Wie KMUs sich auf die KI-Vorschriften der EU vorbereiten können
Stellen Sie sich vor, Sie sind der HR-Manager eines mittelständischen Produktionsunternehmens mit 250 Mitarbeitern, verteilt über Europa und Nordamerika. Sie erhalten Hunderte von Lebensläufen für jede Stellenanzeige, oft mehr als 500 für eine einzige Position. Ihr kleines HR-Team kann diese nicht alle gründlich überprüfen, daher haben Sie ein internes CV-Screening-System implementiert, das von KI unterstützt wird. Dieses Tool, basierend auf einem öffentlich verfügbaren, offenen Grundmodell und weiter trainiert auf den Lebensläufen erfolgreicher früherer Einstellungen, hilft dabei, vielversprechende Kandidaten durch die Bewertung ihrer Fähigkeiten, Erfahrungen und Eignung zu identifizieren.
Dieses scheinbar harmlose Tool bringt Ihr Unternehmen nun in eine regulatorische Zwickmühle.
Gemäß dem EU-KI-Gesetz, das am 1. August 2024 in Kraft trat, aber gestaffelte Fristen für die Einhaltung aufweist, wird dieser fiktive CV-Scanner als „hochriskante“ Anwendung von KI angesehen. Zu anderen hochriskanten Anwendungen gehören KI-Systeme, die die Kreditwürdigkeit für Darlehen bewerten, KI, die kritische Bahn- oder Straßeninfrastruktur verwaltet, und KI-Systeme, die den Zugang zu Bildung bestimmen. All diese unterliegen ab dem 2. August 2026 strengen Compliance-Anforderungen. Unternehmen, die gegen diese Regeln verstoßen, könnten mit potenziell ruinösen finanziellen Strafen von bis zu 7 % des Jahresumsatzes rechnen. Einfache Effizienzwerkzeuge sind zu potenziellen Haftungen geworden.
Regulatorisches Umfeld verstehen
Die meisten Bestimmungen für hochriskante KI-Systeme, einschließlich derjenigen, die im HR-Bereich verwendet werden, treten am 2. August 2026 in Kraft, obwohl das regulatorische Umfeld bereits Gestalt annimmt. Die Durchsetzung des Gesetzes folgt einem phasenweisen Zeitplan: Die Verbote bestimmter KI-Systeme traten im Februar 2025 in Kraft, und die Verpflichtungen für allgemeine KI-Modelle (GPAI) traten im August 2025 in Kraft. Nach mehrfachen Verzögerungen wurde ein umfangreicher Code of Practice für GPAI-Modelle veröffentlicht, um Anbietern zu helfen, die Einhaltung nachzuweisen.
Die genauen Berechnungsschwellen sind nach wie vor Gegenstand intensiver Debatten. Heute definiert die Kommission 10²⁴ FLOPS als „indikatives Kriterium“ für GPAI und höhere Standards für Modelle, die als „systemisches Risiko“ vermutet werden. Die Kommission hat jedoch anerkannt, dass sie einige Verpflichtungen des KI-Gesetzes möglicherweise verschieben könnte, da die versprochenen harmonisierten europäischen Standards verspätet sind. Angesichts dieser volatilen Situation sollten die Führungskräfte von KMUs planen, als ob die Frist 2026 noch in Kraft ist, während sie gleichzeitig Budgetflexibilität erhalten, falls Brüssel mehr Zeit gewährt.
Compliance-Kosten verstehen
Mit der bevorstehenden Durchsetzungsfrist müssen betroffene Unternehmen mehrere Hürden überwinden. Sie sollten eine umfassende Bestandsaufnahme aller verwendeten KI-Systeme durchführen, die Funktionalität jedes Systems, die zugrunde liegenden Modelle und Datenquellen sowie den Einsatzkontext katalogisieren. Am wichtigsten ist, dass sie jedes System streng gegenüber den Risikoklassifizierungskriterien des EU-KI-Gesetzes bewerten, um festzustellen, ob es hochriskant ist.
Für KI-Systeme, die als hochriskant eingestuft werden, müssen Anbieter ein iteratives Risikomanagementsystem implementieren und aufrechterhalten. Dieses System muss den gesamten Lebenszyklus des KI-Modells abdecken, um vorhersehbare Schäden zu identifizieren, zu bewerten, zu mindern und zu überwachen. Die Kosten für die Einrichtung eines Qualitätsmanagementsystems wurden auf etwa 193.000–330.000 Euro initial und etwa 71.400 Euro jährlich für die Wartung geschätzt.
Vorbereitung auf den Sieg in der KI-Compliance
Obwohl unklare Vorschriften und hohe Compliance-Kosten typischerweise etablierte Unternehmen festigen, sind KMUs nicht machtlos. Eine umfassende Aktionsplan für die KI-Gesetzgebung für KMUs umfasst den Aufbau strategischer Partnerschaften, die Implementierung von Compliance-by-Design und die Umwandlung von Compliance in einen Wettbewerbsvorteil.
1. Strategische Partnerschaften
Ein strategischer Rahmen für die KI-Adoption für KMUs betont interne und externe Zusammenarbeit. Dies könnte die Organisation von Workshops und das Teilen von Erfolgsgeschichten und Fallstudien umfassen, um den Wissensaustausch zu fördern. KMUs könnten auch horizontale Kooperationen mit Gleichaltrigen und vertikale Partnerschaften mit spezialisierten Dienstleistern eingehen.
2. Compliance-by-Design
Wenn KMUs KI-Systeme intern entwickeln, sollten sie Compliance-Funktionen von Anfang an integrieren, anstatt sie später hinzuzufügen. Dies wird als proaktive Compliance-by-Design bezeichnet, was zu erheblichen Kosteneinsparungen führen kann.
3. Compliance-to-Advantage
Zu guter Letzt zeigt sich, dass eine ethische KI-Adoption kleinen Unternehmen hilft, dringend benötigtes Vertrauen bei Kunden und Partnern aufzubauen. Frühe Adoption, Transparenz und gezielte Marketingstrategien können helfen, Differenzierung zu schaffen.
Zusammenfassend lässt sich sagen, dass die EU-KI-Gesetzgebung sowohl Herausforderungen als auch Chancen für KMUs bietet. Durch strategisches Handeln und proaktive Planung können sie sich nicht nur anpassen, sondern auch als Vorreiter in der ethischen KI-Nutzung hervortreten.
