EU KI-Verordnung: Was KMU jetzt wissen und tun müssen

„Das fühlt sich an wie damals mit der DSGVO“ – dieser Gedanke kam mir gestern auf der Wildauer KI-Konferenz, als die EU KI-Verordnung diskutiert wurde. Man könnte auch sagen: Die EU-Verordnung über Künstliche Intelligenz (EU AI Act) löst bei vielen Entscheidungsträger:innen ähnliche Gefühle aus wie einst die Datenschutzgrundverordnung. Viel Text, unklare Konsequenzen, und die Frage: Betrifft uns das überhaupt?

Die kurze Antwort, die ich gestern mitnahm: Ja, es betrifft Sie – aber wahrscheinlich nicht so, wie Sie befürchten. Für die meisten KMU in Berlin-Brandenburg geht es nicht um komplexe KI-Systeme in Hochrisikobereichen, sondern zunächst um eine Pflicht, die seit Februar 2025 gilt: Unternehmen müssen nachweisbar geeignete Maßnahmen ergreifen, um angemessene KI-Kompetenz aufzubauen. Was das bedeutet, was Hochrisiko-KI ist und woran Sie erkennen, ob Ihr Unternehmen mehr tun muss – das zeigt dieser Artikel.

Was ist der EU AI Act – und seit wann gilt er?

Der EU AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz. Er wurde am 12. Juli 2024 im EU-Amtsblatt veröffentlicht und trat am 1. August 2024 in Kraft. Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten – ohne nationalen Umsetzungsakt.

Der Gesetzgeber hat dabei einen risikobasierten Ansatz gewählt: Je größer das potenzielle Schadenspotenzial eines KI-Systems, desto strenger die Anforderungen. Das klingt vernünftig; nur die Umsetzung in der Praxis ist nicht immer auf Anhieb klar.

Die Pflichten greifen schrittweise:

• seit 2. Februar 2025: Verbote bestimmter KI-Praktiken und die Schulungspflicht (KI-Kompetenz nach Artikel 4) gelten für alle
• ab 2. August 2025: Transparenzpflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (z. B. große Sprachmodelle)
• ab 2. August 2026: Vollständige Anwendung für Hochrisiko-KI-Systeme nach Anhang III
• ab 2. August 2027: Auch Hochrisiko-KI-Systeme, die als Sicherheitsbauteil in regulierten Produkten verbaut sind

Für die meisten KMU und Behörden ist aktuell eine Pflicht besonders relevant: die KI-Kompetenzpflicht nach Artikel 4 – und sie gilt bereits jetzt.

Artikel 4: KI-Kompetenzpflicht im EU AI Act & was Unternehmen jetzt tun müssen

Artikel 4 des EU AI Act verpflichtet Unternehmen und Organisationen, die KI einsetzen, sicherzustellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz – sogenannte AI Literacy – verfügen. Das gilt seit dem 2. Februar 2025.

Was das konkret bedeutet: Wer KI-Tools im Arbeitsalltag nutzt – sei es ChatGPT für Textentwürfe, Copilot in Microsoft 365 oder ein KI-gestütztes Bewerbermanagementsystem – ist als Betreiber im Sinne des AI Act einzustufen. Und als Betreiber müssen Sie sicherstellen, dass Ihre Mitarbeitenden wissen, was sie da tun.

Die Verordnung gibt dabei kein starres Schulungsformat vor. Entscheidend ist der Kontext: Wer nur gelegentlich KI-Texthilfen nutzt, braucht weniger tiefes Wissen als jemand, der mit einem KI-System Personalentscheidungen vorbereitet. Schulungen müssen nicht nur durchgeführt, sondern auch nachvollziehbar dokumentiert werden.

Was eine KI-Kompetenzschulung mindestens enthalten sollte:

• Grundverständnis: Wie funktioniert KI, was kann sie – und was nicht?
• Rechtliches: Datenschutz beim KI-Einsatz, Transparenzpflichten
• Ethik und Risiken: Wann sind KI-Outputs kritisch zu hinterfragen?
• Praxisbezug: Welche KI-Tools nutzen wir, und was ist dabei zu beachten?

Zertifizierungen sind nach aktuellem Stand nicht vorgeschrieben. Eine interne Schulung mit Dokumentation reicht aus – wenn sie inhaltlich passt und auf die tatsächlich genutzten KI-Systeme abgestimmt ist.

