Es gibt ein Gesetz das gerade still durch alle Unternehmenspostfächer gleitet, ohne dass die meisten KMU-Inhaber davon gehört haben. Es heißt EU AI Act. Es ist seit August 2024 in Kraft. Und es betrifft auch dich — auch wenn du kein KI-Unternehmen bist.
Ich sage das nicht um Panik zu machen. Ich sage es, weil ich selbst eine Weile gebraucht habe um zu verstehen, was das Gesetz wirklich bedeutet und was eben nicht. Der Unterschied ist wichtig.
Was der EU AI Act eigentlich ist
Der EU AI Act ist das erste umfassende KI-Gesetz weltweit. Er regelt nicht die Nutzung von Daten (das macht die DSGVO), sondern die KI-Systeme selbst — wie sie entwickelt, eingesetzt und kontrolliert werden.
Das klingt abstrakt. Konkret wird es, wenn man sich die Risikoklassen anschaut.
Der EU AI Act teilt KI-Anwendungen in vier Kategorien ein:
Verboten — KI-Systeme die grundlegende Rechte verletzen. Social Scoring durch Behörden, manipulative Techniken, biometrische Massenüberwachung im öffentlichen Raum. Das ist nichts was ein normaler KMU-Betrieb einsetzt, und es dürfte auch niemanden überraschen, dass das verboten ist.
Hochrisiko — KI-Systeme in sensiblen Bereichen: Personalentscheidungen, Kreditvergabe, kritische Infrastruktur, medizinische Diagnostik, Strafjustiz. Hier gelten strenge Anforderungen: Dokumentation, menschliche Aufsicht, Konformitätsprüfung.
Begrenzt — Systeme mit Transparenzpflichten. Der klassische Fall: Chatbots müssen erkennbar als KI gekennzeichnet sein. Deepfakes müssen als solche markiert werden.
Minimal — Der Rest. Spam-Filter, Empfehlungssysteme in Streaming-Diensten, einfache KI-gestützte Suche. Hier gibt es keine besonderen Anforderungen.
Was das für deinen Betrieb bedeutet
Hier die ehrliche Einschätzung: Die meisten KMU landen in der Kategorie “minimal” oder “begrenzt” — und das ist die gute Nachricht.
Wenn du ChatGPT nutzt um Angebotsschreiben zu formulieren, wenn du ein KI-Tool für Social-Media-Texte verwendest, wenn du Bilder generierst oder Protokolle zusammenfassen lässt — das ist alles nicht hochrisikorelevant.
Der EU AI Act wird für dich als KMU-Betreiber dann relevant, wenn du:
- KI für Personalentscheidungen nutzt — Bewerber vorfiltern, Mitarbeiterbewertungen automatisieren. Das fällt unter Hochrisiko.
- KI in sicherheitskritischen Prozessen einsetzt — In der Kfz-Branche etwa: automatisierte Diagnosen die direkt in Wartungsentscheidungen einfließen, ohne menschliche Prüfung.
- Einen Chatbot betreibst — Dann gilt die Transparenzpflicht: Kunden müssen wissen, dass sie mit einer KI sprechen.
Für den normalen KI-Einsatz im Büro, in der Kommunikation, in der Content-Erstellung — da greift primär weiterhin die DSGVO, nicht der EU AI Act.
Die Stelle die du nicht übersehen solltest
Es gibt einen Punkt im EU AI Act, der für KMU oft übersehen wird, weil er indirekt wirkt: die Anbieter-Nutzer-Verantwortung.
Der Act unterscheidet zwischen dem, der ein KI-System entwickelt (Provider/Anbieter), und dem, der es einsetzt (Deployer/Nutzer). Als Unternehmen das ein KI-Tool kauft und nutzt, bist du Deployer.
Als Deployer hast du Pflichten — besonders im Hochrisikobereich:
- Du musst sicherstellen, dass du das System nur für den vorgesehenen Zweck nutzt.
- Du musst menschliche Aufsicht gewährleisten.
- Du musst Vorfälle melden, wenn etwas schiefläuft.
