KI-Haftung und Verantwortung: Was der EU AI Act für Ihr Unternehmen bedeutet

Der EU AI Act ist seit dem 1. August 2024 in Kraft. Für viele Unternehmen bedeutet das: Handlungspflichten sind bereits aktiv, weitere kommen stufenweise. Wer KI einsetzt, ob als selbst entwickeltes System oder als zugekauftes Tool, trägt rechtliche Verantwortung. Dieser Leitfaden erklärt, was das konkret für Ihr Unternehmen bedeutet und welche Schritte Sie jetzt einleiten sollten.

Was Der EU AI Act Regelt Und Warum Er Sie Betrifft

Der EU AI Act ist die erste umfassende gesetzliche Regulierung von KI-Systemen weltweit. Er gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen, unabhängig davon, ob der Firmensitz in der EU liegt. Das ist ein wichtiger Punkt: Auch ein US-amerikanischer Anbieter, der sein KI-Tool an deutsche KMUs verkauft, fällt unter den Geltungsbereich. Das Gesetz unterscheidet dabei zwischen zwei zentralen Rollen. Anbieter sind Unternehmen, die ein KI-System entwickeln und unter eigenem Namen vermarkten. Betreiber sind Unternehmen, die ein fremdes KI-System im eigenen Geschäftsbetrieb einsetzen. Die meisten KMUs und Mittelständler sind Betreiber, zum Beispiel wenn sie ChatGPT, ein KI-gestütztes HR-Tool oder einen automatisierten Kundenservice nutzen. Beide Rollen bringen Pflichten mit sich, sie unterscheiden sich jedoch in Umfang und Tiefe. Wer als Betreiber auftritt, ist nicht automatisch auf der sicheren Seite, nur weil ein anderes Unternehmen das System gebaut hat.

Der Ansatz des Gesetzes ist risikobasiert. Das bedeutet: Je größer das Schadenspotenzial eines KI-Systems, desto strenger die Anforderungen. Das ist konzeptionell sinnvoll, erfordert aber zunächst eine genaue Einordnung jedes eingesetzten Systems in die richtige Risikokategorie.

Die Risikoklassen Im Überblick

flowchart TD
    A[KI-System identifizieren] --> B{Verboten?}
    B -->|Ja| C[Sofort einstellen\nSeit 01.08.2024]
    B -->|Nein| D{Hochrisiko?}
    D -->|Ja| E[Strenge Pflichten\nFrist: 01.08.2027]
    D -->|Nein| F{GPAI-Modell?}
    F -->|Ja| G[GPAI-Pflichten\nFrist: 01.08.2025]
    F -->|Nein| H[Minimalrisiko\nTransparenzpflicht]

Der EU AI Act kennt im Wesentlichen drei Risikostufen. Verbotene KI-Systeme sind solche, die als grundsätzlich inakzeptabel gelten. Darunter fallen etwa Systeme zur sozialen Bewertung von Personen durch staatliche Stellen, manipulative KI, die Schwächen von Personen ausnutzt, oder bestimmte Formen biometrischer Massenüberwachung im öffentlichen Raum. Das Verbot gilt seit dem 1. August 2024. Für die meisten Unternehmen im Mittelstand ist diese Kategorie kein zentrales Risiko, sie sollte aber bei der Inventur mitgedacht werden.

Hochrisiko-KI ist die Kategorie, die für viele Betriebe relevant wird. Sie umfasst Systeme in definierten Bereichen: kritische Infrastruktur, Bildungszugang, Beschäftigung und Personalverwaltung, grundlegende Dienstleistungen wie Kredit oder Versicherungen, Strafverfolgung, Migrations- und Grenzkontrollen sowie Rechtspflege. Ein KI-Tool, das Bewerbungen vorsortiert oder Kreditwürdigkeit bewertet, fällt in diese Kategorie. Für Hochrisiko-KI gelten umfangreiche Pflichten: Risikomanagement-Systeme, Datenqualitätsprüfung, technische Dokumentation, Transparenz gegenüber Nutzern und die Sicherstellung menschlicher Aufsicht. Die vollständigen Anforderungen für neue Hochrisiko-Systeme gelten ab dem 1. August 2027. Für bestehende Systeme, die als Hochrisiko einzustufen sind, gibt es eigene Übergangsregelungen.

