KI & Recht Compliance 15. April 2026 • 10 Min. Lesezeit • aktualisiert Juli 2026

EU AI Act: Was der neue KI-Rechtsrahmen für den Mittelstand bedeutet

Der erste umfassende KI-Rechtsrahmen der Welt ist da, und mit ihm die Verunsicherung. Wir ordnen ein, was für kleine und mittlere Unternehmen wirklich zählt und was Sie getrost gelassen sehen dürfen.

EU AI Act und Compliance für den Mittelstand

Künstliche Intelligenz ist im Mittelstand angekommen. In vielen Betrieben im Ruhrgebiet schreibt heute jemand Angebote mit ChatGPT, lässt Produktbeschreibungen generieren oder nutzt einen KI-Chatbot auf der Website. Gleichzeitig macht ein Begriff die Runde, der für Unruhe sorgt: der EU AI Act. Muss man jetzt Angst haben? Drohen Bußgelder? Ist der Einsatz von KI plötzlich riskant geworden?

Die kurze Antwort: Für die allermeisten mittelständischen Unternehmen ist die Lage deutlich entspannter, als die Schlagzeilen vermuten lassen. Dieser Artikel ordnet ein, was wirklich relevant ist. Er ersetzt keine Rechtsberatung, gibt Ihnen aber die Orientierung, um zu verstehen, wo Sie tatsächlich handeln müssen und wo nicht.

Was ist der EU AI Act?

Der EU AI Act (auf Deutsch: KI-Verordnung) ist die weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz. Sie gilt EU-weit unmittelbar, ähnlich wie damals die Datenschutz-Grundverordnung, und muss nicht erst in nationales Recht übertragen werden. Das Ziel: KI soll sicher, transparent und grundrechtskonform eingesetzt werden, ohne Innovation abzuwürgen.

Der zentrale Gedanke dahinter ist ein risikobasierter Ansatz. Nicht jede KI wird gleich behandelt. Entscheidend ist, wie riskant eine Anwendung für Menschen und Gesellschaft ist. Ein KI-System, das über Kreditwürdigkeit oder Bewerbungen entscheidet, unterliegt strengeren Regeln als ein Rechtschreibprüfer oder ein Spam-Filter. Je höher das Risiko, desto mehr Pflichten. Wo kaum Risiko besteht, bleibt fast alles beim Alten.

Die vier Risikoklassen im Überblick

Der AI Act teilt KI-Anwendungen in vier Stufen ein. Diese Einordnung ist der Schlüssel zum Verständnis der ganzen Verordnung.

Stufe 1
Verbotene Praktiken: KI, die als inakzeptables Risiko gilt, ist schlicht verboten. Dazu gehören etwa Social Scoring durch Behörden, manipulative Systeme, die Menschen gezielt schädigen, oder unzulässige biometrische Massenüberwachung. Für den normalen Mittelstand praktisch nie relevant.
Stufe 2
Hohes Risiko: KI in sensiblen Bereichen wie Personalauswahl, Kreditvergabe, kritischer Infrastruktur oder Medizinprodukten. Hier gelten umfangreiche Pflichten (Risikomanagement, Dokumentation, menschliche Aufsicht). Betrifft KMU nur, wenn sie solche Systeme selbst entwickeln oder in genau diesen Feldern einsetzen.
Stufe 3
Begrenztes Risiko: Hier greift vor allem eine Transparenzpflicht. Wer einen KI-Chatbot einsetzt oder KI-generierte Inhalte veröffentlicht, muss dies kenntlich machen. Menschen sollen wissen, wenn sie mit einer Maschine sprechen oder KI-erzeugtes Material sehen. Diese Stufe betrifft viele KMU konkret.
Stufe 4
Minimales Risiko: Die große Mehrheit aller Anwendungen. Textassistenten, Übersetzungstools, Rechtschreibhilfen, Spam-Filter, Produktempfehlungen. Hier gibt es keine besonderen Pflichten aus dem AI Act. Der Einsatz bleibt frei.

Die entscheidende Erkenntnis: Der Großteil dessen, was Mittelständler heute mit KI tun, fällt in Stufe 3 oder Stufe 4. Die scharfen Regeln der oberen Stufen zielen auf ganz bestimmte, sensible Anwendungsfelder, nicht auf den alltäglichen Bürobetrieb.

Der Zeitplan: Welche Fristen wann greifen

Der AI Act tritt nicht auf einen Schlag in Kraft, sondern in Stufen. Für die Planung ist es hilfreich zu wissen, was wann gilt.

