Ob Chatbots, Automatisierungen oder KI-gestützte Tools im Büroalltag – viele Unternehmen nutzen bereits Künstliche Intelligenz, oft ohne sich über regulatorische Risiken Gedanken zu machen. Das wird sich ändern. Mit dem EU-KI-Gesetz – kurz „AI Act“ – kommt eine umfassende Regulierung auf die Wirtschaft zu. Was das konkret bedeutet, wo die größten Missverständnisse liegen und wie Mittelständler jetzt ins Handeln kommen, erklärt KI-Experte Philip Heider im Gespräch.
Heider ist bei heyData tätig, einem SaaS-Anbieter für Datenschutz- und Compliance-Lösungen. Das Unternehmen unterstützt mittelständische Betriebe bei der ersten Anwendung des AI Acts – insbesondere durch die Risikoklassifikation von KI-Systemen und praxisnahe Schulungen für Mitarbeitende.
DUP UNTERNEHMER-Magazin: Herr Heider, das EU-KI-Gesetz befindet sich in der Umsetzung – aber vielen Unternehmen ist noch unklar, was genau auf sie zukommt. Was bedeutet der AI Act ganz konkret für mittelständische Betriebe in der Praxis?
Philip Heider: Für mittelständische Unternehmen ist vor allem relevant, dass sie meist als Anwender von KI-Systemen agieren – und nicht als Entwickler. Die Verordnung unterscheidet klar zwischen Rollen wie Entwickler, Händler oder Betreiber. Die meisten KMUs nutzen KI-Tools wie ChatGPT, Notion, Slack oder Office 365 – also Systeme, die zunehmend KI-Funktionen integrieren.
Die zentrale Frage ist dann: Welche Risikostufe haben die eingesetzten Systeme? Der AI Act kennt vier Stufen – von „verboten“ bis „minimales Risiko“. Besonders relevant sind die Kategorien „hohes“ und „limitiertes Risiko“, weil daran konkrete Pflichten wie Dokumentation und Transparenz hängen. Unternehmen müssen daher vor allem eines tun: Eine Risikobewertung ihrer eingesetzten KI-Systeme vornehmen und dokumentieren, um bei einer Prüfung zeigen zu können, dass keine Hochrisikosysteme verwendet werden.
Welche Arten von KI-Systemen im Mittelstand fallen überhaupt unter die Regulierung? Gibt es typische Anwendungsbeispiele, die jetzt besonders genau geprüft werden müssen?
Heider: Häufig genutzt werden große Sprachmodelle wie ChatGPT oder Claude, und viele bekannte Tools wie Notion oder Microsoft 365 integrieren KI. Typische Anwendungsbeispiele sind automatisierte Sales-Prozesse – etwa das Erstellen von Mails oder Cold Calls per KI – oder KI-basierter Kundensupport via Chatbot.
Solche Systeme gelten in der Regel als „Limited Risk“, also mit begrenztem Risiko verbunden. Hier bestehen vor allem Transparenzpflichten: Nutzer müssen darauf hingewiesen werden, dass sie mit einer KI interagieren. Gerade bei Voice-Call-Systemen ist das für viele Unternehmen eine Herausforderung, weil sie befürchten, dass Kunden bei einem „Ich bin eine KI“-Hinweis direkt auflegen.
Einer der Kernbegriffe im Gesetz ist die Risikoklassifizierung von KI. Wie finden Unternehmen heraus, ob ihr System als „hochriskant“ gilt – und wer trägt die Verantwortung für diese Einordnung?
Heider: Die Verantwortung liegt beim Unternehmen selbst – es gibt keine gesetzliche Pflicht für einen internen oder externen KI-Beauftragten. Wer gegen den AI Act verstößt, riskiert Bußgelder von bis zu sieben Prozent des Jahresumsatzes.
Deshalb müssen Unternehmen intern klären, wer sich um die Umsetzung kümmert. In der Praxis beauftragen viele KMUs eine Person intern oder holen sich externe Unterstützung durch Kanzleien oder spezialisierte Compliance-Dienstleister.
Welche neuen Dokumentations- und Transparenzpflichten bringt das Gesetz mit sich? Und wie viel Aufwand entsteht dadurch im Tagesgeschäft?
Heider: Im Hochrisikobereich ist der Aufwand erheblich: Unternehmen müssen Trainingsdaten dokumentieren, mögliche Verzerrungen messen und Maßnahmen zur Minderung ergreifen. Was genau zu tun ist, bleibt oft unklar – die Verordnung ist technologieneutral formuliert, um langfristig anwendbar zu bleiben.
Bei „Limited-Risk“-Systemen ist es einfacher: Man muss etwa KI-generierte Inhalte kennzeichnen oder vorab aufklären, wenn Nutzer mit einer KI kommunizieren. Die meisten KMUs dürften sich in diesem Bereich bewegen. Wichtig ist: Auch bei minimalem Risiko müssen Unternehmen dokumentieren können, wie sie zu ihrer Risikoeinschätzung gekommen sind. Digitale Lösungen wie heyData bieten hier konkrete Hilfestellung – zum Beispiel bei der Einordnung von KI-Anwendungen nach Risikostufen sowie bei der Sensibilisierung von Teams für die neuen Anforderungen des AI Acts.
Regulierung wird oft als Innovationsbremse gesehen. Sie beraten viele Unternehmen – sehen Sie auch Chancen im AI Act, etwa durch mehr Vertrauen in KI-Anwendungen oder klare Marktstandards?
Heider: Ja, die Kritik ist verständlich, aber nicht pauschal berechtigt. Natürlich verlangsamt Regulierung manche Prozesse – aber nicht dramatisch. Gleichzeitig entstehen viele Innovationen gerade im Bereich der KI-Compliance-Software, die wiederum den Aufwand reduziert.
Ohne Regulierung trägt die Gesellschaft die Folgen – etwa bei Social Media, wo Polarisierung und Desinformation zugenommen haben. KI hat das Potenzial, solche Effekte zu verstärken, etwa durch Deepfakes oder massenhaft generierte Inhalte.
Zudem: Die großen Sprachmodelle basieren meist auf intransparenten Datensätzen – oft gescrapten Inhalten aus dem westlichen Internet, was zu Verzerrungen führt. Die KI-Verordnung zwingt zur Auseinandersetzung mit diesen Risiken – und schafft Vertrauen.
Womit sollten Unternehmen, die noch nicht mit der Umsetzung des AI Acts begonnen haben, jetzt konkret anfangen?
Heider: Der erste Schritt ist eine Bestandsaufnahme: Welche KI-Systeme werden im Unternehmen verwendet? Dann sollte geklärt werden, wie man mit diesen Systemen interagiert – wird nur genutzt oder auch entwickelt?
Anschließend gilt es, die Risikoklasse jedes Systems zu bestimmen. Daraus leiten sich die Pflichten ab: Bei minimalem Risiko reicht meist eine Schulung, bei Limited Risk braucht es Transparenzmaßnahmen. Bei Hochrisiko ist externe Beratung empfehlenswert. Wichtig ist: Erst mit einer sauberen Inventur kann man sinnvolle Compliance-Maßnahmen ergreifen.
