Guides

EU AI Act: Was die KI-Verordnung für dein Unternehmen bedeutet

Der EU AI Act einfach erklärt: Risikoklassen, Zeitplan, Pflichten und was Mittelstand, Kanzleien und Family Offices jetzt konkret umsetzen müssen.

Anton Brinckmann Anton Brinckmann · · 7 Min. Lesezeit
EU AI Act: Risikoklassen, Zeitplan und Pflichten für Unternehmen

Das Wichtigste in Kürze

Der EU AI Act ist die erste umfassende KI-Regulierung der Welt. Er bewertet KI nicht pauschal, sondern nach Risiko: Je höher das Risiko eines Einsatzes, desto strenger die Pflichten. Für die meisten Unternehmen im Mittelstand ist die Nachricht beruhigend und unbequem zugleich. Beruhigend, weil die typischen Büro- und Automatisierungs-Workflows in die niedrigen Risikoklassen fallen. Unbequem, weil auch dort zwei Pflichten sofort greifen: KI-Kompetenz beim Personal und Transparenz bei KI-generierten Inhalten.

Dieser Beitrag ordnet den EU AI Act für die Praxis ein: die vier Risikoklassen, der Zeitplan, die Pflichten für Betreiber und was Mittelstand, Kanzleien und Family Offices jetzt konkret tun sollten.

Kurzfassung

Der EU AI Act reguliert KI nach Risiko in vier Klassen. Verbotene Praktiken und die Pflicht zur KI-Kompetenz gelten bereits, die Pflichten für Hochrisiko-Systeme greifen ab August 2026. Wer KI einsetzt, ist Betreiber und sollte jetzt seine Systeme erfassen, je Workflow einer Risikoklasse zuordnen und Schulungsnachweise sowie Transparenz organisieren.

Was der EU AI Act ist und warum er existiert

Der EU AI Act, offiziell die KI-Verordnung der Europäischen Union, schafft einen einheitlichen Rechtsrahmen für die Entwicklung und den Einsatz von KI im europäischen Binnenmarkt. Das Ziel: vertrauenswürdige KI fördern und gleichzeitig Grundrechte, Sicherheit und Gesundheit schützen. Statt jede Technologie einzeln zu regeln, knüpft die Verordnung an den Anwendungsfall an. Dasselbe Sprachmodell kann in einem Workflow unkritisch und in einem anderen hochreguliert sein.

Wichtig ist die Unterscheidung zweier Rollen. Ein Anbieter entwickelt ein KI-System oder lässt es entwickeln und bringt es auf den Markt. Ein Betreiber setzt ein KI-System in eigener Verantwortung ein. Die meisten Unternehmen sind Betreiber: Sie kaufen oder abonnieren KI und nutzen sie. Genau diese Rolle bringt eigene Pflichten mit, auch wenn man die Technik nicht selbst gebaut hat.

Die vier Risikoklassen

Der EU AI Act sortiert jeden KI-Einsatz in eine von vier Klassen. Die Klasse bestimmt, welche Pflichten gelten.

Minimales Risiko. Der größte Teil aller KI-Anwendungen. Spamfilter, Rechtschreibhilfen, Suchfunktionen, einfache Automatisierungen. Diese Systeme sind frei nutzbar, ohne besondere Pflichten aus dem AI Act. Freiwillige Verhaltenskodizes sind möglich, aber nicht vorgeschrieben.

Begrenztes Risiko mit Transparenzpflicht. Systeme, die mit Menschen interagieren oder Inhalte erzeugen. Chatbots müssen erkennbar machen, dass man mit einer Maschine spricht. KI-generierte Texte, Bilder, Audio und Video müssen als solche gekennzeichnet werden. Die Pflicht ist überschaubar, aber sie betrifft viele Marketing-, Service- und Kommunikations-Workflows.

Hohes Risiko. KI in sensiblen Bereichen wie Personalauswahl, Kreditwürdigkeit, kritische Infrastruktur oder bestimmte Sicherheitskomponenten. Hier verlangt der AI Act ein Risikomanagement, hohe Datenqualität, technische Dokumentation, Protokollierung, menschliche Aufsicht und eine Konformitätsbewertung. Das ist der aufwendigste Bereich, und er betrifft im Mittelstand vor allem den Personalbereich.

