EU AI Act: Was KMU und Mittelstand jetzt wissen müssen

Seit dem 2. Februar 2025 gelten die ersten Verbote des EU AI Act. Die restlichen Pflichten treten schrittweise bis August 2027 in Kraft. Das betrifft nicht nur Tech-Konzerne – es betrifft jedes Unternehmen, das KI einsetzt oder einsetzen will.

Das Problem: Die meisten Mittelständler wissen nicht, ob ihre KI-Anwendungen überhaupt betroffen sind. Und die Verordnung ist mit über 400 Seiten nicht gerade lesefreundlich.

Hier ist das Wichtigste auf den Punkt.

Was ist der EU AI Act?

Der EU AI Act ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Er legt fest:

• Welche KI-Systeme verboten sind (seit Februar 2025)
• Welche KI-Systeme als hochriskant gelten und besondere Pflichten haben
• Welche Transparenzpflichten für alle KI-Systeme gelten
• Welche Strafen bei Verstößen drohen (bis zu 35 Mio. € oder 7 % des Jahresumsatzes)

Das Risikoklassen-System

Der EU AI Act teilt KI-Systeme in vier Risikoklassen ein:

1. Verbotene KI (unacceptable risk)

Diese Systeme sind seit Februar 2025 verboten:

• Social Scoring – Bewertung von Menschen basierend auf ihrem Sozialverhalten
• Manipulative KI – Systeme, die Menschen unterschwellig manipulieren
• Biometrische Echtzeit-Überwachung im öffentlichen Raum (mit Ausnahmen für Strafverfolgung)
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen

Für die meisten KMU irrelevant – aber gut zu wissen, wo die rote Linie liegt.

2. Hochrisiko-KI (high risk)

Hier wird es für Unternehmen relevant. Als hochriskant gelten KI-Systeme in:

• Personalmanagement: KI-gestütztes Recruiting, Leistungsbewertung, Beförderungsentscheidungen
• Kreditwürdigkeit: Automatische Bonitätsprüfung
• Versicherungen: KI-basierte Risikobewertung und Preisgestaltung
• Bildung: Automatische Prüfungsbewertung, Zugangssteuerung
• Kritische Infrastruktur: KI in Energie, Wasser, Verkehr

Pflichten bei Hochrisiko-KI: - Risikomanagementsystem einrichten - Datenqualität sicherstellen - Technische Dokumentation erstellen - Menschliche Aufsicht gewährleisten - Robustheit und Cybersicherheit nachweisen - EU-Konformitätsbewertung durchführen

3. Begrenzte Risiko-KI (limited risk)

Die Kategorie, die die meisten KMU betrifft:

• Chatbots und Telefonassistenten – Nutzer müssen informiert werden, dass sie mit KI sprechen
• KI-generierte Inhalte – müssen als solche gekennzeichnet werden
• Deepfakes – müssen als künstlich markiert werden

Pflicht: Transparenz. Der Nutzer muss wissen, dass er mit KI interagiert.

4. Minimale Risiko-KI (minimal risk)

Die meisten KI-Anwendungen fallen hierhin:

• Spam-Filter
• KI-gestützte Empfehlungen
• Interne Prozessautomatisierung
• KI-Übersetzungen
• KI-gestützte Textverarbeitung

Keine besonderen Pflichten – aber die allgemeinen Transparenzregeln gelten.

Was bedeutet das konkret für dein Unternehmen?

Wenn du KI im Support einsetzt (Chatbot, Telefonassistent)

Kategorie: Begrenztes Risiko

Pflicht: Dein Kunde muss wissen, dass er mit KI spricht. Das bedeutet: - Beim Chatbot: Hinweis im Chat (“Sie sprechen mit einem KI-Assistenten”) - Beim Telefonassistenten: Ansage zu Beginn des Gesprächs

Bei Agentino ist das bereits Standard: Der Telefonassistent informiert den Anrufer zu Beginn, dass ein KI-System unterstützt, und bietet jederzeit die Weiterleitung an einen Menschen an.

Wenn du KI im Recruiting einsetzt

Kategorie: Hochrisiko

Pflichten: Deutlich umfangreicher. Du brauchst: - Dokumentation des Systems und seiner Entscheidungslogik - Regelmäßige Überprüfung auf Diskriminierung (Bias) - Menschliche Überprüfung vor finalen Entscheidungen - Informationspflicht gegenüber Bewerbern

Wenn du KI im Recruiting einsetzt, muss das System von Anfang an compliant aufgebaut werden.

Wenn du KI für interne Prozesse nutzt

Kategorie: Meist minimales Risiko

Beispiele: KI-gestützte Report-Erstellung, Dokumentenverarbeitung, E-Mail-Klassifizierung, Workflow-Automatisierung

Pflichten: Gering. Aber: Dokumentation ist trotzdem empfehlenswert, falls die Nutzung später in eine höhere Risikoklasse fällt.

