Kleine & mittlere Unternehmen (KMU) : Nicht der AI Act ist das Problem
Der AI Act wird in Deutschland auch rund 160.000 KMU betreffen. Die Frist zur Konsultation der EU-Kommission zu den Leitlinien für die Einstufung von Hochrisiko-KI-Systemen wurde gerade verlängert. Für die Mittelständler ist dabei die Frage nach der Risikoklasse gar nicht so entscheidend, sagt Alexander Ingelheim, sondern eher das Zusammenspiel mit bestehenden Regelwerken.
Lernen Sie den Tagesspiegel Background kennen
Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.
Mit bestehendem Konto anmelden
Aktuell läuft die Konsultation der EU-Kommission zu den Leitlinien für die Einstufung von Hochrisiko-KI-Systemen. Die ursprüngliche Frist wurde erst vor Kurzem um weitere vier Wochen auf den 23. Juli verlängert. In der Debatte rund um den AI Act dreht sich derzeit alles um die Frage: Welcher Anwendungsfall fällt in welche Risikoklasse? Für die Mittelständler, die Künstliche Intelligenz tatsächlich nutzen, ist das aber die zweite Frage.
Die erste betrifft das Zusammenspiel mit den Regelwerken, mit denen dieselben Firmen seit Jahren arbeiten, also DSGVO, NIS2, ISO 27001 und zunehmend ISO 42001. Solange jedes Regelwerk als eigener, in sich geschlossener Pflichtenkatalog gedacht wird, entstehen Compliance-Parallelwelten. Sie bremsen die KI-Adoption im Mittelstand viel mehr aus als die Regulierung selbst.
Ein Anwendungsfall, mehrere Behörden
Dies wird mit der Konkretisierung, mit dem am 11. Juni vom Bundestag beschlossenen KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG), besonders klar. Denn hier zeigt sich, dass ein einziger Anwendungsfall künftig mehreren Regelwerken und mehreren Behörden zugleich unterliegen kann. Eine KI-gestützte Kreditvergabe zum Beispiel berührt gleichzeitig die Finanzaufsicht, das Datenschutzrecht und den AI Act. Für dessen Marktüberwachung können neben der Bundesnetzagentur als zentraler Stelle wiederum Fachbehörden (etwa BaFin oder BSI), die Länderebene sowie Datenschutzaufsichtsbehörden zuständig sein.
In der Praxis zeigt sich die Mehrfachregulierung am deutlichsten bei den Meldepflichten nach einem Cyberangriff. Derselbe Vorfall löst parallel mehrere Pflichten mit unterschiedlichen Fristen und Adressaten aus – die Meldung an die Datenschutzaufsicht binnen 72 Stunden (Art. 33 DSGVO), die gestufte Frühwarnung binnen 24 Stunden nach NIS2 und, bei Hochrisiko-Systemen, die Meldung schwerwiegender Vorfälle nach Art. 73 KI-VO. Wer hier keinen Prozess hat, der Fristen synchronisiert und alle Meldungen aus einer Faktenbasis bedient, riskiert Fristversäumnisse und Bußgelder.
Digitalisierung im Mittelstand gerät ohnehin ins Stocken
Wie groß die Verunsicherung bei KMU ist, zeigt eine Bitkom-Befragung aus dem Herbst: Eine Mehrheit der Unternehmen sieht im AI Act mehr Nachteile als Vorteile; rechtliche Verunsicherung und hohe Datenschutzanforderungen zählen zu den größten Hürden. Das wiegt besonders schwer vor dem Hintergrund einer stockenden Digitalisierung. Laut dem aktuellen KfW-Digitalisierungsbericht Mittelstand geht der Anteil der Betriebe mit abgeschlossenen Digitalisierungsprojekten erstmals seit Jahren wieder zurück.
