Die EU-KI-Verordnung - was der Mittelstand jetzt wissen muss.
Die Verordnung (EU) 2024/1689 - kurz EU-KI-VO oder AI Act - ist seit August 2024 in Kraft. Pflichten greifen gestaffelt zwischen 2025 und 2027. Dieser Leitfaden gibt Geschäftsführungen, AI Officern und Datenschutzbeauftragten in Unternehmen mit 10 – 250 Mitarbeitenden eine sachliche Standortbestimmung.
Wer ist betroffen?
Die Verordnung adressiert nicht nur Hersteller von KI, sondern vor allem Betreiber - also Unternehmen, die KI-Systeme im eigenen Betrieb einsetzen. Wer ChatGPT, Microsoft Copilot, KI-Funktionen in HR-Tools, automatisierte Bewerber-Vorauswahl, Chatbots auf der Website oder KI-gestützte Übersetzung in Office-Suiten nutzt, ist grundsätzlich Betreiber.
Eine Schwellen-Regel wie bei der DSGVO gibt es nicht. Auch ein Handwerksbetrieb mit 15 Mitarbeitenden, der HR-Software mit KI-Funktionen einsetzt, fällt in den Anwendungsbereich. Was sich unterscheidet, ist der Umfang der Pflichten - abhängig von der Risikoklasse des Systems.
Die vier Risikoklassen
Die Verordnung kennt vier Risikostufen. Die Einstufung entscheidet darüber, ob ein System verboten ist, dokumentiert werden muss oder weitgehend frei genutzt werden darf.
| Risikoklasse | Pflichten | Typische Beispiele |
|---|---|---|
| Verboten | Einsatz untersagt (Art. 5) | Social Scoring, manipulative Beeinflussung, Echtzeit-Biometrie im öffentlichen Raum (mit Ausnahmen) |
| Hochrisiko | Strenge Pflichten (Art. 6 ff.) | Bewerber-Screening, Kredit-Scoring, biometrische Identifizierung, KI in kritischer Infrastruktur |
| Begrenzt | Transparenz-Pflicht (Art. 50) | Chatbots, Deepfakes, KI-generierte Inhalte mit Personenbezug |
| Minimal | Keine spezifischen Pflichten | Spam-Filter, Recommendation-Engines, klassisches Machine-Learning ohne Personenbezug |
Die meisten in KMU eingesetzten KI-Systeme fallen in die Klassen begrenzt oder minimal. Für die Hochrisiko-Klasse maßgeblich ist Anhang III der Verordnung - er listet acht Anwendungsbereiche, von biometrischer Identifizierung bis zur Bewerber-Vorauswahl.
Pflichten, die jeder Betreiber kennen muss
Art. 4 - KI-Kompetenz (seit 02.02.2025)
Alle Mitarbeitenden, die KI-Systeme einsetzen oder betreiben, müssen über ausreichende KI-Kompetenz verfügen. Das schließt Anwender, Entscheider und Verantwortliche ein. Form und Tiefe der Kompetenzvermittlung müssen zur Rolle und zum Risiko des Systems passen - und sie müssen dokumentiert sein.
- Wer ist im Unternehmen mit welchem KI-System in Berührung?
- Welche Schulung oder Einweisung wurde wann durchgeführt - und wer hat sie bestätigt?
- Sind die Inhalte rollenspezifisch (Anwender vs. Verantwortlicher)?
Art. 6 / Anhang III - Klassifizierung
Jedes eingesetzte KI-System muss einer Risikoklasse zugeordnet werden. Die Einordnung muss begründet sein - nicht nach Bauchgefühl, sondern entlang der in Anhang III genannten Anwendungsfälle und der Frage, ob das System in einem dieser Bereiche eingesetzt wird.
Art. 17 - Qualitätsmanagement
Wer Hochrisiko-Systeme betreibt, braucht ein dokumentiertes Qualitätsmanagement: Verantwortlichkeiten, Prüfprozesse, Monitoring und Meldewege. Für KMU bedeutet das nicht „neue ISO", sondern eine schriftliche Antwort auf vier Fragen: Wer verantwortet, wer prüft, wie oft, wie wird gemeldet.
Art. 72 - Post-Market-Monitoring
Nach Inbetriebnahme eines Hochrisiko-Systems gilt eine laufende Beobachtungspflicht: Logging, Incident-Meldung, regelmäßige Neubewertung. Die Verordnung verlangt keine Echtzeit-Plattform, aber prüfbare Aufzeichnungen.
