[ Tools ] · Leitfaden
EU AI Act & Datenschutz im Mittelstand
Risikoklassen, Fristen und Bußgelder auf einen Blick – mit Prüf-Workflow in sechs Schritten, von der Bestandsaufnahme bis zum Maßnahmenplan.
Stand: Juli 2026 · berücksichtigt die Digital-Omnibus-Verordnung
Was ist der EU AI Act?
Der EU AI Act (KI-Verordnung) ist das weltweit erste umfassende KI-Gesetz. Er gilt seit dem 1. August 2024 und folgt einem risikobasierten Ansatz: Je größer das Risiko einer KI-Anwendung für Menschen, desto strenger die Pflichten. Er betrifft nicht nur KI-Entwickler, sondern jedes Unternehmen, das KI einsetzt – also auch Sie, wenn Ihre Mitarbeiter ChatGPT, Claude, Microsoft Copilot oder KI-Funktionen in Ihrer Branchensoftware nutzen.
Die vier Risikoklassen
Verboten
Beispiele: Social Scoring, manipulative KI, Emotionserkennung am Arbeitsplatz; ab Dez. 2026 auch Nudify-Apps
Konsequenz: Einsatz untersagt, höchste Bußgelder
Hochrisiko
Beispiele: KI in Personalauswahl/Recruiting, Kreditvergabe, kritischer Infrastruktur, Bildungsbewertung, biometrischer Identifizierung
Konsequenz: Umfangreiche Pflichten: Risikomanagement, Dokumentation, menschliche Aufsicht, Konformitätsbewertung
Begrenztes Risiko
Beispiele: Chatbots, KI-generierte Inhalte, Deepfakes
Konsequenz: Transparenzpflichten: Nutzer müssen erkennen, dass sie es mit KI zu tun haben; Kennzeichnung von KI-Inhalten
Minimales Risiko
Beispiele: Spamfilter, KI in Spielen, die meisten Office-Anwendungen
Konsequenz: Keine besonderen Pflichten, freiwillige Verhaltenskodizes
DIE GUTE NACHRICHT
Die meisten mittelständischen Unternehmen betreiben keine Hochrisiko-KI. Wer ChatGPT oder Copilot im Büro nutzt, bewegt sich in der Regel im Bereich des begrenzten oder minimalen Risikos. Die Ausnahme, die fast jeden trifft: Sobald KI bei Personalentscheidungen mitwirkt (Bewerbervorauswahl, Leistungsbewertung), rutschen Sie in die Hochrisiko-Klasse.
Was gilt wann?
Die EU hat mit der Digital-Omnibus-Verordnung zentrale Fristen verschoben. Wichtig: Der Aufschub ist kein Erlass – die inhaltlichen Anforderungen bleiben unverändert, und Aufsichtsbehörden erwarten, dass die gewonnene Zeit für die Vorbereitung genutzt wird.
Feb. 2025— gilt bereits
Verbotene Praktiken (Art. 5) und KI-Kompetenzpflicht (Art. 4) gelten
Aug. 2025— gilt bereits
Pflichten für GPAI-Anbieter; Verstöße gegen Art. 5 sanktionsbewehrt
2. Aug. 2026
Transparenzpflichten (Art. 50): Chatbots kenntlich machen; Kennzeichnung für neu eingeführte Systeme
2. Dez. 2026
Kennzeichnung auch für Bestandssysteme; neue Verbote (u. a. intime Deepfakes ohne Einwilligung)
2. Dez. 2027
Volle Pflichten für eigenständige Hochrisiko-KI (Anhang III, z. B. Recruiting-KI) – verschoben von Aug. 2026
2. Aug. 2028
KI als Sicherheitskomponente in regulierten Produkten (Anhang I, z. B. Medizinprodukte)
Bußgelder
Für KMU gilt jeweils der niedrigere der beiden Beträge. Der Digital Omnibus bringt zusätzliche Erleichterungen: reduzierte Bußgeldrahmen für KMU (−50 %) und Kleinstunternehmen (−75 %) sowie eine 30-tägige Nachbesserungsfrist – vor einer Sanktion erhalten KMU eine Verwarnung mit Gelegenheit zur Abhilfe. Vereinfachte Dokumentationspflichten gelten nun auch für „kleine Midcaps“ (unter 750 Mitarbeiter, unter 150 Mio. € Umsatz).
Der Prüf-Workflow in 6 Schritten
Arbeiten Sie die Schritte der Reihe nach durch – einmal für Ihr Unternehmen insgesamt (Schritte 1, 5, 6) und je einmal pro KI-System (Schritte 2–4).
KI-Inventar erstellen
Sie können nur regulieren, was Sie kennen. Erfassen Sie alle KI-Systeme im Unternehmen – auch die inoffiziellen („Schatten-KI“). Pro System: Name, Zweck, Nutzerkreis, verarbeitete Daten, Anbieter und Vertragsverhältnis, Einfluss auf Entscheidungen über Menschen. KI-Funktionen in bestehender Software zählen mit – vom CRM-Scoring bis zu E-Mail-Textvorschlägen.
Ihre Rolle bestimmen
Anbieter (Provider) entwickeln KI und bringen sie unter eigenem Namen auf den Markt – strengste Pflichten. Betreiber (Deployer) setzen fremde KI-Systeme in eigener Verantwortung ein – die typische Rolle im Mittelstand. Achtung: Wer ein System wesentlich verändert oder unter eigener Marke anbietet, kann rechtlich zum Anbieter werden.
