Die Verordnung wurde nicht böswillig geschrieben. Sie wurde geschrieben, um Missbrauch zu verhindern — und das ist notwendig. Hochrisiko-KI-Systeme, die über Kreditvergabe, Einstellung, Sozialleistungen oder Strafverfolgung entscheiden, müssen strengen Anforderungen unterliegen. Niemand will in einer Welt leben, in dem ein undurchsichtiger Algorithmus über existenzielle Fragen entscheidet, ohne dass Betroffene Einspruch erheben oder Rechenschaft einfordern können. Aber die Verordnung unterscheidet nicht zwischen einem Social-Credit-System mit Millionen Nutzern und einem Qualitätskontrollsystem in einer Werkstatt mit 120 Mitarbeitern. Beide fallen unter „Hochrisiko“, beide müssen die gleichen Prozesse durchlaufen.

Das Problem ist nicht die Klassifizierung an sich. Das Problem ist der One-Size-Fits-All-Ansatz bei den Compliance-Anforderungen. Eine benannte Stelle muss das System prüfen — aber es gibt in Deutschland noch keine benannten Stellen für alle relevanten Bereiche, weil die Designierung durch die Bundesregierung noch läuft. Die technische Dokumentation muss nach Anhang IV erstellt werden — aber der Anhang liest sich, als wären die Verfasser davon ausgegangen, dass jeder Betreiber ein Team von Juristen und Technikern beschäftigt, die Monate auf ein einziges Projekt verwenden können. Post-Market Monitoring muss eingerichtet werden — aber was bedeutet das für ein System, das nur intern eingesetzt wird und keine externen Nutzer hat?

Hier zeigt sich eine Spannung zwischen zwei Prinzipien, die beide im Kern der europäischen Rechtstradition stehen: Rechtsstaatlichkeit erfordert klare, durchsetzbare Regeln. Gerechtigkeit erfordert, dass diese Regeln nicht systematisch benachteiligen. Wenn die Regeln so komplex und kostspielig sind, dass nur Großunternehmen sie befolgen können, dann schützen sie nicht den Markt — sie verzerren ihn.

Es gibt eine historische Parallele, die in Deutschland besonders schmerzt: die DSGVO (Datenschutz-Grundverordnung). Als sie 2018 in Kraft trat, war die Absicht richtig — Schutz personenbezogener Daten, Transparenz, Einwilligung. Aber die Umsetzung traf kleine Unternehmen unverhältnismäßig hart. Ein Bäcker mit Website musste die gleiche Datenschutzerklärung vorhalten wie ein Konzern mit Millionen Kundendaten. Abmahnanwälte wittern ein Geschäftsmodell. Viele kleine Betriebe haben ihre Online-Präsenz aus Angst vor Bußgeldern reduziert oder aufgegeben. Das Ergebnis: Die DSGVO schützte Daten, aber sie verschob auch Marktanteile — weg von denen, die sich keine Rechtsberatung leisten konnten, hin zu denen, die Compliance als Investition betrachten.

Die KI-Verordnung droht, diesen Fehler zu wiederholen — nur in größerem Maßstab. Denn während die DSGVO primär Datenverarbeitung betraf, betrifft die KI-Verordnung Innovation. Wenn ein Mittelständler entscheiden muss, ob er ein KI-System einführt oder auf bewährte (aber weniger effiziente) Methoden setzt, und die Wahl durch Compliance-Kosten vorbestimmt ist, dann wird Innovation zum Privileg der Großen.

Die EU-Kommission ist sich dieses Problems bewusst. Artikel 55 der Verordnung sieht vor, dass Mitgliedstaaten kleine Anbieter bei der Einhaltung unterstützen sollen — durch „Leitlinien, Dokumentation, Werkzeuge und Programme“. Deutschland hat angekündigt, KI-Kompetenzzentren aufzubauen, die genau diese Unterstützung leisten sollen. Aber „Unterstützung“ bedeutet nicht „Kostenübernahme“. Ein Kompetenzzentrum kann erklären, was Anhang IV verlangt, aber es kann nicht die 100.000 Euro bezahlen, die eine benannte Stelle für die Konformitätsbewertung in Rechnung stellt.