Unannehmbares Risiko. Verbotene Praktiken. Dazu zählen etwa Social Scoring durch Behörden, manipulatives Verhalten zum Schaden von Menschen und bestimmte Formen biometrischer Überwachung. Diese Systeme sind seit Februar 2025 untersagt.

Für den Mittelstand entscheidend

Die allermeisten Workflows, die du heute mit KI entlasten willst, also Belegverarbeitung, Recherche, Reportingentwürfe, Korrespondenz, Wissensabfragen, fallen in minimales oder begrenztes Risiko. Aufmerksam werden musst du dort, wo KI Menschen bewertet: Bewerberauswahl, Leistungsbeurteilung, Bonitätsentscheidungen. Das kann hochriskant sein.

Der Zeitplan: Was wann gilt

Der EU AI Act ist im August 2024 in Kraft getreten und wird stufenweise wirksam. Diese Staffelung gibt Unternehmen Zeit, aber sie bedeutet auch, dass einige Pflichten längst gelten.

  • Seit Februar 2025: Verbotene Praktiken sind untersagt. Die Pflicht zur KI-Kompetenz nach Artikel 4 gilt für Anbieter und Betreiber.
  • Seit August 2025: Pflichten für Anbieter allgemeiner KI-Modelle, also der großen Sprachmodelle, die vielen Anwendungen zugrunde liegen.
  • Ab August 2026: Die meisten Pflichten für Hochrisiko-Systeme werden wirksam, ebenso die Transparenzpflichten für KI-Interaktion und KI-generierte Inhalte in der Breite.
  • Ab August 2027: Weitere Anforderungen für Hochrisiko-Systeme, die in regulierte Produkte eingebettet sind.

Die praktische Konsequenz: Wer heute KI einsetzt, lebt bereits unter der Pflicht zur KI-Kompetenz. Das ist kein Zukunftsthema, sondern geltendes Recht.

Welche Pflichten Betreiber treffen

Als Betreiber baust du keine Modelle, aber du trägst Verantwortung für den Einsatz. Vier Pflichten sind für nahezu jedes Unternehmen relevant.

KI-Kompetenz beim Personal. Artikel 4 verpflichtet dich, dafür zu sorgen, dass Mitarbeitende, die KI einsetzen, deren Funktionsweise, Grenzen und Risiken verstehen. Das ist rollenbasiert und nachweispflichtig. Ein generisches Erklärvideo genügt nicht. Wie du das praktisch aufbaust, vertieft der Beitrag EU AI Act Schulungspflicht.

Transparenz. Wer mit einem Chatbot interagiert, muss das erkennen können. KI-generierte Inhalte müssen gekennzeichnet werden. Diese Pflicht ist technisch und organisatorisch leicht erfüllbar, wird aber oft übersehen.

Risikoeinordnung je Workflow. Du musst wissen, in welche Klasse jeder deiner KI-Einsätze fällt. Das ist keine Einmalübung, sondern eine fortlaufende Aufgabe, weil neue Tools und Workflows hinzukommen.

Bei Hochrisiko: Aufsicht und Dokumentation. Setzt du ein hochriskantes System ein, etwa zur Bewerberauswahl, kommen menschliche Aufsicht, Protokollierung und die Pflicht hinzu, die Vorgaben des Anbieters einzuhalten und Vorfälle zu melden.

Was der EU AI Act und Datenschutz miteinander zu tun haben

Der AI Act ersetzt nicht das Datenschutzrecht, er ergänzt es. Sobald personenbezogene Daten in einen KI-Workflow fließen, gelten beide Regelwerke parallel: Datenschutz für die Daten, der AI Act für das System. Für sensible Bereiche kommen berufsrechtliche Anforderungen hinzu, etwa in Kanzleien.