Fristen im Überblick
| Datum | Was passiert |
|---|---|
| 01.08.2024 | EU-KI-VO ist in Kraft (Verordnung 2024/1689). |
| 02.02.2025 | Verbote (Art. 5) und KI-Kompetenz (Art. 4) sind anwendbar. |
| 02.08.2025 | Pflichten für Anbieter von General-Purpose-AI (z. B. Foundation Models) greifen. |
| 02.08.2026 | Pflichten für Hochrisiko-KI nach Anhang III sind anwendbar. |
| 02.08.2027 | Pflichten für Hochrisiko-KI in Produkten (Anhang I) sind anwendbar. |
Vorgezogen sind die Verbote (Art. 5) und die KI-Kompetenzpflicht (Art. 4). Für Hochrisiko-Pflichten gilt das spätere Datum vom 02.08.2026 - bis dahin bleibt Vorlaufzeit, die ein KMU für Inventar und Klassifizierung nutzen sollte.
Bußgelder
- Verbotene KI-Praktiken (Art. 5): bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes - der höhere Wert gilt.
- Verstöße gegen Hochrisiko-Pflichten (Art. 16, 26): bis 15 Mio. € oder 3 %.
- Falsche, unvollständige oder irreführende Auskünfte gegenüber Behörden: bis 7,5 Mio. € oder 1 %.
Für KMU und Start-ups sieht die Verordnung in Art. 99 Verhältnismäßigkeit vor: Mitgliedstaaten sollen die Bußgelder am Umsatz bemessen - der Worst-Case ist also nicht der typische Fall, aber das Risiko ist real.
Fünf erste Schritte für KMU
- Inventar aufnehmen. Liste aller eingesetzten KI-Systeme - auch der versehentlich eingesetzten in Drittanwendungen (Office, CRM, HR).
- Klassifizieren. Jedes System einer Risikoklasse zuordnen, mit kurzer Begründung (welcher Anhang-III-Punkt trifft zu, welcher nicht).
- Verantwortliche benennen. Pro System eine Person mit Namen - keine Funktionsadressen.
- Schulung organisieren. Rollenspezifisch: Anwender bekommen Anwender-Inhalte, Entscheider bekommen Entscheider-Inhalte. Bestätigung dokumentieren.
- Richtlinie schreiben. Eine interne KI-Nutzungsrichtlinie, freigegeben durch die Geschäftsführung, von allen Mitarbeitenden bestätigt.
Diese fünf Schritte decken den Standardfall ab. Für Hochrisiko-Betrieb (z. B. Bewerber-Screening mit KI, Scoring im Kreditprozess, biometrische Identifizierung) reicht das nicht - dort ist juristische Einzelfallprüfung sinnvoll.
Was dieser Leitfaden nicht ist
Keine Rechtsberatung. Die EU-KI-VO ist neu, Auslegungsfragen sind in Bewegung, branchenspezifische Leitlinien werden noch erlassen. Bei Hochrisiko-Einsatz, Drittlandbezug oder spezifischen Branchenregelungen empfehlen wir die Hinzuziehung einer auf IT-Recht spezialisierten Kanzlei.
Für die strukturierte Umsetzung der oben genannten fünf Schritte gibt es unser Werkzeug KI-Kompass- ein Compliance-SaaS, das Inventar, Klassifizierung, Richtlinien-Generator, Schulungsnachweise und Audit-Trail in einem Werkzeug bündelt.
Wer vorab den eigenen Wissensstand zur EU-KI-VO prüfen möchte, findet bei uns den AI-Officer-Probetest - 60 Multiple-Choice-Fragen zu Risikoklassen, Pflichten, DSGVO-Verzahnung und Praxis im Unternehmen, mit sofortiger Auswertung nach Themenbereich.
Für die DSGVO-spezifische Tiefe steht der DSGVO-KI-Self-Check bereit - ein interaktiver Selbst-Audit entlang der BayLDA-Prüfkriterien. Eine fertige Mitarbeiter-Richtlinie zur KI-Nutzung als Vorlage liefert der KI-Leitlinien-Generator - mit Live-Vorschau und Markdown-Download.
Vom Wissen zur Umsetzung.
AI-Officer-Probetest
60 Multiple-Choice-Fragen zu EU-KI-VO, DSGVO und Praxis im Unternehmen - 90 Minuten, mit Auswertung pro Themenbereich.
Probetest starten →DSGVO-KI-Self-Check
Strukturierter Selbst-Audit entlang der BayLDA-Prüfkriterien für datenschutzkonforme KI - mit Score, Lücken-Liste und Druck-Export.
Self-Check starten →KI-Leitlinien-Generator
Geführter Konfigurator für eine interne Mitarbeiter-Richtlinie zur KI-Nutzung - in unter 10 Minuten als Markdown-Vorlage zum Download.
Richtlinie generieren →Prozess-Audit-Checkliste
Strukturierte Bestandsaufnahme der Geschäftsprozesse - in einem halben Tag zur priorisierten Liste der drei besten Automatisierungs-Kandidaten.
Zur Checkliste →