KI-Haftung: Diese EU-Regeln treffen auch kleine Betriebe

Brüssel hat ein Gesetz beschlossen, das die Art und Weise, wie Unternehmen mit Künstlicher Intelligenz arbeiten, grundlegend verändern wird. Seit dem 1. August 2024 ist der EU AI Act in Kraft – die weltweit erste umfassende KI-Regulierung. Doch die Reaktion in vielen deutschen Betrieben ist erschreckend verhalten: Man wartet ab, hofft, dass es andere trifft, und schiebt das Thema in die nächste Quartalsagenda. Ein Fehler. Denn der AI Act ist kein Zukunftsprojekt mehr. Die ersten Verbote gelten seit Februar 2025. Hochrisiko-Anforderungen werden ab August 2026 durchgesetzt. Und die Bußgelder? Bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Was viele nicht wissen: Das Gesetz richtet sich nicht nur an Tech-Konzerne. Wer KI nutzt, einkauft oder in Prozesse einbettet – ob im Recruiting, in der Buchhaltung oder im Kundenservice – ist betroffen. Die Frage ist nicht, ob, sondern wie gut vorbereitet ein Unternehmen ist, wenn die erste Prüfbehörde anklopft.

Nicht nur Googles Problem – die unterschätzte Reichweite des AI Act

Viele Unternehmer denken bei KI-Regulierung sofort an die großen Plattformen. Doch der AI Act reguliert nach Verwendungszweck, nicht nach Unternehmensgröße. Wer ein KI-gestütztes Bewerbermanagementsystem nutzt, einen automatisierten Kreditbewertungsalgorithmus einsetzt oder Chatbots im Kundenservice betreibt, fällt unter das Gesetz – unabhängig davon, ob der Betrieb zehn oder zehntausend Mitarbeitende zählt. Das trifft Handwerksbetriebe mit HR-Software genauso wie Industriezulieferer mit KI-gestützter Qualitätskontrolle.

Vier Risikoklassen – eine Einteilung mit realen Konsequenzen

Das Gesetz teilt KI-Systeme in vier Kategorien: unakzeptables Risiko (verboten), hohes Risiko (streng reguliert), begrenztes Risiko (Transparenzpflicht) und minimales Risiko mit kaum Auflagen. Zur zweiten Kategorie zählen Systeme für die Personalauswahl, Kreditvergabe, kritische Infrastruktur und Bildung. Wer solche Systeme betreibt, muss eine technische Dokumentation vorlegen, ein Risikomanagementsystem einführen und die Qualität der Trainingsdaten nachweisen. Das ist kein Ermessensspielraum – das ist Pflicht.
Was wirklich auf dem Spiel steht – jenseits der Millionenstrafen

Die Bußgelder klingen bedrohlich, sind aber nicht das größte Risiko. Gefährlicher ist der Reputationsschaden. Ein Unternehmen, dem nachgewiesen wird, verbotene oder unkontrollierte KI-Systeme betrieben zu haben, verliert Kunden und Geschäftspartner – oft schneller als jede Behörde reagieren kann. Dazu kommt ein strukturelles Druckproblem: Wer als Zulieferer von Großkonzernen tätig ist, wird zunehmend in die Pflicht genommen. Konzerne wie Bosch, BMW oder REWE bauen KI-Compliance-Anforderungen in ihre Lieferkettenverträge ein. Wer nicht dokumentieren kann, fliegt raus.

Drei Chancen, die im Compliance-Stress untergehen

Erstens schafft frühzeitige Compliance messbares Kundenvertrauen – gerade im B2B-Bereich wird seriöse KI-Nutzung zum Differenzierungsmerkmal. Zweitens erzwingen die Dokumentationspflichten einen Überblick über die eigene KI-Landschaft, der strategisch wertvoller ist als erwartet. Drittens sind Unternehmen, die jetzt auditieren, bei Ausschreibungen öffentlicher Auftraggeber klar im Vorteil gegenüber Mitbewerbern, die noch in der Orientierungsphase stecken.

Dreifach falsch – typische Fehler und ihre Korrekturen

Fehler 1: Die Annahme, dass nur selbst entwickelte KI betroffen ist. Auch eingekaufte Lösungen wie HR-Software oder CRM-Systeme mit KI-Funktionen unterliegen dem Gesetz – Anbieter müssen Konformitätsnachweise liefern.

Fehler 2: Compliance als IT-Aufgabe delegieren. KI-Governance ist Chefsache. Die Verantwortung liegt nicht in der IT-Abteilung, sondern bei der Geschäftsführung.

Fehler 3: Warten auf eine nationale Umsetzung. Die EU-Verordnung gilt direkt und ohne nationale Transformation – jeder Monat Wartezeit kostet Vorbereitungszeit.

Was heißt das konkret für Unternehmen?

Fünf sofort umsetzbare Handlungsschritte: Erstens eine vollständige Bestandsaufnahme aller genutzten KI-Systeme – eingekauft, abonniert oder integriert. Zweitens die Einstufung jedes Systems in eine Risikoklasse, notfalls mit Unterstützung des Anbieters. Drittens die Anforderung von Konformitätsnachweisen bei allen Softwarepartnern mit KI-Funktionalität. Viertens die Definition einer klaren internen Zuständigkeit für KI-Governance. Fünftens die Planung einer Mitarbeiterschulung – das Gesetz schreibt ausreichende KI-Kompetenz für Nutzende von KI-Systemen ausdrücklich vor.

Jetzt prüfen

• Alle genutzten KI-Systeme im Unternehmen identifiziert
• Risikoklasse für jedes System geprüft
• Konformitätsnachweise bei Anbietern angefordert
• Interne KI-Governance-Verantwortung definiert
• Schulungsplan für KI-Nutzende terminiert

Wer den AI Act als Pflicht sieht, hat ihn noch nicht verstanden

Der EU-AI-Act ist unbequem, weil er Transparenz in Prozesse bringt, die viele Unternehmen lieber undurchleuchtet lassen. Aber genau darin liegt die Chance. Wer seine KI-Landschaft kennt, dokumentiert und kontrolliert, trifft bessere Entscheidungen. Wer weiß, welche Systeme welche Risiken tragen, kann gezielt investieren. Und wer gegenüber Kunden und Partnern nachweisen kann, dass KI-Nutzung im Betrieb integer ist, baut einen Wettbewerbsvorteil auf, der sich nicht so leicht kopieren lässt. Das größte Missverständnis lautet: Compliance kostet Zeit und Geld. Stimmt.

Unkontrollierte KI-Nutzung kostet aber Vertrauen, Kunden und im Ernstfall existenzielle Summen. Die meisten KMU brauchen keine aufgeblähte Compliance-Abteilung. Ein nüchterner Blick auf die eingesetzten Systeme, ein klarer Ansprechpartner und ein dokumentierter Prozess reichen in vielen Fällen aus. Die Unternehmer, die das jetzt begreifen, werden in zwei Jahren nicht gefragt werden, ob sie den AI Act kennen – sie werden diejenigen sein, die ihre Mitbewerber beraten.