Minimalrisiko-KI, also die große Mehrheit der heute genutzten Tools wie einfache Chatbots oder Spam-Filter, unterliegt vor allem einer Transparenzpflicht. Nutzerinnen und Nutzer müssen wissen, dass sie mit einem KI-System interagieren. Das klingt trivial, wird in der Praxis aber oft übersehen, zum Beispiel wenn ein KI-gestützter Kundenservice-Bot nicht als solcher gekennzeichnet ist.

General Purpose AI (GPAI), also Basismodelle wie GPT-4 oder ähnliche Systeme, bilden eine eigene Kategorie. Für Anbieter dieser Modelle gelten seit dem 1. August 2025 spezifische Anforderungen. Als Betreiber, der ein solches Modell über eine API nutzt, sind Sie davon nicht direkt betroffen, aber die Dokumentationspflichten des Anbieters schaffen eine Grundlage, auf der Ihre eigene Compliance aufbaut.

KI-KOMPETENZ ALS RECHTSPFLICHT: ARTIKEL 4 IM DETAIL

Artikel 4 des EU AI Act ist für Unternehmen jeder Größe unmittelbar relevant und gilt seit dem 2. Februar 2025. Er verpflichtet sowohl Anbieter als auch Betreiber, sicherzustellen, dass das eingesetzte Personal über ausreichende KI-Kompetenz verfügt. Das ist keine weiche Empfehlung, sondern eine gesetzliche Anforderung. KI-Kompetenz im Sinne des Gesetzes umfasst technisches Grundverständnis, die Fähigkeit zur Risikobewertung im jeweiligen Anwendungskontext und einen verantwortungsvollen Umgang mit KI-Systemen im Arbeitsalltag.

In der Beratungspraxis sehen wir häufig, dass Unternehmen KI-Tools einführen, ohne die Mitarbeiterinnen und Mitarbeiter systematisch zu schulen. Das war früher eine Frage guter Praxis, heute ist es eine Compliance-Anforderung. Was bedeutet das konkret? Zunächst müssen Unternehmen einschätzen, welche Mitarbeitenden mit KI-Systemen arbeiten und welche Kompetenzen für die jeweilige Tätigkeit erforderlich sind. Ein Sachbearbeiter, der täglich mit einem KI-gestützten Dokumentenanalyse-Tool arbeitet, braucht andere Kenntnisse als ein Teamleiter, der KI-generierte Reports überprüft. Auf Basis dieser Einschätzung sind Schulungen zu organisieren und zu dokumentieren. Die Dokumentation ist dabei entscheidend: Sie ist der Nachweis, dass das Unternehmen seiner Pflicht nachgekommen ist.

Ein typisches Muster bei KMUs ist, dass der Geschäftsführer KI-Nutzung genehmigt, aber niemand im Unternehmen eine klare Zuständigkeit für Schulung und Dokumentation übernimmt. Dieses strukturelle Vakuum ist nach Artikel 4 nicht mehr akzeptabel.