Zeitpunkt Was gilt ab dann
Februar 2025 Die verbotenen Praktiken sind untersagt. Zugleich beginnt die KI-Kompetenz-Pflicht nach Artikel 4: Unternehmen müssen dafür sorgen, dass ihr Personal ausreichend im Umgang mit KI geschult ist.
August 2025 Es greifen die Pflichten für Anbieter von General-Purpose-AI-Modellen (etwa die großen Sprachmodelle). Diese treffen die Hersteller, nicht die Anwender.
August 2026 Die Transparenzpflichten nach Artikel 50 greifen, insbesondere die Kennzeichnung von KI-Chatbots und KI-generierten Inhalten (Risikoklasse begrenztes Risiko). Die technische Wasserzeichen-Pflicht der Anbieter folgt etwas später (Dezember 2026).
Dezember 2027 Die Pflichten für Hochrisiko-KI nach Anhang III (etwa Personalauswahl, Kreditvergabe, Bildung) greifen. Das EU-Vereinfachungspaket von 2026 (Digital Omnibus) hat diese Frist von ursprünglich August 2026 nach hinten verschoben.
August 2028 Die vollen Anforderungen an Hochrisiko-KI in regulierten Produkten nach Anhang I greifen. Relevant vor allem für Hersteller von Maschinen, Medizinprodukten und ähnlichen Gütern.

Sie sehen: Die schärfsten Pflichten (Hochrisiko) liegen zeitlich am weitesten entfernt und betreffen spezielle Branchen. Was jeden angeht und schon heute gilt, ist die KI-Kompetenz-Pflicht.

Der wichtigste Punkt für die meisten KMU: die KI-Kompetenz-Pflicht

Wenn Sie sich aus diesem Artikel nur eine Sache merken, dann diese: Artikel 4 des AI Act verlangt bereits jetzt, dass Ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das gilt für nahezu jedes Unternehmen, das KI-Systeme betreibt oder einsetzt, unabhängig von der Größe.

Konkret bedeutet das: Wer KI im Betrieb nutzt, muss sicherstellen, dass die Menschen, die damit arbeiten, verstehen, was das Werkzeug kann, wo seine Grenzen liegen und welche Risiken es mit sich bringt. Es geht nicht um Zertifikate oder aufwendige Prüfungen, sondern um ein angemessenes Verständnis. Das umfasst zum Beispiel:

  • Wie funktioniert ein KI-Tool grundsätzlich und warum kann es Fehler machen?
  • Welche Ergebnisse muss ein Mensch prüfen, bevor sie verwendet werden?
  • Welche Daten dürfen in ein KI-System eingegeben werden und welche nicht (Stichwort Datenschutz und Geschäftsgeheimnisse)?
  • Woran erkennt man erfundene oder verzerrte Antworten (sogenannte Halluzinationen)?

Diese Pflicht ist erfreulich konkret und gut erfüllbar. Eine strukturierte Schulung, eine interne Kurzunterweisung und klare Regeln reichen in vielen Fällen bereits aus. Genau hier setzen unsere KI-Schulungen an: praxisnah, verständlich und auf den Arbeitsalltag Ihres Teams zugeschnitten.

Anwender oder Anbieter? Ein entscheidender Unterschied

Der AI Act unterscheidet klar zwischen denen, die KI entwickeln und bereitstellen (Anbieter), und denen, die fertige KI-Tools nutzen (Anwender oder Betreiber). Diese Unterscheidung entscheidet über den Umfang Ihrer Pflichten.

Die gute Nachricht für den Mittelstand: Die allermeisten KMU sind Anwender. Sie kaufen oder abonnieren fertige Werkzeuge wie ChatGPT, Microsoft-365-Copilot oder einen KI-Chatbot vom Dienstleister. Sie entwickeln keine eigenen KI-Modelle. Und genau deshalb haben sie deutlich geringere Pflichten als die Hersteller.

Der Löwenanteil der schweren Auflagen (technische Dokumentation, Konformitätsbewertung, Risikomanagementsysteme) liegt bei den Anbietern. Als Anwender müssen Sie im Wesentlichen: Ihr Personal schulen, die Tools bestimmungsgemäß nutzen, bei Chatbots und generierten Inhalten transparent sein und bei Hochrisiko-Systemen die menschliche Aufsicht sicherstellen. Für die typische Büroanwendung ist das gut zu bewältigen.

Faustregel: Wenn Sie fertige KI-Tools einsetzen und sie nicht in sensiblen Feldern wie Personalauswahl oder Kreditvergabe verwenden, sind Ihre Pflichten überschaubar. Der Aufwand konzentriert sich auf Schulung, Transparenz und ein wenig Dokumentation.

