AI Act für Softwareprojekte: Was KMU bei KI-Funktionen jetzt beachten sollten
Der AI Act ist kein Verbot, sondern eine Einstufung. Die meisten KMU-Anwendungen sind gering riskant — die echte Arbeit sind Transparenz, Aufsicht und Dokumentation.
Rund um den EU AI Act herrscht im Mittelstand vor allem ein Gefühl: Sorge. Sorge, dass jede KI-Funktion jetzt ein Compliance-Großprojekt ist. Für die meisten KMU-Anwendungen ist genau das nicht der Fall.
Der AI Act ist kein Verbot, sondern eine Einstufung. Wer seine Anwendung richtig einordnet, sieht meist überschaubare Pflichten statt eines Großprojekts.
Das Grundprinzip: Risiko, nicht Technologie
Der AI Act reguliert nicht „KI" pauschal, sondern den Anwendungsfall nach Risiko: verbotene Praktiken, Hochrisiko, begrenztes Risiko (Transparenzpflicht), minimales Risiko. Dieselbe Technologie kann je nach Einsatz in völlig verschiedenen Klassen liegen.
Für typische Mittelstands-KI — interne Assistenten, Dokumentenautomation, Entwurfshilfen mit menschlicher Freigabe — ist die Einstufung meist „begrenzt" oder „minimal". Das bedeutet Transparenz und Sorgfalt, nicht Zulassungsverfahren.
Drei Pflichten, die fast immer gelten
1. Transparenz
Wenn Menschen mit oder über KI interagieren oder Inhalte KI-erzeugt sind, muss das erkennbar sein. Das ist kein technisches Großthema — aber es muss früh eingeplant statt nachträglich aufgesetzt werden.
2. Menschliche Aufsicht
KI, die etwas Relevantes beeinflusst, braucht einen Menschen, der eingreifen kann. Genau die Human-in-the-Loop-Disziplin, die gute KI ohnehin auszeichnet, ist hier auch regulatorisch verlangt.
3. Dokumentation
Was tut das System, mit welchen Daten, mit welchen Grenzen, wer ist verantwortlich? Diese Dokumentation ist kein Papier für die Schublade, sondern dieselbe Klarheit, die ein gutes Projekt sowieso braucht.
Die Zeitachse ernst nehmen
Der AI Act tritt gestaffelt in Kraft — Pflichten für KI-Modelle, Transparenz und Hochrisiko greifen zu unterschiedlichen Zeitpunkten. Der offizielle Zeitplan der EU-Kommission ist die maßgebliche Quelle und ändert sich in Details. Deshalb gilt: Einordnung dokumentieren, Termine beobachten, Artikel wie diesen als lebendes Dokument behandeln.
Was KMU jetzt konkret tun
Nicht abwarten und nicht in Panik geraten, sondern einordnen: Welche KI-Funktionen haben wir, in welche Risikoklasse fallen sie, welche der drei Pflichten greift? Diese Einordnung gehört in jedes Projekt mit KI — am besten zusammen mit der ohnehin nötigen Datenschutzbetrachtung (siehe DSGVO-konforme KI-Anwendungen) und der allgemeinen KI-Reife (siehe AI Readiness Check).
Checkliste vor der KI-Funktion
- Haben wir jede KI-Funktion einer Risikoklasse zugeordnet?
- Ist Transparenz gegenüber Nutzern technisch eingeplant?
- Gibt es eine wirksame menschliche Aufsicht mit Eingriffsmöglichkeit?
- Existiert eine Dokumentation von Zweck, Daten, Grenzen, Verantwortung?
- Beobachten wir die AI-Act-Zeitachse und aktualisieren die Einordnung?
- Ist die Einordnung mit der DSGVO-Betrachtung verbunden?
- Ist klar, wer intern verantwortlich ist?
Häufige Fragen
Ist jede KI-Funktion jetzt hochriskant? Nein. Hochrisiko ist eng definiert. Die meisten Mittelstands-Anwendungen fallen in begrenztes oder minimales Risiko mit überschaubaren Pflichten.
Müssen wir auf finale Leitlinien warten? Nein. Einordnung, Transparenz, Aufsicht und Dokumentation kann man heute tun. Warten erzeugt mehr Risiko als Handeln.
Gilt der AI Act auch für eingekaufte KI? Ja, je nach Einsatz. Wer KI nutzt, trägt Verantwortung für den Anwendungsfall — nicht nur der Anbieter des Modells.
Ist das ein Wettbewerbsnachteil? Im Gegenteil: dokumentierte, beaufsichtigte, transparente KI ist im deutschen B2B-Markt ein Vertrauensargument.
Fazit
Der AI Act ist für die meisten KMU kein Großprojekt, sondern eine Einordnungsaufgabe: Risikoklasse bestimmen, Transparenz und Aufsicht sicherstellen, dokumentieren, Termine beobachten. Genau die Disziplin, die gute KI ohnehin braucht — jetzt auch als regulatorische Erwartung.
Weiterlesen
- DSGVO-konforme KI-Anwendungen richtig planen — Datenschutz und AI Act gehören zusammen.
- AI Readiness Check: 12 Fragen vor dem KI-Start — Einordnung als Teil der KI-Reife.
Nächster Schritt
Sie planen KI-Funktionen und wollen den AI Act richtig einordnen? Beginnen Sie mit einer kurzen Einschätzung Ihrer Anforderungen. Wir bestimmen Risikoklasse und Pflichten — pragmatisch, nicht als Großprojekt.
Quellen
- Europäische Kommission, AI Act — digital-strategy.ec.europa.eu
- EU AI Act Service Desk, Timeline for the Implementation of the AI Act — ai-act-service-desk.ec.europa.eu
- NIST, AI Risk Management Framework — nist.gov