Am 2. August 2026 treten die zentralen Vorschriften des EU AI Act in Kraft – das erste KI-Gesetz weltweit. Was der EU AI Act für Unternehmen bedeutet: Nicht nur Tech-Konzerne sind betroffen, sondern jeder Betrieb, der KI-Tools im Arbeitsalltag einsetzt. Auch Ihrer, wenn Mitarbeiter ChatGPT, Copilot oder andere KI-Werkzeuge nutzen. Ich bin kein Jurist – aber als KI-Berater habe ich mich mit der Verordnung beschäftigt. Damit Sie es nicht müssen. In diesem Beitrag fasse ich zusammen, welche 5 Pflichten Sie kennen sollten – und was Sie jetzt konkret tun können.
Was ist der EU AI Act – und warum betrifft er auch Ihren Betrieb?
Der EU AI Act (offiziell: KI-Verordnung) ist eine EU-weite Verordnung, die den Einsatz von Künstlicher Intelligenz in Europa reguliert. Das Ziel: KI soll sicher, transparent und nachvollziehbar eingesetzt werden – ohne Innovation zu bremsen.
Wichtig zu verstehen: Die Verordnung richtet sich nicht nur an Unternehmen, die KI entwickeln. Sie betrifft auch sogenannte Betreiber – also alle, die KI-Systeme im Arbeitsalltag einsetzen. Wenn Ihre Mitarbeiter ChatGPT für E-Mails nutzen, Copilot für Dokumente verwenden oder ein KI-gestütztes Buchhaltungstool einsetzen, sind Sie Betreiber im Sinne des Gesetzes.
Das Gesetz hat zudem extraterritoriale Wirkung: Es gilt für jeden, dessen KI-Ergebnisse in der EU verwendet werden – unabhängig vom Firmensitz des Anbieters. Das bedeutet: Auch wenn Sie ein amerikanisches KI-Tool nutzen, gelten die europäischen Regeln.
Die 4 Risikostufen des EU AI Act – wo steht Ihr Unternehmen?
Das Herzstück des EU AI Act ist ein risikobasierter Ansatz. KI-Systeme werden in vier Stufen eingeteilt. Je höher das Risiko, desto strenger die Auflagen:
Stufe 1: Verbotene KI-Systeme
Bestimmte KI-Anwendungen sind in der EU komplett verboten. Dazu gehören unter anderem Social Scoring (Bewertung von Menschen nach ihrem Sozialverhalten), die gezielte Manipulation von Personen durch KI-Techniken und biometrische Echtzeit-Überwachung in öffentlichen Räumen. Für die meisten mittelständischen Unternehmen ist diese Stufe nicht relevant – aber gut zu wissen, dass es diese Grenzen gibt.
Stufe 2: Hochrisiko-KI
KI-Systeme, die in sensiblen Bereichen eingesetzt werden, unterliegen strengen Auflagen. Beispiele: KI-gestützte Bewerbungsverfahren, Kreditwürdigkeitsprüfungen, medizinische Diagnosen oder sicherheitsrelevante Komponenten in Maschinen. Für diese Systeme gelten umfassende Dokumentations-, Überwachungs- und Transparenzpflichten.
Wenn Sie KI im Recruiting einsetzen oder ein KI-gestütztes Scoring-System verwenden, fallen Sie in diese Kategorie. Die Anforderungen sind hoch – aber es gibt Erleichterungen für KMU (dazu gleich mehr).
Stufe 3: Begrenztes Risiko – Transparenzpflicht
Hier wird es für die meisten Unternehmen relevant. In diese Kategorie fallen unter anderem Chatbots und KI-generierte Inhalte. Die zentrale Pflicht: Sie müssen offenlegen, dass KI im Spiel ist. Wenn ein Chatbot auf Ihrer Website Kundenanfragen beantwortet, müssen Nutzer wissen, dass sie mit einer KI sprechen – nicht mit einem Menschen.
Stufe 4: Minimales Risiko – keine besonderen Auflagen
Die meisten KI-Anwendungen im Unternehmensalltag fallen in diese Kategorie: Textgenerierung mit ChatGPT oder Claude, E-Mail-Zusammenfassungen, Übersetzungen, Spamfilter. Für diese Systeme gibt es keine besonderen regulatorischen Auflagen. Allerdings gelten die allgemeinen Pflichten (AI Literacy, Dokumentation) trotzdem.
Die meisten kleinen und mittleren Unternehmen bewegen sich in Stufe 3 und 4. Das bedeutet: Keine extremen Auflagen, aber konkrete Pflichten in Sachen Transparenz, Kompetenz und Dokumentation. Wer diese ernst nimmt, hat wenig zu befürchten.
EU AI Act Unternehmen: 5 Pflichten, die ab August 2026 gelten
Vorweg: Was jetzt kommt, ist meine Zusammenfassung nach gründlicher Recherche – kein Rechtsrat. Wenn Sie bei Hochrisiko-KI oder speziellen Compliance-Fragen auf Nummer sicher gehen wollen, lassen Sie sich zusätzlich juristisch beraten. Für die Praxis im Mittelstand sind die folgenden fünf Pflichten aber das, was Sie wirklich wissen müssen.
