Der EU AI Act ist das weltweit erste umfassende KI-Gesetz – und er betrifft nicht nur Tech-Konzerne. Sobald Ihre Mitarbeiter ChatGPT, Microsoft Copilot oder die KI-Funktionen Ihrer Branchensoftware nutzen, sind Sie Betreiber eines KI-Systems im Sinne der Verordnung. Die gute Nachricht: Für die meisten mittelständischen Unternehmen sind die Pflichten überschaubar. Die schlechte: Eine davon gilt bereits seit Februar 2025 und wird flächendeckend übersehen.

Der risikobasierte Ansatz: vier Klassen

Der AI Act sortiert KI-Anwendungen nach ihrem Risiko für Menschen. Verbotensind Praktiken wie Social Scoring oder Emotionserkennung am Arbeitsplatz.Hochrisiko ist KI, die über Menschen entscheidet – etwa bei Personalauswahl, Kreditvergabe oder in kritischer Infrastruktur. Begrenztes Risiko bedeutet Transparenzpflichten: Chatbots müssen als KI erkennbar sein, KI-generierte Inhalte gekennzeichnet werden. Alles andere – Spamfilter, Office-KI, Textassistenten – fällt unter minimales Risiko ohne besondere Pflichten.

Für den Mittelstand heißt das: Wer ChatGPT oder Copilot im Büro nutzt, bewegt sich meist im Bereich des begrenzten oder minimalen Risikos. Die Ausnahme, die fast jeden trifft: Sobald KI bei Personalentscheidungen mitwirkt – zum Beispiel eine HR-Software, die Bewerber automatisch vorsortiert – rutschen Sie in die Hochrisiko-Klasse mit umfangreichen Pflichten.

Die Fristen nach dem Digital Omnibus

Mit der Digital-Omnibus-Verordnung hat die EU zentrale Fristen verschoben. Der aktuelle Stand (Juli 2026):

  • Gilt bereits: das Verbot bestimmter KI-Praktiken und die KI-Kompetenzpflicht (beides seit Februar 2025) sowie die Pflichten für Anbieter großer KI-Modelle (seit August 2025).
  • 2. August 2026: Transparenzpflichten – Chatbots kenntlich machen, KI-generierte Inhalte bei neu eingeführten Systemen maschinenlesbar kennzeichnen.
  • 2. Dezember 2026: Kennzeichnungspflicht auch für Bestandssysteme; zusätzliche Verbote.
  • 2. Dezember 2027: volle Pflichten für eigenständige Hochrisiko-KI, etwa Recruiting-Software – verschoben vom ursprünglichen Termin August 2026.

Wichtig: Der Aufschub ist kein Erlass. Die inhaltlichen Anforderungen bleiben unverändert, und die Aufsichtsbehörden erwarten, dass die gewonnene Zeit für die Vorbereitung genutzt wird.

Die am häufigsten übersehene Pflicht: KI-Kompetenz

Artikel 4 des AI Act verpflichtet Unternehmen seit Februar 2025, die KI-Kompetenz ihrer Mitarbeitenden zu fördern. Der Digital Omnibus hat die Formulierung zwar abgeschwächt, an der praktischen Empfehlung ändert das nichts: Schulen Sie Ihre Mitarbeiter im Umgang mit KI-Tools – Grundverständnis, Grenzen wie Halluzinationen, Datenschutzregeln – unddokumentieren Sie die Teilnahme schriftlich. Es ist die am einfachsten zu erfüllende Pflicht des gesamten Gesetzes, und zugleich die am häufigsten versäumte.

Bußgelder: real, aber mit Augenmaß für KMU

Bei verbotenen Praktiken drohen bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes, bei sonstigen Verstößen bis zu 15 Mio. Euro oder 3 %. Für KMU gilt jeweils der niedrigere Betrag, und der Digital Omnibus bringt weitere Erleichterungen: reduzierte Bußgeldrahmen (−50 % für KMU, −75 % für Kleinstunternehmen) und eine 30-tägige Nachbesserungsfrist – vor einer Sanktion gibt es eine Verwarnung mit Gelegenheit zur Abhilfe.

Nicht vergessen: Die DSGVO gilt parallel

Der AI Act ersetzt die DSGVO nicht. Er regelt das KI-System selbst, die DSGVO den Umgang mit personenbezogenen Daten darin. In der Praxis entstehen die meisten Probleme im Mittelstand nicht durch den AI Act, sondern durch DSGVO-Verstöße bei der KI-Nutzung: Kundendaten in öffentlichen Chatbots, fehlende Auftragsverarbeitungsverträge, ungeklärte Datenübermittlung in die USA. Drei Faustregeln für den Alltag: keine sensiblen Daten in KI-Tools ohne Business-Vertrag mit AVV, Gratis-Accounts sind für betriebliche Nutzung mit personenbezogenen Daten tabu, und im Zweifel Daten vor der Eingabe anonymisieren.

Die ersten drei Schritte

  • KI-Inventar erstellen: Erfassen Sie alle KI-Systeme im Unternehmen – auch die inoffiziell genutzten („Schatten-KI“) und die KI-Funktionen in bestehender Software.
  • Risikoklassen zuordnen: Ordnen Sie jedes System einer der vier Klassen zu und dokumentieren Sie die Einordnung in zwei, drei Sätzen.
  • Schulung und Richtlinie: Führen Sie eine KI-Kompetenzschulung durch und verabschieden Sie eine kurze KI-Richtlinie – zwei bis vier Seiten reichen.

Eine ausführliche Anleitung mit Prüf-Workflow in sechs Schritten, Entscheidungsbaum und Sofort-Checkliste für die Geschäftsführung finden Sie in unseremEU-AI-Act-Überblick mit kostenlosem PDF-Leitfaden. Und wenn Sie wissen möchten, wo Ihr Unternehmen beim Thema KI insgesamt steht: DerKI-Readiness-Check zeigt es Ihnen in zehn Minuten – Compliance ist dort eine von sechs Dimensionen.

Hinweis: Dieser Artikel dient der Orientierung und ersetzt keine Rechtsberatung.