Hintergrund und Ziel

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Regelwerk für Künstliche Intelligenz. Er wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 1. August 2024 in Kraft getreten. Ziel ist es, KI-Systeme sicher, transparent und grundrechtskonform zu gestalten – ohne Innovation unnötig zu bremsen.

Zeitplan – wann gilt was?

• 1. August 2024: Inkrafttreten der Verordnung
• 2. Februar 2025: Verbote für inakzeptable KI-Risiken gelten (Kapitel II)
• 2. Februar 2025: Pflicht zur KI-Kompetenz (Art. 4) gilt für alle Unternehmen
• 2. August 2025: Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI)
• 2. August 2026: Alle Regelungen für Hochrisiko-KI gelten vollständig
• 2. August 2027: Erweiterter Geltungsbereich für bestimmte Produkte

Warum betrifft der AI Act auch KMU?

Viele KMU glauben, der EU AI Act richte sich nur an große Tech-Konzerne. Das ist ein Irrtum. Der AI Act gilt für alle Unternehmen, die in der EU tätig sind und KI-Systeme:

• entwickeln oder bereitstellen (Anbieter / Provider)
• in Betrieb nehmen oder nutzen (Betreiber / Deployer)
• importieren oder vertreiben

Als KMU sind Sie in den meisten Fällen Betreiber (Deployer) – also ein Unternehmen, das KI-Systeme für eigene Zwecke einsetzt, ohne sie selbst zu entwickeln. Typische Beispiele: Microsoft 365 Copilot, ChatGPT, KI-gestützte Buchhaltungssoftware oder automatisierte E-Mail-Filter.

Rechtsfolgen bei Verstößen

Verstöße gegen den EU AI Act können mit empfindlichen Bußgeldern geahndet werden:

• Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen die Verbote
• Bis zu 15 Mio. € oder 3 % bei Verstößen gegen sonstige Pflichten
• Bis zu 7,5 Mio. € oder 1,5 % bei falschen Angaben gegenüber Behörden

Für KMU gelten verhältnismäßigere Sanktionen, aber das Risiko ist real.

Modul abschließen →

Das Risikobasierte Konzept

Der EU AI Act folgt einem risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen. Es gibt vier Risikostufen.

Risikostufe	Beschreibung	Beispiele	Konsequenz
Inakzeptabel	Verstößt gegen Grundrechte oder demokratische Werte	Soziale Bewertungssysteme, manipulative KI, biometrische Massenüberwachung	Verboten – keine Ausnahmen
Hoch	Kann erhebliche Schäden an Gesundheit, Sicherheit oder Grundrechten verursachen	KI in HR-Prozessen (Einstellungen), Kreditscoring, Bildung, kritische Infrastruktur	Umfangreiche Pflichten: Dokumentation, Konformitätsbewertung, Registrierung
Begrenzt	Interaktion mit Menschen – Transparenz erforderlich	Chatbots, KI-generierte Texte/Bilder, Deepfakes	Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren
Minimal	Kaum Risiko für Rechte oder Sicherheit	KI-Spamfilter, KI in Videospielen, Empfehlungsalgorithmen auf eigener Plattform	Keine spezifischen Pflichten, freiwillige Verhaltenskodizes empfohlen

Was ist für KMU relevant?

Die meisten KMU setzen KI der Kategorie minimal bis begrenzt ein. Dennoch gibt es wichtige Ausnahmen:

• KI im Personalwesen (z. B. automatisches CV-Screening) = Hochrisiko
• KI-gestützte Kreditentscheidungen (z. B. Bonitätsprüfung) = Hochrisiko
• Chatbots gegenüber Kunden = Begrenzt → Transparenzpflicht

Verbotene KI-Praktiken (seit Feb. 2025)

Folgende KI-Anwendungen sind seit dem 2. Februar 2025 in der EU verboten:

• KI-Systeme zur unterschwelligen Beeinflussung von Verhalten
• Soziale Bewertungssysteme (Social Scoring) durch öffentliche oder private Stellen
• Biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (mit engen Ausnahmen)
• KI zur Ausnutzung von Schwächen schutzbedürftiger Gruppen
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen

Modul abschließen →

Welche KI nutzen KMU typischerweise?

