Was ist der AI Act und warum er Ihr KMU betrifft #
Die EU-Verordnung über Künstliche Intelligenz (AI Act, Verordnung EU 2024/1689) ist das weltweit erste Gesetz zur Regulierung von Künstlicher Intelligenz. Das KI Gesetz betrifft nicht nur Big Tech: Es gilt für jeden, der KI-Systeme in der Europäischen Union entwickelt oder einsetzt — vom Startup bis zum großen Krankenhaus.
Wenn Ihr Unternehmen ChatGPT, einen KI-Assistenten, ein automatisches Klassifizierungssystem oder einen Kunden-Chatbot nutzt, betrifft Sie die KI Verordnung.
Warum Sie es nicht ignorieren können #
- Die Strafen reichen bis zu 35 Millionen Euro (oder 7 % des weltweiten Umsatzes)
- Die Pflicht zur AI Literacy gilt bereits seit Februar 2025
- Die vollständigen Pflichten für Hochrisiko-Systeme greifen ab August 2026
- Ihre Kunden und Partner werden Nachweise über die AI Act Compliance verlangen
Timeline: Was sich wann ändert #
Der AI Act gilt stufenweise. Hier sind die Termine, die für Ihr KMU zählen:
Bereits in Kraft (Februar 2025) #
Verbot inakzeptabler KI-Praktiken:
- Unterschwellige Manipulation, die Schaden verursacht
- Ausnutzung von Schwachstellen (Alter, Behinderung)
- Social Scoring durch öffentliche Stellen
- Echtzeit-Gesichtserkennung (mit Ausnahmen für die Sicherheit)
AI-Literacy-Pflicht (Art. 4): Alle Organisationen müssen sicherstellen, dass das Personal, das KI-Systeme nutzt oder beaufsichtigt, über ein „ausreichendes Maß an KI-Kompetenz" verfügt. Dies gilt für alle Unternehmen, unabhängig von der Größe.
In der Praxis: Wenn Ihre Mitarbeiter ChatGPT, Copilot oder ein anderes KI-Tool verwenden, müssen Sie nachweisen, dass sie eine angemessene Schulung erhalten haben.
August 2025: General-Purpose-Modelle #
Anbieter von General-Purpose-KI-Modellen (GPAI) — wie GPT-4, LLaMA, Mistral — müssen:
- Den Trainingsprozess dokumentieren
- Die Urheberrechtsvorschriften einhalten
- Eine Zusammenfassung der Trainingsdaten veröffentlichen
Dies wirkt sich indirekt auf KMU aus: Die Modelle, die Sie nutzen, müssen konform sein. Die Verwendung dokumentierter Open-Source-Modelle (wie die, auf denen ORCA basiert) vereinfacht die Überprüfung.
August 2026: Vollständige Pflichten für Hochrisiko-Systeme #
Dies ist die entscheidende Frist. KI-Systeme, die als Hochrisiko eingestuft werden, müssen strenge Anforderungen erfüllen.
Wie die Risikoklassifizierung funktioniert #
Der AI Act klassifiziert KI-Systeme in vier Stufen. Die Kategorie hängt vom Einsatzzweck ab, nicht vom Werkzeug selbst.
Inakzeptables Risiko (verboten) #
Vollständig verbotene Praktiken:
- Unterschwellige Verhaltensmanipulation
- Staatliches Social Scoring
- Predictive Policing ausschließlich auf Basis von Profiling
Hohes Risiko #
KI-Systeme, die Grundrechte von Personen betreffen:
| Bereich | Beispiele |
|---|---|
| Personalauswahl | Automatisches CV-Screening, Kandidaten-Ranking |
| Kredit | Kreditwürdigkeitsprüfung |
| Gesundheit | Diagnoseunterstützung, automatische Triage |
| Bildung | Bewertung von Studierenden, Zulassungen |
| Kritische Infrastruktur | Stromnetzverwaltung, Transport |
| Justiz | Richterliche Entscheidungsunterstützungssysteme |
Pflichten für Hochrisiko-Systeme:
- Risikomanagementsystem
- Governance der Trainingsdaten
- Vollständige technische Dokumentation
- Automatische Ereignisprotokollierung (Logging)
- Transparenz und Information der Nutzer
- Menschliche Aufsicht
- Genauigkeit, Robustheit und Cybersicherheit
- Registrierung in der EU-Datenbank
Begrenztes Risiko #
Systeme mit Transparenzpflichten:
- Chatbots: Der Nutzer muss wissen, dass er mit einer KI interagiert
- Deepfakes: müssen gekennzeichnet werden
- KI-generierte Inhalte: müssen identifizierbar sein