1. KI-Kompetenz sicherstellen (AI Literacy)
Artikel 4 des EU AI Act verpflichtet alle Unternehmen, die KI einsetzen, zur Sicherstellung ausreichender KI-Kompetenz bei ihren Mitarbeitern. Das bedeutet: Wer mit KI-Tools arbeitet, muss verstehen, was er tut – zumindest auf einem grundlegenden Niveau.
Diese Pflicht gilt bereits seit dem 2. Februar 2025. Viele Unternehmen wissen das nicht. Es ist kein festes Curriculum vorgeschrieben, aber Sie müssen nachweisen können, dass Sie Maßnahmen ergriffen haben: Schulungen, interne Richtlinien oder Lernmaterialien.
Konkret heißt das: Wenn Ihre Mitarbeiter ChatGPT nutzen, sollten sie wissen, welche Daten dort eingegeben werden dürfen und welche nicht. Sie sollten verstehen, dass KI-Ergebnisse nicht immer korrekt sind. Und sie sollten wissen, wann menschliche Kontrolle nötig ist.
2. KI-Inventar erstellen
Bevor Sie irgendeine Pflicht erfüllen können, müssen Sie wissen, welche KI-Systeme in Ihrem Unternehmen überhaupt genutzt werden. Das klingt banal – ist es aber oft nicht. In vielen Betrieben nutzen Mitarbeiter KI-Tools auf eigene Faust, ohne dass die Geschäftsführung davon weiß. Dieses Phänomen heißt Schatten-KI und ist einer der häufigsten Compliance-Risiken im Mittelstand.
Erstellen Sie eine einfache Liste: Welche KI-Tools werden genutzt? Von wem? Für welche Aufgaben? Wo werden die Daten verarbeitet? Diese Bestandsaufnahme ist die Grundlage für alles Weitere.
3. KI-Richtlinie aufsetzen
Auf Basis des KI-Inventars erstellen Sie eine interne KI-Richtlinie. Das muss kein Rechtswerk sein – eine Seite reicht. Die Richtlinie legt fest:
- Welche KI-Tools im Unternehmen erlaubt sind
- Welche Daten in KI-Tools eingegeben werden dürfen (und welche nicht)
- Wer Ansprechpartner für KI-Fragen ist
- Wie mit KI-generierten Ergebnissen umgegangen wird (Prüfpflicht)
Diese Richtlinie ist nicht nur regulatorisch sinnvoll. Sie schützt Ihr Unternehmen auch vor Datenschutzverstößen, wie ich in meinem Beitrag KI im Unternehmen einführen ausführlich beschrieben habe.
4. Transparenz bei KI-generierten Inhalten
Ab August 2026 gilt: Wenn KI Inhalte erzeugt, die mit realen Personen, Orten oder Ereignissen verwechselt werden können, muss das gekennzeichnet werden. Das betrifft unter anderem:
- Chatbots auf Ihrer Website – Nutzer müssen wissen, dass sie mit einer KI kommunizieren
- KI-generierte Texte, die als menschlich geschrieben wahrgenommen werden könnten
- KI-generierte Bilder oder Videos (sogenannte Deepfakes)
Für die meisten Mittelständler bedeutet das praktisch: Wenn Sie einen KI-Chatbot auf Ihrer Website einsetzen, muss ein deutlicher Hinweis sichtbar sein. Bei intern genutzten KI-Tools (zum Beispiel ChatGPT für E-Mail-Entwürfe) ist keine externe Kennzeichnung nötig – aber die interne Richtlinie sollte regeln, wie damit umgegangen wird.
5. Dokumentation und Nachvollziehbarkeit
Wer KI-Systeme einsetzt, muss dokumentieren können, welche Systeme genutzt werden, wofür und mit welchen Ergebnissen. Das ist keine Detaildokumentation jeder einzelnen KI-Abfrage, sondern eine strukturierte Übersicht auf Unternehmensebene.
Für Hochrisiko-KI-Systeme gilt zusätzlich: Automatisch erzeugte Protokolle müssen mindestens sechs Monate aufbewahrt werden. Für die meisten kleinen Unternehmen, die KI im Büroalltag nutzen, reicht die Kombination aus KI-Inventar und KI-Richtlinie als Dokumentationsgrundlage.
Für den Einsatz verbotener KI-Praktiken drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für Verstöße gegen Betreiberpflichten (einschließlich Hochrisiko-KI und Transparenz): bis zu 15 Millionen Euro oder 3 Prozent. Für fehlerhafte oder irreführende Angaben gegenüber Behörden: bis zu 7,5 Millionen Euro oder 1 Prozent. Wichtig: Für KMU gilt jeweils der niedrigere der beiden Werte – die Bußgelder sind also proportional zur Unternehmensgröße.
