Alle Beiträge

Recht, Compliance & Förderung

EU AI Act für den Mittelstand: was wirklich auf Sie zukommt — und was Hype ist

Risikobasiert wie das Eichrecht: Zwei Fragen — baue ich es oder nutze ich es, und was passiert, wenn es irrt — klären für den Mittelstand fast alles. Orientierung statt Angst, ohne erfundene Paragraphen.

Baybora Gülec28. Juni 202610 Min.

TL;DR: Der EU AI Act klingt in den Schlagzeilen wie eine Welle, die jeden Betrieb mit Chatbot umwirft. Er ist es nicht. Das Gesetz funktioniert wie das Eichrecht hinter jeder Waage auf dem Wochenmarkt: Es ist abgestuft, neutral und schafft Vertrauen — je höher der Einsatz, desto genauer die Prüfung. Wer KI im Alltag nur einsetzt, sitzt fast immer in den unteren Risikostufen, nicht im Hochrisiko-Bereich. Zwei Fragen klären fast alles: Baue ich das System oder benutze ich es? und Was passiert im schlimmsten Fall, wenn es irrt? Der Rest ist gute Praxis, die zu jeder seriösen KI-Einführung ohnehin dazugehört — und ein Standortvorteil, kein Hemmschuh.

Warum eine geeichte Waage der bessere Vergleich ist

Auf dem Wochenmarkt wiegt niemand seine Kirschen nach. Wir vertrauen, dass ein Kilo ein Kilo ist — nicht, weil wir den Händler kennen, sondern weil im Hintergrund eine Eichung dafür sorgt. Diese unsichtbare Infrastruktur empfindet kein Händler als Schikane. Sie ist der Grund, warum Handel überhaupt reibungslos läuft: Vertrauen, ohne dass jeder alles selbst nachprüfen muss.

Genau diese Rolle soll der AI Act für künstliche Intelligenz spielen. Er eicht den Markt, damit Kunden, Partner und Einkaufsabteilungen einem System vertrauen können, ohne jeden Anbieter von Grund auf zu durchleuchten. Und wie beim Eichrecht ist die Prüfung abgestuft: Eine Apothekenwaage, die Milligramm wiegt, wird strenger und engmaschiger kontrolliert als eine Kieswaage im Steinbruch. Nicht das Material entscheidet über die Strenge, sondern die Fallhöhe — was passiert, wenn die Waage daneben liegt? Wer könnte zu Schaden kommen?

Das ist die wichtigste entängstigende Nachricht überhaupt: Der AI Act ist risikobasiert. Je höher das Risiko für Menschen und Grundrechte, desto höher die „Eichgenauigkeit" der Pflichten. Bei niedrigem Risiko bleibt fast alles, wie es ist.

Vier Eichklassen — an Alltagsbeispielen

Der Rahmen sortiert KI-Systeme grob in vier Stufen.

Ganz oben, klein und scharf abgegrenzt, stehen die verbotenen Praktiken. Das sind keine Alltagswerkzeuge, sondern Dinge wie staatliches Social Scoring oder Systeme, die Menschen gezielt manipulieren. Diese Verbote greifen als Erstes. Für einen typischen Mittelständler ist das kein Minenfeld, sondern eine Randnotiz — Sie betreiben so etwas schlicht nicht. Gut zu wissen ist nur, dass es eine harte Untergrenze gibt.

Darunter liegt die Hochrisiko-Stufe — der Teil, der die Schlagzeilen macht und die meiste Angst erzeugt. Hierher gehören KI-Systeme in sensiblen Feldern: Software, die im Bewerbungsprozess Kandidaten vorsortiert, die über Kreditwürdigkeit mitentscheidet oder kritische Infrastruktur steuert. Wer ein solches System bereitstellt, trägt echte, anspruchsvolle Pflichten — Risikomanagement, saubere Daten-Governance, dokumentierte menschliche Aufsicht, Transparenz, Nachvollziehbarkeit. Das ist die Apothekenwaage: zu Recht streng geprüft. Aber es ist ein eng umrissener Korridor. Ein Maschinenbauer, der mit KI seine Angebote schneller kalkuliert, oder eine Kanzlei, die Dokumente zusammenfasst, landet hier in aller Regel nicht. Was genau auf Sie zukommt, wenn Sie doch hier sitzen — etwa mit einer Recruiting- oder Bonitäts-KI —, steht im Deep-Dive zu den Hochrisiko-Pflichten für Anwender.

Die dritte Stufe, begrenztes Risiko, wird oft unterschätzt und ist zugleich leicht zu erfüllen: Transparenzpflichten. Im Kern heißt das ehrliche Kennzeichnung. Ein Chatbot auf Ihrer Website soll erkennbar machen, dass man mit einer Maschine spricht; KI-generierte oder -manipulierte Inhalte sollen als solche kenntlich sein. Das ist keine Bürokratie-Hürde, sondern guter Stil, den seriöse Anbieter ohnehin pflegen — der Eichstrich, der sichtbar auf der Waage prangt. Wie Sie Chatbots und KI-Inhalte konkret kennzeichnen — drei Fälle, je eine Zeile —, steht im eigenen Deep-Dive.

