dnk.digital

[ Tools ] · Leitfaden

EU AI Act & Datenschutz im Mittelstand

Risikoklassen, Fristen und Bußgelder auf einen Blick – mit Prüf-Workflow in sechs Schritten, von der Bestandsaufnahme bis zum Maßnahmenplan.

Stand: Juli 2026 · berücksichtigt die Digital-Omnibus-Verordnung

Was ist der EU AI Act?

Der EU AI Act (KI-Verordnung) ist das weltweit erste umfassende KI-Gesetz. Er gilt seit dem 1. August 2024 und folgt einem risikobasierten Ansatz: Je größer das Risiko einer KI-Anwendung für Menschen, desto strenger die Pflichten. Er betrifft nicht nur KI-Entwickler, sondern jedes Unternehmen, das KI einsetzt – also auch Sie, wenn Ihre Mitarbeiter ChatGPT, Claude, Microsoft Copilot oder KI-Funktionen in Ihrer Branchensoftware nutzen.

Die vier Risikoklassen

Verboten

Beispiele: Social Scoring, manipulative KI, Emotionserkennung am Arbeitsplatz; ab Dez. 2026 auch Nudify-Apps

Konsequenz: Einsatz untersagt, höchste Bußgelder

Hochrisiko

Beispiele: KI in Personalauswahl/Recruiting, Kreditvergabe, kritischer Infrastruktur, Bildungsbewertung, biometrischer Identifizierung

Konsequenz: Umfangreiche Pflichten: Risikomanagement, Dokumentation, menschliche Aufsicht, Konformitätsbewertung

Begrenztes Risiko

Beispiele: Chatbots, KI-generierte Inhalte, Deepfakes

Konsequenz: Transparenzpflichten: Nutzer müssen erkennen, dass sie es mit KI zu tun haben; Kennzeichnung von KI-Inhalten

Minimales Risiko

Beispiele: Spamfilter, KI in Spielen, die meisten Office-Anwendungen

Konsequenz: Keine besonderen Pflichten, freiwillige Verhaltenskodizes

DIE GUTE NACHRICHT

Die meisten mittelständischen Unternehmen betreiben keine Hochrisiko-KI. Wer ChatGPT oder Copilot im Büro nutzt, bewegt sich in der Regel im Bereich des begrenzten oder minimalen Risikos. Die Ausnahme, die fast jeden trifft: Sobald KI bei Personalentscheidungen mitwirkt (Bewerbervorauswahl, Leistungsbewertung), rutschen Sie in die Hochrisiko-Klasse.

Was gilt wann?

Die EU hat mit der Digital-Omnibus-Verordnung zentrale Fristen verschoben. Wichtig: Der Aufschub ist kein Erlass – die inhaltlichen Anforderungen bleiben unverändert, und Aufsichtsbehörden erwarten, dass die gewonnene Zeit für die Vorbereitung genutzt wird.

  1. Feb. 2025— gilt bereits

    Verbotene Praktiken (Art. 5) und KI-Kompetenzpflicht (Art. 4) gelten

  2. Aug. 2025— gilt bereits

    Pflichten für GPAI-Anbieter; Verstöße gegen Art. 5 sanktionsbewehrt

  3. 2. Aug. 2026

    Transparenzpflichten (Art. 50): Chatbots kenntlich machen; Kennzeichnung für neu eingeführte Systeme

  4. 2. Dez. 2026

    Kennzeichnung auch für Bestandssysteme; neue Verbote (u. a. intime Deepfakes ohne Einwilligung)

  5. 2. Dez. 2027

    Volle Pflichten für eigenständige Hochrisiko-KI (Anhang III, z. B. Recruiting-KI) – verschoben von Aug. 2026

  6. 2. Aug. 2028

    KI als Sicherheitskomponente in regulierten Produkten (Anhang I, z. B. Medizinprodukte)