Der Anbieter des Tools (OpenAI, Microsoft, Google) ist für die Grundkonformität des Systems verantwortlich. Du bist verantwortlich dafür, wie du es einsetzt.
Das ist der Grundsatz der geteilten Verantwortung. Und er bedeutet: “Ich habe nur ein zugekauftes Tool verwendet” ist keine vollständige Entlastung.
General Purpose AI — der Sonderfall ChatGPT & Co.
ChatGPT, Claude, Gemini, Copilot — das sind sogenannte GPAI-Systeme, General Purpose AI. Modelle die nicht für einen spezifischen Zweck gebaut wurden, sondern für viele verschiedene Aufgaben.
Für diese Systeme gibt es im EU AI Act eigene Regeln, die vor allem die Anbieter treffen: Transparenz über Trainingsdaten, technische Dokumentation, Urheberrechtskonformität.
Als KMU-Nutzer dieser Systeme greift für dich primär die Frage: Für welchen Zweck setzt du ein GPAI-System ein? Wenn der Einsatzzweck in den Hochrisikobereich fällt, dann gelten die Hochrisikoregeln — egal ob das Modell eigentlich für allgemeine Aufgaben gebaut wurde.
Ein Beispiel: Du nutzt ChatGPT um Bewerbungen vorzufiltern. Das Modell selbst ist kein Hochrisiko-System. Aber dein Einsatzfall ist einer. Damit bist du als Deployer in der Pflicht.
Timeline — was wann gilt
Das Gesetz tritt stufenweise in Kraft:
- Februar 2025: Verbotene Praktiken gelten
- August 2025: Pflichten für GPAI-Anbieter gelten
- August 2026: Hochrisiko-Anforderungen für die meisten Bereiche gelten
- August 2027: Hochrisiko-Anforderungen für eingebettete KI in Produkten
Für die meisten KMU ist der relevante Termin August 2026 — bis dahin solltest du wissen, ob du Hochrisiko-Anwendungsfälle hast, und wenn ja, was du tun musst.
Das ist keine unrealistische Frist. Aber es ist auch kein Grund mehr abzuwarten.
Was du jetzt konkret tun kannst
Keine Checkliste mit 20 Punkten. Drei Fragen reichen:
1. Nutze ich KI für Personalentscheidungen? Wenn ja: Das ist Hochrisiko. Hier brauchst du rechtlichen Rat und du musst die Anforderungen des AI Act konkret umsetzen.
2. Betreibe ich einen Chatbot der mit Kunden kommuniziert? Wenn ja: Kennzeichnungspflicht — Kunden müssen wissen, dass sie mit einer KI sprechen. Das ist schnell umgesetzt.
3. Nutze ich KI in sicherheitskritischen Entscheidungsprozessen, ohne dass ein Mensch die Entscheidung prüft? Wenn ja: Hinterfrage diesen Prozess — nicht nur aus rechtlicher Sicht, sondern weil das grundsätzlich keine gute Idee ist.
Wenn alle drei Antworten Nein sind, bist du im minimalen Risikobereich. Dann gelten weiterhin die DSGVO-Regeln für deinen KI-Einsatz, aber keine spezifischen AI-Act-Anforderungen.
Das nimmst du mit
Der EU AI Act ist kein Gesetz das speziell gegen KMU gebaut wurde. Es ist ein Gesetz das KI-Anwendungen mit echten Risiken regulieren soll — Personalentscheidungen, Kreditvergabe, Überwachung.
Wenn du KI im Büro nutzt, Texte schreibst, Bilder generierst, Prozesse automatisierst — du bist nicht der Adressat dieser strengen Regeln.
Was du tun musst: Verstehen wo du stehst. Eine ehrliche Bestandsaufnahme was du mit KI machst, und ob einer dieser Anwendungsfälle in den Hochrisikobereich fällt.
Für die meisten Betriebe ist die Antwort: Nein. Aber “ich habe nicht hingeschaut” ist keine Strategie.
Markus Mangold, Kfz-Meister, Gründer von Torq.Li, Inhaber Zeos83 SocialSolutions