Alle Beiträge
Unternehmensberater
Künstliche Intelligenz

AI Act: Leitfaden für kleine und mittlere Unternehmen

Gerrit Lemmermann
05.09.2025
2
Minuten

AI Act: Leitfaden für kleine und mittlere Unternehmen

Der AI Act ist das neue europäische Gesetz für Künstliche Intelligenz. Ab 2025 gelten einheitliche Regeln für die Entwicklung, den Einsatz und den Vertrieb von KI-Systemen in allen EU-Staaten. Auch wenn sich das nach einem Gesetz für Großkonzerne anhört: Besonders kleine und mittlere Unternehmen (KMU) stehen im Mittelpunkt. Sie werden im Gesetz ganze 38-mal erwähnt und somit deutlich häufiger als Industrie (7-mal) oder Zivilgesellschaft (11-mal). Das zeigt: Der Gesetzgeber weiß, dass KMU besondere Unterstützung brauchen.

Damit die Umsetzung funktioniert, enthält der AI Act spezielle Maßnahmen, die den Aufwand für KMU senken und ihnen den Zugang zu KI-Innovationen erleichtern sollen.

Wer gilt als KMU?

Nach EU-Recht gehören dazu drei Gruppen:

  • Mittelgroße Unternehmen: weniger als 250 Mitarbeitende, Jahresumsatz unter 50 Mio. € oder Bilanzsumme unter 43 Mio. €.
  • Kleine Unternehmen: weniger als 50 Mitarbeitende, Umsatz oder Bilanzsumme unter 10 Mio. €.
  • Kleinstunternehmen: weniger als 10 Mitarbeitende, Umsatz oder Bilanzsumme unter 2 Mio. €.

Auch Start-ups werden ausdrücklich erwähnt, obwohl es noch keine einheitliche EU-Definition für Start-ups gibt.

Regulatorische Sandkästen

Ein zentrales Instrument des AI Acts sind sogenannte Sandkästen (engl. Sandboxes). Eine Sandbox ist eine von Behörden begleitete Art an Testumgebungen, in der Unternehmen KI-Produkte entwickeln, trainieren und ausprobieren können, ohne sofort alle gesetzlichen Anforderungen erfüllen zu müssen.

Für KMU besonders wichtig: Der Zugang ist kostenlos, die Verfahren sind einfach gehalten, und es dürfen auch reale Anwendungsfälle getestet werden. Die Teilnahme wird dokumentiert und kann später als Nachweis gelten, dass ein Unternehmen die Regeln einhält.

Wichtig ist allerdings: Auch wenn man in einer Sandbox testet, bleibt man für Schäden, die Dritten entstehen, verantwortlich.

Kosten und Gebühren

Ein häufiger Kritikpunkt bei neuen Regulierungen sind die Kosten. Deshalb verpflichtet der AI Act die Mitgliedstaaten, Gebühren für Prüfungen und Zertifizierungen an der Größe eines Unternehmens auszurichten. Übersetzungskosten sollen reduziert werden, indem Dokumentationen möglichst in mehreren Sprachen akzeptiert werden.

Auch bei Bußgeldern gibt es Unterschiede: Für KMU gilt immer der niedrigere Wert, entweder ein fester Betrag oder ein Prozentsatz des Umsatzes.

Standards und Mitbestimmung

Der AI Act sieht vor, dass KMU aktiv an der Entwicklung von Standards beteiligt werden. Sie sollen leichter Zugang zu Gremien bekommen und im AI-Beratungsforum vertreten sein. Dieses Forum berät die EU-Kommission und den Europäischen Ausschuss für künstliche Intelligenz. Damit wird sichergestellt, dass auch kleine Unternehmen Einfluss auf die Gestaltung der Regeln nehmen können.

Vereinfachte Dokumentation und Schulungen

Für Hochrisiko-KI-Systeme, also Anwendungen, die besonders sensibel sind, zum Beispiel im Gesundheitswesen, gelten strenge Vorgaben. Damit KMU hier nicht überfordert werden, entwickelt die EU vereinfachte Formulare und angepasste Qualitätsanforderungen. Zudem soll es gezielte Schulungen und Informationskampagnen geben, die speziell auf kleine Unternehmen zugeschnitten sind.

