KBD KI-Beratung Deutschland — DSGVO-konforme KI-Beratung & Implementierung für den Mittelstand | Düsseldorf
    Pillar Page · EU AI Act

    EU AI Act umsetzen — Praxis-Leitfaden 2026

    Was der EU AI Act für mittelständische Unternehmen bedeutet — Risikoklassen, konkrete Pflichten, Fristen, Roadmap zur Umsetzung. Mit Klassifikations-Beispielen und einer praktischen Checkliste.

    30 Tage
    zum ersten Pilot
    Ø 40 %
    weniger manuelle Arbeit
    100 %
    Hosting in Deutschland
    DSGVO + EU AI Act
    konform implementiert

    Überblick — Was ist der EU AI Act?

    Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Regulierungswerk. Er trat im August 2024 in Kraft und ist eine EU-Verordnung — das heißt, er gilt unmittelbar in allen Mitgliedstaaten, ohne dass nationale Umsetzung nötig wäre. Sein Grundansatz: KI-Anwendungen werden in vier Risikoklassen eingeteilt, die unterschiedliche Pflichten auslösen. Je höher das Risiko, desto strenger die Pflichten.

    Der EU AI Act betrifft fast alle Mittelständler — als „Betreiber“ (deployer) von KI-Systemen. Auch wer KI nicht selbst entwickelt, sondern nur einsetzt (z. B. Microsoft Copilot, ChatGPT Enterprise, ein vom Berater implementiertes RAG-System), trägt Pflichten. Die exakten Pflichten hängen von der Risikoklasse der konkreten Anwendung ab.

    Fristen 2025–2027

    DatumWirksamkeit
    02.02.2025Verbote (verbotene KI-Praktiken) + AI-Literacy-Verpflichtung Art. 4
    02.08.2025Pflichten für GP-AI-Modelle (Art. 51 ff.) + Sanktionsregime + zentrale Stellen
    02.08.2026Vollständige Anwendbarkeit für Hochrisiko-Systeme aus Anhang III + Transparenzpflichten + Sanktionen voll
    02.08.2027Vollständige Anwendbarkeit für Hochrisiko-Systeme aus Anhang I (Sicherheits-Komponenten regulierter Produkte)

    Wichtig: Die AI-Literacy-Pflicht (Art. 4) gilt seit Februar 2025. Sie verpflichtet Anbieter und Betreiber, Maßnahmen zu treffen, um sicherzustellen, dass ihr Personal und alle anderen mit dem Betrieb betrauten Personen über ausreichende KI-Kompetenz verfügen. Konkret heißt das: Schulungsprogramm für alle Mitarbeiter, die KI-Tools nutzen.

    Die vier Risikoklassen

    Verboten (Art. 5)

    Praktiken, die die EU als unvereinbar mit Grundrechten ansieht. Generelles Einsatzverbot.

    Hochrisiko (Anhang I + III)

    Umfangreiche Pflichten: Risikomanagement, Datenqualität, Dokumentation, Transparenz, menschliche Aufsicht, Robustheit, Konformitätsbewertung.

    Begrenztes Risiko (Art. 50)

    Transparenzpflichten: Nutzer muss erkennen, dass er mit KI interagiert (Bots, Emotion Recognition, Deepfakes).

    Minimales Risiko

    Keine spezifischen Pflichten aus dem AI Act (DSGVO und sonstige Rechte gelten weiter). Empfehlung: freiwillige Verhaltenskodexe.

    Verbotene Praktiken (Art. 5)

    Seit Februar 2025 gelten u. a. folgende Verbote — sie sind absolut, das heißt nicht durch Einwilligung oder Sonderfälle aufhebbar:

    • Manipulative Techniken, die Menschen unbewusst beeinflussen und Schaden verursachen
    • Ausnutzung von Vulnerabilitäten (Alter, Behinderung, sozioökonomische Lage)
    • Social Scoring durch Behörden
    • Predictive Policing rein auf Basis von Profiling
    • Biometrische Massenüberwachung im öffentlichen Raum (mit eng umgrenzten Ausnahmen)
    • Emotion Recognition am Arbeitsplatz und in Bildungseinrichtungen (mit medizinischen Ausnahmen)
    • Biometrische Kategorisierung nach sensiblen Merkmalen (Religion, sexuelle Orientierung etc.)
    • Untargeted Scraping zum Aufbau von Gesichtserkennungs-Datenbanken

    Im typischen Mittelstands-Kontext sind diese Verbote selten direkt einschlägig — aber zu prüfen ist immer. Insbesondere Emotion Recognition am Arbeitsplatz ist relevant für Anwendungen wie Call-Center-Sentiment-Analyse, KI-gestützte Recruiting-Interviews oder Mitarbeiter-Bewertungstools.