Minimales Risiko #
Die Mehrheit der KI-Systeme. Keine spezifischen Pflichten:
- KI für E-Mail-Entwürfe
- Maschinelle Übersetzung
- Rechtschreibprüfung
- Brainstorming und Ideengenerierung
Was Ihr KMU jetzt tun muss #
1. KI-Tools im Einsatz erfassen #
Erstellen Sie ein Inventar aller im Unternehmen genutzten KI-Tools — einschließlich nicht autorisierter (Shadow AI). Dokumentieren Sie für jedes Tool:
- Wer es nutzt und wofür
- Welche Daten verarbeitet werden
- Ob die Entscheidungen natürliche Personen betreffen
2. Nutzung nach Risikostufe klassifizieren #
Dasselbe Tool kann je nach Einsatzzweck in verschiedene Kategorien fallen:
| ChatGPT-Nutzung | Risikostufe |
|---|---|
| E-Mail-Entwürfe schreiben | Minimal |
| Interne Dokumente zusammenfassen | Begrenzt (Transparenzpflicht) |
| Kandidaten aus einem Pool auswählen | Hohes Risiko |
| Patienten nach Priorität klassifizieren | Hohes Risiko |
3. AI-Literacy-Schulung starten #
Die Pflicht gilt bereits. Die Schulung muss abdecken:
- Was KI ist und wie sie funktioniert (Grundkonzepte)
- Risiken und Grenzen von KI-Tools
- Unternehmensrichtlinie zur KI-Nutzung
- DSGVO- und AI-Act-Pflichten, die für die jeweilige Rolle relevant sind
4. Unternehmensrichtlinie für KI erstellen #
Das Dokument sollte definieren:
- Welche KI-Tools autorisiert sind
- Welche Daten mit KI verarbeitet werden dürfen
- Wer die KI-Nutzung beaufsichtigt
- Wie Probleme oder Vorfälle gemeldet werden
- Verfahren für Hochrisiko-Anwendungen
5. KI-Infrastruktur bewerten #
Wenn Sie ChatGPT oder andere US-Cloud-Dienste zur Verarbeitung sensibler Daten nutzen, haben Sie ein doppeltes Problem: DSGVO (Transfers außerhalb der EU) und AI Act (mangelnde Kontrolle). Eine private KI-Lösung löst beides. Für AI Act Unternehmen ist dies der effizienteste Weg zur Compliance.
Wie private KI die AI-Act-Compliance vereinfacht #
Private KI — On-Premise oder in einer europäischen Cloud — ist nicht nur eine Frage des Datenschutzes. Sie ist das Werkzeug, das die Einhaltung der KI Verordnung für KMU handhabbar macht.
DSGVO + AI Act: Zwei Probleme, eine Lösung #
| Anforderung | ChatGPT (US-Cloud) | Private KI (On-Premise/EU) |
|---|---|---|
| Datentransfer außerhalb der EU | Ja (Risiko) | Nein |
| Vollständiger Audit Trail | Teilweise | Ja |
| Menschliche Aufsicht | Eingeschränkt | Integriert |
| Technische Dokumentation | Nicht verfügbar | Unter Ihrer Kontrolle |
| Daten-Governance | An OpenAI delegiert | Unter Ihrer Kontrolle |
| AI Literacy | Ihre Verantwortung | Vom Anbieter unterstützt |
HTX-Lösungen für die AI-Act-Compliance #
ORCA — der private Unternehmens-Chatbot. Wie ChatGPT, aber Ihre Daten bleiben in Europa. DSGVO- und AI-Act-konform by Design. Für Anwendungen mit minimalem und begrenztem Risiko.
KOI — KI-Klassifizierung für das Gesundheitswesen. Entscheidungsunterstützung mit integrierter menschlicher Aufsicht und vollständigem Audit Trail. Entwickelt für klinische Hochrisiko-Anwendungen. Derzeit Research Use Only (RUO), Medizinprodukt geplant für 2027.
MANTA — Datenbanken in natürlicher Sprache abfragen. SQL-Abfragen validiert und bereinigt, kein unbefugter Zugriff. Für konforme Business Intelligence.
Alle laufen auf PRISMA, der privaten KI-Infrastruktur von HTX: On-Premise oder europäische Cloud, Ende-zu-Ende-Verschlüsselung, Zero Data Leakage.
Regulatorische Sandboxes: Eine Chance für KMU #
Der AI Act sieht regulatorische Sandboxes (Art. 57) vor: kontrollierte Umgebungen, in denen KMU innovative KI-Systeme unter Aufsicht der Behörden testen können, ohne während der Erprobung Strafen zu riskieren.
Jeder EU-Mitgliedstaat muss bis August 2026 mindestens eine Sandbox einrichten. KMU haben vorrangigen Zugang.