Eigene Kommunikationskanäle

Die Mitgliedstaaten sind verpflichtet, Anlaufstellen einzurichten, die kleine und mittelständische Unternehmen (KMU) bei der Umsetzung des AI Act unterstützen. In Deutschland hat diese Aufgabe inzwischen die Bundesnetzagentur übernommen und ein KI-Service Desk eingerichtet.

Seit Juli 2025 ist der KI-Service Desk online verfügbar. Er bietet eine zentrale Anlaufstelle für Unternehmen, Behörden und Organisationen, die sich mit Fragen rund um die EU-KI-Verordnung befassen. Das Herzstück ist der interaktive KI-Compliance-Kompass, mit dem sich in einem einfachen Dialogverfahren ermitteln lässt, ob ein KI-System reguliert ist, ob Transparenzpflichten bestehen und ob es sich um ein Hochrisiko-System oder gar eine verbotene Anwendung handelt.

Darüber hinaus enthält der Service Desk praxisnahe Erklärungen, Beispiele und Leitfäden, die helfen, die Vorgaben der KI-Verordnung einzuordnen. Auch Schulungsangebote sind teils kostenlos verfügbar. Das alles soll insbesondere KMU und Start-ups unterstützen, die oft keine eigene Rechts- oder IT-Abteilung haben.

Kurz zusammengefasst:

  • Der KI-Service Desk ist ab Juli 2025 erreichbar über die Website der Bundesnetzagentur (www.bundesnetzagentur.de/ki).
  • Der Compliance-Kompass ermöglicht eine erste Einschätzung zur Anwendbarkeit des AI Act.
  • Weitere Ressourcen: praxisnahe Informationen, Beispiele, Schulungshinweise alles verständlich und kostenlos zugänglich.

Verhältnismäßigkeit bei KI-Modellen

Ein weiterer wichtiger Punkt ist die Verhältnismäßigkeit. Nicht jedes Unternehmen muss die gleichen Pflichten erfüllen. Die Anforderungen richten sich nach Größe und Art des Modells.

Besonders strenge Vorgaben gelten nur für sogenannte systemrelevante KI-Modelle. Das sind extrem leistungsstarke Systeme, die mit mehr als 10^25 FLOPs trainiert wurden.

👉 Was ist ein FLOP? FLOP steht für Floating Point Operation, also eine einzelne Rechenoperation. FLOPs messen, wie viel Rechenleistung beim Training eines Modells eingesetzt wurde. 10^25 FLOPs heißt: eine Eins mit 25 Nullen an Rechenoperationen. Solche Werte erreichen nur wenige große Modelle wie GPT-4o oder Gemini 1.0 Ultra. Für die allermeisten KMU ist das kein Thema, sie arbeiten mit kleineren Anwendungen oder nutzen bestehende Systeme.

Warum das für KMU wichtig ist

Der AI Act bringt Pflichten mit sich, sorgt aber auch für Rechtssicherheit. Er schafft einen klaren Rahmen, innerhalb dessen Unternehmen KI einsetzen können, ohne rechtliche Grauzonen zu fürchten. Wer sich frühzeitig mit den Anforderungen beschäftigt, kann sogar Wettbewerbsvorteile erzielen, sei es durch schnellere Markteinführung neuer Produkte über Sandkästen oder durch den Vertrauensgewinn bei Kunden, die auf transparente und geprüfte KI-Lösungen setzen.

Am Ende hängt viel davon ab, wie die Mitgliedstaaten den AI Act konkret umsetzen. Für KMU heißt das: Informationen verfolgen, Beratungsangebote nutzen und erste Prozesse frühzeitig anpassen. Hilfreiche Ressourcen sind die Leitfäden der EU-Kommission, die nationalen Umsetzungspläne oder Tools wie der „AI Act Compliance Checker“.

Du hast Fragen? Hier ein paar Antworten.

Häufig gestellte Fragen

Warum sollte mich der AI Act überhaupt interessieren?

Künstliche Intelligenz beeinflusst schon heute viele Bereiche unseres Lebens. Sie entscheidet, welche Inhalte Du online siehst, sie analysiert Gesichter zur Strafverfolgung oder für personalisierte Werbung und sie unterstützt Ärztinnen und Ärzte bei der Diagnose und Behandlung von Krankheiten wie Krebs. Der AI Act legt fest, wie KI in Europa sicher und vertrauenswürdig eingesetzt werden darf. Damit betrifft er Dich nicht nur als Unternehmerin, sondern auch als Bürgerin, weil er festlegt, ob KI eher positive oder negative Auswirkungen auf Dein Leben hat.

