische Lösungen gefragt.
Personalwesen und HR-Management
KI-gestützte Bewerberselektion, automatisierte Leistungsbewertungen und KI-basierte Kündigungsempfehlungen sind explizit als Hochrisiko klassifiziert. Das betrifft auch kleine Unternehmen, die HR-Software mit KI-Funktionen einsetzen.
Praktische Konsequenz: Als Anwender solcher Software sind Sie verpflichtet, beim Anbieter nachzufragen, ob das System EU AI Act-konform ist. Sie können die Pflicht nicht vollständig auf den Softwareanbieter abwälzen.
Gesundheitswesen und Medizintechnik
KI-Systeme in Medizinprodukten gelten automatisch als Hochrisiko und unterliegen zusätzlich der Medizinprodukteverordnung (MDR). Für Hersteller und Anwender gleichermaßen: Dieser Bereich erfordert sofortiges und umfassendes Handeln.
DSGVO und EU AI Act: Wie verhalten sich die Regelwerke zueinander?
Eine häufige Frage aus der Praxis: „Wenn wir DSGVO-konform sind, sind wir dann auch EU AI Act-konform?“
Die Antwort ist klar: Nein. Beide Regelwerke ergänzen sich, ersetzen sich aber nicht.
Die DSGVO regelt den Schutz personenbezogener Daten generell. Der EU AI Act regelt spezifisch den Einsatz von KI-Systemen – mit Anforderungen, die weit über den Datenschutz hinausgehen: technische Robustheit, menschliche Aufsicht, Risikomanagement, Registrierung.
Allerdings gibt es wichtige Überschneidungspunkte:
- Das Recht auf Erklärung bei automatisierten Entscheidungen (DSGVO Art. 22) wird durch den EU AI Act erheblich ausgeweitet
- Die Datenschutz-Folgenabschätzung (DSFA) nach DSGVO und die Konformitätsbewertung nach EU AI Act müssen koordiniert werden
- Auftragsverarbeitungsverträge müssen um KI-spezifische Klauseln erweitert werden
Unsere Empfehlung: Binden Sie Ihren Datenschutzbeauftragten von Anfang an in Ihre KI-Compliance-Projekte ein. Eine strukturierte Übersicht zur datenschutzkonformen KI-Nutzung finden Sie in unserem Artikel DSGVO-konforme KI im Unternehmen: Was Sie beachten müssen .
Der strategische Blickwinkel: Compliance als Wettbewerbsvorteil
Hier möchten wir als awantego eine klare Position einnehmen: Der EU AI Act ist kein Bürokratiemonster, das es zu umgehen gilt. Er ist eine Marktchance für den deutschen Mittelstand.
Warum?
1. Vertrauen als Differenzierungsmerkmal Unternehmen, die nachweislich EU AI Act-konform agieren, gewinnen das Vertrauen von Kunden, Partnern und Investoren. Insbesondere im B2B-Bereich wird Compliance zunehmend zur Voraussetzung für Geschäftsbeziehungen.
2. Interne Qualitätssteigerung Die Anforderungen des EU AI Act – saubere Daten, nachvollziehbare Prozesse, menschliche Aufsicht – sind keine bürokratischen Pflichten, sondern gute KI-Praxis. Unternehmen, die diese Standards einhalten, betreiben KI zuverlässiger und mit besseren Ergebnissen.
3. Exportvorteil Da der EU AI Act als globaler Regulierungsstandard gilt (ähnlich wie die DSGVO), verschaffen sich Unternehmen, die heute konform sind, einen Vorteil auf internationalen Märkten, sobald ähnliche Regelungen weltweit eingeführt werden.
4. Investitionssicherheit KI-Investitionen in konforme Systeme sind langfristig sicherer. Das Risiko, Systeme später kostspielig nachrüsten oder abschalten zu müssen, ist deutlich geringer.
Private AI als Compliance-Strategie: Der technische Ansatz
Eine der effizientesten Strategien, um EU AI Act-Anforderungen zu erfüllen, ist der Aufbau einer Private-AI-Infrastruktur – also der Betrieb von KI-Modellen in der eigenen kontrollierten Umgebung.
Warum das die Compliance vereinfacht:
- Datensouveränität: Keine Daten verlassen Ihre Infrastruktur. Das eliminiert einen Großteil der DSGVO- und EU AI Act-relevanten Risiken bei der Datenverarbeitung.
- Volle Kontrolle über das Modell: Sie wissen exakt, womit Ihr Modell trainiert wurde und wie es Entscheidungen trifft – eine Kernanforderung für Hochrisiko-Systeme.
- Nachvollziehbarkeit: Logging, Monitoring und Auditierbarkeit sind in Ihrer eigenen Infrastruktur deutlich einfacher umzusetzen als bei externen API-Diensten.