Viele KMU setzen bereits KI ein – oft ohne es explizit als „KI" wahrzunehmen. Hier sind die häufigsten Anwendungsfälle mit ihrer Einordnung nach EU AI Act:

KI-Tool / Anwendung	Typische Nutzung im KMU	Risikostufe	Pflichten
ChatGPT / Claude	Texterstellung, E-Mails, Recherche	Minimal	Kompetenzpflicht (Art. 4)
Microsoft 365 Copilot	Dokumente, Meetings, Zusammenfassungen	Minimal	Kompetenzpflicht, Datenschutz prüfen
KI-Spamfilter / E-Mail	Automatische Klassifizierung eingehender Mails	Minimal	Keine spezifischen
KI-Chatbot (Kundenkontakt)	Bearbeitung von Kundenanfragen	Begrenzt	Transparenzpflicht: Hinweis auf KI
KI-gestütztes CV-Screening	Vorauswahl von Bewerbungen	Hoch	Umfangreiche Pflichten (Anhang III)
KI-Bonitätsprüfung	Kreditwürdigkeitsbewertung von Kunden	Hoch	Konformitätsbewertung erforderlich
KI-Buchhaltungssoftware	Automatische Kategorisierung, Prognosen	Minimal	Kompetenzpflicht

Besonderheit: Generative KI (ChatGPT, Copilot & Co.)

Generative KI-Modelle fallen als KI-Modelle mit allgemeinem Verwendungszweck (GPAI) unter eigene Regeln des EU AI Act. Für KMU als Nutzer (Deployer) sind folgende Punkte wichtig:

• Transparenz: KI-generierte Inhalte müssen als solche erkennbar sein, wenn sie an Dritte weitergegeben werden
• Urheberrecht: Die Nutzung von KI-Outputs kann urheberrechtliche Fragen aufwerfen
• Datenschutz: Keine personenbezogenen Daten ohne Rechtsgrundlage in externe KI-Modelle eingeben
• Qualitätskontrolle: KI-Outputs müssen von qualifizierten Personen überprüft werden

Praktische Handlungsempfehlungen

• Erstellen Sie eine KI-Nutzungsrichtlinie für Ihr Unternehmen
• Legen Sie fest, welche KI-Tools erlaubt sind und welche nicht
• Schulen Sie Ihre Mitarbeiter im verantwortungsvollen KI-Einsatz
• Prüfen Sie Nutzungsbedingungen und Datenschutzeinstellungen Ihrer KI-Tools
• Dokumentieren Sie den KI-Einsatz (KI-Inventar)

Modul abschließen →

Artikel 4 EU AI Act – Die KI-Kompetenzpflicht

Artikel 4 ist die für KMU unmittelbar relevanteste Vorschrift des EU AI Act. Er gilt seit dem 2. Februar 2025 und verpflichtet Anbieter und Betreiber von KI-Systemen dazu, sicherzustellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen.

Was bedeutet „KI-Kompetenz" konkret?

Die Verordnung definiert KI-Kompetenz als die Kombination aus:

• Fähigkeiten und Wissen: Wie funktioniert KI? Was sind ihre Grenzen?
• Verstehen der Chancen und Risiken: Wo hilft KI, wo kann sie schaden?
• Kritisches Denken: KI-Outputs hinterfragen und überprüfen können
• Sicherheitsbewusstsein: Datenschutz, Cybersicherheit im KI-Kontext

Das konkrete Kompetenzniveau richtet sich nach dem Aufgabenbereich des Mitarbeiters – ein IT-Administrator benötigt tiefere KI-Kenntnisse als ein Mitarbeiter, der gelegentlich ChatGPT für E-Mails nutzt.