    Hochrisiko-Pflichten (Anhang III)

    Anhang III listet die Bereiche, in denen KI-Systeme als hochrisikoreich gelten. Im Mittelstand häufig relevante Bereiche:

    Tabelle horizontal scrollen
    Typische Mittelstands-Anwendungen und Klassifikation
    Kriterium
    Risikoklasse
    Erste Indikation
    Hochrisiko?
    Ja/Nein
    RAG-Bot für Service-Wissen (Maschinenbau)
    		Minimal
    Voice AI Telefonassistenz für Termine
    		Begrenzt (Transparenz)
    Predictive Maintenance Sensordaten
    		Minimal
    Agent für Angebotserstellung B2B
    		Minimal
    KI-Recruiting (CV-Sichtung, Bewertung)
    		Hochrisiko
    KI-Kreditwürdigkeit / -Pricing
    		Hochrisiko
    KI in Versicherungs-Pricing/-Schadenregulierung
    		Hochrisiko
    KI in kritischer Infrastruktur (Energie, Wasser)
    		Hochrisiko
    KI-Sicherheitskomponente in Maschine (Anhang I)
    		Hochrisiko

    Pflichten für Hochrisiko-Systeme (Art. 8–17 EU AI Act):

    1. Risikomanagement-System einrichten (Art. 9)
    2. Daten-Governance: Trainingsdaten-Qualität, Bias-Bewertung (Art. 10)
    3. Technische Dokumentation erstellen und pflegen (Art. 11, Anhang IV)
    4. Aufzeichnungspflicht (Logging) während des Betriebs (Art. 12)
    5. Transparenz und Information für Betreiber (Art. 13)
    6. Menschliche Aufsicht ermöglichen (Art. 14)
    7. Robustheit, Genauigkeit, Cybersicherheit (Art. 15)
    8. Konformitätsbewertung vor Inverkehrbringen (Art. 43)
    9. Registrierung in der EU-Datenbank (Art. 49)
    10. Korrekturmaßnahmen und Meldepflicht bei schwerwiegenden Vorfällen (Art. 79)

    Begrenztes Risiko — Transparenzpflichten

    Art. 50 EU AI Act regelt Transparenzpflichten für vier Anwendungstypen, unabhängig von der Risikoklassifikation im Übrigen:

    • Chatbots: Nutzer muss erkennen, dass er mit einer KI interagiert — es sei denn, das ist offensichtlich.
    • Emotion-Recognition / Biometrische Kategorisierung: Information der betroffenen Person.
    • Deepfakes: Klare Kennzeichnung als künstlich erzeugt.
    • KI-generierter Text in Angelegenheiten öffentlichen Interesses: Kennzeichnung.

    Im Mittelstand am häufigsten relevant: Chatbot-Kennzeichnung. Wer einen Voice-AI-Telefonassistenten oder einen Web-Chatbot einsetzt, muss erkennbar machen, dass die Person nicht mit einem Menschen spricht. Best Practice: explizite Begrüßung („Hier ist Ihr KI-Assistent von Firma X“).

    GP-AI-Modelle (Art. 51 ff.)

    General-Purpose-AI-Modelle (Foundation Models wie GPT-4, Claude, Gemini, Llama, Mistral) haben eigene Pflichten — diese liegen primär bei den Anbietern. Als Betreiber sind Sie nur indirekt betroffen: Sie sollten auf Anbieter setzen, die diese Pflichten erfüllen, und die bereitgestellte Dokumentation für Ihre eigene Compliance nutzen.

    Konkret prüfen: Stellt der Anbieter technische Dokumentation, Trainingsdaten-Zusammenfassung und Urheberrechts-Compliance-Politik bereit? Bei systemischem Risiko (≥ 10^25 FLOPs) zusätzliche Anforderungen — relevant für GPT-4-Klasse-Modelle und größer.

    Wer ist wofür verantwortlich?

