Recht, Steuern und Finanzen

EU AI Act im Mittelstand: So nutzen Sie KI-Chancen trotz Regulierung

Der EU AI Act bringt erhebliche Herausforderungen für den Mittelstand. KI-Experte Carsten Kraus erklärt im Interview, warum die Strafen existenzbedrohend für KMU sein können – und welche konkreten Schritte Geschäftsführerinnen und Geschäftsführer ergreifen sollten. Mit praktischen Tipps für Brainstorming, Datenschutz und europäische KI-Souveränität.

Zum Video-Interview
8 Minuten zu lesen
Stefan von Gagern Stefan von Gagern

Der EU AI Act ist in Kraft. KI-Experte Carsten Kraus erklärt im Interview mit Sage Advice, wo die größten Stolperfallen liegen, warum Entscheider dennoch keine Hemmungen vor dem KI-Einsatz haben sollten  – und welche ersten Schritte sie jetzt konkret gehen sollten.

Inhaltsverzeichnis

Herr Kraus, Sie haben den EU AI Act mal als „Katastrophe für Europa“ bezeichnet, weil er kleine und mittlere Unternehmen abschrecken könnte. Woran liegt das?

Die EU hat eigentlich eine gut gemeinte KI-Regulierung geschaffen, die an vielen Stellen Risiken vermeidet und die KI-Entwicklung herunterbremst. Das wäre sinnvoll – wenn es weltweit gelten würde. Für alle Staaten, alle Unternehmen, idealerweise sogar für kriminelle Organisationen.

Das Problem: Diese Regulierung gilt nur in der EU. Alle anderen machen mit vollem Tempo weiter und beschleunigen sogar noch. Das ist das erste Problem.

Das zweite Problem trifft den Mittelstand direkt: Die Strafen betragen bei der High-Risk-KI  3% des globalen Umsatzes oder 15 Millionen Euro – es zählt, was höher ist. Ein globales KI-Unternehmen mit drei Prozent Strafe kann das wegstecken, wenn es 10% Gewinn macht.

Aber ein Mittelständler mit 100 Leuten in der Fertigung und 20 Millionen Umsatz? Bei dem sind 3% nur ein paar Hunderttausend Euro. Also zählen die 15 Millionen. Eine 15-Millionen-Euro-Strafe entspricht faktisch 75% des Umsatzes und kann für solche Unternehmen existenzbedrohend sein. Diese festen Beträge sind für den Mittelstand existenzbedrohend – genau deshalb habe ich mich in Brüssel dafür eingesetzt, die festen Beträge abzuschaffen und 3% für alle gelten zu lassen.

Was ist der allererste Schritt, den ein pragmatischer Mittelständler jetzt tun sollte?

Verstehen Sie den Anhang III (des EU AI Acts Anm. der Redaktion) – dort wird definiert, was als High-Risk gilt. Und dieser Anhang wurde immer weiter erweitert. Neben den ursprünglichen Themen wie kritische Infrastruktur stehen da jetzt auch HR und Weiterbildung drin.

Konkret: Wenn Sie die KI entscheiden lassen, welchen Bewerber Sie einstellen, sind Sie sehr deutlich im High-Risk-Bereich. Wenn die KI dann Fehler macht – etwa durch Vorurteile – und sich jemand beschwert, bekommen Sie wahrscheinlich eine Strafe. Deshalb: Unbedingt menschliche Kontrolle dahintersetzen. Bei der Bewerberauswahl sollte KI nur unterstützend eingesetzt werden und stets unter klarer menschlicher Kontrolle stehen.

Zweiter wichtiger Punkt: Kennzeichnungspflicht. Alle KI-Outputs, die für echt gehalten und Menschen täuschen können, müssen gekennzeichnet werden. Es gibt bereits Tools, die die typischen Relikte von Diffusion-Modellen erkennen. Wenn dann kein Kennzeichen dran ist, werden Abmahnvereine kurzfristig versuchen, daraus Geld zu schlagen.

Der Anhang III des EU AI Acts: Hochrisiko-KI-Systeme

Anhang III des EU AI Acts enthält die offizielle Liste der KI-Systeme, die als „Hochrisiko-KI-Systeme“ gelten und deshalb den strengen Pflichten der Verordnung unterliegen. Dort gelten zusätzliche Anforderungen an die menschliche Aufsicht und Dokumentation. Beschäftigung und Personalmanagement (z.B. KI zur Bewerberauswahl, Leistungsbewertung oder Kündigungsentscheidungen) fallen auch darunter.

