feedkontakt / EU AI Act: Was die KI-Verordnung für dein Unternehmen bedeutet

KI-Recht

EU AI Act: Was die KI-Verordnung für dein Unternehmen bedeutet

14. Juli 20268 Min. Lesezeitvon Marco Fütterer
verbotenhoch‑risikobegrenztminimalRisiko entscheidet, nicht die FirmengrößeEUAI Act02.08.2026Hochrisiko greift

„Betrifft uns dieser AI Act überhaupt? Wir bauen doch nur ein paar Automatisierungen.“ – diese Frage höre ich in letzter Zeit fast in jedem Erstgespräch. Und sie ist berechtigt, denn zum 2. August 2026 wird ein wichtiger Teil der EU-KI-Verordnung scharf gestellt. Die kurze Antwort: Ja, wahrscheinlich betrifft er dich – aber meist viel harmloser, als die Schlagzeilen mit ihren 35-Millionen-Bußgeldern vermuten lassen. Ich erkläre dir ohne Juristendeutsch, was wirklich dahintersteckt.

In Kürze: Der EU AI Act (die KI-Verordnung) regelt den Einsatz von KI nach Risiko, nicht nach Firmengröße. Die meisten Automatisierungen im Mittelstand fallen in die harmlosen Stufen „minimal“ oder „begrenztes Risiko“ – da reichen Transparenz und geschulte Mitarbeiter. Wirklich aufwendig wird es nur bei Hochrisiko-Fällen wie KI im Recruiting oder in der Kreditprüfung. Wichtig: Die KI-Kompetenzpflicht gilt schon seit Februar 2025, der nächste große Stichtag ist der 2. August 2026.

01Was der AI Act überhaupt ist

Der EU AI Act – auf Deutsch die KI-Verordnung – ist das erste umfassende Gesetz weltweit, das den Einsatz von künstlicher Intelligenz regelt. Er gilt EU-weit direkt, ähnlich wie die DSGVO, und muss nicht erst in nationales Recht umgesetzt werden.

Der entscheidende Gedanke dahinter ist einfach: Nicht jede KI ist gleich riskant. Ein Chatbot, der Termine sortiert, ist etwas anderes als ein System, das entscheidet, wer einen Kredit bekommt. Deshalb reguliert der AI Act nicht „KI“ pauschal, sondern nach dem konkreten Risiko der Anwendung.

Merksatz für den Alltag: Es kommt nicht darauf an, dass du KI einsetzt, sondern wofür. Genau das entscheidet, welche Pflichten überhaupt gelten.

02Die vier Risikostufen – und wo du landest

Der AI Act sortiert jede KI-Anwendung in eine von vier Stufen. Das klingt bürokratisch, ist aber die wichtigste Orientierung überhaupt:

  • Verboten: KI, die Menschen manipuliert oder überwacht – etwa Social Scoring oder Emotionserkennung am Arbeitsplatz. Das ist seit Februar 2025 schlicht untersagt und für normale Firmen kein Thema.
  • Hochrisiko: KI, die über Menschen entscheidet – im Recruiting, bei der Kreditwürdigkeit, in der Bildung. Hier gelten strenge Pflichten. Der Stichtag dafür ist der 2. August 2026.
  • Begrenztes Risiko: KI, mit der Menschen direkt interagieren, etwa ein Chatbot. Hier reicht meist Transparenz: Der Nutzer muss wissen, dass er mit einer KI spricht.
  • Minimales Risiko: Der große Rest – die allermeisten internen Automatisierungen. Angebotsentwürfe vorbereiten, Rechnungen auslesen, Reports bauen. Hier gibt es praktisch keine speziellen Auflagen.

Und genau hier liegt die gute Nachricht: Die Prozessautomatisierung, die ich für den Mittelstand baue – nachzulesen in den 5 Prozessen, die sich sofort automatisieren lassen – fällt fast immer in die unteren beiden Stufen. Ein Agent, der Eingangsrechnungen ausliest, entscheidet nicht über Menschen. Er ist „minimales Risiko“.

03Die Fristen, die du kennen musst

Der AI Act tritt nicht auf einen Schlag in Kraft, sondern in Stufen. Vier Termine sind relevant:

  • 2. Februar 2025: Verbotene Praktiken sind untersagt – und die KI-Kompetenzpflicht (Artikel 4) gilt. Sie betrifft jedes Unternehmen, das KI einsetzt, unabhängig vom Risiko.
  • 2. August 2025: Pflichten für Anbieter großer KI-Modelle (GPAI) – also für Firmen wie Anthropic oder OpenAI, nicht für dich als Anwender.
  • 2. August 2026: Die Pflichten für Hochrisiko-Systeme greifen. Das ist der Stichtag, der gerade für Aufregung sorgt.
  • 2. August 2027: Die letzten Übergangsfristen laufen aus, die Verordnung gilt vollständig.
Viele übersehen den Februar-2025-Termin. Die KI-Kompetenzpflicht ist nämlich schon heute aktiv – und sie betrifft, anders als die Hochrisiko-Regeln, wirklich fast jeden. Dazu gleich mehr.

04Die eine Pflicht, die fast alle trifft

Wenn du aus diesem Beitrag nur einen Punkt mitnimmst, dann diesen: Seit dem 2. Februar 2025 verlangt Artikel 4, dass Mitarbeiter, die KI bedienen oder deren Ergebnisse nutzen, über ausreichende KI-Kompetenz verfügen. Das gilt völlig unabhängig von der Risikostufe.