Genau hier zeigt sich, warum eine saubere Architektur den Aufwand halbiert. Wer dokumentierte Datenflüsse, ein Rollen- und Freigabemodell und Logging von Anfang an mitdenkt, erfüllt Datenschutz und AI-Act-Anforderungen in einem Schritt. Wie das in der Praxis aussieht, beschreibt Datenschutzkonforme KI für Kanzleien und Family Offices. Wenn besonders schützenswerte Daten im Spiel sind, ist eine private KI-Infrastruktur der belastbare Weg, weil Modell, Speicher und Protokolle unter deiner Kontrolle bleiben.

Was der EU AI Act für einzelne Branchen bedeutet

Mittelstand allgemein. Die meisten Workflows sind minimal oder begrenzt riskant. Der Kern der Arbeit liegt in einer sauberen Bestandsaufnahme: Welche Tools sind im Einsatz, wer nutzt sie wofür, und welche Schulungs- und Transparenzschritte fehlen noch.

Steuerberatungskanzleien. Hier treffen AI Act, Berufsrecht und Mandatsgeheimnis aufeinander. Schulungsnachweise werden doppelt geprüft, aus AI-Act- und aus berufsrechtlicher Perspektive. Vertiefung: Datenschutzkonforme KI für Steuerberater.

Family Offices. Selten mit eigener Compliance-Abteilung, aber an Familienrichtlinien und Vertraulichkeit gebunden. Praktikabel ist, die AI-Act-Pflichten in das bestehende Onboarding einzubinden. Vertiefung: Eigene KI für Family Offices.

Personalbereich. Wer KI zur Vorauswahl von Bewerbern oder zur Leistungsbeurteilung einsetzt, sollte genau prüfen, ob das System als hochriskant gilt. Hier lohnt eine frühe Einordnung, bevor das Tool produktiv geht.

Eine kompakte Checkliste

So gehst du den EU AI Act strukturiert an, ohne ein Compliance-Projekt aufzublähen:

  1. Inventar erstellen. Liste jedes KI-System auf, das im Haus genutzt wird, inklusive der Schatten-KI auf privaten Accounts.
  2. Je Workflow einer Risikoklasse zuordnen. Für die meisten Einträge ist das schnell erledigt, die wenigen Hochrisiko-Kandidaten verdienen genaue Prüfung.
  3. Transparenz herstellen. Chatbots als Maschine kennzeichnen, KI-generierte Inhalte markieren.
  4. KI-Kompetenz organisieren. Rollenbasierte Schulung mit Nachweis, an die eingesetzten Systeme angepasst.
  5. In die Governance einbinden. Datenflüsse, Rollen, Freigaben und Schulungen in einer Betriebsakte zusammenführen, die du aktuell hältst.

Wie du den Einstieg strukturierst

Der EU AI Act wirkt groß, weil er alles abdeckt. In der Praxis entscheidet die Risikoeinordnung über fast alles: Sie sagt dir, wo du genau hinschauen musst und wo der Aufwand gering bleibt. Genau diese Einordnung ist der erste Schritt.

Das KI-Prozess-Audit ist ein kostenloses 30-Minuten-Erstgespräch, in dem wir deine wichtigsten KI-Workflows durchgehen, sie nach Risiko und Datenschutzlage einordnen und dir eine klare Empfehlung geben, wo Handlungsbedarf besteht. Wer KI dauerhaft sicher betreiben will, findet in der KI-Betriebsbegleitung, wie laufende Governance, Schulungsnachweise und Aktualisierung zusammenlaufen. Und wenn klar wird, dass sensible Workflows eine eigene Umgebung brauchen, ist die eigene KI-Plattform der nächste Schritt.

Häufige Fragen

Die wichtigsten Fragen zum EU AI Act findest du strukturiert am Ende dieser Seite. Wenn du wissen willst, wie die Schulungspflicht nach Artikel 4 konkret aussieht, lies weiter in EU AI Act Schulungspflicht.

Häufige Fragen

Noch offene Fragen?

Der EU AI Act ist die KI-Verordnung der Europäischen Union, die den Einsatz von KI nach Risiko reguliert. Sie teilt KI-Systeme in vier Klassen ein, von minimalem Risiko bis hin zu verbotenen Praktiken, und knüpft an jede Klasse eigene Pflichten. Sie gilt seit August 2024 und wird stufenweise wirksam.

