Zum Inhalt springen
Web & Search
Zurück zum Blog
#ki
#compliance
#eu-ai-act

EU AI Act: Was Mittelständler 2026 wirklich wissen müssen

Der EU AI Act ist seit August 2024 in Kraft. Was bedeutet das für KI-Einsatz im Mittelstand? Eine klare Übersicht ohne Juristen-Sprech.

J
Jörg
Web & Search
5. September 2025
5 min Lesezeit
Teilen

Der EU AI Act in einem Satz

Der EU AI Act ist seit dem 1. August 2024 in Kraft und wird schrittweise in den Jahren 2025 und 2026 vollständig wirksam. Er ist das weltweit erste umfassende KI-Gesetz und regelt, welche KI-Systeme in der EU erlaubt sind, welche verboten werden, und welche Pflichten Unternehmen beim Einsatz von KI haben. Für Mittelständler ist die gute Nachricht: Für 95% der typischen KI-Anwendungen gilt der minimal-invasive Teil des Gesetzes — Transparenzpflicht, Dokumentation, Basis-Schulung. Nichts Dramatisches, aber etwas, das man kennen sollte.

Dieser Artikel ist mein ehrlicher Überblick ohne Juristen-Sprech: was der EU AI Act wirklich bedeutet, was du als Mittelständler tun musst, wann du einen Juristen brauchst, und wann du einfach weitermachen kannst.

Die vier Risikoklassen

Der EU AI Act teilt KI-Systeme in vier Risikoklassen ein:

Klasse 1: Verbotene Praktiken

Diese KI-Systeme sind in der EU komplett verboten:

  • Soziale Bewertung durch Regierungen (Social Scoring)
  • Manipulative KI, die vulnerable Gruppen ausnutzt
  • Echtzeit-Biometrie-Überwachung in öffentlichen Räumen (mit engen Ausnahmen)
  • Emotionserkennung am Arbeitsplatz oder in der Schule
  • Scraping von Gesichtsbildern aus dem Internet zur Erstellung von Erkennungsdatenbanken

Für Mittelständler irrelevant — das wäre auch ohne Gesetz nichts, was jemand bauen wollen würde.

Klasse 2: Hochrisiko

Hochrisiko-KI unterliegt strengen Pflichten (Dokumentation, Risikobewertung, Transparenz, menschliche Aufsicht, Qualitätsmanagement). Dazu gehören:

  • KI in HR (Bewerberauswahl, Mitarbeiterbewertung)
  • KI in der Kreditvergabe
  • KI in der medizinischen Diagnose
  • KI im Bildungswesen (Bewertung, Zugangsentscheidungen)
  • KI in kritischer Infrastruktur
  • KI in Strafverfolgung und Migration

Wenn du in einem dieser Bereiche KI einsetzt, brauchst du einen Juristen und ein formales Risikomanagement. Aber: die meisten Mittelständler haben keinen Anwendungsfall in diesen Bereichen.

Klasse 3: Eingeschränktes Risiko (Transparenzpflicht)

Das ist die Klasse, in der die meisten Mittelstands-Anwendungen landen. Hier gilt Transparenzpflicht:

  • Chatbots müssen als solche erkennbar sein — Kunden müssen wissen, dass sie mit einer KI sprechen
  • Deepfakes und KI-generierte Bilder, die mit echten Aufnahmen verwechselbar sind, müssen gekennzeichnet werden
  • Emotionserkennung und biometrische Klassifizierung müssen offengelegt werden
  • KI-generierte Texte, die zur Information der Öffentlichkeit über Themen von öffentlichem Interesse verwendet werden, müssen als solche gekennzeichnet werden (nicht bei rein kommerziellen Texten)

Klasse 4: Minimales Risiko

Alles andere. Die absolute Mehrheit der Mittelstands-KI fällt hier rein: Textgenerierung für Marketing, Bildgenerierung für Social Media, interne Chatbots für Wissensdatenbanken, Übersetzungen, Datenauswertung, SEO-Tools, Code-Assistenten, Claude Code und Cursor, RAG für Kundensupport, E-Mail-Klassifizierung.

Für Klasse 4 gibt es keine spezifischen Pflichten aus dem AI Act. Die üblichen Gesetze (DSGVO, Urheberrecht, Produkthaftung) gelten natürlich weiterhin.

Was du als Mittelständler tatsächlich tun musst

1. KI-Inventar führen

Erstelle eine Liste aller KI-Tools und Modelle, die in deinem Unternehmen genutzt werden. Das umfasst:

  • Direkte Nutzung (ChatGPT, Claude, Gemini)
  • In Software eingebettete KI (Office Copilot, Notion AI, Canva Magic, Figma AI)
  • APIs (OpenAI, Anthropic via eigenen Anwendungen)
  • SaaS-Tools mit KI-Features (HubSpot AI, Salesforce Einstein)
  • Eigene KI-Anwendungen (RAG-Systeme, Chatbots, Automations)

Halte für jedes Tool fest: was macht es, welche Daten gehen rein, welche kommen raus, wer nutzt es.

2. Risikoklassifizierung

Stufe jedes Tool in eine der vier Klassen ein. Im Mittelstand landen 95%+ in Klasse 4. Wenn etwas in Klasse 2 oder 3 fällt: Notiz machen, Juristen einbeziehen.

3. Datenschutz sauber aufstellen

Prüfe für jedes KI-Tool:

  • Gibt es einen AVV (Auftragsverarbeitungs-Vertrag) mit dem Anbieter?
  • In welcher Region werden die Daten verarbeitet?
  • Werden die Daten zum Training genutzt?
  • Sind personenbezogene Daten betroffen?