In Italien hat die Datenschutzbehörde bereits Konsultationen zur Definition der Sandboxes eingeleitet. Für KMU, die mit KI innovieren möchten, ohne Risiken einzugehen, ist dies eine Chance, die es zu beobachten gilt.
Strafen: Was bei Nichteinhaltung droht #
Die Strafen des AI Act sind verhältnismäßig zur Schwere des Verstoßes und zur Unternehmensgröße:
| Art des Verstoßes | Höchststrafe |
|---|---|
| Verbotene Praktiken (Art. 5) | 35 Millionen Euro oder 7 % des weltweiten Umsatzes |
| Nicht konforme Hochrisiko-Systeme | 15 Millionen Euro oder 3 % des Umsatzes |
| Fehlerhafte Informationen an Behörden | 7,5 Millionen Euro oder 1 % des Umsatzes |
Für KMU und Startups gilt immer der niedrigere Betrag zwischen Festbetrag und Prozentsatz des Umsatzes. Aber auch so sind die Beträge für ein europäisches KMU erheblich.
Die gute Nachricht: Die Behörden haben erklärt, dass der anfängliche Ansatz auf Begleitung und Unterstützung ausgerichtet sein wird, nicht auf sofortige Sanktionen. Das bedeutet aber nicht, dass Sie abwarten können.
AI-Act-Checkliste für KMU #
- KI-Inventar abgeschlossen: Alle KI-Tools erfasst
- Risikoklassifizierung: Jede Nutzung klassifiziert (minimal/begrenzt/hoch)
- AI-Literacy-Schulung: Personal geschult (Pflicht seit Feb. 2025)
- Unternehmensrichtlinie KI: Dokument erstellt und kommuniziert
- DSGVO-Bewertung: Transfers außerhalb der EU identifiziert und gehandhabt
- Infrastruktur: Private-KI-Lösung für sensible Anwendungen bewertet
- Sandbox: Regulatorische Sandbox-Möglichkeit beobachtet
- Kalender: Fristen August 2026 eingeplant
Möchten Sie mehr erfahren? #
Wenn Ihr KMU KI-Tools einsetzt und Sie verstehen möchten, wie Sie die KI Verordnung einhalten können, ohne die Innovation zu bremsen, schreiben Sie uns. Wir helfen Ihnen, Risiken zu kartieren, die richtige Infrastruktur zu wählen und Ihr Team zu schulen.
Entdecken Sie die HTX-Lösungen →
Dieser Artikel wurde vom Team von HTX — Human Technology eXcellence — verfasst. Wir entwickeln private KI-Systeme für Gesundheitswesen und Industrie in unserem Rechenzentrum in Triest. Die Informationen in diesem Artikel dienen der allgemeinen Information und stellen keine Rechtsberatung dar.
Häufig gestellte Fragen #
Gilt der AI Act auch fuer KMU?
Ja. Der AI Act gilt fuer alle Organisationen, die KI-Systeme in der EU entwickeln oder einsetzen, unabhaengig von der Groesse. KMU profitieren von regulatorischen Sandboxes und verhaeltnismaessigen Strafen, aber die grundlegenden Pflichten — wie AI Literacy — sind identisch.
Was sind die wichtigsten Fristen des AI Act?
Februar 2025: Verbot inakzeptabler Praktiken und AI-Literacy-Pflicht. August 2025: Pflichten fuer General-Purpose-KI-Modelle (GPAI). August 2026: Vollstaendige Pflichten fuer Hochrisiko-Systeme, einschliesslich Transparenz, menschlicher Aufsicht und Folgenabschaetzung.
Betrifft der AI Act auch Unternehmen, die ChatGPT nutzen?
Ja. Der AI Act reguliert sowohl Anbieter als auch Nutzer von KI-Systemen. Wenn Sie ChatGPT fuer Entscheidungen einsetzen, die Menschen betreffen (Personalauswahl, Kreditbewertung, Diagnostik), faellt die Nutzung in die Hochrisiko-Kategorie mit spezifischen Pflichten.
Was riskiert ein KMU bei Nichteinhaltung des AI Act?
Die Strafen reichen von 7,5 Millionen Euro (fehlerhafte Informationen) bis 35 Millionen Euro (verbotene Praktiken). Fuer KMU gilt immer der niedrigere Betrag zwischen Festbetrag und Prozentsatz des Umsatzes, aber auch dieser kann erheblich sein.
Wie vereinfacht private KI die AI-Act-Compliance?
Private KI (On-Premise oder EU-Cloud) eliminiert Datentransfers ausserhalb der EU, garantiert einen vollstaendigen Audit Trail, erleichtert die menschliche Aufsicht und vereinfacht die vom AI Act geforderte Dokumentation. Mit Loesungen wie ORCA von HTX ist Compliance im Design integriert.