Bußgelder

35 Mio. € / 7 %des weltweiten Jahresumsatzes bei verbotenen Praktiken
15 Mio. € / 3 %des weltweiten Jahresumsatzes bei sonstigen Verstößen

Für KMU gilt jeweils der niedrigere der beiden Beträge. Der Digital Omnibus bringt zusätzliche Erleichterungen: reduzierte Bußgeldrahmen für KMU (−50 %) und Kleinstunternehmen (−75 %) sowie eine 30-tägige Nachbesserungsfrist – vor einer Sanktion erhalten KMU eine Verwarnung mit Gelegenheit zur Abhilfe. Vereinfachte Dokumentationspflichten gelten nun auch für „kleine Midcaps“ (unter 750 Mitarbeiter, unter 150 Mio. € Umsatz).

Der Prüf-Workflow in 6 Schritten

Arbeiten Sie die Schritte der Reihe nach durch – einmal für Ihr Unternehmen insgesamt (Schritte 1, 5, 6) und je einmal pro KI-System (Schritte 2–4).

[ 01 ]

KI-Inventar erstellen

Sie können nur regulieren, was Sie kennen. Erfassen Sie alle KI-Systeme im Unternehmen – auch die inoffiziellen („Schatten-KI“). Pro System: Name, Zweck, Nutzerkreis, verarbeitete Daten, Anbieter und Vertragsverhältnis, Einfluss auf Entscheidungen über Menschen. KI-Funktionen in bestehender Software zählen mit – vom CRM-Scoring bis zu E-Mail-Textvorschlägen.

[ 02 ]

Ihre Rolle bestimmen

Anbieter (Provider) entwickeln KI und bringen sie unter eigenem Namen auf den Markt – strengste Pflichten. Betreiber (Deployer) setzen fremde KI-Systeme in eigener Verantwortung ein – die typische Rolle im Mittelstand. Achtung: Wer ein System wesentlich verändert oder unter eigener Marke anbietet, kann rechtlich zum Anbieter werden.

[ 03 ]

Risikoklasse je System bestimmen

Drei Fragen pro System: Fällt es unter die verbotenen Praktiken? → Einsatz stoppen. Ist es Hochrisiko nach Anhang III (z. B. Personalauswahl, Kreditvergabe)? → Pflichten ab Dez. 2027, Vorbereitung jetzt. Interagiert es mit Menschen oder erzeugt Inhalte? → Transparenzpflichten. Sonst: minimales Risiko – aber der DSGVO-Check bleibt.

[ 04 ]

Pflichten je System ableiten

Pro System schriftlich festhalten: Risikoklasse mit Begründung (2–3 Sätze reichen), anwendbare Pflichten und Fristen, verantwortliche Person, Status (konform / Maßnahmen nötig / Einsatz stoppen).

[ 05 ]

Datenschutz-Check (DSGVO)

Für jedes System mit personenbezogenen Daten: Rechtsgrundlage? Auftragsverarbeitungsvertrag (bei Gratis-Accounts meist nicht – deshalb Business-Verträge)? Training mit Ihren Daten ausgeschlossen? Drittlandübermittlung abgesichert, EU-Hosting verfügbar? Verarbeitungsverzeichnis, ggf. Datenschutz-Folgenabschätzung, Datenschutzerklärung, Betroffenenrechte – und bei Mitarbeiterdaten: Betriebsrat einbinden (§ 87 BetrVG), Art. 22 DSGVO wahren.

[ 06 ]

Maßnahmenplan & Verankerung

KI-Richtlinie erstellen (2–4 Seiten reichen), Schulungen durchführen und dokumentieren (erfüllt zugleich die KI-Kompetenzpflicht nach Art. 4), Freigabeprozess für neue Tools etablieren, einen KI-Koordinator benennen und die jährliche Überprüfung terminieren.