Viele Unternehmen haben Angst vor dem Thema Datenschutz. Wie gehen Sie damit um?

Wichtig zu verstehen: Wenn Sie ChatGPT nutzen, gehen Ihre Daten ins Ausland. Bei Betriebsgeheimnissen und eigenen Patenten dürfen Sie keine Diskussionen über unangemeldete Erfindungen mit so einem Chat-Programm führen.

Aber Sie können trotzdem brainstormen! Ich ersetze einfach alle Personennamen durch Platzhalter: Anna, Bertha, Carsten, Doris, Emil. Das reduziert das Risiko, personenbezogene Daten preiszugeben, weil die Umstände ohne Namen meist nicht direkt einer Person zugeordnet werden können. Das Ersetzen von Personennamen reduziert das Risiko, ersetzt jedoch keine formale Datenschutzprüfung. Unternehmen sollten klare Regeln definieren, welche Daten in externe KI-Tools eingegeben werden dürfen.

Wenn man sichergehen will, kann man einen eigenen Chatbot auf unternehmenseigenen Servern aufsetzen. Das ist oft günstiger als man denkt: Schon mit einem Rechner in der Größenordnung von rund 6.000 Euro lässt sich ein technisch akzeptabler hausinterner Chatbot realisieren – je nach Anwendungsfall, Last und Sicherheitsanforderungen können die tatsächlichen Kosten aber deutlich höher liegen. Wir haben uns intern für eine leistungsstärkere Variante entschieden (Rechner für rund 15.000 Euro), und das System bewältigt alle meine eigenen Benchmarks

Was sind die größten Hemmnisse, wenn Firmen KI einsetzen wollen?

Die Firmen selbst – beziehungsweise deren Strukturen und Mitarbeiter. Viele wissen bisher nicht, was möglich ist. Mein Tipp: Bauen Sie in jedes längere Meeting einen festen Agenda-Punkt ein, fünf bis zehn Minuten: „Wie würdet Sie das mit KI lösen?“

Wichtig: Jeder sollte eine Antwort geben. Am besten vorher kurz aufschreiben, dann in der Runde vortragen. Nicht alle können von Anfang an top beitragen. Aber wenn sich das eingespielt hat, trauen sich die Leute nicht mehr, ungebildet zu wirken – und beschäftigen sich damit.

Der Betrieb muss dafür Möglichkeiten bieten. Wir haben damals sofort allen Mitarbeitenden einen privaten, kostenpflichtigen ChatGPT-Account bezahlt – auch zur privaten Nutzung. Mit klaren Regeln: keine Betriebsgeheimnisse, keine Personennamen hineinschreiben. Das ist eine gute Weiterbildung zum überschaubaren Preis.

Tipp: Erfahren Sie, wie Sage Ai den Mittelstand unterstützt – praxisnah, sicher und im Einklang mit dem EU AI Act.

Ganz konkret gefragt: Was sollte ein Geschäftsführer in den ersten 48 Stunden tun?

Tag 1 – Bestandsaufnahme:

  • Listen Sie alle KI-Tools auf, die im Unternehmen genutzt werden
  • Prüfen Sie den Anhang III: Fallen Ihre Anwendungen unter High-Risk?

Tag 2 – Sofortmaßnahmen:

  • Kennzeichnen Sie alle KI-generierten Bilder, die echt aussehen könnten
  • Stellen Sie sicher: Keine Personennamen oder Betriebsgeheimnisse in externe Tools
  • Planen Sie im nächsten längeren Meeting fünf bis zehn Minuten für die Frage: „Wie würden Sie das mit KI lösen?“

Das Wichtigste: Die Geschäftsführung selbst muss sich damit auseinandersetzen. Nicht an die IT delegieren und dort liegen lassen. Die IT hat nicht den Gesamtüberblick über mögliche Geschäftsmodell-Änderungen. Wenn Sie diese Chance nicht ergreifen, machen es die anderen – und laufen Ihnen davon.

Was halten Sie von der Regulierung durch den EU AI Act – wo ist sie sinnvoll, wo übertrieben?

Sinnvoll:

  • Die Kennzeichnungspflicht für KI-generierte Inhalte
  • Das Verbot von Social Scoring – das widerspricht unseren europäischen Werten
  • Menschliche Kontrolle bei kritischer Infrastruktur und Medizintechnik. Begründung: Menschen können schlechter gehackt werden als Maschinen

Erklärung: Was ist Social Scoring?

