CON PLAN A Management Beratung
Zurück zum Blog
RegulierungDigitalisierung

Was KMU mit dem AI Act zu tun haben - Neue EU-Regulierung betrifft auch kleine Unternehmen

9 Min. Lesezeit

Der AI Act ist da

Am 1. August 2024 ist der EU AI Act in Kraft getreten – die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Viele KMU glauben, das betrifft nur Tech-Konzerne. Ein gefährlicher Irrtum.

Was ist der AI Act überhaupt?

Der EU AI Act (Artificial Intelligence Act) ist eine EU-Verordnung, die den Einsatz von KI-Systemen innerhalb der Europäischen Union reguliert. Ziel ist es, die Risiken von KI-Anwendungen zu minimieren und grundlegende Rechte und Sicherheit zu gewährleisten.

Das Besondere: Die Verordnung gilt nicht nur für KI-Entwickler, sondern für alle Unternehmen, die KI-Systeme einsetzen – unabhängig von Größe oder Branche.

Das Risikobasierte System

Der AI Act kategorisiert KI-Systeme nach ihrem Risikopotenzial in vier Stufen:

Unannehmbares Risiko

Diese KI-Systeme sind verboten. Beispiele:

  • • Social Scoring durch Behörden
  • • Manipulative KI-Systeme
  • • Echtzeit-Gesichtserkennung im öffentlichen Raum
  • • Biometrische Kategorisierung

Hohes Risiko

Strenge Anforderungen. Beispiele:

  • • KI in kritischer Infrastruktur
  • • KI-gestützte Personalauswahl
  • • Kreditwürdigkeitsprüfung
  • • Medizinische Diagnose-KI

Begrenztes Risiko

Transparenzpflichten. Beispiele:

  • • Chatbots im Kundenservice
  • • KI-generierte Inhalte
  • • Deepfakes
  • • Emotionserkennung

Minimales Risiko

Keine besonderen Pflichten. Beispiele:

  • • KI-gestützte Spam-Filter
  • • Produktempfehlungen
  • • Einfache Automatisierung
  • • KI-Bildbearbeitung

Was bedeutet das konkret für KMU?

Typische Anwendungsfälle in KMU

Personalwesen:

Nutzen Sie KI-Tools zur Bewerbervorselektion oder Leistungsbeurteilung? → Hochrisiko-KI mit umfangreichen Dokumentationspflichten.

Kundenservice:

Setzen Sie Chatbots ein? → Transparenzpflicht: Sie müssen Kunden informieren, dass sie mit einer KI kommunizieren.

Marketing:

Verwenden Sie KI-generierte Bilder oder Texte? → Kennzeichnungspflicht für KI-generierte Inhalte.

Kreditvergabe/Finanzen:

Nutzen Sie KI zur Bonitätsprüfung? → Hochrisiko-System mit Prüfpflichten und Dokumentationsanforderungen.

Welche Pflichten kommen auf Sie zu?

Je nach Risikoklasse der eingesetzten KI-Systeme ergeben sich unterschiedliche Anforderungen:

Pflichten für Hochrisiko-KI-Systeme

  1. 1. Risikomanagement: Implementierung eines Risikomanagementsystems über den gesamten Lebenszyklus der KI.
  2. 2. Datenqualität: Sicherstellung, dass Trainingsdaten relevant, repräsentativ und fehlerfrei sind.
  3. 3. Technische Dokumentation: Umfassende Dokumentation des KI-Systems und seiner Funktionsweise.
  4. 4. Protokollierung: Automatische Aufzeichnung von Ereignissen zur Rückverfolgbarkeit.
  5. 5. Transparenz: Bereitstellung klarer Informationen für Nutzer über Funktionsweise und Grenzen.
  6. 6. Menschliche Aufsicht: Sicherstellung, dass Menschen eingreifen können.
  7. 7. Genauigkeit & Robustheit: Hohe Zuverlässigkeit und Widerstandsfähigkeit gegen Fehler.
  8. 8. Cybersicherheit: Schutz gegen unbefugte Zugriffe und Manipulation.

Die wichtigsten Fristen

Zeitplan für die Umsetzung:

  • Februar 2025: Verbot von Hochrisiko-KI-Systemen tritt in Kraft
  • August 2025: Verpflichtungen für KI-Modelle mit allgemeinem Verwendungszweck
  • August 2026: Alle Anforderungen für Hochrisiko-Systeme müssen erfüllt sein
  • August 2027: Vollständige Anwendung auf alle existierenden Systeme

7 Schritte zur AI Act Compliance

Ihr Fahrplan zur Umsetzung

  1. 1. Bestandsaufnahme: Identifizieren Sie alle KI-Systeme, die Sie einsetzen – von offensichtlichen Tools bis zu versteckter KI in Software.
  2. 2. Risikobewertung: Ordnen Sie jedes System einer Risikoklasse zu. Bei Unsicherheit: lieber vorsichtig einordnen.
  3. 3. Gap-Analyse: Vergleichen Sie Ihre aktuellen Praktiken mit den Anforderungen des AI Act. Wo gibt es Lücken?
  4. 4. Dokumentation aufbauen: Beginnen Sie früh mit der Dokumentation. Bei Hochrisiko-Systemen ist dies besonders umfangreich.
  5. 5. Prozesse anpassen: Implementieren Sie notwendige Prozesse wie Risikomanagement, Qualitätssicherung und Monitoring.
  6. 6. Mitarbeiter schulen: Ihre Teams müssen verstehen, was beim Einsatz von KI zu beachten ist.
  7. 7. Kontinuierliche Überwachung: Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess.

Sanktionen bei Verstößen

Hohe Bußgelder drohen

Die Strafen bei Verstößen gegen den AI Act sind erheblich und nach DSGVO-Vorbild gestaffelt:

  • Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bei Einsatz verbotener KI-Systeme
  • Bis zu 15 Millionen Euro oder 3% des Umsatzes bei Verstößen gegen zentrale Pflichten
  • Bis zu 7,5 Millionen Euro oder 1,5% des Umsatzes bei falschen Angaben an Behörden

Für KMU gelten Obergrenzen, aber auch diese können existenzbedrohend sein.

Chancen nicht übersehen

Bei aller Regulierung: Der AI Act bietet auch Chancen. Unternehmen, die früh compliant sind, haben:

  • Einen Wettbewerbsvorteil gegenüber säumigen Konkurrenten
  • Besseres Vertrauen von Kunden und Partnern
  • Klarheit über Risiken ihrer KI-Systeme
  • Schutz vor rechtlichen Risiken und Haftungsfällen
  • Bessere Verhandlungsposition mit KI-Anbietern

Handeln Sie jetzt

Der AI Act ist keine ferne Zukunftsmusik mehr – die ersten Fristen laufen bereits 2025 ab. Viele KMU haben noch nicht einmal eine Übersicht, welche KI-Systeme sie überhaupt einsetzen.

Die gute Nachricht: Mit strukturiertem Vorgehen ist die Compliance machbar. Die schlechte: Je später Sie beginnen, desto teurer und riskanter wird es.