EU AI Act: Was du als Mittelständler jetzt konkret tun musst
Ich habe in den letzten Monaten mit Dutzenden Mittelständlern über den EU AI Act gesprochen. Fast immer läuft es so: Zuerst sagt jemand „das betrifft uns nicht, wir entwickeln ja keine KI.“ Dann frage ich, ob sie ChatGPT nutzen, ob ihr CRM einen KI-Scoring-Algorithmus hat, ob sie ein HR-Tool mit automatisierten Kandidatenbewertungen einsetzen.
Meistens sind es drei Ja-Antworten in Folge.
Dann erklären wir von vorne.
Der EU AI Act ist seit August 2024 in Kraft. Die ersten Verbote gelten seit Februar 2025. Die vollständigen Pflichten für Hochrisiko-KI-Systeme greifen ab Dezember 2027 – ursprünglich war August 2026 geplant, der „Digital Omnibus on AI“ hat die Frist verschoben. Was viele nicht verstehen: Das Gesetz richtet sich nicht nur an die Unternehmen, die KI-Systeme bauen. Es richtet sich auch an alle, die sie einsetzen.
Das Risikomodell – vier Kategorien, die du kennen musst
Der Gesetzgeber hat KI-Systeme in vier Kategorien eingeteilt. Die Einordnung hängt nicht davon ab, wie komplex die KI technisch ist, sondern davon, was sie entscheidet und über wen.
| Kategorie | Beschreibung | Betrifft dich direkt? |
|---|---|---|
| Verboten | Unbewusste Beeinflussung, Social Scoring, biometrische Echtzeit-Überwachung | Kaum – nur sehr spezifische Systeme |
| Hochrisiko | KI in HR, Kredit-Scoring, kritischer Infrastruktur, Bildung | Ja, wenn du solche Systeme nutzt |
| Transparenzpflichtig | KI-generierte Texte, Chatbots, Deep Fakes | Ja, wenn du Kunden damit interagieren lässt |
| Minimal Risk | Spam-Filter, Produktempfehlungen, interne Produktivitäts-Tools | Nein – oder kaum |
Die meisten Mittelständler sind in mehreren Kategorien gleichzeitig aktiv – ohne es zu wissen.
Hochrisiko: Was das für deinen Betrieb bedeutet
Hochrisiko-KI ist der Bereich, in dem die härtesten Anforderungen gelten. Hier sind die Beispiele, die ich im Mittelstand am häufigsten sehe:
HR-Software mit KI-Komponenten. Wenn dein Bewerbermanagementsystem Kandidaten automatisch bewertet oder sortiert, bist du im Hochrisiko-Bereich. Das gilt auch, wenn du ein fertiges Produkt eines anderen Anbieters verwendest – du bist als Betreiber mitverantwortlich.
Kredit- und Konditionenentscheidungen. Wenn ein Algorithmus entscheidet, welcher Kunde welche Konditionen bekommt, gilt dasselbe. Viele Fakturierungssysteme haben inzwischen „smarte“ Zahlungsrisikoeinschätzungen – schon ist man im Hochrisiko-Bereich.
KI in sicherheitsrelevanten Prozessen. Maschinenwartung, Qualitätskontrolle, Lieferketten – wenn die KI Entscheidungen trifft, die Menschensicherheit betreffen könnten, ist das Hochrisiko.
Was musst du dann tun? Das Gesetz fordert konkret:
- Technische Dokumentation des eingesetzten Systems – Trainingsdaten, Leistungsgrenzen, bekannte Fehlerfälle
- Risikomanagementsystem – dokumentierter Prozess, mit dem du Risiken identifizierst und reduzierst
- Menschliche Aufsicht – der Mensch muss eingreifen können, das muss nachweisbar sein
- Protokollierung – alle Entscheidungen und Eingaben müssen nachvollziehbar gespeichert sein
- Konformitätsbewertung – entweder Selbstbewertung oder externe Prüfung, je nach System
Das klingt nach viel. Ist es auch. Aber: wenn du fertige Produkte anderer Anbieter nutzt, liegt die technische Dokumentation primär beim Anbieter. Deine Pflicht als Betreiber ist, zu prüfen, ob das System für deinen konkreten Einsatz geeignet ist – und das zu dokumentieren.
„Aber wir haben doch einfach die KI-Funktion in HubSpot aktiviert.“
Das ändert nichts an deiner Sorgfaltspflicht.
Transparenzpflicht: Chatbots, automatisierte Texte, KI-Anrufe
Dieser Bereich gilt für fast alle Unternehmen, die KI mit Außenwirkung haben. Die Pflicht ist einfach: Menschen müssen wissen, wenn sie mit einer KI interagieren – oder wenn ein Inhalt von einer KI erstellt wurde, ohne dass ein Mensch ihn wesentlich überarbeitet hat.
Konkret:
- Chatbot auf deiner Website → kenntlich machen, dass das eine KI ist
- Automatisch generierte E-Mails an Kunden → Kennzeichnungspflicht
- KI-generierte Dokumente in offiziellen Kontexten → Kennzeichnungspflicht
In der Praxis ist das bei vielen Unternehmen ein blinder Fleck. Nicht weil sie es absichtlich verbergen – sondern weil niemand das Thema bisher auf dem Schirm hatte.
