KI-Governance im Mittelstand: Was die EU-KI-Verordnung konkret verlangt und wie Sie sie ohne Rechtsabteilung erfüllen

Die EU-KI-Verordnung betrifft den Mittelstand direkter als viele denken

Die Verordnung (EU) 2024/1689, bekannt als EU-KI-Verordnung oder AI Act, ist am 1. August 2024 in Kraft getreten und gilt gestaffelt über drei Jahre. Viele Mittelständler gehen davon aus, dass die Regeln vor allem Konzerne und Tech-Unternehmen treffen. Das ist falsch. Wer als Unternehmen eine KI-Anwendung betreibt, ob selbst gebaut oder eingekauft, ist als Betreiber nach der Verordnung pflichtig. Ein Handwerksbetrieb mit 60 Mitarbeitern, der Copilot für die Angebotsautomatisierung nutzt, fällt in den Anwendungsbereich genauso wie ein DAX-Unternehmen.

Diese Seite gibt einen praktikablen Überblick, welche Pflichten ab wann greifen, wie Sie sie im Mittelstand erfüllen und warum ein Governance-Rahmen ohne eigene Rechtsabteilung funktioniert.

Timeline der Pflichten bis 2027

Die Verordnung tritt in Stufen in Kraft. Wer heute plant, muss alle vier Stufen im Blick haben.

Seit 2. Februar 2025 aktiv

• Artikel 5, verbotene Praktiken. Social Scoring, manipulative Systeme, ungezielte Gesichtserkennungs-Scraping, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, biometrische Kategorisierung sensibler Merkmale. Diese Systeme sind seit Februar 2025 verboten. Wer sie betreibt, riskiert die höchste Bußgeldstufe.
• Artikel 4, KI-Kompetenz. Anbieter und Betreiber müssen ein ausreichendes Maß an KI-Kompetenz ihres Personals sicherstellen. Das ist keine Formalie. Sie brauchen nachweisbare Schulungen oder Nachweise, dass die Personen, die mit KI arbeiten, sie verstehen.

Seit 2. August 2025 aktiv

• Kapitel V, GPAI-Pflichten. General-Purpose-AI-Modelle, etwa die Basis-Modelle von OpenAI, Anthropic, Google oder Mistral, unterliegen Transparenz-, Dokumentations- und Urheberrechts-Pflichten. Das betrifft KMU als Betreiber indirekt, weil die Anbieter nun Informationen liefern müssen, auf die Sie sich für Ihre eigene Dokumentation stützen.
• Sanktionsregime nach Artikel 99. Die Bußgeldvorschriften sind wirksam. Ab jetzt können Aufsichtsbehörden bei Verstößen zu den bereits aktiven Pflichten Strafen verhängen.

Ab 2. August 2026 aktiv

• Hochrisiko-KI nach Anhang III vollständig anwendbar. Das sind die Systeme, die den Mittelstand am häufigsten betreffen: Recruiting und CV-Screening, Kreditwürdigkeitsprüfung, Mitarbeiter-Performance-Bewertung, biometrische Zugangskontrolle, KI in Bildung.
• Pflichten für Hochrisiko: Risikomanagement-System (Artikel 9), Daten-Governance (Artikel 10), technische Dokumentation (Artikel 11), automatisches Logging (Artikel 12), Transparenz (Artikel 13), menschliche Aufsicht (Artikel 14), Genauigkeit und Cybersecurity (Artikel 15), Konformitätsbewertung und CE-Kennzeichnung (Artikel 43), Registrierung in der EU-Datenbank.

Ab 2. August 2027 aktiv

• Anhang-I-Systeme vollständig anwendbar. Das sind Hochrisiko-KI-Systeme, die als Sicherheitskomponenten in regulierten Produkten stecken: Maschinen, Medizinprodukte, Spielzeug, Aufzüge. Für Mittelständler in der Produktion und im Medizinprodukte-Bereich ist das die nächste kritische Stufe.

Die vier Risikoklassen im Mittelstands-Alltag

Im typischen Mandat finden wir pro KMU zwei bis fünf Anwendungen in Klasse 2, fünf bis zehn in Klasse 3 und ein bis zwei Dutzend in Klasse 4.

Der Pflichtenkatalog für Hochrisiko-KI im Klartext

Artikel 9 bis 17 der Verordnung listen die Pflichten für Hochrisiko-Systeme. Auf Mittelstand übersetzt heißt das:

1. Risikomanagement-System. Ein Dokument, das beschreibt, welche Risiken das System hat und wie Sie ihnen begegnen. Kontinuierlich über den Lebenszyklus gepflegt.
2. Daten-Governance. Nachweis, dass die Trainings- und Eingabedaten repräsentativ sind und keine Diskriminierung produzieren. Bei eingekauften Systemen: Nachweis des Anbieters dokumentieren.
3. Technische Dokumentation. Aufbau nach Anhang IV. Typisch fünf bis fünfzehn Seiten pro System.
4. Automatisches Logging. Das System muss protokollieren, was es tut. Logs müssen aufbewahrt werden.
5. Transparenz und Gebrauchsanweisung. Nutzer müssen wissen, wie sie die Ausgaben interpretieren und wo die Grenzen liegen.
6. Menschliche Aufsicht. Eine benannte Person, die das System kontrolliert und eingreifen kann.
7. Konformitätsbewertung plus CE. Bei den meisten Hochrisiko-Systemen Selbstbewertung möglich, bei manchen notified body erforderlich.