Gute Nachricht: OpenAI, Anthropic, Google und Microsoft bieten alle EU-AVV-Optionen mit Datenverarbeitung in der EU an. Du musst sie nur aktivieren.

4. Mitarbeiter-Schulung ab Februar 2025

Seit dem 2. Februar 2025 gilt Artikel 4 des AI Acts: Unternehmen müssen sicherstellen, dass Mitarbeiter, die KI-Systeme nutzen, über ausreichende KI-Kompetenz verfügen. Das ist kein Hexenwerk — eine strukturierte Schulung (2–4 Stunden) mit Themen wie:

  • Was sind LLMs, was können sie, was nicht
  • Halluzinations-Risiko und kritisches Lesen von Outputs
  • Umgang mit sensiblen Daten
  • Unternehmens-interne Regeln für KI-Nutzung
  • Best Practices für Prompting

Die Schulung muss dokumentiert werden (Teilnehmer, Datum, Inhalte). Für Mittelständler keine große Sache, aber ein Punkt auf der To-Do-Liste.

5. Dokumentation

Halte fest, wie KI eingesetzt wird, welche Outputs geprüft werden, wie Fehler korrigiert werden. Das muss kein 50-seitiges Dokument sein — eine einfache Tabelle oder Confluence-Seite reicht für die allermeisten Fälle.

6. Kennzeichnung bei Chatbots und generierten Inhalten

Wenn du einen Chatbot auf der Website hast: Hinweis "Sie chatten mit einem KI-Assistenten" am Anfang der Konversation. Wenn du KI-generierte Bilder in Social Media nutzt, die echte Fotos darstellen könnten: "KI-generiert"-Kennzeichnung. Das kostet nichts und sorgt für Rechtssicherheit.

Die wichtigsten Daten im Zeitplan

  • 1. August 2024: Gesetz in Kraft
  • 2. Februar 2025: Verbotene Praktiken gelten, KI-Kompetenz-Pflicht
  • 2. August 2025: Regeln für General-Purpose-AI (GPAI) wie GPT-4, Claude etc.
  • 2. August 2026: Hochrisiko-Regeln vollständig anwendbar
  • 2. August 2027: Sonderregelung für bestehende Hochrisiko-Systeme läuft aus

Strafen

Die Strafen sind heftig — aber sie zielen nicht auf kleine Mittelständler mit Klasse-4-Nutzung. Größenordnungen:

  • Verbotene Praktiken: bis zu 35 Mio € oder 7% Jahresumsatz
  • Verstöße gegen Hochrisiko-Pflichten: bis zu 15 Mio € oder 3% Jahresumsatz
  • Falsche Informationen an Behörden: bis zu 7,5 Mio € oder 1% Jahresumsatz

Was du NICHT tun musst (auch wenn Angstverkäufer es dir sagen)

  • Keine aufwändige Compliance-Zertifizierung für simple Marketing-KI
  • Keine externen Audits für interne Chatbots
  • Keine teure "AI Act Compliance Software"
  • Keine Einstellung eines AI-Compliance-Officers (es sei denn, du bist in Hochrisiko)

Einige Beratungshäuser und Agenturen nutzen den AI Act gerade, um Angst zu schüren und teure Beratungspakete zu verkaufen. Lass dich nicht drängen. Für die meisten Mittelständler ist der AI Act machbar ohne große Investitionen.

Mein Fazit

Der EU AI Act ist machbar. Für die meisten Mittelständler ist er kein Showstopper, sondern eine gesunde Disziplin: KI-Inventar führen, Mitarbeiter schulen, Transparenz wahren, Datenschutz beachten. Wer jetzt sauber aufräumt, hat 2027 keine Probleme. Wer es ignoriert, hat bei einer Prüfung unnötigen Stress — obwohl die eigentliche Arbeit übersichtlich wäre.

Wenn du unsicher bist, in welche Risikoklasse eure KI-Nutzung fällt, biete ich einen 90-Minuten-Compliance-Check: KI-Inventar erstellen, Klassifizierung durchgehen, Handlungsbedarf identifizieren, einfache To-Do-Liste. Keine Angstmache, keine teure Zertifizierung — nur klare Orientierung.

J

Über den Autor

Jörg · Web & Search

Seit 1998 in IT, Web & SEO — in Emlichheim, für die Grafschaft Bentheim.

Projekt besprechenE-Mail

Weiterlesen

Das könnte dich auch interessieren

K
#ki
#automation

KI im Mittelstand: 7 Use Cases die sofort Geld sparen

KI ist kein Hype mehr — sondern messbarer Hebel. Sieben Anwendungsfälle aus echten Mittelstandsprojekten, die sich in Wochen amortisieren.

Lesen
C
#ki
#claude

Claude vs ChatGPT: Welches Modell für welche Aufgabe?

Beide Top-Modelle haben ihre Stärken. Wann lohnt sich Claude, wann GPT — und warum man beide braucht.

Lesen
R
#ki
#rag

RAG für Unternehmen: Eigenes Wissen KI-durchsuchbar machen

Mit Retrieval Augmented Generation wird dein Firmenwissen zum LLM. So baust du ein System, das nicht halluziniert.

Lesen

Bereit für eine Website, die liefert?

Zwei Wege zu deiner neuen Website — du entscheidest, was besser passt. Erstgespräch ist immer kostenlos und unverbindlich.

Website-Leasing
Ab 49 € / Monat · 0 € Anschaffungskosten

Klare Pakete, alles inklusive. Design, Hosting, Wartung, Updates — in einer planbaren Monatsrate.

Pakete ansehen
Individuelles Angebot
Festpreis oder nach Aufwand

Shop, Portal, API-Anbindung oder besondere Anforderungen? Du bekommst ein maßgeschneidertes Angebot.

Erstgespräch vereinbaren
1