Die Zahl der Firmen mit abgeschlossenen Projekten nimmt gegenüber der Vorjahreserhebung um ca. 200.000 auf knapp 1,2 Mio. ab. Allein bis zu 160.000 KMU fallen in Deutschland als Anbieter oder Betreiber unter den AI Act. Die Zahl der insgesamt betroffenen Firmen dürfte weitaus höher sein, denn die KI-Adoption steigt mit Unternehmensgröße. Das betrifft die deutsche Wirtschaft also in der Breite und ist alles andere als ein Nischenthema.
Auf Bestehendem aufbauen
Der Ausweg ist aber nicht weniger Regulierung, sondern mehr Verzahnung. Die Anknüpfungspunkte dafür sind längst gegeben: Die Datenschutz-Folgenabschätzung nach DSGVO und die Grundrechte-Folgenabschätzung des AI Act teilen dieselbe Logik und denselben Betroffenenkreis. Und wo eine Grundrechte-Folgenabschätzung überhaupt verlangt ist, ordnet die KI-VO die Verzahnung sogar selbst an – nach Art. 27 Abs. 4 kann sich die Grundrechte-Folgenabschätzung auf eine bereits durchgeführte DSFA stützen. Ein vorhandenes Informationssicherheits-Managementsystem liefert schon einen Großteil der Strukturen, die der AI Act für das KI-Risikomanagement verlangt.
Und ISO 42001 kann sogar eine organisatorische Brücke sein. Zwar erzeugt die ISO-Norm selbst keine automatische Konformitätsvermutung unter dem AI Act. Diese Rolle übernehmen künftig die spezifischen europäischen Standards, die CEN/CENELEC derzeit erarbeitet und von denen viele bereits als Entwurf vorliegen.
Doch es wäre ein fataler Fehler, jetzt abzuwarten, bis sie final sind. Zumal die europäischen Normen ohnehin darauf angelegt sind, auf internationalen Standards wie ISO 42001 aufzusetzen, statt sie zu ersetzen, auch wenn sie punktuell darüber hinausgehen. Unternehmen, die ISO 42001 also schon jetzt als Management-Rahmen nutzen, um Risikobewertung, Dokumentation und Lebenszyklus-Kontrolle zu ordnen, schaffen eine gute Basis, auf der sich die zukünftigen Anforderungen mit wenig Zusatzaufwand abbilden lassen.
Wo Unternehmen jetzt ansetzen
Die Frage, die viele Unternehmen umtreibt, ist, wie sie konkret starten sollen. Grundsätzlich geht es darum, vorhandene Prozesse zu erweitern, anstatt parallele aufzubauen. Ganz pragmatisch heißt das zunächst, ein Register aller eingesetzten und geplanten KI-Anwendungen zu führen, das an das bestehende Verzeichnis der Verarbeitungstätigkeiten andockt, statt nebenher neu zu entstehen.
Darauf aufbauend lassen sich die vorhandenen Strukturen gezielt um die KI-Perspektive ergänzen, etwa der DSFA-Prozess und das ISMS. Eine Gap-Analyse zeigt schließlich, welche AI-Act-Pflichten durch vorhandene Nachweise schon abgedeckt sind und wo echte Lücken bleiben.
Für KMU ist letztlich weniger die Hochrisiko-Einstufung wichtig als die Frage, ob sie den AI Act auf das aufsetzen können, was sie bereits tun. Wer die Regelwerke verzahnt, statt sie isoliert zu sehen, entscheidet darüber, ob Europas Mittelstand KI einsetzt oder abwartet. Die Parallelwelten verschwinden zwar nicht von selbst – aber sie lassen sich gut auflösen.
Alexander Ingelheim ist Mitgründer und CEO von Proliance, einer Plattform für Datenschutz, Informationssicherheit und KI-Governance. Aus der Wirtschaft kommend, kennt er die betrieblichen Pain Points aus praktischer Erfahrung und unterstützt Unternehmen bei der Umsetzung von Anforderungen wie etwa DSGVO, NIS2 und AI Act. Er ist zertifizierter Datenschutzbeauftragter (TÜV) und Speaker.
Lernen Sie den Tagesspiegel Background kennen
Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.
Mit bestehendem Konto anmelden