KI-Recht & Compliance
KI-Verordnung: Was der Mittelstand jetzt tun muss
Die EU-KI-Verordnung gilt — und die ersten Pflichten sind bereits scharf gestellt. Was auf mittelständische Unternehmen zukommt, welche Fristen zählen und ein pragmatischer 8-Schritte-Fahrplan.

Die Verordnung (EU) 2024/1689 — kurz KI-Verordnung oder EU AI Act — ist seit dem 1. August 2024 in Kraft und wird stufenweise scharf gestellt. Sie ist der weltweit erste umfassende Rechtsrahmen für Künstliche Intelligenz. Die EU-Kommission formuliert das Ziel so:
„Das KI-Gesetz stellt sicher, dass die Europäer darauf vertrauen können, was KI zu bieten hat.“
Für den Mittelstand ist das keine ferne Konzern-Regulierung: Der Bitkom-Umsetzungsleitfaden berichtet, dass 69 % der Unternehmen Unterstützung bei der Umsetzung brauchen. Die gute Nachricht vorweg — die meisten mittelständischen Unternehmen sind Betreiber, nicht Anbieter von KI, und tragen damit deutlich schlankere Pflichten.
Die Fristen, die jetzt zählen
Die Verordnung gilt nicht auf einen Schlag, sondern in Stufen. Zwei davon sind bereits aktiv:
Seit dem 2. Februar 2025 gelten die Verbote (Art. 5) und die Pflicht zur KI-Kompetenz (Art. 4): Wer KI einsetzt, muss dafür sorgen, dass die damit befassten Personen über ausreichendes Wissen verfügen. Seit dem 2. August 2025 greifen Pflichten für Allzweck-KI-Modelle (GPAI). Am 2. August 2026 folgen die Transparenzpflichten (Art. 50), am 2. August 2027 die Regeln für Hochrisiko-KI (Art. 6).
Was bei Verstößen droht
Die Bußgelder sind ernst — der Rahmen nach Art. 99 ist gestaffelt:
Wichtig für kleinere Unternehmen: Bei KMU und Start-ups gilt jeweils der niedrigere der beiden Werte (fester Betrag oder Umsatzprozentsatz), und die wirtschaftliche Tragfähigkeit ist zu berücksichtigen. Panik ist also nicht angebracht — aber Ignorieren auch keine Option.
Der 8-Schritte-Fahrplan
Der Bitkom-Umsetzungsleitfaden und die IHK München empfehlen ein pragmatisches Vorgehen:
KI inventarisieren — auch eingebettete Systeme (Copilot, Chatbots, HR-Tools) erfassen.
Rolle klären — Anbieter oder Betreiber? Als Betreiber gelten schlankere Pflichten.
Risikoklasse bestimmen — verbotene Praktiken sofort abstellen.
KI-Kompetenz aufbauen — Schulungen dokumentieren (seit 02.02.2025 Pflicht).
Transparenz vorbereiten — KI-Inhalte und Deepfakes kennzeichnen, Chatbots offenlegen.
DSGVO abgleichen — KI-Verordnung und Datenschutz greifen ineinander.
Governance verankern — Verantwortliche benennen, KI-Richtlinie schreiben.
Werkzeuge nutzen — Bitkom-Tools, IHK-Angebote und den AI Act Explorer heranziehen.
Ein praktischer Hebel für Schritt 4 und 5: Eine zentrale KI-Plattform macht KI-Kompetenz und Transparenz überhaupt erst steuerbar — statt verstreuter Schatten-KI in Dutzenden privater Accounts.
Fazit
Die KI-Verordnung ist kein Grund, KI-Projekte zu stoppen — sie ist ein Grund, sie geordnet aufzusetzen. Wer heute inventarisiert, Rollen klärt und Kompetenz aufbaut, ist auf der sicheren Seite, wenn 2026 und 2027 die nächsten Stufen greifen. Den vollständigen Überblick über die Regulierung gibt unser Leitfaden zum EU AI Act für Unternehmen; wie Datenschutz und KI zusammenspielen, zeigt der Leitfaden zu DSGVO-konformer KI.
Quellen
DSGVO-konforme KI aus einem echten deutschen Rechenzentrum
Kasimir läuft auf eigener Infrastruktur in Deutschland — kein Umweg über US-Anbieter, keine CLOUD-Act-Reichweite.