Das klingt groß, ist es aber nicht. Gemeint ist: Deine Leute sollen verstehen, was die eingesetzte KI kann, wo ihre Grenzen liegen und wann man ihr nicht blind vertrauen darf. Es geht nicht um Zertifikate, sondern um gesunden, informierten Umgang.

In der Praxis erfüllst du das mit einer kurzen internen Schulung und einer schlichten Doku: Welche KI setzen wir wofür ein, wer darf sie bedienen, was prüft ein Mensch nach? Genau solche kontrollierten Freigabepunkte baue ich ohnehin in jede Automatisierung ein – ich koppele kritische Schritte immer an eine menschliche Freigabe. Damit ist ein guter Teil der Kompetenzanforderung praktisch schon abgedeckt.

05Bußgelder: Was wirklich droht

Die Schlagzeilen lieben die große Zahl: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Das stimmt – gilt aber nur für die schwersten Verstöße, also für verbotene Praktiken wie manipulative KI. Damit hat ein normaler Handwerks- oder Handelsbetrieb schlicht nichts zu tun.

Für die praktisch relevanten Pflichten – fehlende Dokumentation, keine menschliche Aufsicht bei Hochrisiko-Systemen – liegt der Rahmen bei bis zu 15 Millionen Euro oder 3 Prozent. Und ein wichtiger Punkt geht in den Schlagzeilen meist unter: Bei kleinen und mittleren Unternehmen gilt jeweils der niedrigere der beiden Werte, nicht der höhere.

Die 35-Millionen-Zahl ist real, aber sie ist für den Mittelstand das falsche Angstbild. Wer KI für interne Abläufe nutzt und Transparenz plus Mitarbeiterschulung ernst nimmt, bewegt sich in einem sehr entspannten Rahmen.

06Was du jetzt konkret tun solltest

Kein Grund zur Panik, aber auch kein Grund zum Wegschauen. Ich empfehle drei pragmatische Schritte:

  • Inventarisieren: Schreib auf, wo im Betrieb KI eingesetzt wird – vom Copilot in Office bis zum eigenen Automatisierungs-Agenten. Meist ist die Liste kürzer, als man denkt.
  • Einstufen: Ordne jeden Fall grob einer Risikostufe zu. Entscheidet die KI über Menschen? Dann genau hinschauen. Wenn nicht, bist du fast immer im grünen Bereich.
  • Schulen und dokumentieren: Ein kurzes internes Briefing plus eine einseitige Übersicht deckt die KI-Kompetenzpflicht ab – und du hast im Zweifel etwas vorzuweisen.

Das Gute ist: Wenn Automatisierung von Anfang an sauber gebaut ist – mit engen Rechten, klaren Freigaben und nachvollziehbaren Schritten –, dann ist AI-Act-Konformität kein Extra-Projekt, sondern fällt fast von selbst ab. Genau so gehe ich es an, und das hängt eng mit dem Thema Datenschutz zusammen, das ich in KI-Automatisierung & DSGVO ausführlicher behandle.

07Häufige Fragen

Betrifft der AI Act auch kleine Unternehmen?
Ja, aber nach Risiko, nicht nach Größe – eine Mittelstandsausnahme gibt es nicht. Die gute Nachricht: Für die meisten kleinen Betriebe bleibt es bei leichten Pflichten wie Transparenz und Mitarbeiterschulung, weil ihre KI-Anwendungen in die unteren Risikostufen fallen.

Muss ich bis zum 2. August 2026 etwas tun?
Für die meisten reicht es, den Überblick zu haben: Wo setze ich KI ein und in welcher Risikostufe? Nur wer echte Hochrisiko-Systeme betreibt – etwa KI im Recruiting –, hat zu diesem Stichtag echten Handlungsbedarf. Die KI-Kompetenzpflicht gilt übrigens schon seit Februar 2025.

Ist eine normale Prozessautomatisierung Hochrisiko?
In aller Regel nicht. Ein Agent, der Angebote vorbereitet, Rechnungen ausliest oder Reports baut, entscheidet nicht über Menschen und fällt damit unter „minimales Risiko“. Hochrisiko meint gezielt Anwendungen mit großer Tragweite für Einzelne, etwa Kredit- oder Bewerberentscheidungen.

Kümmerst du dich um die AI-Act-Konformität mit?
Ja, im Rahmen des Projekts. Ich baue Automatisierungen so, dass Rechte eng gefasst, kritische Schritte an eine menschliche Freigabe gekoppelt und alle Aktionen nachvollziehbar sind. Damit ist ein guter Teil der Anforderungen von vornherein erfüllt. Eine echte Rechtsberatung ersetzt das nicht – aber es macht sie meist überflüssig einfach.

Zum Mitnehmen: Der EU AI Act reguliert KI nach Risiko, nicht nach Firmengröße – und die typische Mittelstands-Automatisierung landet fast immer in den harmlosen Stufen. Wirklich wichtig ist für dich vor allem die KI-Kompetenzpflicht, die schon seit Februar 2025 gilt: Verschaff dir einen Überblick, stufe deine Fälle ein und schule deine Leute kurz. Wer Automatisierung von Anfang an sauber und kontrolliert baut, hat mit dem Stichtag am 2. August 2026 wenig zu befürchten.
Marco Fütterer

AI Automation Engineer aus Lohmar · baut KI-Agenten & Prozessautomatisierung mit Claude Code.

Welcher Ablauf lohnt sich bei dir zuerst?

Lass uns 30 Minuten unverbindlich sprechen — wir schauen auf einen konkreten Prozess und ob sich Automatisierung rechnet.

Erstgespräch anfragen