Die unterschätzte Schnittstelle: EU AI Act + DSGVO
Wer KI mit personenbezogenen Daten betreibt, bewegt sich in zwei Regelwerken gleichzeitig. Das ist der Punkt, den ich in Gesprächen am häufigsten nachhaken muss.
Ein Beispiel: Du nutzt ein KI-Tool zur Analyse von Kundeninteraktionen – Tickets, E-Mails, Anrufe. Damit verarbeitest du personenbezogene Daten. Das braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Wenn das Tool in den USA gehostet ist, brauchst du einen Mechanismus für den Drittlandtransfer nach Art. 44 ff. DSGVO. Wenn das Tool Entscheidungen mit Rechtswirkung trifft, greift zusätzlich Art. 22 DSGVO zur automatisierten Entscheidungsfindung.
Und dann kommen noch die EU AI Act-Anforderungen für den jeweiligen Risikobereich dazu.
Zwei Aufsichtsbehörden können prüfen – Datenschutzbehörden für DSGVO, nationale Marktaufsichtsbehörden für den EU AI Act. Die Fragen, die sie stellen, überschneiden sich stark. Wer sauber dokumentiert, hat beiden gegenüber etwas vorzuweisen.
Zur DSGVO-Infrastrukturseite – konkret am Beispiel US-Clouddienste – habe ich einen separaten Artikel geschrieben:
→ AWS Frankfurt schützt nicht: Warum dein KI-System DSGVO und US CLOUD Act verletzt
Was du heute tun kannst – in drei Schritten
Schritt 1: Bestandsaufnahme. Welche KI-Tools sind im Unternehmen im Einsatz? Offiziell und inoffiziell. Die Frage ist nicht „ist das wirklich KI?“ – wenn das Tool maschinelles Lernen, Scoring oder generative Komponenten hat, nimm es auf.
Typische Kandidaten, die gerne übersehen werden: LinkedIn Sales Navigator (KI-Vorschläge), HubSpot AI-Funktionen, Grammarly Business, automatisierte Buchhaltungstools, jede Software mit „intelligenten Empfehlungen“.
Schritt 2: Risikoklasse bestimmen. Für jedes Tool: Was entscheidet es, und für wen? Die Tabelle oben ist dein erster Filter. Wenn du unsicher bist, ist das bereits ein Hinweis darauf, dass Dokumentation fehlt.
Schritt 3: Dokumentieren. Nicht als 50-seitiges Rechtsdokument – als interne Klarheit. Tool X, Einsatzzweck Y, Risikokategorie Z, verantwortliche Person A. Das ist der Ausgangspunkt.
Ein Wort zur Haftung
Der EU AI Act schafft keine neue strafrechtliche Haftung für normale Unternehmen. Er schafft Bußgeldtatbestände – bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes für Anbieter verbotener Systeme. Der Mittelstand ist nicht primär die Zielgruppe der Höchststrafen.
Was er schafft: zivilrechtliche Angriffsflächen. Wenn ein Kunde, Bewerber oder Mitarbeiter durch ein KI-System nachweislich benachteiligt wurde und du keine Dokumentation hast, sieht es schlecht aus. Fehlende Dokumentation wird im Streitfall fast immer als Eingeständnis interpretiert.
Checkliste: Bist du vorbereitet?
- [ ] KI-Tools im Unternehmen vollständig erfasst (inkl. inoffizielle Nutzung)
- [ ] Risikoklasse für jedes Tool bestimmt
- [ ] Hochrisiko-Systeme dokumentiert (Anbieter-Dokumentation + eigener Einsatzzweck)
- [ ] Transparenzpflichten umgesetzt (Chatbot-Hinweise, KI-generierte Texte gekennzeichnet)
- [ ] Verknüpfung mit DSGVO-Dokumentation geprüft (Drittlandtransfer, Verarbeitungsverzeichnis)
- [ ] Interne Zuständigkeit für KI-Compliance festgelegt
Weitere Ressourcen
Auf brain-maze.de habe ich eine Pillar-Page zum EU AI Act zusammengestellt – Zeitplan, Risikoklassen, DSGVO-Schnittstellen, FAQ:
→ EU AI Act – Überblick, Risikoklassen und Zeitplan
Wenn du wissen willst, ob deine konkreten Systeme unter Annex III fallen – mit der vollständigen Hochrisiko-Liste und Erläuterungen:
→ Hochrisiko-KI-Systeme nach EU AI Act: Annex III erklärt
Wenn du wissen willst, wie du konkret eingestuft bist – ohne langen Beratungsprozess:
→ KI-Compliance-Schnellcheck – 8 Fragen, erste Einordnung
Und wenn du das Thema jetzt strukturiert angehen willst: Das KI-Compliance Audit analysiert deine konkreten Systeme, prüft die Dokumentation und liefert einen schriftlichen Report. Festpreis, keine Folgeberatung, kein Abo.