DREI FAUSTREGELN FÜR DEN ALLTAG

  • Keine Kundendaten, Gesundheitsdaten oder Geschäftsgeheimnisse in KI-Tools ohne Business-Vertrag mit AVV.
  • Consumer- und Gratis-Accounts sind für betriebliche Nutzung mit personenbezogenen Daten tabu.
  • Im Zweifel: Daten vor der Eingabe anonymisieren.

Typische Fälle aus dem Mittelstand

„Unsere Mitarbeiter nutzen ChatGPT, Claude oder Copilot fürs Tagesgeschäft.“+

[ Minimal bis begrenzt ]

KI-Kompetenz sicherstellen (gilt jetzt!), KI-Richtlinie, Business-Verträge statt Gratis-Accounts, keine sensiblen Daten in Prompts, veröffentlichte KI-Inhalte kennzeichnen (neue Systeme ab Aug. 2026, Bestandssysteme ab Dez. 2026).

„Wir haben einen Chatbot auf der Website.“+

[ Begrenzt ]

Klar kenntlich machen, dass es KI ist. DSGVO: Was passiert mit den Chat-Eingaben der Nutzer? AVV mit dem Chatbot-Anbieter, Hinweis in der Datenschutzerklärung.

„Unsere HR-Software rankt Bewerber automatisch vor.“+

[ Hochrisiko (Anhang III) ]

Pflichten ab Dez. 2027 vollständig – Vorbereitung jetzt starten. Zusätzlich sofort: menschliche Letztentscheidung sicherstellen (Art. 22 DSGVO), Bewerber informieren, DSFA, Betriebsrat einbinden.

„Wir bauen eine KI-Automatisierung für einen Kundenprozess (z. B. mit Make/n8n + Claude API).“+

[ Rollenfrage ]

Sie bleiben in der Regel Betreiber, solange Sie das System intern nutzen. Verkaufen Sie es als eigenes Produkt, können Anbieterpflichten entstehen. DSGVO: Datenflüsse sauber dokumentieren, AVVs entlang der gesamten Tool-Kette.

„Wir erstellen Marketing-Inhalte mit KI.“+

[ Minimal bis begrenzt ]

Maschinenlesbare Kennzeichnung KI-generierter Inhalte – bei neu eingeführten Tools ab 2. August 2026, bei Bestandssystemen ab 2. Dezember 2026. Zusätzlich: Urheber- und Markenrecht bei generierten Bildern beachten.

Sofort-Checkliste für die Geschäftsführung

Die zehn Punkte, die jedes mittelständische Unternehmen jetzt abhaken sollte. Die Häkchen bleiben nur in dieser Sitzung – es wird nichts gespeichert.

[ Nächster Schritt ]

Wie KI-bereit ist Ihr Unternehmen insgesamt?

Compliance ist eine von sechs Dimensionen – unser KI-Readiness-Check zeigt Ihnen in zehn Minuten das ganze Bild, inklusive konkreter Handlungsempfehlungen.

[ KI-Readiness-Check starten ]

[ Erstgespräch ]

Unsicher, was für Sie gilt?

In einem kostenlosen Erstgespräch gehen wir den Prüf-Workflow gemeinsam für Ihre wichtigsten KI-Systeme durch – pragmatisch und ohne Fachchinesisch.

[ Gespräch vereinbaren ]

Wichtiger Hinweis: Diese Übersicht dient der Orientierung und ersetzt keine Rechtsberatung. Für verbindliche Einzelfallbewertungen ziehen Sie eine auf IT-Recht spezialisierte Kanzlei hinzu. Letzte Prüfung: Juli 2026 – einzelne Termine der Digital-Omnibus-Verordnung können sich bis zur Veröffentlichung im Amtsblatt noch geringfügig ändern.

Lassen Sie uns gemeinsam Ihr Unternehmen digitalisieren.

Kostenloses Erstgespräch – unverbindlich und auf Augenhöhe.

[ Jetzt kontaktieren ]