EU-KI-Verordnung fur KMU: Pflichten, Bussgelder und der Weg zur Compliance

Die EU-KI-Verordnung (KI-VO) schafft eine gestufte Pflichtstruktur. Die erste Stufe -- bereits durchsetzbar -- ist Artikel 4: Jedes Unternehmen, dessen Beschafigte KI-Systeme im Geltungsbereich nutzen, muss sicherstellen, dass diese Personen uber ausreichende KI-Kompetenz fur ihre Aufgabe verfugen. Das ist kein Schulungszertifikat; es ist eine dokumentierte Bewertung: Wer nutzt KI, fur welche Entscheidungen, und versteht die Person die Grenzen und Fehlerquellen des Werkzeugs? Wer KI-gestutzte Werkzeuge in Personalwesen, Finanzen, Kundendienst oder Rechtsabteilung einsetzt, ohne diese Kompetenz dokumentiert zu haben, ist bereits nicht compliant. Die zweite Stufe greift am 2. August 2026: Pflichten fur Anbieter und Betreiber von Hochrisiko-KI-Systemen nach Anhang III der KI-VO. Hochrisikokategorien, die fur KMU relevant sind, umfassen KI im Personalwesen (Lebenslauf-Screening, Leistungsuberwachung, Beforderungsentscheidungen), im Zugang zu wesentlichen Dienstleistungen (Kreditwurdigkeitsprufung, Versicherungspreisgestaltung, Kreditvergabe) und im Betrieb kritischer Infrastruktur. Die meisten KMU sind Betreiber -- sie nutzen das KI-Produkt eines Anbieters, entwickeln keine eigene KI. Betreiberpflichten nach den Artikeln 26 bis 29 umfassen: Konformitatsdokumentation fuhren, menschliche Uberwachungsverfahren einrichten, Zwischenfalle protokollieren und schwerwiegende Risiken dem Anbieter melden. Die CE-Kennzeichnung oder Konformitatserklarung Ihres Anbieters deckt Ihre Betreiberpflichten nicht automatisch ab. Sanktionen fur verbotene KI-Praktiken nach Artikel 5 betragen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Nichteinhaltung der Hochrisiko-Vorschriften nach den Artikeln 26 bis 29 wird mit bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes geahndet. Der praktische Dreischritt fur ein KMU mit 10 bis 250 Beschafigten: (1) alle eingesetzten KI-Werkzeuge inventarisieren und gegen Anhang III klassifizieren; (2) eine Artikel-4-Kompetenzbewertung fur alle KI-nutzenden Beschafigten durchfuhren und dokumentieren; (3) einen KI-Operations-Audit beauftragen. Mittelstand-Digital bietet kostenfreie Readiness-Workshops als Einstieg fur deutsche und osterreichische Unternehmen.

Die Unterscheidung ist fur die Compliance-Praxis entscheidend. Ein Anbieter nach der KI-VO ist ein Unternehmen, das ein KI-System entwickelt und auf dem Markt bereitstellt. Ein Betreiber ist ein Unternehmen, das das KI-System eines Anbieters im Rahmen seiner eigenen Geschaftstatigkeit nutzt. Die meisten KMU mit 10 bis 250 Beschafigten sind Betreiber, keine Anbieter. Anbieter tragen die schwersten Pflichten -- Konformitatsbewertung vor Markteinfuhrung, technische Dokumentation, Registrierung in der europaischen KI-Datenbank und CE-Kennzeichnung. Betreiber tragen eigene, von den Anbieterpflichten unabhangige Pflichten nach den Artikeln 26 bis 29: Sie mussen die Gebrauchsanweisung des Anbieters befolgen, die vorgeschriebenen Mensch-im-Loop-Masnahmen umsetzen, Zwischenfalle protokollieren, den Anbieter uber schwerwiegende Risiken informieren und Aufzeichnungen uber die Nutzung fuhren. Diese Betreiberpflichten werden nicht durch das Unterzeichnen der Nutzungsbedingungen des Anbieters erfullt -- der Betreiber ist selbst dafur verantwortlich, dass die menschliche Uberwachung tatsachlich in seinen eigenen Prozessen implementiert ist. Die praktische Konsequenz fur KMU, die KI-Werkzeuge in Personalwesen, Finanzen oder kundenseitigen Prozessen einsetzen: Uberprufung der Anbietervertrage auf KI-VO-Compliance-Klauseln, Prufung ob der Anbieter eine Konformitatserklarung fur die relevante Anhang-III-Kategorie vorgelegt hat, und Dokumentation des eigenen Mensch-im-Loop-Verfahrens fur jede KI-gestutzte Entscheidung. Ein KI-Operations-Audit ist der schnellste Weg, diese Dokumentation in strukturierter Form zu erstellen. Fur KMU, die grossere Unternehmenskunden beliefern, wirkt sich die Betreiber-Compliance-Positionierung zunehmend auf die Beschaffungsfahigkeit aus. Das Aufbauen dieser Governance-Fahigkeit vor August 2026 ist daher sowohl regulatorische Pflicht als auch Wettbewerbsvorteil fur KMU in B2B-Lieferketten.

ISO/IEC 42001:2023 ist der erste internationale Standard fur KI-Managementsysteme, veroffentlicht von der Internationalen Organisation fur Normung im Dezember 2023. Er legt Anforderungen fur Aufbau, Einfuhrung, Pflege und standige Verbesserung eines KI-Managementsystems fest. Er ist von der KI-VO nicht explizit vorgeschrieben, gilt aber als das am weitesten anerkannte Governance-Grundgerust, um sowohl die Betreiberpflichten der KI-VO als auch die KI-Governance-Erwartungen von Unternehmenskunden nachzuweisen. Fur KMU liegt der praktische Nutzen von ISO/IEC 42001:2023 darin, dass er wesentlich schlanker als eine vollstandige NIST-AI-RMF-1.0-Implementierung ist und dieselben zentralen Governance-Bereiche abdeckt: Risikoklassifizierung, menschliche Uberwachung, Zwischenfallmanagement und Transparenz. Er lasst sich zudem sauber auf ISO 9001 (Qualitatsmanagementsystem) und ISO 27001 (Informationssicherheitsmanagementsystem) aufsetzen -- Zertifizierungen, die viele Mittelstandsunternehmen bereits besitzen. Die Betreiberpflichten der KI-VO nach den Artikeln 26 bis 29 verlangen ISO/IEC 42001 nicht ausdrucklich. Was sie verlangen, sind dokumentierte Mensch-im-Loop-Verfahren, Zwischenfallprotokolle und Konformitatsdokumentation. ISO/IEC 42001 liefert den strukturellen Rahmen, um diese Dokumentation in pruftauglicher Form zu erstellen und zu pflegen. Unternehmen, die ISO/IEC 42001 vor August 2026 einfuhren, sind gegenuber nationalen Aufsichtsbehorden und gegenuber Unternehmenskunden deutlich besser positioniert. Ein strukturierter KI-Operations-Audit ist der empfohlene Vorgangerschritt vor der ISO/IEC-42001-Einfuhrung.