Was ist Hochrisiko-KI – und betrifft das mein Unternehmen?

Hier wird es für viele konkreter als erwartet. Der AI Act definiert in Anhang III eine Liste von Bereichen, in denen KI-Systeme automatisch als hochriskant gelten, wenn sie Entscheidungen wesentlich beeinflussen, die Grundrechte oder die Sicherheit von Menschen betreffen.

Hochrisiko-KI-Bereiche im Überblick (Auswahl aus Anhang III):

• Personalwesen: KI-gestützte Bewerberauswahl, Leistungsbewertung, Kündigungsentscheidungen
• Bildung: KI zur Bewertung von Prüfungsleistungen oder zur Steuerung von Bildungszugängen
• Öffentliche Leistungen: Systeme, die Behörden bei der Entscheidung über Sozialleistungen, Gesundheitsdienste oder öffentliche Förderungen unterstützen
• Biometrie: Emotionserkennung, biometrische Kategorisierung
• Kritische Infrastruktur: KI als Sicherheitskomponente in Strom-, Wasser- oder Verkehrsinfrastruktur

Für Behörden besonders relevant: Jedes KI-System, das im Namen einer Behörde eingesetzt wird und darüber entscheidet, ob Personen Anspruch auf öffentliche Leistungen haben, gilt als Hochrisiko-KI. Das betrifft auch vorbereitende Bewertungen oder Empfehlungen, nicht nur automatisierte Endbescheide.

Für KMU ist der häufigste Berührungspunkt mit Hochrisiko-KI der HR-Bereich: Bewerber-Screening-Tools, die KI einsetzen, fallen dann unter die strengen Anforderungen, wenn sie die Personalentscheidung wesentlich beeinflussen.

Was gilt für Betreiber von Hochrisiko-KI?

Als Betreiber – also als Unternehmen oder Behörde, die ein hochriskantes KI-System einsetzt – gelten ab August 2026 unter anderem folgende Pflichten:

• Menschliche Aufsicht sicherstellen
• Betroffene Personen informieren
• Ergebnisse des Systems überprüfen und nicht blind übernehmen
• Vorfälle dokumentieren und ggf. melden

Was KMU und Behörden jetzt konkret tun sollten

Die gute Nachricht: Der erste Schritt ist überschaubar. Wer jetzt strukturiert vorgeht, ist gut aufgestellt, auch wenn sich die Rechtslage zu Hochrisiko-KI bis 2026 noch weiter konkretisieren wird.

Schritt 1: KI-Einsatz inventarisieren. Welche KI-Tools werden in Ihrer Organisation genutzt: offiziell und vor allem inoffiziell? Das schließt auch Standardsoftware ein, die KI-Funktionen enthält (z. B. Microsoft Copilot, KI in CRM-Systemen, automatisierte Analyse-Tools). Die Bundesnetzagentur bietet mit dem „Interaktiven Compliance Kompass“ ein kostenloses Tool an, mit dem Sie prüfen können, in welche Risikoklasse ein KI-System fällt.

Schritt 2: Risikoklasse bestimmen. Fällt ein System unter Anhang III (Hochrisiko-KI)? Beeinflusst es wesentlich Entscheidungen über Personen? Wenn ja: Hochrisiko-KI – mit erweiterten Pflichten ab 2026.

Schritt 3: KI-Kompetenzschulung organisieren und dokumentieren. Diese Pflicht gilt bereits. Eine Schulung, die auf Ihre tatsächlich genutzten Systeme zugeschnitten ist, mit Dokumentation der Teilnahme – das ist der Kern der Anforderung aus Artikel 4.

Schritt 4: Interne KI-Richtlinie entwickeln. Regeln Sie, wer welche KI-Tools zu welchem Zweck nutzen darf, wie mit KI-Outputs umzugehen ist und was datenschutzrechtlich zu beachten ist. Eine Richtlinie allein ersetzt keine Schulung – aber beides zusammen schafft Klarheit und Rechtssicherheit.

Was, wenn wir KI im Unternehmen bisher gar nicht nutzen?

Auch das ist eine legitime und spannende Ausgangssituation. Denn unabhängig von Regulierung wird KI in immer mehr Standardsoftware integriert: von Office-Tools über CRM-Systeme bis zu Fachanwendungen. Die Frage ist daher oft nicht mehr ob, sondern wie Unternehmen diese Funktionen sinnvoll und verantwortungsvoll nutzen.