Praktische Checkliste für Ihren Betrieb

Statt in Aktionismus zu verfallen, arbeiten Sie diese Punkte der Reihe nach ab. Damit sind Sie für die relevanten Anforderungen gut aufgestellt.

  1. KI-Anwendungen inventarisieren: Erstellen Sie eine Liste aller KI-Tools, die im Unternehmen im Einsatz sind. Oft ist das mehr als gedacht, weil einzelne Abteilungen eigene Werkzeuge nutzen.
  2. Risikoklasse grob einordnen: Ordnen Sie jede Anwendung einer der vier Stufen zu. Die meisten landen bei minimalem oder begrenztem Risiko. Nur wo es sensibel wird, lohnt ein genauerer Blick.
  3. Mitarbeiter schulen: Erfüllen Sie die KI-Kompetenz-Pflicht nach Artikel 4 durch eine strukturierte Schulung und dokumentieren Sie diese.
  4. Transparenz herstellen: Kennzeichnen Sie KI-Chatbots als solche und weisen Sie bei KI-generierten Inhalten (Texte, Bilder) darauf hin, wo es geboten ist.
  5. Interne KI-Richtlinie erstellen: Legen Sie schriftlich fest, welche Tools erlaubt sind, welche Daten eingegeben werden dürfen und wer Ergebnisse prüft.
  6. Dokumentation führen: Halten Sie fest, welche Systeme Sie nutzen, welche Einordnung sie haben und wann Sie geschult haben. Das schafft im Zweifel Nachweisbarkeit.

Häufige Irrtümer

Irrtum: „Der AI Act verbietet ChatGPT."
Falsch. ChatGPT und vergleichbare Werkzeuge sind für die normale Nutzung völlig legal. Die Anbieterpflichten treffen den Hersteller, nicht Sie als Anwender. Sie müssen lediglich verantwortungsvoll damit umgehen und Ihr Team schulen.
Irrtum: „Das betrifft nur Großkonzerne."
Falsch. Die KI-Kompetenz-Pflicht nach Artikel 4 gilt unabhängig von der Unternehmensgröße. Auch ein Handwerksbetrieb oder eine kleine Kanzlei, die KI einsetzt, ist angesprochen. Der Aufwand ist für KMU aber gering.
Irrtum: „Wir müssen sofort alles dokumentieren und zertifizieren."
Falsch. Die schweren Dokumentations- und Konformitätspflichten gelten für Hochrisiko-Anbieter. Als Anwender im Bereich minimales oder begrenztes Risiko genügen Schulung, Transparenz und eine schlanke interne Regelung.
Irrtum: „Der AI Act gilt erst 2027, wir haben also Zeit."
Falsch. Die Verbote und die KI-Kompetenz-Pflicht gelten bereits seit Februar 2025. Die Hochrisiko-Pflichten wurden 2026 zwar weiter nach hinten verschoben (Ende 2027 beziehungsweise 2028) und betreffen vor allem spezielle Bereiche. Die KI-Kompetenz-Pflicht gilt aber schon heute. Wer KI nutzt, sollte die Schulung nicht aufschieben.

Fazit: Pragmatisch handeln statt in Panik verfallen

Der EU AI Act ist kein Grund, den KI-Einsatz zu stoppen oder in Angst zu verfallen. Für den typischen Mittelständler bedeutet er vor allem drei Dinge: die eigenen KI-Anwendungen kennen, das Team schulen und bei Chatbots und generierten Inhalten transparent sein. Das ist konkret, machbar und in überschaubarer Zeit umzusetzen.

Wer diese Grundlagen ordentlich aufsetzt, kann KI weiter selbstbewusst und rechtssicher nutzen, statt sich von Schlagzeilen verunsichern zu lassen. Behandeln Sie den AI Act wie eine strukturierte Aufgabe, nicht wie eine Bedrohung. Dann wird aus Unsicherheit schnell Klarheit.

Hinweis: Dieser Artikel bietet eine allgemeine Orientierung und ersetzt keine Rechtsberatung. Für die verbindliche Beurteilung Ihres konkreten Einzelfalls wenden Sie sich bitte an eine Rechtsanwältin oder einen Rechtsanwalt mit Schwerpunkt IT- und Datenschutzrecht.

KI rechtssicher einsetzen

Sie möchten KI im Betrieb nutzen, ohne bei der Compliance ins Straucheln zu geraten? Wir helfen Ihnen, Ihre Anwendungen einzuordnen, Ihr Team zu schulen und eine schlanke KI-Richtlinie aufzusetzen. Praxisnah, verständlich und auf den Mittelstand im Ruhrgebiet zugeschnitten.

Beratungsgespräch vereinbaren KI-Beratung Übersicht →