Alle Beiträge Geschäftsprozesse & KI

EU AI Act für Unternehmen: Was Mittelständler jetzt konkret vorbereiten sollten

Der EU AI Act läuft seit 2025 stufenweise an. Was bedeutet das für KMU — welche Pflichten gelten heute, welche kommen, was ist Hysterie?

Veröffentlicht
30. April 2026
Autor
Jakub Kaczor
Lesezeit
9 Min.
Aktualisiert
19. Mai 2026
Symbolbild EU AI Act im Mittelstand

Stand: April 2026 — Der EU AI Act wird stufenweise wirksam und durch nationale Auslegung, Leitlinien und EU-Verordnungen weiter präzisiert. Vor konkreten Maßnahmen aktuelle Lage prüfen.

Der EU AI Act ist die erste umfassende europäische Regulierung für künstliche Intelligenz. Anders als die DSGVO 2018 ist sie nicht „alles auf einmal”, sondern läuft in Stufen an: zentrale Definitionen, AI-Literacy-Pflichten und Verbote bestimmter Praktiken seit Februar 2025, Regeln für allgemeine KI-Modelle seit August 2025, der Großteil der Regeln ab August 2026.

Für die meisten Mittelständler ist die ehrliche Einordnung: kein Grund zur Panik, aber kein Grund zur Ignoranz. Wer KI im Unternehmen einsetzt — und das tun mehr Unternehmen, als sie denken — sollte sich strukturiert mit dem Thema befassen.

Die Risikostufen — kurz erklärt

Der AI Act gruppiert Anwendungen in vier Kategorien:

StufeBeispieleBedeutung
VerbotenSocial Scoring, manipulative KI, biometrische Identifikation in öffentlichen Räumen (mit Ausnahmen).Nicht erlaubt. Punkt.
Hohes RisikoKI in kritischer Infrastruktur, Personalauswahl, Kreditvergabe, Bildungsbewertung, Medizinprodukte.Strikte Anforderungen: Risikomanagement, Dokumentation, menschliche Aufsicht, Datenqualität.
Begrenztes RisikoChatbots, Deepfake-Erkennung, KI-generierte Inhalte.Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren.
Minimales RisikoAllermeiste KI im Geschäftsalltag — Übersetzer, Filter, Vorschläge.Keine besonderen Pflichten.

Im klassischen Mittelstand fallen die meisten KI-Anwendungen unter „minimales” oder „begrenztes” Risiko. „Hohes Risiko” ist relevant, wenn Sie tatsächlich Personalentscheidungen mit KI vorbereiten, Kreditrisiken bewerten oder KI in regulierten Bereichen einsetzen.

Was bereits gilt (seit 2025)

1. Verbote Bestimmte KI-Praktiken sind seit dem 2. Februar 2025 in der EU schlicht verboten. Für die meisten KMU keine Praxisfrage — wer keine Social-Scoring-Systeme baut, ist nicht betroffen.

2. AI-Literacy-Pflicht Jedes Unternehmen, das KI in der EU einsetzt, muss sicherstellen, dass die mit KI arbeitenden Personen ausreichend qualifiziert sind. Das bedeutet nicht „Diplom in KI” — es bedeutet, dass die Mitarbeiter verstehen, was die eingesetzte KI tut, wo ihre Grenzen liegen und wie verantwortlich damit umzugehen ist. Eine kurze, dokumentierte interne Schulung erfüllt das für die meisten Anwendungsfälle.

3. Regeln für Allzweck-KI-Modelle (seit August 2025) Betrifft primär Hersteller großer Sprachmodelle (OpenAI, Anthropic, Google, Mistral, Meta). Für Mittelständler als Nutzer relevant: Sie greifen auf Modelle zu, die diese Regeln einhalten müssen — der eigentliche Compliance-Aufwand liegt beim Anbieter.

Was ab August 2026 kommt

Der Großteil der Hochrisiko-Regeln tritt ab dem 2. August 2026 in Kraft. Für Unternehmen, die KI in den genannten Hochrisiko-Bereichen einsetzen wollen, gilt dann:

  • Risikomanagement-System für die KI-Anwendung.
  • Datenqualität sicherstellen — die Trainingsdaten und Eingaben müssen dokumentiert und nachvollziehbar sein.
  • Technische Dokumentation der KI-Anwendung.
  • Menschliche Aufsicht über die Entscheidungen.
  • Robustheit, Genauigkeit und Cybersicherheit der KI-Anwendung.
  • Konformitätsbewertung vor dem Einsatz.