Ein guter erster Schritt ist ein kompakter Überblick:
Welche KI-Werkzeuge gibt es für typische Büroaufgaben? Wo entstehen echte Produktivitätsgewinne? Und worauf muss man bei Datenschutz und verantwortungsvoller Nutzung achten?

Genau dafür bieten wir regelmäßig einen kompakten Informationsvormittag „KI im Büroalltag“ an. Dort zeigen wir praxisnah:

• wo KI heute im Arbeitsalltag tatsächlich hilft
• welche Tools sich für typische Büroaufgaben eignen
• welche rechtlichen und organisatorischen Punkte Unternehmen beachten sollten
• und wie ein sinnvoller Einstieg in die KI-Nutzung aussehen kann

Mehr Informationen & den nächsten Termin finden Sie hier:
https://tietoa.de/it-ki-schulungen-berlin-brandenburg/ki-im-bueroalltag/

Häufige Fragen

Gilt der EU AI Act auch für kleine Unternehmen mit weniger als 50 Mitarbeitenden?

Ja. Der EU AI Act macht keine Ausnahme für Unternehmensgröße oder Branche. Wer KI-Tools einsetzt – auch ChatGPT oder Microsoft Copilot – ist als Betreiber eingestuft und muss seit Februar 2025 sicherstellen, dass Mitarbeitende die nötige KI-Kompetenz nachweislich besitzen. Der Umfang der Schulung darf sich am tatsächlichen KI-Einsatz orientieren.

Was passiert, wenn wir die Schulungspflicht nach Artikel 4 nicht erfüllen?

Artikel 4 enthält keine direkten EU-Bußgelder. Es besteht jedoch ein erhebliches zivilrechtliches Risiko: Schadensersatzforderungen, Reputationsverlust und im Ernstfall persönliche Haftung der Geschäftsführung. Außerdem kann fehlende KI-Kompetenz erschwerend wirken, wenn es zu Verstößen gegen andere Teile des AI Acts kommt.

Wie erkenne ich, ob das KI-System, das wir einsetzen, als Hochrisiko-KI gilt?

Entscheidend ist der Verwendungszweck: Wird das System eingesetzt, um Entscheidungen über Personen wesentlich zu beeinflussen – etwa in der Personalauswahl, bei Sozialleistungen oder im Bildungsbereich? Dann ist es wahrscheinlich Hochrisiko-KI gemäß Anhang III. Der kostenlose Compliance Kompass der Bundesnetzagentur hilft bei der konkreten Einordnung.

Müssen Behörden in der öffentlichen Verwaltung besondere Pflichten beachten?

Ja. Behörden, die KI-Systeme einsetzen, die über den Zugang zu öffentlichen Leistungen oder Diensten entscheiden, fallen automatisch unter die Hochrisiko-Kategorie. Das gilt auch für unterstützende oder vorbereitende KI-Bewertungen – nicht nur für vollautomatische Bescheide. Die Schulungspflicht nach Artikel 4 gilt selbstverständlich ebenfalls.

Was müssen wir bei der Nutzung von ChatGPT oder Microsoft Copilot beachten?

Diese Tools gelten als KI-Systeme mit allgemeinem Verwendungszweck. Als Betreiber müssen Sie sicherstellen, dass Mitarbeitende geschult sind, Datenschutzregeln einhalten und keine personenbezogenen Daten ungeschützt in externe Systeme eingeben. Eine interne KI-Nutzungsrichtlinie ist dringend empfohlen.

Quellen

• Europäische Union (2024): Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates über künstliche Intelligenz (EU AI Act). Amtsblatt der EU, 12. Juli 2024. Artikel 4: KI-Kompetenz (artificialintelligenceact.eu)
• Bundesnetzagentur (2025): Hochrisiko-KI-Systeme – Überblick und Compliance Kompass. bundesnetzagentur.de
• AI Act Service Desk der EU-Kommission (2024): Anhang III – Hochrisiko-KI-Systeme gemäß Artikel 6 Absatz 2. ai-act-service-desk.ec.europa.eu

Sie sind unsicher, welche Ihrer KI-Tools eine Schulung erfordern, oder suchen eine kompakte KI-Kompetenzschulung für Ihr Team? Tietoa GmbH unterstützt KMU und Behörden in Berlin-Brandenburg bei der Planung und Umsetzung von Qualifizierungsmaßnahmen – auch zu regulatorischen Anforderungen wie dem EU AI Act.