Was ist der EU AI Act genau?

Der AI Act ist die erste umfassende Gesetzgebung zur Künstlichen Intelligenz weltweit. Er teilt KI-Systeme in drei Risikokategorien ein. Verboten sind Anwendungen, die ein inakzeptables Risiko darstellen, wie etwa staatliches Social Scoring. Systeme mit hohem Risiko, zum Beispiel Software, die Bewerbungen automatisch sortiert und über Karrieren entscheidet, müssen strenge Anforderungen erfüllen. Alle anderen Anwendungen, die weder verboten noch als Hochrisiko eingestuft sind, bleiben weitgehend unreguliert.

Warum ist der AI Act mit der DSGVO vergleichbar?

Der AI Act wird oft mit der Datenschutz-Grundverordnung (DSGVO) verglichen, die seit 2018 weltweit Maßstäbe für den Datenschutz gesetzt hat. Auch die KI-Verordnung könnte zu einem globalen Standard werden und andere Länder dazu bewegen, ähnliche Gesetze einzuführen. Erste Beispiele dafür gibt es bereits, etwa in Brasilien, wo der Kongress 2021 ein Gesetz beschlossen hat, das ebenfalls einen Rechtsrahmen für künstliche Intelligenz schafft.

Was bedeutet „Sandbox“ im Zusammenhang mit dem AI Act?

Eine Sandbox ist eine Art Testumgebung, in der Unternehmen neue KI-Systeme entwickeln und ausprobieren können, ohne sofort alle gesetzlichen Anforderungen erfüllen zu müssen. Für KMU ist die Teilnahme kostenlos, die Verfahren sind bewusst einfach gehalten, und es ist sogar möglich, KI-Anwendungen unter realen Marktbedingungen zu testen. Die Teilnahme an einer Sandbox kann später als Nachweis dienen, dass man die Regeln des AI Acts einhält. Wichtig ist allerdings, dass die Haftung für mögliche Schäden während der Tests nicht entfällt.

Was sind FLOPs und warum sind sie wichtig?

FLOP bedeutet „Floating Point Operation“ und beschreibt eine einzelne Rechenoperation mit einer Gleitkommazahl. FLOPs sind also ein Maß für die Rechenleistung, die ein Computer oder ein KI-Modell erbringt. Während kleinere KI-Systeme mit Milliarden oder Billionen solcher Operationen auskommen, brauchen die größten und leistungsstärksten Modelle, wie etwa GPT-4o, mehr als 10 hoch 25 FLOPs, also eine Zahl mit 25 Nullen. Der AI Act unterscheidet, weil nur diese extrem leistungsstarken Modelle als systemrelevant gelten und besonders strengen Regeln unterliegen. Für KMU spielt das in der Praxis kaum eine Rolle, da ihre Systeme weit darunter liegen.

Welche Vorteile bringt der AI Act für KMU?

Der AI Act enthält viele Erleichterungen für KMU. Gebühren für Prüfungen und Zertifizierungen werden an die Unternehmensgröße angepasst, es gibt vereinfachte Dokumentationspflichten und spezielle Schulungen, die extra auf kleine Unternehmen zugeschnitten sind. KMU erhalten zudem Zugang zu regulatorischen Sandkästen, in denen sie ihre Produkte sicher testen können, und profitieren von eigenen Kommunikationskanälen bei den Behörden. Außerdem haben sie die Möglichkeit, aktiv an der Entwicklung von Standards mitzuwirken und damit Einfluss auf die Regeln der Zukunft zu nehmen.

Welche Risiken gibt es trotzdem für KMU?

Auch mit den Erleichterungen bleibt der AI Act eine Herausforderung. Zusätzliche Bürokratie lässt sich nicht vollständig vermeiden, und Kosten für Übersetzungen, Zertifizierungen oder Schulungen können schnell spürbar werden. Außerdem ist die nationale Umsetzung des Gesetzes noch nicht in allen Details klar, was zu einer gewissen Rechtsunsicherheit führt. Und ganz wichtig: Auch wenn KMU in einer Sandbox testen, bleibt die Haftung für mögliche Schäden immer beim Unternehmen selbst.

Deine Fragen gehen darüber hinaus?

Kontaktiere uns so, wie du möchtest. Buch dir direkt einen Termin oder wähle deinen Favoriten aus den Optionen auf unserer Kontaktseite.

Termin buchen
Alle Kontaktoptionen