Ein grauer Dienstagmorgen im vergangenen März in einem Gewerbegebiet bei Hanau: Der IT-Leiter eines mittelständischen Sondermaschinenbauers legte mir eine Liste mit neuen Software-Anschaffungen vor. 'Alles Standard-Tools', meinte er. Doch beim dritten Punkt – einer KI-gestützten Software zur automatisierten Auswertung von Mitarbeitergesprächen für das jährliche Bonus-Ranking – musste ich ihn unterbrechen. Wir befanden uns damit bereits tief in den Hochrisiko-Szenarien von Anhang III des EU AI Acts.
Bevor wir uns die Details ansehen, ein wichtiger Hinweis: Diese Seite enthält Affiliate-Links zu Anbietern, deren Kurse ich für meine Mandanten persönlich geprüft habe. Wenn Sie über diese Links buchen, erhalte ich eine Provision — für Sie ändert sich am Preis rein gar nichts. Ich verlinke ausschließlich Anbieter, die ich mindestens zwei Mandanten in konkreten Projekten empfohlen habe, da ich von der Qualität der Inhalte überzeugt bin. Ich bin übrigens kein Anwalt und kein zertifizierter Auditor, sondern Compliance-Berater. Meine Einschätzungen ersetzen keine Rechtsberatung durch eine spezialisierte Kanzlei.
Was 'Hochrisiko' im Mittelstand wirklich bedeutet
In meiner Beratungspraxis seit 2023 begegnet mir immer wieder das gleiche Missverständnis: Viele Geschäftsführer glauben, Hochrisiko-KI betreffe nur autonome Fahrzeuge oder die Steuerung von Atomkraftwerken. Die Realität ist jedoch, dass die Einstufung nach Art. 6 KI-VO deutlich schneller greift, als es vielen lieb ist. Besonders die Bereiche Personalwesen, kritische Infrastruktur und die Bewertung der Kreditwürdigkeit sind Magneten für regulatorische Anforderungen.
Wenn ein System als 'Hochrisiko' eingestuft wird, bedeutet das nicht, dass es verboten ist. Es bedeutet aber, dass der bürokratische und technische Aufwand massiv ansteigt. Wir sprechen hier von detaillierten Risikomanagementsystemen (Art. 9), strengen Anforderungen an die Datenqualität (Art. 10) und einer lückenlosen technischen Dokumentation (Art. 11). Für ein mittelständisches Unternehmen mit begrenzten Ressourcen in der IT-Abteilung kann das ohne externe Hilfe oder automatisierte Prozesse kaum gestemmt werden.
Beispiel 1: Die Falle im Personalwesen (Annex III Nr. 4)
Dies ist der Klassiker in fast jedem Unternehmen ab 100 Mitarbeitern. Wer Software einsetzt, um Bewerbungen zu filtern, Kandidaten zu ranken oder die Leistung von Mitarbeitern zu bewerten, betreibt ein Hochrisiko-System gemäß Anhang III Nr. 4 der KI-VO. Dabei ist es völlig egal, ob die KI die finale Entscheidung trifft oder nur eine 'Vorauswahl' für den Personaler trifft.
Ein Mandant aus der Logistikbranche wollte Anfang April eine KI einführen, die Schichtpläne basierend auf der historischen Performance der Mitarbeiter optimiert. Klingt effizient, oder? Da das System jedoch indirekt zur Leistungsbewertung und damit zur Beeinflussung von Arbeitsverhältnissen genutzt wurde, fiel es unter die Hochrisiko-Kategorie. Die Folge: Wir mussten sicherstellen, dass die menschliche Aufsicht (Art. 14) nicht nur auf dem Papier steht, sondern dass die Schichtleiter tatsächlich verstehen, wie die KI zu ihren Vorschlägen kommt. Ohne eine gezielte KI-Kompetenz-Schulung für die betroffenen Führungskräfte wäre das Projekt an den Dokumentationspflichten gescheitert.
Beispiel 2: Maschinenbau und Sicherheitsbauteile
Im Maschinenbau ist die Lage oft komplexer. Hier verknüpft sich der AI Act mit bestehenden Vorschriften wie der Maschinenverordnung. Wenn eine KI als Sicherheitsbauteil fungiert oder Teil eines Produkts ist, das ohnehin einer Konformitätsbewertung durch Dritte unterliegt, landet man automatisch im Hochrisiko-Bereich nach Art. 6 Abs. 1.
Ein Beispiel aus einem Projekt im Mai: Ein Hersteller von Verpackungsmaschinen integrierte eine KI zur vorausschauenden Wartung (Predictive Maintenance), die bei drohenden Fehlfunktionen die Maschine automatisch drosselt oder abschaltet. Da diese Funktion direkt die Sicherheit des Bedienpersonals betrifft, griffen hier die vollen Dokumentationspflichten. Hier zeigt sich oft, dass die deutschen Übersetzungen der Verordnung etwas hölzern sind – im englischen Originaltext wird oft klarer, dass es auf die 'intended purpose' (den Zweck) ankommt. Wenn Sie wissen wollen, wie Sie solche Pflichten effizient umsetzen, empfehle ich meinen Artikel über KI Dokumentationspflichten nach EU AI Act.
