Seit August 2024 ist die europäische KI-Verordnung in Kraft. Ab August 2025 gilt sie vollständig. Die Fristen stehen – das hat die EU-Kommission zuletzt klar bestätigt. Für Unternehmen heißt das: KI-Anwendungen müssen jetzt auf den Prüfstand. Nicht, weil man Technologie bremsen will – sondern, weil Verantwortung nicht optional ist.

Gerade im Mittelstand sind viele Systeme längst im Einsatz: Chatbots im Kundenservice, Textgeneratoren im Marketing, Bewerber-Screening durch Software. Die große Frage lautet: Wie bringt man Innovation und Regulierung in Einklang, ohne Prozesse zu blockieren?

Ein möglicher Weg ist der Aufbau regulatorischer Lernfähigkeit – also die Fähigkeit, mit Unsicherheit und Verantwortung systematisch umzugehen. Kein Rechts-Autopilot, sondern ein lernendes System im Unternehmen selbst.

Verstehen, was betroffen ist

Der AI Act unterteilt Anwendungen in vier Risikokategorien. Was „Hochrisiko“ ist, steht in Anhang III der Verordnung – darunter fallen etwa Systeme für Kreditwürdigkeitsprüfung, Lebenslauf-Scoring oder medizinische Assistenz. „Begrenztes Risiko“ betrifft Anwendungen wie Chatbots oder generative KI, die Nutzerinteraktion automatisieren.

Und dann gibt es noch die General-Purpose-KI (GPAI), etwa GPT-4. Hierzu hat die EU Anfang Juli einen verbindlichen Code of Practice vorgelegt – für Anbieter, aber auch für Unternehmen, die diese Systeme produktiv einsetzen. Auch wenn die Leitlinien freiwillig bleiben, werden sie de facto zum neuen Branchenstandard.

Praxisbeispiel: Ein mittelständischer HR-Dienstleister nutzt eine generative KI zur Formulierung von Absagen und Interviewfragen. Klingt harmlos – zählt aber unter Umständen als Hochrisiko-System. Die Frage ist nicht, ob das Tool gut funktioniert, sondern ob der Einsatz rechtlich und ethisch haltbar ist.

Dokumentieren – aber ohne lähmenden Aufwand

Die wichtigste Pflicht: Nachvollziehbarkeit. Unternehmen müssen erklären können, was ihre KI tut, auf welcher Datenbasis, mit welchen potenziellen Risiken – und wie sie diese adressieren.

Für die Praxis hat sich ein einfaches Format bewährt, sogenannte AI Cards. Sie erfassen:

• den konkreten Use Case,

• die verwendeten Daten und Modelle,

• potenzielle Fehlfunktionen,

• vorhandene Kontrollmechanismen

• und – bei Bedarf – Hinweise an Endnutzende.

Wer alle Systeme auf diese Weise dokumentiert, hat eine solide Grundlage – für interne Audits, für Rückfragen von Behörden und für die eigene Governance. Eine regelmäßige Aktualisierung (alle sechs bis zwölf Monate) reicht meist aus.

Schulung – kein Randthema, sondern gesetzlich gefordert

Artikel 4 des AI Acts verpflichtet Unternehmen dazu, ihre Mitarbeitenden im Umgang mit KI zu schulen. Das betrifft nicht nur Entwickler, sondern auch Fachabteilungen, die KI nutzen oder beauftragen.

Es braucht kein monatelanges Trainingsprogramm. Oft reicht ein einstündiger Workshop pro Bereich – ergänzt durch kurze Praxisbeispiele und klare Leitplanken:
Wann darf ich generative KI einsetzen? Welche Daten sind tabu? Wo muss ich eingreifen?

Beispiel aus der Beratung: Ein mittelständisches Servicecenter hat für alle Teamleiter eine Basisschulung eingeführt, ergänzt um ein Handout für das tägliche Arbeiten mit automatisierten Antwortsystemen. Das schafft Klarheit – und nimmt Unsicherheit aus dem Alltag.

Shadow AI erkennen – und begrenzen

Was oft übersehen wird: Viele Mitarbeitende nutzen bereits KI – ohne dass es offiziell freigegeben wurde. In Excel, in der Mailbearbeitung oder bei Präsentationen.

Das Problem ist nicht der Einsatz an sich, sondern die fehlende Transparenz. Die Lösung liegt in einer klaren Governance:

• Wer darf KI-Tools einsetzen?

• Welche Kriterien gelten für die Freigabe?

• Wie wird die Nutzung dokumentiert?

Ohne solche Regeln entsteht ein diffuses System, das weder steuerbar, noch auditierbar ist. Und genau das will der AI Act verhindern.

Mit Sandboxes testen, statt Fehler teuer zu korrigieren

Ein unterschätztes Instrument sind sogenannte KI-Sandboxes – also rechtlich geschützte Testumgebungen, die inzwischen in mehreren Bundesländern angeboten werden.

Hier können Unternehmen neue KI-Anwendungen unter Begleitung von Fachbehörden ausprobieren, Schwachstellen aufdecken und Dokumentationspflichten frühzeitig umsetzen – bevor der Live-Betrieb beginnt.

Für Mittelständler ist es eine echte Chance ohne das Risiko eines sofortigen Regelverstoßes regulatorische Erfahrung aufzubauen.

Der Code of Practice – freiwillig, aber wegweisend

Mit dem neuen Verhaltenskodex für GPAI-Systeme (KI-Systeme auf einem allgemeinen KI-Modell) will die EU sicherstellen, dass Unternehmen KI nicht als Blackbox einsetzen. Auch Mittelständler, die Tools wie GPT-4 oder Claude AI nutzen, sollten sich daran orientieren:

• Gibt es eine Risikoeinschätzung zum Einsatz?

• Wie gehen wir mit urheberrechtlich geschütztem Input um?

• Sind Schutzmaßnahmen gegen Missbrauch implementiert?

Der Code wird nicht mit Bußgeldern belegt, aber seine Nichteinhaltung könnte zukünftig als Fahrlässigkeit gewertet werden – etwa bei Datenschutzverstößen oder diskriminierenden Entscheidungen.

Klar kommunizieren, wenn KI im Spiel ist

Der AI Act schreibt vor, dass Nutzer erkennen können müssen, ob sie mit einem KI-System interagieren. Für den Mittelstand bedeutet das: transparente Kennzeichnung, zum Beispiel in E-Mails, Chatverläufen oder Bewerbungsprozessen.

Ein einfacher Hinweis reicht oft:
„Dieser Text wurde automatisiert erstellt und vor dem Versand geprüft.“

Das ist keine Bürokratie, sondern Teil eines vertrauenswürdigen Umgangs mit Technologie. Und ein Pluspunkt in der öffentlichen Wahrnehmung.

Fazit: Regulatorische Lernfähigkeit ist kein Selbstzweck

Der AI Act ist keine Innovationsbremse. Aber er verlangt, dass Unternehmen Verantwortung übernehmen – strukturiert, nachvollziehbar, dokumentiert. Genau das ist mit regulatorischer Lernfähigkeit gemeint: die Fähigkeit, sich neuen Anforderungen anzupassen, ohne dabei den Überblick zu verlieren.

Mittelständische Unternehmen müssen nicht perfekt sein. Aber sie sollten vorbereitet sein – mit einem Plan, einem klaren Verständnis der Risiken und der Bereitschaft, Prozesse zu justieren. Wer das schafft, nutzt KI nicht nur effizient, sondern auch nachhaltig und rechtskonform.