    Der EU AI Act definiert vier Rollen mit unterschiedlichen Pflichten:

    • Anbieter (Provider) — entwickelt das KI-System und bringt es in Verkehr. Trägt die Hauptlast der Pflichten bei Hochrisiko-Systemen (Konformitätsbewertung, Dokumentation, etc.).
    • Betreiber (Deployer) — setzt das KI-System unter eigener Verantwortung ein. Pflichten: Anweisungen des Anbieters befolgen, menschliche Aufsicht sicherstellen, Logs aufbewahren, schwerwiegende Vorfälle melden.
    • Importeur — bringt KI-System aus Drittland in EU-Verkehr. Prüfung der Anbieter-Compliance.
    • Vertreiber — verbreitet KI-Systeme in der Lieferkette. Compliance-Prüfungspflichten.

    Achtung: Wenn Sie ein KI-System wesentlich modifizieren oder unter eigenem Namen vertreiben, können Sie zum Anbieter werden und die volle Pflichtenlast übernehmen — wichtig für Mandanten, die KI-Lösungen unter eigenem Brand an Kunden weiterreichen.

    Umsetzungs-Roadmap für den Mittelstand

    12-Monats-Roadmap zur EU-AI-Act-Compliance

    1. 1Monat 1

      Inventur

      Vollständige Auflistung aller im Unternehmen eingesetzten KI-Anwendungen — auch derer, die unter dem Radar laufen.

      • KI-Inventar
      • Anbieter-Liste
    2. 2Monat 2–3

      Klassifikation

      Jede Anwendung in eine der vier Risikoklassen einsortieren. Hochrisiko-Anwendungen markieren.

      • Klassifikations-Matrix
      • Pflichten-Mapping
    3. 3Monat 4–6

      Pflichten umsetzen

      AI-Literacy-Schulung, Transparenzhinweise, Hochrisiko-Pflichten technisch und organisatorisch umsetzen.

      • Schulung dokumentiert
      • Hochrisiko-Maßnahmen
    4. 4Monat 7–12

      Governance

      Laufende Überwachung, Vorfall-Meldewege, Anbieter-Audit, jährliche Klassifikations-Review.

      • AI-Governance-Handbuch
      • Quartals-Review

    Checkliste — Sind Sie EU-AI-Act-fit?

    1. ☐ Vollständige Inventur aller eingesetzten KI-Anwendungen
    2. ☐ Risikoklassifikation jeder Anwendung dokumentiert
    3. ☐ Verbotene Praktiken systematisch ausgeschlossen
    4. ☐ AI-Literacy-Schulung für alle KI-Nutzer durchgeführt (Art. 4)
    5. ☐ Transparenzhinweise für Bots / Voice AI / Emotion Recognition / Deepfakes umgesetzt
    6. ☐ Bei Hochrisiko-Systemen: Risikomanagement, Daten-Governance, technische Dokumentation, Logging, menschliche Aufsicht implementiert
    7. ☐ Anbieter-Verträge auf EU-AI-Act-Konformität geprüft (DPA-Erweiterung)
    8. ☐ Vorfall-Meldeprozess definiert (für schwerwiegende Vorfälle nach Art. 79)
    9. ☐ KI-Compliance-Verantwortliche/r benannt (kann mit DSB kombiniert sein)
    10. ☐ Jährliche Review der Klassifikation und Pflichten gesetzt
    11. ☐ Mitarbeiter-Information / Betriebsvereinbarung (parallel zur DSGVO) angepasst
    12. ☐ Bei eigener Modifikation/Re-Branding von KI-Systemen: Anbieter-Pflichten geprüft

    Der EU AI Act ist anspruchsvoll, aber für den Mittelstand mit gestaffeltem Vorgehen handhabbar. Die meisten Mittelstandsanwendungen fallen in die Klassen „Minimal“ oder „Begrenztes Risiko“ — die Pflichten dort sind überschaubar. Nur bei Hochrisiko-Anwendungen (Recruiting, Kreditwürdigkeit, kritische Infrastruktur) wird es aufwendig — dafür gibt es aber meist auch die wirtschaftlich entscheidenden Anwendungen, sodass die Compliance-Investition sich lohnt.

    Wenn Sie Ihre eigenen Anwendungen klassifizieren oder eine vollständige AI-Act-Roadmap entwickeln wollen, prüfen wir das gerne in einem kostenfreien Erstgespräch. Vertieftes Material auch in unseren Pillar-Pages zu DSGVO & KI und Private AI.