Der EU AI Act ist im August 2024 in Kraft getreten und greift gestaffelt: Verbotene Praktiken und die Pflicht zur KI-Kompetenz gelten seit Februar 2025, Pflichten für allgemeine KI-Modelle seit August 2025, die meisten Pflichten für Hochrisiko-Systeme ab August 2026 und weitere Teile ab August 2027.

Vier: minimales Risiko (etwa Spamfilter, frei nutzbar), begrenztes Risiko mit Transparenzpflicht (etwa Chatbots, Kennzeichnungspflicht), hohes Risiko (strenge Anforderungen an Dokumentation und Aufsicht) und unannehmbares Risiko (verbotene Praktiken). Die meisten Büro- und Automatisierungs-Workflows im Mittelstand fallen in minimales oder begrenztes Risiko.

Ja. Der EU AI Act gilt für Anbieter und für Betreiber von KI-Systemen, unabhängig von der Größe. Auch wer nur fremde Tools wie Microsoft 365 Copilot oder ChatGPT einsetzt, ist Betreiber und unterliegt zumindest der Pflicht zur KI-Kompetenz. Der Aufwand richtet sich nach der Risikoklasse der genutzten Systeme.

Mindestens: deine eingesetzten KI-Systeme erfassen, sie je Workflow einer Risikoklasse zuordnen, für ausreichende KI-Kompetenz des Personals sorgen und die Transparenzpflichten erfüllen, etwa KI-generierte Inhalte kennzeichnen. Bei Hochrisiko-Systemen kommen Aufsicht, Protokollierung und Dokumentation hinzu.

Hast du Fragen?

30 Minuten. Wir schauen gemeinsam, ob und wie KI bei dir intern laufen kann.

Weitere Artikel

KI im Projektmanagement für den Mittelstand: Anwendungsfelder, DSGVO und Infrastruktur
Guides 17. Juni 2026

KI im Projektmanagement: Fünf Anwendungsfelder für den Mittelstand

KI im Projektmanagement: Fünf bewährte Anwendungsfelder für den Mittelstand, DSGVO-Checkliste und wann eigene Infrastruktur besser als ein Cloud-Tool ist.

KI-Beratung im Mittelstand: von der Empfehlung zur laufenden Umsetzung
Guides 16. Juni 2026

KI-Beratung im Mittelstand: Warum gute Beratung in Umsetzung mündet

Was bringt KI-Beratung im Mittelstand wirklich? Worauf du bei der Auswahl achtest, wo reine Beratung stehenbleibt und wie aus Empfehlung ein laufendes System wird.

KI im Dokumentenmanagement für den Mittelstand: Workflows, DSGVO und Infrastruktur
Guides 16. Juni 2026

KI im Dokumentenmanagement: Vier Workflows, die du heute automatisieren kannst

KI im Dokumentenmanagement: Welche Workflows sich lohnen, was DSGVO und EU AI Act bedeuten, und wann ein DMS-Anbieter reicht oder eigene Infrastruktur besser ist.

Bereit, die Routinearbeit loszuwerden?

30 Minuten. Keine Verpflichtung. Wir schauen gemeinsam, ob und wie KI bei dir intern laufen kann.

Wir verarbeiten deine Angaben ausschließlich für die Terminabstimmung. Auf Anfrage löschen wir sie jederzeit.

Antwort innerhalb 24 h, direkt von Anton oder Andre.

Vielen Dank!

  1. Innerhalb 24 h: zwei konkrete Terminvorschläge per Mail.
  2. 30-Min-Gespräch mit Anton oder Andre.
  3. Innerhalb 5 Werktagen: schriftliche Auswertung per Mail.

Falls in den nächsten Stunden nichts ankommt, prüfe kurz dein Spam-Postfach. Oder schreib direkt an info@abigroup.io.
E-Mail schreiben info@abigroup.io
Anton Brinckmann
Anton Brinckmann
Andre Loreth
Andre Loreth

Im Audit ist immer einer von uns selbst dabei. Seit 2021 KI- und Automatisierungsprojekte im deutschen Mittelstand.