Wenn du KI in der Kundenberatung einsetzt

Kategorie: Begrenztes Risiko (Transparenzpflicht)

Wenn KI Empfehlungen gibt (Produktberatung, Preisvorschläge), muss der Kunde wissen, dass KI im Spiel ist. Das gilt auch für KI im Vertrieb und KI-gestütztes CRM.

Zeitplan: Wann gilt was?

Für die meisten KMU ist August 2026 der Stichtag – bis dahin müssen Hochrisiko-Systeme compliant sein.

Was du JETZT tun solltest: 5 Schritte

Schritt 1: KI-Inventar erstellen

Liste alle KI-Systeme auf, die in deinem Unternehmen im Einsatz sind:

• Welche Tools nutzt du? (ChatGPT, eigene Chatbots, Recruiting-KI, Automatisierungen)
• Wofür werden sie eingesetzt?
• Welche Daten verarbeiten sie?
• Wer hat Zugriff?

Schritt 2: Risikoklasse bestimmen

Ordne jedes System einer Risikoklasse zu. Die meisten KMU-Anwendungen fallen in “begrenztes” oder “minimales” Risiko. Aber prüfe genau – besonders bei:

• Personalentscheidungen
• Kreditvergabe
• Kundenbewertung/Scoring

Schritt 3: Transparenzpflichten umsetzen

Für alle KI-Systeme mit Kundenkontakt:

• Chatbot: Hinweis hinzufügen
• Telefonassistent: Ansage ergänzen
• KI-generierte Inhalte: Kennzeichnen

Schritt 4: Dokumentation aufbauen

Auch wenn dein System nicht hochriskant ist – eine Basisdokumentation schadet nie:

• Welche KI wird eingesetzt?
• Welche Daten werden verarbeitet?
• Wie werden Entscheidungen getroffen?
• Wer ist verantwortlich?

Schritt 5: Anbieter prüfen

Deine KI-Anbieter müssen ebenfalls compliant sein. Frage nach:

• Wo werden die Daten verarbeitet? (EU?)
• Gibt es einen AVV?
• Ist das System dokumentiert?
• Gibt es eine Konformitätserklärung?

Mehr zum Thema Datenschutz bei KI findest du in unserem DSGVO-Leitfaden.

EU AI Act vs. DSGVO: Was ist der Unterschied?

Beide gelten gleichzeitig. Wenn dein KI-System personenbezogene Daten verarbeitet (und das tun die meisten), musst du sowohl DSGVO als auch EU AI Act einhalten.

FAQ

Betrifft der EU AI Act auch KI-Tools, die ich nur nutze (nicht selbst entwickle)?

Ja. Der AI Act unterscheidet zwischen “Anbietern” (Entwickler) und “Betreibern” (Nutzer). Als Betreiber hast du eigene Pflichten – vor allem Transparenz und bei Hochrisiko-Systemen die Pflicht zur menschlichen Aufsicht.

Muss ich ChatGPT/Claude im Unternehmen anmelden?

Nicht “anmelden”, aber dokumentieren. Wenn Mitarbeiter KI-Tools nutzen, sollte das in deinem KI-Inventar stehen – besonders wenn Kundendaten verarbeitet werden.

Gibt es Ausnahmen für kleine Unternehmen?

Ja – KMU haben vereinfachte Compliance-Anforderungen. Aber die Grundpflichten (Transparenz, Verbote) gelten für alle, unabhängig von der Unternehmensgröße.

Was passiert, wenn ich nichts tue?

Die Strafen sind empfindlich: Bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes. Realistisch werden die Behörden zunächst bei Großunternehmen prüfen – aber spätestens bei einer Beschwerde wird auch ein KMU kontrolliert.

Fazit: Kein Grund zur Panik, aber Handlungsbedarf

Der EU AI Act ist kein Grund, KI nicht einzusetzen – im Gegenteil. Er schafft Rechtssicherheit und Vertrauen. Aber du musst wissen, welche Regeln für deine KI-Anwendungen gelten, und die Basics umsetzen.

Die gute Nachricht: Für die meisten KMU-Anwendungen (Chatbots, Telefonassistenten, Prozessautomatisierung) sind die Pflichten überschaubar. Transparenz, Dokumentation, EU-Hosting – das sollte ohnehin Standard sein.

Du willst wissen, ob deine KI-Anwendungen compliant sind? Lass uns das in 30 Minuten gemeinsam prüfen – kostenlos und unverbindlich. Lies auch unsere EU AI Act Checkliste und den KI-Strategie-Fahrplan für den Mittelstand.