    Häufig gestellte Fragen

    Bin ich vom EU AI Act überhaupt betroffen?
    Sehr wahrscheinlich ja. Der EU AI Act gilt für jeden Anbieter, Betreiber, Importeur und Vertreiber von KI-Systemen in der EU — unabhängig von Unternehmensgröße. Mittelständler sind als 'Betreiber' (deployer) typischerweise erfasst, wenn sie KI-Systeme im Geschäft einsetzen.
    Was ist mein Mindest-Pflichtset?
    Auch bei minimalem Risiko: Risikoklassifikation jeder KI-Anwendung dokumentieren, AI-Literacy-Verpflichtung der Mitarbeiter (ab Februar 2025!), Verbot bestimmter Praktiken einhalten, Transparenzpflichten bei Bots/Deepfakes/Emotion Recognition. Bei Hochrisiko-Systemen umfangreichere Pflichten.
    Was sind die wichtigsten Fristen?
    Februar 2025: Verbote + AI-Literacy. August 2025: GP-AI-Modell-Pflichten. August 2026: Hochrisiko-Systeme aus Anhang III + Sanktionen voll anwendbar. August 2027: vollständige Geltung inkl. Hochrisiko-Systeme aus Anhang I (Sicherheits-Komponenten).
    Was passiert bei Verstoß?
    Hohe Bußgelder bis 35 Mio € oder 7 % des weltweiten Vorjahresumsatzes (verbotene Praktiken), 15 Mio € oder 3 % bei Verstoß gegen Hochrisiko-Pflichten, 7,5 Mio € oder 1 % bei falschen Angaben gegenüber Behörden. Plus Schadensersatz-Risiken aus zivilrechtlichen Klagen.
    Welche Anwendungen sind Hochrisiko-Systeme?
    Aus Anhang III u. a.: KI in kritischer Infrastruktur, KI in Bildung (Bewertung), KI im Beschäftigungskontext (Recruiting, Beförderung), KI im Zugang zu Diensten (Kreditwürdigkeit, Versicherungs-Pricing), KI in Strafverfolgung, KI in Migration/Asyl, KI in Justiz und demokratischen Prozessen, KI in biometrischer Identifikation. Aus Anhang I: KI als Sicherheits-Komponente in regulierten Produkten (z. B. Medizinprodukte, Spielzeug, Maschinen).
    Was ist mit ChatGPT und ähnlichen Foundation Models?
    Diese fallen unter die GP-AI-Modell-Pflichten (Art. 51 ff. EU AI Act). Anbieter müssen technische Dokumentation, Trainings-Datenzusammenfassung, Urheberrechts-Compliance-Politik bereitstellen. Bei systemischem Risiko (FLOPs ≥ 10^25) zusätzliche Pflichten. Als Betreiber müssen Sie ChatGPT & Co. nicht selbst klassifizieren, aber Ihre konkrete Anwendung schon.
    Brauche ich einen 'AI Officer'?
    Der Begriff 'AI Officer' ist nicht zwingend gesetzlich vorgeschrieben — eine zuständige Person/Funktion für KI-Compliance aber faktisch nötig. Im Mittelstand häufig kombiniert mit Datenschutzbeauftragtem oder Compliance-Verantwortlichem. Bei größeren KI-Portfolios eigene Position empfehlenswert.
    Wie hängt der EU AI Act mit der DSGVO zusammen?
    Beide Regelwerke gelten parallel. DSGVO regelt personenbezogene Daten, EU AI Act regelt Risiken von KI-Systemen unabhängig vom Personenbezug. Bei KI mit Personenbezug gelten beide. Vertiefung in unserem DSGVO-Leitfaden.

    Kostenfreie KI-Potenzialanalyse

    30 Minuten Strategiegespräch mit einem KBD-Berater. Konkret, ehrlich, ohne Verkaufsdruck — wir sagen Ihnen offen, ob KI für Ihren Use Case lohnt.

    • Analyse Ihrer 3 wichtigsten Prozesse
    • Konkrete Roadmap mit Aufwandsschätzung
    • Indikative ROI-Rechnung für Ihren Case

    Ergänzend lesenswert

    DSGVO & KI

    Datenschutz-Pflichten parallel zum AI Act

    KI-Strategie

    Compliance als Strategie-Baustein

    Private AI

    Hosting-Hoheit als Compliance-Vorteil

    Readiness-Check

    AI-Act-Reife messen

    Pilotprojekt

    AI-Act-konformer Pilot

    Beratung

    Begleitung bei AI-Act-Umsetzung