Der EU AI Act für den Mittelstand.
Pflichten klären. Risiken einordnen. Souverän handeln — ohne Panik, ohne Überregulierung, ohne Beraterprosa.
Was ist der EU AI Act?
Der EU AI Act (Verordnung 2024/1689) ist die weltweit erste umfassende Regulierung künstlicher Intelligenz. Sie gilt seit August 2024 und tritt gestaffelt bis 2027 in Kraft.
Anders als in der DSGVO geht es nicht primär um Daten, sondern um die Rolle, in der Sie KI einsetzen — und um das Risiko, das diese KI für Menschen und Organisationen mit sich bringt.
Wer KI nutzt, anbietet, vertreibt oder importiert, hat unterschiedliche Pflichten. Die wichtigste Frage zuerst: Was tun Sie eigentlich genau mit KI?
Vier Klassen.
Vier verschiedene Welten.
Der AI Act sortiert KI nach Risiko — nicht nach Technik. Welche Klasse für Sie greift, hängt davon ab, was die KI für wen entscheidet.
Unannehmbares Risiko
Strikt untersagt seit 02.02.2025
Beispiele
- Social Scoring durch Behörden
- Biometrische Massenüberwachung
- Manipulative Verhaltenssteuerung
Pflicht
Komplett verboten. Wer betreibt, riskiert 7 % vom Konzernjahresumsatz.
Hohes Risiko
Volle Pflichten ab 02.08.2026
Beispiele für KMU
- HR-Software für Bewerber-Vorauswahl
- Kreditwürdigkeits- und Scoring-KI
- KI in kritischer Infrastruktur
- Bildungs-/Prüfungs-Bewertung
Pflicht
Risiko-Management, Datenqualität, Doku, menschliche Aufsicht, Konformitätsbewertung.
Begrenztes Risiko
Transparenzpflicht ab 02.08.2026
Beispiele
- Chatbots im Kundenservice
- KI-generierte Bilder/Texte (Deepfake-Kennzeichnung)
- Emotion-Recognition in nicht-Hochrisiko-Kontext
Pflicht
Klare Kennzeichnung: „Sie sprechen mit einer KI.“ KI-Outputs als solche markieren.
Minimales Risiko
Frei nutzbar — Empfehlungen
Beispiele
- Spam-Filter
- KI in Computerspielen
- Übersetzungs-Tools, Suchassistenten
- Allgemeines ChatGPT/Copilot ohne Hochrisiko-Kontext
Pflicht
Keine direkten Vorschriften. Aber: KI-Kompetenz im Unternehmen ist Pflicht.
Was gilt wann?
Der AI Act tritt gestaffelt in Kraft. Was 2026 noch optional aussieht, ist ab 02.08. verpflichtend.
-
02.02.2025 Gilt seit 9 Monaten
Verbote in Kraft
Verbotene Praktiken (Klasse 1) sind seit Februar 2025 untersagt. KI-Kompetenz im Unternehmen wurde Pflicht.
-
02.08.2025 Gilt seit 9 Monaten
GPAI-Pflichten
Anbieter von General-Purpose-AI (GPT, Claude, Gemini) erfüllen Transparenz-, Doku- und Urheberrechts-Pflichten.
-
02.08.2026 In 3 Monaten
Hochrisiko-Pflichten greifen
Für alle Hochrisiko-KI in HR, Kreditwesen, kritischer Infrastruktur. Das ist die Frist, die für KMU am häufigsten relevant ist.
-
02.08.2027 In 15 Monaten
Vollständige Anwendung
Alle übrigen Bestimmungen treten in Kraft. Alt-Systeme müssen bis dahin angepasst sein.
Drei Schritte
ohne Panik.
Es gibt einen ruhigen, machbaren Einstieg. Genau diese drei Schritte.
Bestandsaufnahme
Wo wird in Ihrem Unternehmen heute KI eingesetzt — auch dort, wo Sie es nicht so nennen? ChatGPT-Lizenzen, HR-Tools, Office 365 Copilot, Lieferanten-Software.