Wie den Kompetenznachweis dokumentieren?

Der AI Act schreibt kein spezifisches Format vor. Empfohlen wird:

• Schulungsnachweise (z. B. dieses Kurszertifikat)
• Dokumentation in der Personalakte oder einem Schulungsregister
• Regelmäßige Auffrischungsschulungen (mind. jährlich empfohlen)
• Interne KI-Nutzungsrichtlinie als ergänzendes Dokument

Transparenzpflichten (Art. 50)

Wenn Ihr Unternehmen KI im Kundenkontakt einsetzt, gelten zusätzliche Transparenzpflichten:

• Chatbots: Kunden müssen informiert werden, dass sie mit einem KI-System interagieren
• Deepfakes / KI-generierte Inhalte: Müssen als solche gekennzeichnet werden
• Emotionserkennung: Betroffene müssen informiert werden (sofern erlaubt)

Dokumentationspflichten für Betreiber

Als Betreiber von KI-Systemen sollten Sie folgende Dokumente vorhalten:

• KI-Inventar: Liste aller eingesetzten KI-Systeme mit Risikoeinstufung
• KI-Nutzungsrichtlinie: Interne Regeln für den KI-Einsatz
• Schulungsnachweise: Dokumentation der KI-Kompetenz aller betroffenen Mitarbeiter
• Datenschutz-Folgenabschätzung (DPIA), sofern KI personenbezogene Daten verarbeitet

Modul abschließen →

Schritt 1: KI-Inventar erstellen

Beginnen Sie mit einer vollständigen Bestandsaufnahme aller KI-Systeme in Ihrem Unternehmen. Erfassen Sie:

• Name des KI-Systems / Tools
• Hersteller / Anbieter
• Zweck und Anwendungsbereich
• Betroffene Abteilungen / Mitarbeiter
• Risikostufe nach EU AI Act
• Verarbeitete Daten (personenbezogen? sensibel?)

Schritt 2: KI-Nutzungsrichtlinie entwickeln

Eine KI-Nutzungsrichtlinie regelt verbindlich, wie KI im Unternehmen eingesetzt werden darf. Sie sollte enthalten:

• Erlaubte KI-Tools und deren Verwendungszweck
• Verbotene Nutzungen (z. B. keine Kundendaten in externe KI)
• Qualitätssicherung: KI-Outputs müssen vor Weitergabe geprüft werden
• Datenschutzregeln beim KI-Einsatz
• Meldepflichten bei KI-bezogenen Vorfällen

Schritt 3: Mitarbeiter schulen

Dieser Kurs ist der erste Schritt. Für eine vollständige Umsetzung von Art. 4 empfehlen wir:

• Alle Mitarbeiter, die KI nutzen: Basisschulung (dieser Kurs)
• IT-Verantwortliche: Vertiefungsschulung zu technischen Risiken
• Führungskräfte: Strategische Dimension des AI Act
• Schulungsregister anlegen und Zertifikate aufbewahren

Schritt 4: Compliance-Dokumentation aufbauen

Legen Sie einen „AI-Act-Ordner" an (physisch oder digital) mit:

• KI-Inventar (aktuell halten)
• KI-Nutzungsrichtlinie (Versionierung)
• Schulungsnachweise aller Mitarbeiter
• Datenschutz-Dokumente zum KI-Einsatz
• Vertragsdokumente mit KI-Anbietern (AGB, DPA)

Schritt 5: Regelmäßige Überprüfung

Der KI-Markt entwickelt sich schnell. Planen Sie:

• Halbjährliche Überprüfung des KI-Inventars
• Jährliche Auffrischungsschulung für Mitarbeiter
• Beobachtung regulatorischer Entwicklungen (Delegierte Rechtsakte, Leitlinien der EU-Kommission)

Modul abschließen – zum Quiz →