Was Anbieter Und Betreiber Konkret Tun Müssen

flowchart LR
    A[KI-Inventur\ndurchführen] --> B[Risikoklassen\nbestimmen]
    B --> C[Pflichten\nableiten]
    C --> D[Governance\naufbauen]
    D --> E[Schulungen\ndurchführen]
    E --> F[Dokumentation\npflegen]
    F --> G[Regelmäßig\nüberprüfen]

Der erste Schritt für jedes Unternehmen ist eine vollständige Inventur aller eingesetzten KI-Systeme. Das klingt aufwendiger als es ist. In der Praxis beginnt man mit einer einfachen Liste: Welche Tools nutzen wir, bei denen KI eine Rolle spielt? Das reicht von ChatGPT-Prompts im Marketing über KI-gestützte Buchhaltungssoftware bis zu automatisierten Screening-Tools in der Personalarbeit. Zu jedem Tool gehören grundlegende Informationen: Wer ist der Anbieter? Wofür nutzen wir das System? Welche Daten fließen ein? Welche Entscheidungen werden durch das System beeinflusst?

Im zweiten Schritt ordnen Sie jedes System einer Risikoklasse zu. Für Betreiber ist dabei entscheidend: Nutzen Sie ein Hochrisiko-System im Sinne des Gesetzes? Wenn ein KI-Tool Einfluss auf Einstellungsentscheidungen, Kreditvergabe oder ähnlich sensible Bereiche hat, ist das wahrscheinlich der Fall. Hier lohnt sich juristische Beratung, weil die Abgrenzung im Einzelfall nicht immer eindeutig ist.

Im dritten Schritt leiten Sie die konkreten Pflichten ab. Für Betreiber von Hochrisiko-KI bedeutet das: Sie müssen das System gemäß der Herstellerdokumentation verwenden, eine menschliche Aufsicht sicherstellen, relevante Vorfälle dokumentieren und dem Anbieter melden, sowie bei Bedarf eine Folgenabschätzung durchführen. Für Systeme mit Minimalrisiko reicht in vielen Fällen eine korrekte Kennzeichnung gegenüber Nutzern.

Governance ist der vierte Schritt. Jemand im Unternehmen muss Verantwortung für KI-Compliance übernehmen. In größeren Mittelständlern kann das ein dedizierter KI-Officer sein. In kleineren Betrieben ist es oft sinnvoller, diese Verantwortung an eine bestehende Funktion anzubinden, zum Beispiel den Datenschutzbeauftragten oder die IT-Leitung. Wichtig ist, dass diese Zuständigkeit klar definiert und dokumentiert ist.

Schulungen und deren Dokumentation sind der fünfte Schritt, direkt verknüpft mit Artikel 4. Wer geschult wird, wann, mit welchem Inhalt und welchem Ergebnis: Das muss nachvollziehbar festgehalten werden. Externe Schulungsanbieter können helfen, aber auch interne Formate sind möglich. Entscheidend ist die Qualität und die Dokumentation.

Der sechste Schritt ist die regelmäßige Überprüfung. KI-Systeme verändern sich, neue Tools kommen hinzu, Anbieter aktualisieren ihre Modelle. Was heute als Minimalrisiko gilt, kann morgen durch eine Funktionserweiterung zur Hochrisiko-KI werden. Ein jährlicher Review-Zyklus ist ein realistisches Minimum.

Wenn Sie parallel zur KI-Compliance auch Ihre Automatisierungsstrategie entwickeln, lesen Sie unseren Leitfaden zur Prozessautomatisierung im Mittelstand, der konkrete Einstiegspunkte für KMUs beschreibt.

Die Grenzen Des Gesetzes Und Was Es Nicht Löst

Ehrlichkeit ist hier wichtig: Der EU AI Act ist kein vollständiges Haftungsrecht für KI-Schäden. Er regelt Anforderungen an Entwicklung und Betrieb, nicht direkt die zivilrechtliche Schadenshaftung gegenüber Dritten. Wer durch ein fehlerhaftes KI-System geschädigt wird, muss weiterhin auf bestehende Rechtswege zurückgreifen, also Produkthaftungsrecht, Deliktsrecht oder vertragliche Ansprüche. Auf EU-Ebene wurde eine separate KI-Haftungsrichtlinie diskutiert, die spezifischere Regelungen für Schadensersatzansprüche bringen sollte. Diese Richtlinie ist jedoch nach aktuellem Stand nicht verabschiedet, und ihr Inhalt und Zeitplan bleiben offen.