Liefert: KI-Inventar
Risikoeinschätzung
Welche dieser KI fällt in Klasse 1, 2, 3 oder 4? Wer ist Anbieter, wer Betreiber? Diese Einordnung entscheidet, was Sie regeln müssen — und was nicht.
Liefert: Klassifizierung je System
Verantwortlichkeiten klären
Wer haftet wofür? Wer schult? Wer dokumentiert? Wer prüft regelmäßig? Klar verteilen, schriftlich festhalten — und dann normal weitermachen.
Liefert: Governance-Skizze
Was Entscheider
am häufigsten fragen.
01 Wir nutzen ja nur ChatGPT — sind wir betroffen?
Ja, aber meist im niedrigsten Maß. Standard-ChatGPT-Nutzung fällt in der Regel unter „minimal“ oder „begrenzt“. Pflichtig wird es, sobald Sie KI-Antworten ungeprüft als Entscheidungsgrundlage einsetzen — etwa in Bewerbungsfilter oder Kreditprüfung. Dann kann derselbe Chatbot plötzlich Hochrisiko sein.
02 Was ist der Unterschied zwischen Anbieter und Betreiber?
Anbieter entwickelt oder bringt KI in Verkehr. Betreiber/Deployer setzt KI im Geschäftsbetrieb ein. Die meisten KMU sind Betreiber — und haben damit deutlich weniger, aber konkrete Pflichten: Aufsicht, Schulung, Dokumentation, Risikobewertung der konkreten Anwendung.
03 Was kostet uns das?
Kommt darauf an, was Sie heute haben. Eine ehrliche Standortbestimmung dauert in der Regel 2–3 Termine. Kosten dafür liegen typischerweise im niedrigen vierstelligen Bereich. Was die Erfüllung kostet, hängt davon ab, welche Klasse Sie betreiben — und ob bestehende Prozesse aus DSGVO oder ISO bereits vorgreifen.
04 Was passiert, wenn wir nichts tun?
Bei Klasse 1: bis 7 % vom weltweiten Konzern-Jahresumsatz. Bei Klasse 2: bis 3 %. Realistisch wahrscheinlich nicht für ein KMU mit ChatGPT-Lizenz, aber sehr wohl für jemanden, der eine HR-KI ohne Aufsicht laufen lässt. Wichtiger als die Strafe: Sie verlieren Vertrauen — bei Kunden, bei Aufsichtsbehörden, bei Mitarbeitenden.
05 Brauchen wir einen externen KI-Beauftragten?
Pflicht ist das nicht. Aber: KI-Kompetenz im Unternehmen ist seit 02.02.2025 gesetzlich gefordert. Wer das intern abdecken kann, braucht keinen externen Beauftragten. Wer es nicht kann, hat zwei Optionen: aufbauen oder einkaufen. Beides ist legitim — nichts tun ist es nicht.
06 Wie viel Zeit haben wir noch?
Für Hochrisiko-KI: bis 02.08.2026. Für alles andere: gestaffelt bis 2027. Wer im Mai 2026 startet, ist nicht zu spät — aber auf Kante. Wer im Sommer 2026 startet und Hochrisiko-Systeme betreibt, ist es.
Drei Wege, mit denen Sie
nicht allein bleiben.
KI-Standortbestimmung
Eine ehrliche Diagnose: wo Sie heute mit KI stehen, was Pflicht ist, was Kür — und was Sie sich erst einmal sparen können.
→KI-Readiness-Check
In 10 Minuten ein erstes Bild: wie weit Ihre Organisation in Sachen KI-Reife steht. Mit konkreten Maßnahmen-Vorschlägen.
→Strategisches Sparring
Wenn Sie keinen Berater wollen, sondern jemanden, mit dem Sie Entscheidungen vor- und nachbesprechen können. Auf Augenhöhe.
→
Bevor Sie die nächste KI-Entscheidung allein treffen —
nehmen wir uns 20 Minuten.
Kostenfrei. Ohne Vorbereitung. Ohne Vorvertrag. Mit ehrlicher Einordnung statt Sales-Pitch.