Beispiel 3: SaaS-Lösungen für Versicherungen und Finanzen
SaaS-Anbieter aus dem Mittelstand, die Tools für die Kreditwürdigkeitsprüfung oder zur Risikobewertung bei Versicherungen anbieten, stehen unter besonderer Beobachtung (Anhang III Nr. 5). Selbst wenn Sie 'nur' der Anbieter (Provider) sind, müssen Sie Ihrem Kunden (dem Deployer) alle notwendigen Informationen liefern, damit dieser seine Pflichten erfüllen kann.
In einem Workshop vor ein paar Wochen stellte sich heraus, dass ein kleinerer SaaS-Anbieter gar nicht wusste, dass seine 'Smart Scoring'-Engine für Kleinkredite voll unter die Regulierung fällt. Die Annahme war: 'Wir sind doch kein Weltkonzern'. Der AI Act unterscheidet hier aber nicht nach Unternehmensgröße, sondern nach dem Risiko für die Grundrechte der Bürger. Hier ist es entscheidend, die wichtigen EU AI Act Fristen im Blick zu behalten, um nicht plötzlich vom Markt ausgeschlossen zu werden, weil die Zertifizierung fehlt.
Die Grauzone: Wann ist es kein Hochrisiko?
Es gibt auch Entwarnung für viele Standardanwendungen. Ein Chatbot auf Ihrer Website, der nur FAQs beantwortet, ist kein Hochrisiko-System. Hier greifen lediglich Transparenzpflichten nach Art. 50 – der Nutzer muss wissen, dass er mit einer KI spricht. Auch interne Tools zur reinen Textzusammenfassung oder zur Übersetzung (wie DeepL) fallen meist nicht in die kritischen Kategorien des Anhangs III, solange sie nicht in sensiblen Entscheidungsprozessen (wie der oben genannten HR-Vorauswahl) eingesetzt werden.
Oft werde ich gefragt, ob eine interne Suchmaschine, die Dokumente indiziert, reguliert ist. Die Antwort lautet meist: Nein. Aber Vorsicht – wenn diese Suchmaschine genutzt wird, um die 'Vertrauenswürdigkeit' von Geschäftspartnern zu bewerten, landen wir eventuell wieder im Bereich der Risikobewertung. Diese Abgrenzung ist oft so subtil, dass selbst ich als Berater manchmal zwei- oder dreimal den englischen Text von Erwägungsgrund 51 lesen muss, um sicherzugehen.
Der Faktor Mensch: Schulung statt Panik
Die größte Gefahr für den Mittelstand ist nicht die Verordnung selbst, sondern das 'Schatten-KI'-Phänomen. Mitarbeiter nutzen ChatGPT oder spezialisierte Tools für Aufgaben, von denen die IT-Leitung nichts weiß. Wenn dabei personenbezogene Daten in ein System fließen, das eigentlich als Hochrisiko eingestuft werden müsste, steht die Geschäftsführung mit einem Bein im Bußgeldbereich.
Compliance beginnt deshalb nicht beim Anwalt, sondern bei der Ausbildung. Ein strukturierter KI-Führerschein für Mitarbeiter sorgt dafür, dass das Team ein Gespür dafür entwickelt, wann ein Tool kritisch wird. Es geht nicht darum, jeden Mitarbeiter zum Compliance-Experten zu machen, sondern eine 'rote Flagge' im Kopf zu installieren: 'Moment, wir bewerten hier Menschen oder Sicherheit – da müssen wir mal beim Compliance-Berater nachfragen'.
In meinen Projekten hat sich gezeigt, dass Unternehmen, die frühzeitig auf Aufklärung setzen, deutlich agiler bleiben. Wer erst wartet, bis die Aufsichtsbehörden anklopfen, muss oft laufende Projekte stoppen oder teure Nachbesserungen an der Software-Architektur vornehmen. Weitere Praxistipps dazu finden Sie auch in meinem Beitrag zum KI Risikomanagement nach EU AI Act.
Fazit für die Geschäftsführung
Identifizieren Sie Ihre KI-Systeme heute, nicht erst in sechs Monaten. Eine Bestandsaufnahme dauert oft weniger lang als befürchtet – in den meisten Fällen reicht ein zweitägiger Workshop, um die Spreu vom Weizen zu trennen. Von zehn KI-Anwendungen im Mittelstand sind meist nur zwei oder drei tatsächlich 'Hochrisiko'. Aber diese zwei müssen sauber dokumentiert sein.
Denken Sie daran: Compliance ist im B2B-Bereich zunehmend ein Wettbewerbsvorteil. Wenn Sie als Zulieferer im Maschinenbau oder als SaaS-Dienstleister nachweisen können, dass Ihre Systeme AI-Act-konform sind, ist das ein Verkaufsargument, das Vertrauen schafft. Investieren Sie in die Ausbildung Ihrer Projektleiter und des Qualitätsmanagements. Ein guter Startpunkt ist hier der Vergleich zwischen einem Standard KI-Führerschein oder einer Individualschulung.
Wenn Sie unsicher sind, ob Ihre aktuelle Software unter Anhang III fällt: Schauen Sie sich den Verwendungszweck genau an. Werden Menschen bewertet? Werden Sicherheitsfunktionen übernommen? Wenn ja, ist Handlungsbedarf gegeben. Reden Sie mit Ihren IT-Verantwortlichen und – falls nötig – mit einem spezialisierten Berater oder Ihrem Anwalt, um die Haftungsrisiken zu minimieren.