Das ist erheblicher Aufwand — und der Grund, warum man Hochrisiko-Anwendungen im Mittelstand sehr bewusst auswählen sollte.

Was Mittelständler heute konkret tun sollten

1. Inventar der eingesetzten KI Welche KI-Tools sind im Unternehmen im Einsatz? Microsoft Copilot, ChatGPT, Übersetzer, Bildgeneratoren, eigene Workflows mit KI-Komponenten? Eine Liste pflegen.

2. Einordnung der Risikostufe pro Tool Für jede Anwendung: welcher Stufe entspricht das? Wenn unsicher: Rat einholen.

3. Interne KI-Richtlinie aufsetzen Welche KI-Tools sind erlaubt? Welche Daten dürfen verarbeitet werden? Was passiert bei sensiblen Inhalten? Drei Seiten reichen, wichtig ist die klare Sprache.

4. AI-Literacy-Schulung dokumentieren Ein internes Briefing (60–90 Minuten) für alle, die mit KI arbeiten — Inhalte, Grenzen, Risiken. Schriftlich festhalten: wer wurde wann geschult.

5. Anbieter prüfen Welche KI-Anbieter verarbeiten unsere Daten? Wo? Auf welcher Rechtsgrundlage? Auftragsverarbeitungsverträge prüfen.

6. Transparenz nach außen Wenn Kunden mit KI interagieren (Chatbot, KI-generierte Inhalte) — sichtbar kennzeichnen.

Was Hysterie ist

  • „Wir dürfen ab August 2026 keine KI mehr einsetzen.” Falsch. Die meisten KI-Anwendungen bleiben uneingeschränkt erlaubt.
  • „Jede KI-Nutzung muss bei einer Behörde gemeldet werden.” Falsch. Meldepflichten gelten primär für Hochrisiko-Anwendungen.
  • „Wir müssen KI-Bias-Audits jährlich machen.” Nicht generell — nur für Hochrisiko-Systeme.
  • „Der AI Act betrifft nur Anbieter, nicht uns als Nutzer.” Auch falsch. Als Nutzer (im AI Act: „Betreiber”) tragen Sie ebenfalls Pflichten — vor allem AI Literacy und Transparenz.

Bußgelder im Überblick

Die Bußgelder sind staffelweise ausgelegt — vergleichbar mit DSGVO-Logik. Für die schwersten Verstöße (Einsatz verbotener Systeme) sind Bußgelder bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes möglich. Für andere Verstöße entsprechend gestaffelt geringer. Für Mittelständler in „minimalem” oder „begrenztem” Risikoanteil ist das selten praxisrelevant — aber gut zu wissen.

FAQ

Wir nutzen nur ChatGPT und Copilot — sind wir betroffen? Ja, in geringem Maße: AI-Literacy-Pflicht und interne Richtlinie sollten Sie haben. Mehr ist bei diesen Standardwerkzeugen typischerweise nicht nötig.

Brauchen wir einen KI-Beauftragten? Nicht zwingend. Eine verantwortliche Person ist sinnvoll — kann auch der Datenschutzbeauftragte sein, der Compliance-Bereich oder der IT-Verantwortliche, mit klarer Zuständigkeit.

Was, wenn unser Anbieter nicht EU-konform ist? Mit Inkrafttreten der Regeln müssen Anbieter EU-Compliance nachweisen. Im Zweifel Vertrag prüfen, Anbieter wechseln oder Auftragsverarbeitungsvertrag nachschärfen.

Reichen die Datenschutz-Maßnahmen aus, die wir für die DSGVO ohnehin haben? Teilweise. AI Act und DSGVO greifen ineinander, sind aber nicht deckungsgleich. KI-spezifische Punkte (Transparenz, AI Literacy, Risikobeurteilung) sind zusätzlich.

Wie wir das angehen

Wir helfen Mittelständlern, sich strukturiert auf den AI Act vorzubereiten — Inventar, interne Richtlinie, Schulung, Anbieter-Check. Keine Compliance-Theater-Vorführung, sondern ein praktischer Stand, der zur Geschäftsgröße passt. Mehr dazu auf Geschäftsprozesse & KI. Wenn Sie noch grundsätzlich überlegen, wo KI im Unternehmen Sinn ergibt, hilft auch KI im Mittelstand: Welche Prozesse zuerst wirklich ROI bringen.

Anrufen
E-Mail
WhatsApp