Und schließlich, die mit Abstand breiteste Basis: minimales Risiko. Hier wohnt der Großteil dessen, was Sie tatsächlich einsetzen — Textassistenz, Übersetzung, Recherche, interne Auswertungen, E-Mails sortieren, Angebote vorbereiten. Kaum spezifische Pflichten. Wenn Sie heute überlegen, wo Sie überhaupt anfangen sollen, lohnt der Blick in unsere Landkarte für den ersten KI-Use-Case — Sie werden merken: Fast alles, was sich für den Einstieg eignet, sitzt in genau diesem entspannten Erdgeschoss.

Hinzu kommen eigene Regeln für die großen General-Purpose-Modelle — die Basismodelle hinter den Werkzeugen. Doch diese Pflichten adressieren primär die Hersteller dieser Modelle, nicht Sie als Anwender. Und die Geltung setzt nicht über Nacht ein, sondern gestaffelt über mehrere Jahre — die Verbote zuerst, die Modell-Pflichten auf einem eigenen, früheren Zeitstrahl, die schwereren Hochrisiko-Pflichten mit dem längsten Vorlauf.

Die Eich-Pyramide — Pflichtdichte nach Fallhöhe

Pflichtdichte ↑Verbotenz. B. Social ScoringHochrisikoRecruiting · Kredit · kritische InfrastrukturBegrenztes RisikoChatbot / Deepfake kennzeichnenMinimales RisikoTextassistenz · Übersetzung · Recherche
Wie beim Eichrecht skaliert die Strenge mit dem Risiko: oben, schmal und streng geprüft, die verbotenen Praktiken; ganz unten, breit und nahezu frei, das minimale Risiko — wo der Mittelstand fast immer arbeitet. Nicht das Werkzeug entscheidet, sondern die Fallhöhe.

Die entscheidende Frage: Anbieter oder Anwender?

Bevor Sie sich über irgendeine Pflicht den Kopf zerbrechen, klären Sie eine einzige Sache — sie entscheidet über fast alles: Bauen Sie das System oder benutzen Sie es?

Im Eichrecht trägt der, der eine Waage herstellt und in Verkehr bringt, die Hauptlast der Konformitätsprüfung. Der Händler, der die geprüfte Waage benutzt, hat ungleich leichtere Pflichten — er muss sie bestimmungsgemäß einsetzen und nicht manipulieren. Genau so unterscheidet der AI Act den Anbieter (Provider), der ein KI-System entwickelt oder unter eigenem Namen auf den Markt bringt, vom Betreiber (Deployer), der ein fertiges System für eigene Zwecke nutzt.

Die allermeisten Mittelständler sind Deployer. Und Deployer haben deutlich leichtere Pflichten als Anbieter. Sie müssen kein Hochrisiko-System zertifizieren, das ein anderer gebaut hat. Ihre Aufgabe ist die verantwortungsvolle Nutzung: das System bestimmungsgemäß einsetzen, Menschen in der Entscheidungsschleife behalten, hinschauen. Wer diese Rollenfrage sauber beantwortet, beantwortet damit meist auch die Frage „Betrifft mich das überhaupt?".

Ehrlich bleibt: Wer ein Hochrisiko-System betreibt — etwa eine zugekaufte Recruiting-KI —, hat als Deployer zwar nicht die Zertifizierungslast des Herstellers, aber eigene, ernste Aufgaben: menschliche Aufsicht tatsächlich sicherstellen, den Betrieb beobachten, Protokolle und Vorfälle festhalten, die Anbieter-Vorgaben befolgen. „Leichter" heißt also nicht „nichts" — es heißt: verantwortungsvoll nutzen statt von Grund auf nachweisen.

Der Rollen-Kompass — verorten Sie sich

Rolle: Anwender ———→ AnbieterFolgenschwere: hoch ↑ · gering ↓Hochrisiko-Anbietervolle Pflichten — jetzt FachjuristTypischer MittelstandAnwender · leichte Pflichten
Zwei Fragen verorten Sie: Bauen Sie das System (Anbieter) oder nutzen Sie es (Anwender)? Und wie schwer wiegt ein Fehler? Der typische Mittelstand sitzt unten links — Anwender, geringe Folgenschwere, leichte Pflichten. Oben rechts beginnt der Bereich, für den ein Fachjurist gehört.