Was das für Unternehmen bedeutet: Compliance mit dem EU AI Act reduziert rechtliche Risiken erheblich, schließt sie aber nicht vollständig aus. Wer nachweislich alle Anforderungen des Gesetzes erfüllt, steht im Streitfall deutlich besser da als ein Unternehmen, das keine Dokumentation, keine Schulungen und keine Governance-Struktur vorweisen kann. Es geht also auch um Beweislage und Risikominimierung, nicht nur um formale Compliance.

Ein weiterer Punkt: Das Gesetz ist komplex, und die Auslegung vieler Begriffe ist noch nicht durch Rechtsprechung konkretisiert. Gerade bei der Einordnung in Risikoklassen gibt es Grauzonen. Die Europäische Kommission und die nationalen Aufsichtsbehörden werden in den kommenden Jahren durch Leitlinien und Entscheidungen mehr Klarheit schaffen. Das bedeutet für Unternehmen: Compliance ist kein einmaliger Vorgang, sondern ein fortlaufender Prozess.

Kmu-Erleichterungen Und Aktuelle Entwicklungen

Die EU-Kommission hat im November 2025 einen Reformvorschlag vorgelegt, der speziell auf die Entlastung von KMUs und Midcaps abzielt. Der Vorschlag sieht unter anderem vereinfachte Anforderungen, flexiblere Regeln und verstärkte Unterstützung beim Kompetenzaufbau vor. Dieser Reformprozess ist noch nicht abgeschlossen, zeigt aber, dass der Gesetzgeber die Umsetzungsrealität kleinerer Unternehmen ernst nimmt. Für KMUs bedeutet das: Es lohnt sich, die Entwicklung der Leitlinien zu verfolgen, weil sich konkrete Anforderungen noch konkretisieren oder vereinfachen können.

Gleichzeitig sollte diese Reformdiskussion nicht als Grund dienen, Compliance-Maßnahmen aufzuschieben. Die bereits geltenden Pflichten, insbesondere Artikel 4 zur KI-Kompetenz und die Verbote bestimmter KI-Systeme, sind wirksam. Wer jetzt eine solide Grundstruktur aufbaut, ist für kommende Präzisierungen gut positioniert.

Wenn Sie eine strukturierte KI-Strategie für Ihr Unternehmen entwickeln wollen, die auch Compliance-Aspekte berücksichtigt, ist unser 90-Tage-Fahrplan für KI-Strategie ein sinnvoller Ausgangspunkt. Und wer KI im Kontext von Datenschutz und DSGVO betrachten möchte, findet in unserem Artikel zu datenschutzkonformer KI-Automatisierung eine ergänzende Perspektive, denn EU AI Act und DSGVO überschneiden sich in mehreren Bereichen, ohne identisch zu sein.

Typische Fehler Bei Der Umsetzung

In der Beratungspraxis sehen wir häufig dieselben Muster, wenn Unternehmen mit dem EU AI Act konfrontiert werden. Der erste Fehler ist Passivität: Viele Unternehmen warten ab, weil die vollen Anforderungen für Hochrisiko-KI erst 2027 greifen. Dabei sind mehrere Pflichten bereits aktiv, darunter Artikel 4, und die Vorbereitung auf 2027 erfordert Zeit. Wer 2026 beginnt, hat zu wenig Vorlauf.

Der zweite häufige Fehler ist die Unterschätzung der eigenen Betroffenheit. KMUs neigen dazu, den EU AI Act als Thema für Technologieriesen abzutun. Aber sobald ein Betrieb KI-gestützte Tools in der Personalarbeit, im Kreditmanagement oder in sicherheitsrelevanten Prozessen einsetzt, ist er direkt betroffen, auch als Betreiber.