Es gibt mögliche Lösungen, aber sie erfordern politischen Willen. Eine wäre ein gestaffeltes Compliance-System: strengere Anforderungen für Systeme mit größerer Reichweite (gemessen z.B. an der Anzahl betroffener Personen oder der Kritikalität der Entscheidung), vereinfachte Prozesse für Systeme mit begrenztem Einsatzbereich. Eine andere wäre ein Fonds, aus dem KMU (kleine und mittlere Unternehmen) Zertifizierungskosten anteilig erstattet bekommen — finanziert durch Bußgelder gegen Großunternehmen, die die Verordnung verletzen. Eine dritte wäre die Anerkennung von Branchenstandards: Wenn ein Maschinenbau-Verband ein KI-Compliance-Framework entwickelt, das die Anforderungen der Verordnung erfüllt, könnten Mitglieder dieses als „Konformitätsvermutung“ nutzen, ohne jedes System individuell extern prüfen zu lassen.

Aber das Grundproblem bleibt: Die Verordnung wurde in Brüssel geschrieben, in einem Umfeld, in dem „KI“ oft mit Big Tech gleichgesetzt wird — Google, Meta, OpenAI, Microsoft. Die Vorstellung von KI als etwas, das in Rechenzentren von Milliarden-Dollar-Unternehmen läuft, prägt die Regulierung. Aber in Deutschland gibt es Tausende Unternehmen, die KI einsetzen, ohne Big Tech zu sein. Sie optimieren Energieverbrauch in Fabriken. Sie steuern Logistik. Sie analysieren Materialermüdung. Sie sind nicht Bedrohung, sondern Anwender. Und sie stehen jetzt vor der Frage, ob sie sich das leisten können.

Menschenwürde ist unantastbar. Aber Würde ist nicht abstrakt. Sie manifestiert sich in der Fähigkeit, das eigene Leben zu gestalten, wirtschaftliche Sicherheit zu haben, an Innovation teilzuhaben. Wenn Regulierung — aus guten Gründen, zum Schutz von Würde — so gestaltet ist, dass sie Innovation zum Privileg der Mächtigen macht, dann entsteht ein Widerspruch: Wir schützen Würde, indem wir die wirtschaftlichen Bedingungen schwächen, die Würde ermöglichen.

Das ist keine Forderung, die Verordnung aufzuweichen. Es ist eine Forderung, sie gerechter zu machen. Rechtsstaatlichkeit bedeutet nicht nur, dass Regeln klar und durchsetzbar sind. Rechtsstaatlichkeit bedeutet auch, dass Regeln verhältnismäßig sind — dass sie das erreichen, was sie sollen (Schutz), ohne unverhältnismäßige Lasten zu verursachen. Artikel 5 Absatz 1 des Grundgesetzes schützt nicht nur die Freiheit von Forschung, sondern auch wirtschaftliche Handlungsfreiheit. Diese Freiheit ist nicht absolut — aber sie darf nicht durch Bürokratie ausgehöhlt werden, die nur jene bewältigen können, die bereits über Ressourcen verfügen.

In den nächsten Monaten werden Mitgliedstaaten die Verordnung in nationales Recht umsetzen. Deutschland hat die Chance, hier eine Vorreiterrolle zu übernehmen — nicht durch Abschwächung der Schutzstandards, sondern durch intelligente Umsetzung, die berücksichtigt, dass der Mittelstand nicht Silicon Valley ist. Förderprogramme für Konformitätsbewertungen. Vereinfachte Verfahren für KI-Systeme mit begrenztem Einsatzbereich. Branchenspezifische Leitlinien, die praxistauglich sind. Das wäre Rechtsstaatlichkeit, die nicht nur schützt, sondern ermöglicht.

Der Geschäftsführer in Schwäbisch Gmünd wird eine Entscheidung treffen müssen. Compliance oder Rückzug. Innovation oder Sicherheit. In einer gerechten Regulierung sollte das keine Entweder-Oder-Frage sein. In einer Regulierung, die Würde ernst nimmt, sollte es möglich sein, KI verantwortungsvoll einzusetzen, ohne dass die Kosten prohibitiv sind. Denn am Ende geht es nicht nur um den Schutz vor KI — es geht auch darum, wer Zugang zu KI hat. Und wenn dieser Zugang durch Compliance-Barrieren auf Großunternehmen beschränkt wird, dann haben wir Würde geschützt, aber Gerechtigkeit verfehlt.

Kann die EU-KI-Verordnung so umgesetzt werden, dass sie Würde schützt, ohne den Mittelstand auszuschließen — oder wird Rechtsstaatlichkeit zur Markteintrittsbarriere für jene, die Innovation demokratisieren könnten?