Risikoklasse je System bestimmen
Drei Fragen pro System: Fällt es unter die verbotenen Praktiken? → Einsatz stoppen. Ist es Hochrisiko nach Anhang III (z. B. Personalauswahl, Kreditvergabe)? → Pflichten ab Dez. 2027, Vorbereitung jetzt. Interagiert es mit Menschen oder erzeugt Inhalte? → Transparenzpflichten. Sonst: minimales Risiko – aber der DSGVO-Check bleibt.
Pflichten je System ableiten
Pro System schriftlich festhalten: Risikoklasse mit Begründung (2–3 Sätze reichen), anwendbare Pflichten und Fristen, verantwortliche Person, Status (konform / Maßnahmen nötig / Einsatz stoppen).
Datenschutz-Check (DSGVO)
Für jedes System mit personenbezogenen Daten: Rechtsgrundlage? Auftragsverarbeitungsvertrag (bei Gratis-Accounts meist nicht – deshalb Business-Verträge)? Training mit Ihren Daten ausgeschlossen? Drittlandübermittlung abgesichert, EU-Hosting verfügbar? Verarbeitungsverzeichnis, ggf. Datenschutz-Folgenabschätzung, Datenschutzerklärung, Betroffenenrechte – und bei Mitarbeiterdaten: Betriebsrat einbinden (§ 87 BetrVG), Art. 22 DSGVO wahren.
Maßnahmenplan & Verankerung
KI-Richtlinie erstellen (2–4 Seiten reichen), Schulungen durchführen und dokumentieren (erfüllt zugleich die KI-Kompetenzpflicht nach Art. 4), Freigabeprozess für neue Tools etablieren, einen KI-Koordinator benennen und die jährliche Überprüfung terminieren.
DREI FAUSTREGELN FÜR DEN ALLTAG
- →Keine Kundendaten, Gesundheitsdaten oder Geschäftsgeheimnisse in KI-Tools ohne Business-Vertrag mit AVV.
- →Consumer- und Gratis-Accounts sind für betriebliche Nutzung mit personenbezogenen Daten tabu.
- →Im Zweifel: Daten vor der Eingabe anonymisieren.
Typische Fälle aus dem Mittelstand
„Unsere Mitarbeiter nutzen ChatGPT, Claude oder Copilot fürs Tagesgeschäft.“+
[ Minimal bis begrenzt ]
KI-Kompetenz sicherstellen (gilt jetzt!), KI-Richtlinie, Business-Verträge statt Gratis-Accounts, keine sensiblen Daten in Prompts, veröffentlichte KI-Inhalte kennzeichnen (neue Systeme ab Aug. 2026, Bestandssysteme ab Dez. 2026).
„Wir haben einen Chatbot auf der Website.“+
[ Begrenzt ]
Klar kenntlich machen, dass es KI ist. DSGVO: Was passiert mit den Chat-Eingaben der Nutzer? AVV mit dem Chatbot-Anbieter, Hinweis in der Datenschutzerklärung.
„Unsere HR-Software rankt Bewerber automatisch vor.“+
[ Hochrisiko (Anhang III) ]
Pflichten ab Dez. 2027 vollständig – Vorbereitung jetzt starten. Zusätzlich sofort: menschliche Letztentscheidung sicherstellen (Art. 22 DSGVO), Bewerber informieren, DSFA, Betriebsrat einbinden.
„Wir bauen eine KI-Automatisierung für einen Kundenprozess (z. B. mit Make/n8n + Claude API).“+
[ Rollenfrage ]
Sie bleiben in der Regel Betreiber, solange Sie das System intern nutzen. Verkaufen Sie es als eigenes Produkt, können Anbieterpflichten entstehen. DSGVO: Datenflüsse sauber dokumentieren, AVVs entlang der gesamten Tool-Kette.
„Wir erstellen Marketing-Inhalte mit KI.“+
[ Minimal bis begrenzt ]
Maschinenlesbare Kennzeichnung KI-generierter Inhalte – bei neu eingeführten Tools ab 2. August 2026, bei Bestandssystemen ab 2. Dezember 2026. Zusätzlich: Urheber- und Markenrecht bei generierten Bildern beachten.
Sofort-Checkliste für die Geschäftsführung
Die zehn Punkte, die jedes mittelständische Unternehmen jetzt abhaken sollte. Die Häkchen bleiben nur in dieser Sitzung – es wird nichts gespeichert.
[ Nächster Schritt ]
Wie KI-bereit ist Ihr Unternehmen insgesamt?
Compliance ist eine von sechs Dimensionen – unser KI-Readiness-Check zeigt Ihnen in zehn Minuten das ganze Bild, inklusive konkreter Handlungsempfehlungen.
[ KI-Readiness-Check starten ][ Erstgespräch ]
Unsicher, was für Sie gilt?
In einem kostenlosen Erstgespräch gehen wir den Prüf-Workflow gemeinsam für Ihre wichtigsten KI-Systeme durch – pragmatisch und ohne Fachchinesisch.
[ Gespräch vereinbaren ]Wichtiger Hinweis: Diese Übersicht dient der Orientierung und ersetzt keine Rechtsberatung. Für verbindliche Einzelfallbewertungen ziehen Sie eine auf IT-Recht spezialisierte Kanzlei hinzu. Letzte Prüfung: Juli 2026 – einzelne Termine der Digital-Omnibus-Verordnung können sich bis zur Veröffentlichung im Amtsblatt noch geringfügig ändern.