Was Sie pragmatisch jetzt tun können

Kein Aktionismus, vier ruhige Schritte:

  1. Inventar. Listen Sie, welche KI-Systeme im Haus laufen — auch die unsichtbaren, die in eingekaufter Software mitfahren. Eine schlichte Übersicht: Welches Werkzeug, wofür, mit welchen Daten? Wie dieses KI-Inventar ohne Bürokratie konkret aussieht — eine Zeile pro System —, steht im eigenen Deep-Dive.
  2. Einstufen. Klären Sie pro System zuerst Ihre Rolle (Anbieter oder Anwender — der Kompass oben hilft), dann die Risikoklasse. Das meiste wird minimal oder begrenzt sein. Echte Hochrisiko-Fälle erkennt man meist sofort — sie entscheiden über Menschen.
  3. Mensch & Transparenz. Sorgen Sie für Kennzeichnung und für menschliche Aufsicht überall dort, wo Entscheidungen Menschen betreffen. Das hängt eng mit der Frage zusammen, wie Sie Ihre Belegschaft mitnehmen und Akzeptanz gewinnen.
  4. Dokumentieren. Halten Sie kurz fest, was Sie nutzen und wie Sie es absichern. Oft reicht eine Seite pro System als Start. Das ist keine Schikane, sondern Ihr Nachweis.

Das Bemerkenswerte: Diese vier Punkte sind nahezu deckungsgleich mit dem, was eine gute KI-Einführung ohnehin verlangt. Sie fügen sich nahtlos in eine seriöse Adoptions-Strategie und in die Frage der Datenhoheit und Souveränität ein. Compliance ist kein Sonderprojekt mit eigener Abteilung — sie ist Teil eines erwachsenen KI-Betriebs.

Pro-EU: Vertrauen ist Marktzugang

Es lohnt, den Rahmen nicht als Last zu lesen. Eine Eichung ist nicht der Feind des Handels — sie ist der Grund, warum Handel ohne ständiges Misstrauen funktioniert. Genauso ist der AI Act kein Bürokratie-Monster, sondern ein Vertrauensrahmen. Wer in Europa KI nach klaren, prüfbaren Regeln einsetzt, gewinnt Rechtssicherheit — und damit Marktzugang.

Kunden, die wissen, dass Ihre KI nachvollziehbar und beaufsichtigt arbeitet, kaufen leichter. Einkaufsabteilungen, die einen verlässlichen Rahmen im Rücken haben, müssen nicht jeden Anbieter von Grund auf selbst durchleuchten. In einem Binnenmarkt dieser Größe ist das ein handfester Vorteil, kein Hemmschuh. Das Thema grenzt unmittelbar an Datenhoheit und DSGVO: Wer Souveränität und Aufsicht ernst nimmt, erfüllt beide Welten in einem Aufwasch. Das ist die Haltung hinter dem Azena-Weg.

Ehrlich bleiben

Dieser Text ordnet ein und nimmt die Angst — er ersetzt keinen Anwalt. Er ist Orientierung, keine Rechtsberatung. Wir sind eine KI-Boutique, keine Kanzlei. Konkrete Fristen, Einstufungen und Pflichten hängen von Ihrem Einzelfall ab. Wenn Sie unsicher sind, ob ein bestimmtes System als Hochrisiko gilt — oder ob Sie in die Anbieterrolle rutschen —, holen Sie eine Fachjuristin oder einen Fachjuristen dazu. Bei allem, was sich nicht sicher beurteilen lässt, gilt: lieber qualitativ einordnen und nachfragen, statt scheingenaue Antworten zu erfinden.

Die Pointe — und wohin von hier

Die meisten Mittelständler stehen unten-links im Kompass: Deployer, geringe Folgenschwere, leichte Pflichten. Die Schlagzeilen behaupten die Apothekenwaage; Ihr Alltag ist die Kieswaage. Wer das einmal verstanden hat, ersetzt diffuse Angst durch zwei ruhige Fragen — Rolle und Folgenschwere — und handelt danach.

Von hier aus haben Sie drei sinnvolle nächste Schritte. Suchen Sie sich den ersten Use Case sauber aus, damit Compliance fast nebenbei mit erledigt ist. Verankern Sie KI so, dass Ihre Belegschaft sie trägt und Aufsicht selbstverständlich wird. Und wenn Sie Technik und Verantwortung zusammen denken wollen, sprechen Sie mit uns über eine KI-Beratung für den Mittelstand. Meist stellt sich heraus: Es ist deutlich weniger dramatisch, als die Schlagzeilen behaupten — und deutlich wertvoller, als die Angst vermuten lässt.

Teil der Compliance-Landkarte: [KI-Compliance im Mittelstand — vier Pflichten, ein System](/blog/ki-compliance-mittelstand-landkarte).

Baybora Gülec· Gründer, Azena

Nächster Schritt

Passt das auf Ihren Fall?

30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.

Erstgespräch buchen
Teilen LinkedIn Per E-Mail

Mehr aus Recht, Compliance & Förderung

Recht, Compliance & Förderung

KI-Compliance im Mittelstand: die Landkarte, die aus vier Pflichten ein System macht

Recht, Compliance & Förderung

AETR-Compliance für Spediteure: wo KI hilft

Recht, Compliance & Förderung

AI-Vertragsanalyse: Klauseln und Risiken