Social Scoring bezeichnet ein System, bei dem das Verhalten, die Aktivitäten oder die Eigenschaften von Einzelpersonen oder Organisationen von Algorithmen bewertet und in Form eines „Punktestands“ zusammengefasst werden. Dieser Score kann sich auf verschiedene Lebensbereiche auswirken, zum Beispiel Zugang zu Dienstleistungen, Krediten oder sogar zu bestimmten gesellschaftlichen Aktivitäten.

Übertrieben:

  • Die ständige Erweiterung des Anhangs III. Da wird immer mehr reingepackt
  • Die festen 15-Millionen-Euro-Strafen für den Mittelstand. Aus seiner Sicht würde eine einheitliche 3-%-Strafe ausreichen.

Wenn Sie einen Wunsch an die Politik frei hätten – was müsste sich ändern?

Europa braucht eigene KI-Rechenzentren mit selbst trainierten Modellen, die europäische Werte widerspiegeln. Die gute Nachricht: Wir müssen nicht selbst die weltbeste KI-Forschung betreiben.

Nehmen Sie DeepSeek R1, das chinesische Modell. Der Code steht unter der MIT-Lizenz und erlaubt jedwede Verwendung – auch kommerziell. Wir können diesen Code nehmen und mit europäisch kurierten Daten trainieren. Daten, die unsere Werte widerspiegeln.

Das Training von DeepSeek hat laut eigenen Angaben nur 7 Millionen Dollar gekostet. Selbst wenn es in Deutschland wegen höherer Strom- und Arbeitskosten das Dreifache kostet: 100 Millionen Euro sind staatlich durchaus finanzierbar. Das wäre echte Datensouveränität.

Ihre abschließende Botschaft an den Mittelstand?

KI ist nicht die Zukunft, KI ist die Gegenwart. Fangen Sie jetzt an und nutzen Sie die verfügbaren Tools. Kraus plädiert dafür, sich konstruktiv in die politische und gesellschaftliche Diskussion einzubringen, damit Regulierung Innovation nicht ausbremst und der Mittelstand wettbewerbsfähig bleibt.

Die beste Technik nützt nichts, wenn Mitarbeiter fahrlässig mit Daten und Passwörtern umgehen. Menschen sind die größte Schwachstelle – Phishing-Mails etwa können Angriffe einschleusen. Unternehmen müssen nicht nur Tests durchführen, sondern auch das Bewusstsein für Cyber Risiken etablieren.

In zehn Jahren noch in einem wohlhabenden Land zu leben, geht nur mit KI und Robotik. Deswegen: Jetzt tun, massiv tun, ernst nehmen. Das wird die Welt in den nächsten fünf bis zehn Jahren am stärksten verändern.

Über den Experten

Foto: Matthias Trenn

Carsten Kraus ist KI-Experte, Innovator und Visionär. Allein in den letzten fünf Jahren meldete Carsten Kraus jedes Jahr mindestens ein Patent für KI-Verfahren an – insgesamt bisher 25 eigene Patente. In seinen Vorträgen zeigt er die Chancen und Möglichkeiten der künstlichen Intelligenz auf und fördert die Experimentierkultur in Unternehmen. Sein Ziel: Den Fortschritt in Europa voranbringen.

Weitere interessante Artikel

Interesse an weiteren Tipps & Insights zu den Themen Recht, Steuern und Finanzen?

…mit unserem Newsletter 1x im Monat

  • Neue Trends aus der Business Welt

  • Aktuelle Urteile verständlich erklärt

  • Tipps zu Recht, Steuern & Finanzen

  • Experten-Interviews, Studien u.v.m

Jetzt Newsletter abonnieren

Hier finden Sie weitere Themen aus diesem Artikel

Mehr Wissen und Inspiration

Empfohlen
7 Minuten zu lesen

EU AI Act 2026 für den Mittelstand: Fristen, Pflichten und Compliance

Am 2. August 2026 endet die Frist für die Umsetzung des EU AI Act bei Hochrisiko-KI. Dieser Artikel liefert KMU eine praxisnahe Roadmap mit 3-Schritte-Check, Meilensteinen und konkreten Tipps – von der KI-Inventur bis zur Governance. Starten Sie jetzt Ihre Vorbereitung.

Mehr zu diesem Thema