EU AI Act für den Mittelstand: was gilt, was Sie tun müssen, was Sie ignorieren dürfen

Seit der EU AI Act in Kraft ist, bekomme ich regelmäßig dieselbe Frage, meist mit einem Unterton zwischen Sorge und Genervtheit: “Müssen wir jetzt auch wieder irgendwas dokumentieren?” Die ehrliche Antwort ist: für die meisten kleinen Betriebe weniger, als die Schlagzeilen vermuten lassen, aber nicht nichts. Hier die Einordnung ohne Juristen-Deutsch.

Die Grundidee in einem Satz

Der AI Act reguliert KI nicht pauschal, sondern nach Risiko. Je gefährlicher der Einsatz für Menschen, desto strenger die Regeln. Das meiste, was ein normaler Betrieb mit KI macht, fällt in die unterste Stufe, und da sind die Pflichten gering. Es kommt also nicht darauf an, ob Sie KI nutzen, sondern wofür.

Die vier Stufen, kurz erklärt

• Verboten. Ein paar Dinge sind schlicht untersagt, etwa Sozial-Scoring von Menschen oder manipulative Systeme. Für einen normalen Betrieb praktisch nie relevant.
• Hochrisiko. Hier wird es ernst: KI in der Personalauswahl (Bewerber bewerten, vorsortieren), in der Kreditvergabe, in kritischer Infrastruktur. Wer so etwas einsetzt, hat echte Pflichten. Das betrifft auch kleine Betriebe, sobald sie KI im Recruiting nutzen.
• Begrenztes Risiko. Vor allem eine Transparenzpflicht: Wenn ein Kunde mit einer KI spricht (Chatbot, KI-Telefonassistent), muss er das erkennen können. KI-generierte Inhalte sollten als solche kenntlich sein.
• Minimales Risiko. Der große Rest. Texte entwerfen, recherchieren, zusammenfassen, Tabellen bauen. Hier gibt es keine besonderen Pflichten.

Was das konkret für Sie bedeutet

Für die meisten kleinen Betriebe laufen die realen Pflichten auf drei Dinge hinaus:

1. Transparenz beim Kundenkontakt. Setzen Sie einen Chatbot oder einen KI-Telefonassistenten ein, machen Sie kenntlich, dass dort eine KI antwortet. Das ist kein Hexenwerk, ein Satz reicht oft. Es schafft nebenbei Vertrauen.
2. Vorsicht im Personalbereich. Sobald KI bei der Bewerberauswahl mitredet, sind Sie potenziell im Hochrisiko-Bereich, mit deutlich höheren Anforderungen. Hier sollten Sie genau hinschauen, bevor Sie ein Tool scharf schalten.
3. KI-Kompetenz im Team. Der AI Act erwartet, dass Menschen, die KI beruflich einsetzen, verstehen, was sie da tun. Das meint keine Zertifikate, sondern eine grundlegende Einweisung: Was kann das Tool, wo täuscht es sich, was gehört nicht hinein.

Was Sie getrost gelassen sehen dürfen

Sie brauchen keine KI-Abteilung, keine 50-seitige Richtlinie und keinen teuren Spezialberater, nur weil Sie ChatGPT für Textentwürfe nutzen. Der Großteil des Alltags fällt in die unterste Stufe. Wer hier in Panik verfällt, verschenkt vor allem den Nutzen.

Auch die Fristen geben Luft: Die strengen Pflichten greifen gestaffelt, und die scharfen Teile betreffen vor allem Hochrisiko-Anwendungen. Für einen Betrieb, der KI für Texte, Recherche und Standardkommunikation nutzt, ist der akute Handlungsdruck gering.

Der eine Schritt, der sich immer lohnt

Unabhängig von Paragraphen ist eine einfache interne Regel Gold wert: Wer im Team darf welche Daten in welches KI-Tool geben? Diese eine Festlegung beantwortet die meisten Datenschutz- und AI-Act-Fragen im Alltag, bevor sie überhaupt entstehen. Sie schützt vor dem Klassiker, dass jemand mal eben eine Kundenliste in ein beliebiges Tool kippt.

Genau hier setzen wir an: Wir schauen uns an, wo Sie KI tatsächlich einsetzen, ordnen es den Risikostufen zu, und Sie bekommen eine klare, knappe Handlungsliste statt eines Aktenordners. Was Pflicht ist, machen wir sauber. Was Panikmache ist, lassen wir weg.

Wenn Sie wissen wollen, wo Ihr Betrieb beim AI Act steht: Ich mache mit Ihnen eine ehrliche Bestandsaufnahme, ohne Drama.

Tobias Wissen

Inhaber, WISSEN BERATUNG

→ Kostenfreies Erstgespräch vereinbaren

Dieser Beitrag ist eine praxisnahe Einordnung, keine Rechtsberatung. Im Zweifel und bei Hochrisiko-Anwendungen sollten Sie rechtlichen Rat einholen.