Das klingt nach Konzern-Aufwand. Im Mittelstand ist es mit Vorlagen und strukturiertem Vorgehen in vier bis sechs Wochen pro System darstellbar.

Deutsche Umsetzung und zuständige Behörden

Nach dem aktuellen Stand des KI-Marktaufsichts-Gesetzes aus BMWK und BMJ übernimmt die Bundesnetzagentur die Rolle der zentralen Marktüberwachungsbehörde und Koordinierungsstelle. Das BSI ist zuständig für Cybersecurity-Anforderungen an KI. Die BfDI bleibt Aufsicht für KI in Strafverfolgung und Migration.

Für Mittelständler heißt das praktisch: Die Bundesnetzagentur ist der primäre Ansprechpartner für formale Anfragen, Beschwerden und Audits. Die BSI-Vorgaben sind relevant, sobald die KI sicherheitsrelevant ist.

Governance-Frameworks als Orientierung

Drei Frameworks liefern Vorlagen, die in den Mittelstand übersetzbar sind.

• ISO/IEC 42001:2023. Der erste zertifizierbare AI-Management-System-Standard. Analog zu ISO 27001 für Informationssicherheit. Für Mittelständler, die ohnehin mit ISO-Strukturen arbeiten, die natürliche Erweiterung.
• NIST AI Risk Management Framework 1.0. Vier Funktionen: Govern, Map, Measure, Manage. Freiwillig, aber mit offiziellem Mapping zur EU-KI-Verordnung. Gute Strukturierungshilfe.
• Bitkom-Leitfaden zur KI-Verordnung. Deutsche Branchenpraxis mit Checklisten und Rollenmodellen. Kostenlos verfügbar, als Einstieg für Mittelständler oft ausreichend.

Im Mandat bauen wir meist auf NIST AI RMF auf und übersetzen es in eine Mittelstands-Richtlinie, die sechs bis acht Seiten umfasst.

Der Governance-Rahmen ohne eigene Rechtsabteilung

Die typische KMU-Reaktion auf die EU-KI-Verordnung ist Überforderung. Die Folge ist Lähmung. Die produktive Alternative ist ein schlanker Rahmen mit vier Elementen.

1. KI-Register. Tabellarisch, eine Zeile pro System, mit Risikoklasse und Verantwortlichem.
2. KI-Richtlinie. Sechs bis acht Seiten, keine Juristerei, klare Do-and-Don’t-Beispiele.
3. Rollenverteilung. Datenschutzbeauftragter, IT-Verantwortlicher, Fachbereichsleitung, Geschäftsführung. Wer macht was, wer eskaliert an wen.
4. Quartalsweise Prüfung. Im GF-Jour-Fixe, nicht in einem separaten Board. Dokumentiert in einem Protokoll.

Dieser Rahmen ist die Governance-Schicht des KI-Betriebssystems für den Mittelstand. Ohne sie sind alle anderen Schichten haftungsrechtlich exponiert. Für die konkreten Umsetzungsschritte der Compliance-Pflichten siehe unseren AI Act Compliance-Check in fünf Schritten und die detaillierte Klassifizierung nach Risikoklassen.

Was das mit BAFA zu tun hat

Die Einführung eines KI-Governance-Rahmens fällt unter das BAFA-Programm Unternehmerisches Know-how. 50 Prozent Zuschuss, in strukturschwachen Regionen bis zu 80. Bei einem Beratungshonorar von 3.500 Euro netto beträgt der Eigenanteil 1.750 Euro. ST Strategieberatung ist BAFA-gelisteter Berater und übernimmt die Antragstellung vor Beratungsbeginn. Die Timeline der EU-KI-Verordnung macht diesen Einstieg zeitkritisch: Wer die Hochrisiko-Pflichten ab August 2026 erfüllen will, sollte 2026 beginnen, nicht später.

“Die EU-KI-Verordnung ist kein Papiertiger. 35 Millionen Euro Strafrahmen meint die Kommission ernst. Wer heute ein KI-Register hat, wird im Audit verteidigungsfähig.” — Safak Tepecik, Inhaber ST Strategieberatung, BAFA-gelisteter Berater

Nächster Schritt

Wenn Sie KI-Systeme im Betrieb haben und nicht sicher sind, in welche Risikoklasse sie fallen und welche Pflichten bis August 2026 zu erfüllen sind, ist das kostenlose Erstgespräch der richtige Einstieg. Wir klären, welche Pflichten für Sie relevant sind und ob eine BAFA-geförderte Governance-Beratung die richtige Maßnahme ist.

Kostenloses Erstgespräch buchen