Der dritte Fehler ist fehlende Dokumentation. Compliance ohne Dokumentation ist keine Compliance. Selbst wenn Schulungen stattfinden und Risikobewertungen vorgenommen werden, nützt das wenig, wenn es keinen Nachweis gibt. Dokumentation muss von Anfang an mitgedacht werden, nicht nachträglich rekonstruiert.

Der vierte Fehler ist die Verwechslung von Anbieter- und Betreiberpflichten. Wer ein fremdes KI-System nutzt, ist Betreiber und haftet nicht für die Systemeigenschaften, wohl aber für den Einsatz im eigenen Kontext. Das heißt: Wenn ein Betreiber ein Hochrisiko-System ohne menschliche Aufsicht einsetzt, obwohl das gesetzlich gefordert ist, liegt die Verantwortung für diesen Mangel beim Betreiber, nicht beim Anbieter.

Praktische Handlungsempfehlungen Für Den Einstieg

Wenn Sie mit dem EU AI Act noch nicht systematisch beschäftigt sind, empfehlen wir einen pragmatischen Einstieg in drei Phasen. In der ersten Phase, die Sie innerhalb von vier bis sechs Wochen abschließen können, führen Sie eine KI-Inventur durch. Erfassen Sie alle KI-Systeme, die in Ihrem Unternehmen im Einsatz sind, und ordnen Sie sie vorläufig einer Risikostufe zu. Dafür brauchen Sie kein spezialisiertes Tool, eine strukturierte Tabelle reicht zunächst. Beziehen Sie in diese Inventur auch KI-Funktionen ein, die in bestehender Software integriert sind, also KI-Features in Ihrem ERP, CRM oder Ihrer Buchhaltungssoftware.

In der zweiten Phase, über einen Zeitraum von ein bis drei Monaten, legen Sie Verantwortlichkeiten fest und starten Schulungsmaßnahmen. Definieren Sie, wer im Unternehmen für KI-Compliance zuständig ist. Entwickeln Sie ein Schulungskonzept, das sich nach dem tatsächlichen KI-Einsatz der verschiedenen Mitarbeitendengruppen richtet. Halten Sie Schulungen und Teilnahme schriftlich fest. Überprüfen Sie gleichzeitig, ob Ihre bestehenden KI-Tools den Transparenzanforderungen genügen, also ob Nutzer darüber informiert sind, dass sie mit KI interagieren.

In der dritten Phase, ab dem dritten Monat und fortlaufend, bauen Sie eine langfristige Governance-Struktur auf. Das bedeutet: regelmäßige Reviews der KI-Inventur, Prozesse für die Aufnahme neuer KI-Systeme, eine klare Eskalationsstruktur für KI-bezogene Vorfälle und die Beobachtung gesetzlicher Entwicklungen. Für Unternehmen mit Hochrisiko-Systemen kommt die Vorbereitung auf die 2027-Anforderungen hinzu, also Risikomanagement-Dokumentation und menschliche Aufsichtsmechanismen.

Diese Struktur schützt nicht nur vor rechtlichen Risiken, sie schafft auch intern mehr Klarheit darüber, wie KI verantwortungsvoll eingesetzt wird.

Fazit

Der EU AI Act ist kein theoretisches Zukunftsthema. Mehrere Pflichten gelten bereits, weitere folgen in klar definierten Schritten bis 2027. Für KMUs und Mittelständler bedeutet das vor allem: KI-Inventur durchführen, Verantwortung intern klar zuordnen, Schulungen starten und dokumentieren. Wer diese Grundstruktur jetzt aufbaut, ist für kommende Anforderungen gut positioniert und reduziert gleichzeitig reale rechtliche Risiken. Der nächste konkrete Schritt ist eine vollständige Bestandsaufnahme aller KI-Systeme im eigenen Unternehmen, idealerweise mit einer ersten Risikobewertung. Wenn Sie dabei Unterstützung möchten, vereinbaren Sie ein kostenloses Erstgespräch mit uns.