- Unabhängigkeit: Sie sind nicht von den sich ändernden Nutzungsbedingungen und Compliance-Versprechen amerikanischer Anbieter abhängig.
Mit Lösungen wie Mistral Forge und Small 4 ist dieser Ansatz heute auch für mittelständische Unternehmen ohne Großkonzern-Budget realisierbar. Alle Details dazu finden Sie in unserem Artikel Private AI für den Mittelstand: Mistral Forge & Small 4 im Einsatz .
Ihr konkreter Aktionsplan: 7 Schritte zur EU AI Act-Compliance
Orientierung statt Überforderung – hier ist ein pragmatischer Fahrplan für Geschäftsführer:
Schritt 1: KI-Inventur durchführen Erstellen Sie eine vollständige Liste aller KI-Systeme, die Ihr Unternehmen nutzt oder plant zu nutzen. Dazu gehören auch eingebettete KI in Standardsoftware (HR-Systeme, CRM, ERP).
Schritt 2: Risikoklassifizierung vornehmen Ordnen Sie jedes System einer der vier Risikokategorien zu. Im Zweifel gilt: lieber eine Kategorie höher einordnen und auf der sicheren Seite sein.
Schritt 3: Sofortmaßnahmen bei verbotenen Praktiken Falls Systeme in den Verbotsbereich fallen: sofortiger Stopp oder grundlegende Überarbeitung. Dieser Bereich duldet keinen Aufschub.
Schritt 4: Transparenzpflichten für begrenzte Risikosysteme umsetzen Chatbots und ähnliche Systeme mit einem klar sichtbaren Hinweis versehen, dass es sich um KI handelt. Das ist schnell und günstig umzusetzen.
Schritt 5: Compliance-Roadmap für Hochrisiko-Systeme entwickeln Für jeden Hochrisiko-Bereich: Wer ist verantwortlich? Welche Dokumentation fehlt? Welche technischen Anpassungen sind notwendig? Setzen Sie konkrete Meilensteine bis August 2026.
Schritt 6: Lieferanten und Softwareanbieter prüfen Fordern Sie von jedem Anbieter, dessen KI-Systeme Sie einsetzen, eine schriftliche Erklärung zur EU AI Act-Konformität. Passen Sie Verträge entsprechend an.
Schritt 7: Governance-Struktur etablieren Benennen Sie eine verantwortliche Person für KI-Governance in Ihrem Unternehmen. In größeren KMU empfiehlt sich ein kleines internes KI-Komitee, das Datenschutzbeauftragten, Rechtsabteilung und IT zusammenbringt.
Wie Sie Ihre KI-Governance-Struktur aufbauen, erläutern wir ausführlich in unserem Leitfaden KI-Governance im Mittelstand: Strukturen aufbauen, die halten .
Was awantego für Sie tun kann
Der EU AI Act ist komplex. Aber er ist beherrschbar – mit der richtigen Begleitung.
Bei awantego unterstützen wir mittelständische Unternehmen:
✅ Welche Ihrer KI-Systeme fallen in welche Risikoklasse?
✅ Wo besteht sofortiger Handlungsbedarf?
✅ Was kostet Compliance – und was kostet Nicht-Compliance?
✅ Welche technischen und organisatorischen Maßnahmen sind konkret umzusetzen?
Sprechen Sie mit uns – ohne Fachjargon, mit unternehmerischem Fokus.
👉 Jetzt kostenfreies Erstgespräch vereinbaren
Fazit: Der EU AI Act ist Führungsaufgabe, nicht IT-Aufgabe
Der EU AI Act betrifft nicht die IT-Abteilung. Er betrifft die Unternehmensführung.
Die Entscheidung, welche KI-Systeme eingesetzt werden, wie Daten verwaltet werden, welche Prozesse automatisiert werden und wie dabei mit menschlicher Aufsicht umgegangen wird – das sind unternehmerische Grundsatzentscheidungen, die in den Verantwortungsbereich der Geschäftsführung fallen.
Unternehmen, die jetzt handeln, haben einen entscheidenden Vorteil: Sie können die Compliance-Anforderungen in ihre KI-Strategie integrieren, anstatt später kostspielig nachzubessern. Sie bauen Vertrauen auf – bei Kunden, Partnern und Behörden. Und sie sichern ihre KI-Investitionen langfristig ab.
Der EU AI Act ist kein Hindernis auf dem Weg zur KI. Er ist der Rahmen, in dem gute KI entsteht.
👉 Zur kostenlosen KI-Erstberatung
Weiterführende Artikel auf awantego.com:
- Private AI für den Mittelstand: Mistral Forge & Small 4 im Einsatz
- DSGVO-konforme KI im Unternehmen: Was Sie beachten müssen
- KI-Governance im Mittelstand: Strukturen aufbauen, die halten
- KI in der Fertigung: Praxisbeispiele für den Mittelstand
Externe Quellen & weiterführende Informationen:
