KI-Strategien: Was kleine Unternehmen jetzt wissen müssen über den AI-Act

Der EU AI-Act ist eine direkt geltende EU-Verordnung, die den Einsatz künstlicher Intelligenz europaweit reguliert. Sie betrifft Unternehmen jeder Größe – also auch KMU in Deutschland – die KI-Systeme entwickeln, einsetzen oder als Teil einer Dienstleistung anbieten. Auch wer KI nur als integrierten Bestandteil von Drittanbieter-Software nutzt (z. B. KI-Funktionen in CRM-Systemen oder HR-Tools), kann unter die Verordnung fallen.

Verboten sind KI-Systeme, die Menschen unbewusst manipulieren oder täuschen, staatliche Social-Scoring-Systeme sowie biometrische Echtzeit-Überwachung im öffentlichen Raum. Diese Kategorien sind für die meisten Unternehmen im Mittelstand nicht praxisrelevant – dennoch lohnt eine Prüfung, da die Grenzen fließend sein können.

Hochrisiko-KI umfasst Systeme in sensiblen Bereichen wie Personalwesen, kritischer Infrastruktur, Bildung, Gesundheit oder öffentlichen Diensten. Konkrete Beispiele aus dem Unternehmensalltag:

• KI-gestützte Bewerbermanagementsysteme, die Kandidaten automatisch bewerten
• KI-Tools zur Mitarbeiterleistungsüberwachung
• Medizinische KI-Anwendungen in Arztpraxen oder Pflegeeinrichtungen

Wer solche Systeme einsetzt, muss Risikomanagementsysteme einrichten, technische Dokumentationen erstellen, Transparenz sicherstellen und menschliche Aufsicht gewährleisten.

Chatbots und ähnliche Systeme mit begrenztem Risiko unterliegen primär Transparenzpflichten: Nutzer müssen erkennen können, dass sie mit einer KI interagieren. Systeme mit minimalem Risiko – wie KI-Spamfilter oder Produktempfehlungen im Onlineshop – sind weitgehend unreguliert.

Viele Unternehmen unterschätzen, wie viele KI-Komponenten bereits in ihrer IT-Infrastruktur stecken. Eine systematische KI-Bestandsaufnahme ist der erste Pflichtschritt – sie umfasst nicht nur eigenständige KI-Software, sondern auch integrierte KI-Funktionen in bestehenden Tools wie CRM, ERP oder Sicherheitslösungen.

itcares unterstützt Sie bei dieser Inventarisierung und bewertet jedes System anhand der AI-Act-Kategorien – inklusive Dokumentation von Einsatzzweck, verarbeiteten Daten und Entscheidungsbefugnissen.

Die wesentlichen Compliance-Schritte im Überblick:

1. Bestandsaufnahme aller KI-Systeme und KI-gestützten Tools
2. Risikobewertung und Kategorisierung nach AI-Act
3. Technische Dokumentation für Hochrisiko-Systeme erstellen
4. Governance-Richtlinien definieren: Wer darf welche KI nutzen? Welche Freigabeprozesse gelten?
5. Mitarbeiterschulungen zu verantwortungsvollem KI-Einsatz
6. Laufendes Monitoring und Incident-Reporting für Hochrisiko-Systeme

Beide Regelwerke greifen ineinander. KI-Systeme, die personenbezogene Daten verarbeiten, müssen sowohl AI-Act- als auch DSGVO-konform sein. Besonders wichtig sind dabei Datenminimierung, Zweckbindung und Transparenz. Bei Cloud-basierten KI-Diensten ist zudem zu prüfen, ob Daten in Drittländer übertragen werden und ob entsprechende Auftragsverarbeitungsverträge vorliegen.

KI-Systeme selbst sind ein wachsendes Angriffsziel. Zwei typische Bedrohungen sind Data Poisoning (manipulierte Trainingsdaten) und Adversarial Attacks (gezielte Eingaben, die Fehlentscheidungen provozieren). Wirksamer Schutz umfasst kontinuierliches Monitoring, Anomalieerkennung und schnelle Incident Response – zum Beispiel durch einen Managed Security Service oder ein Security Operations Center (SOC).

Gesundheitseinrichtungen und Arztpraxen sind besonders gefordert: KI-Systeme in der Diagnostik oder Patientenverwaltung gelten als Hochrisiko-Anwendungen, und Patientendaten unterliegen den strengsten Schutzstandards. Nötig ist ein integriertes Sicherheitskonzept, das Risikoanalyse, Netzwerksegmentierung, Zugriffsüberwachung und DSGVO-konforme Systeme kombiniert.

Ja – wer KI verantwortungsvoll und rechtskonform einsetzt, schafft Vertrauen bei Kunden und Partnern und stärkt seine Position als verlässlicher Akteur. Der AI-Act kann als Katalysator genutzt werden, um die eigene IT-Infrastruktur zu modernisieren: sichere Cloud-Plattformen wie Microsoft 365, Multi-Faktor-Authentifizierung, Privileged Access Management und umfassendes Monitoring erhöhen nicht nur die Compliance, sondern die gesamte Resilienz Ihres Unternehmens.