Erleichterungen für kleine Unternehmen im EU AI Act
Der EU AI Act berücksichtigt die Situation kleiner und mittlerer Unternehmen ausdrücklich. KMU werden im Gesetzestext 38 Mal erwähnt – häufiger als jede andere Interessengruppe. Konkret gibt es folgende Erleichterungen:
- Vereinfachte Dokumentation: Die EU-Kommission entwickelt spezielle, vereinfachte Formulare für KMU. Diese werden von den nationalen Behörden bei Konformitätsbewertungen akzeptiert.
- Reduzierte Gebühren: Konformitätsbewertungen werden proportional zur Unternehmensgröße berechnet. Kleine Unternehmen zahlen weniger.
- KI-Reallabore (Regulatory Sandboxes): Jeder EU-Mitgliedsstaat muss bis August 2026 mindestens ein sogenanntes KI-Reallabor einrichten – eine sichere Testumgebung, in der Unternehmen KI-Anwendungen unter behördlicher Aufsicht erproben können. KMU erhalten priorisierten und kostenlosen Zugang.
- Geringere Bußgelder: Bei KMU gilt immer der niedrigere Wert (fester Betrag oder Umsatzanteil). Die Strafen sind also proportional.
- Schulungen und Beratung: Mitgliedsstaaten müssen spezielle Informationsangebote und Schulungen für KMU bereitstellen.
Diese Maßnahmen zeigen: Der EU AI Act will kleine Unternehmen nicht überfordern. Aber er erwartet, dass auch sie einen Mindeststandard an Überblick und Verantwortung einhalten.
3 Schritte, die Sie jetzt sofort umsetzen können
Sie müssen nicht auf August warten. Diese drei Schritte können Sie heute schon angehen:
Schritt 1: KI-Bestandsaufnahme machen
Fragen Sie Ihre Mitarbeiter, welche KI-Tools sie nutzen. Die Antwort wird Sie wahrscheinlich überraschen – in den meisten Betrieben sind es mehr Tools als gedacht. Schreiben Sie die Ergebnisse in eine einfache Tabelle: Tool-Name, Anbieter, Einsatzzweck, wer es nutzt.
Schritt 2: KI-Richtlinie aufsetzen
Erstellen Sie ein einfaches Dokument (eine Seite reicht), das festlegt: Welche Tools sind erlaubt? Welche Daten dürfen eingegeben werden? Wer ist Ansprechpartner? Diese Richtlinie schützt Sie nicht nur regulatorisch, sondern auch vor Datenschutzproblemen.
Schritt 3: Mitarbeiter schulen
Die AI-Literacy-Pflicht gilt bereits seit Februar 2025. Sorgen Sie dafür, dass Ihre Mitarbeiter mindestens die Grundlagen verstehen: Was kann KI? Was kann sie nicht? Welche Daten gehören nicht in KI-Tools? Eine 30-minütige interne Schulung reicht für den Anfang.
Sie brauchen kein teures Compliance-Projekt. KI-Inventar + KI-Richtlinie + eine Grundlagenschulung – diese drei Maßnahmen decken den Großteil der Pflichten ab. Für die meisten kleinen Unternehmen ist das an einem Nachmittag erledigt.
Fazit
Der EU AI Act klingt nach Bürokratie – ist aber im Kern eine vernünftige Anforderung: Wissen Sie, welche KI in Ihrem Unternehmen genutzt wird? Haben Ihre Mitarbeiter ein Grundverständnis davon? Gibt es einfache Regeln? Wenn Sie diese drei Fragen mit Ja beantworten können, sind Sie für August 2026 gut aufgestellt. Ich habe mich durch die Verordnung gearbeitet, weil ich das Thema bei meinen Kunden immer häufiger auf den Tisch bekomme. Mein Fazit: Es ist machbar – auch ohne Rechtsabteilung. Wer jetzt anfängt, hat genug Zeit. Wer wartet, riskiert nicht nur Bußgelder – sondern vor allem den Überblick.
„Der EU AI Act bestraft nicht die Nutzung von KI – er bestraft die Ahnungslosigkeit darüber.“
KI-Einführung mit Struktur und Compliance
Im KI-Potenzial-Workshop klären wir nicht nur, wo KI in Ihrem Unternehmen Zeit spart – sondern auch, wie Sie die Anforderungen des EU AI Act pragmatisch erfüllen.
Erstgespräch vereinbarenQuellen
- EU Artificial Intelligence Act – Vollständiger Gesetzestext und Erläuterungen (artificialintelligenceact.eu)
- Artikel 4 EU AI Act – KI-Kompetenz (AI Literacy) (artificialintelligenceact.eu)
- Leitfaden für kleine Unternehmen zum AI Act (artificialintelligenceact.eu)
- Artikel 62 – Maßnahmen für KMU und Start-ups (artificialintelligenceact.eu)
- DSGVO-Gesetz.de – Datenschutz-Grundverordnung im Volltext
- Sage: EU AI Act 2026 für den Mittelstand – Fristen, Pflichten und Compliance
- Haufe: EU AI Act – Was KMU jetzt über die KI-Verordnung wissen müssen
