Datenschutz & Recht 5 Min Lesezeit

EU AI Act — was Unternehmen jetzt wirklich tun müssen

EU AI Act kompakt erklärt: Risikoklassen, Fristen und To-dos für KMU. Was Du als Unternehmer jetzt konkret umsetzen musst, ohne in Panik zu verfallen.

Bild: Marco Oriolesi · Unsplash License

Thorsten Heß
Thorsten Heß MOLOTOW Web Development

Am 1. August 2024 ist die KI-Verordnung der EU in Kraft getreten — und seitdem ploppen in unserem Posteingang fast täglich Fragen auf: Muss ich jetzt etwas tun? Darf ich ChatGPT noch nutzen? Brauche ich einen KI-Beauftragten? Die kurze Antwort: Ja, ein bisschen was musst Du tun. Die lange Antwort bekommst Du hier — pragmatisch, ohne Panikmache und ohne Juristendeutsch.

Wir von MOLOTOW Web Development begleiten von Lahr aus kleine und mittlere Unternehmen beim sinnvollen Einsatz von KI — mit zertifizierter KI-Management-Expertise im Team. In diesem Beitrag erklären wir Dir, was der EU AI Act ist, welche Risikoklassen es gibt, wen er betrifft und welche Schritte in Deinem Unternehmen jetzt sinnvoll sind.

Was ist der EU AI Act überhaupt?

Der EU AI Act (offiziell: Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz, das Künstliche Intelligenz reguliert. Er verfolgt einen risikobasierten Ansatz: Je größer das Risiko eines KI-Systems für Grundrechte, Gesundheit oder Sicherheit, desto strenger die Pflichten. Das Gesetz gilt EU-weit direkt, Du brauchst also keine nationale Umsetzung abzuwarten.

Wichtig: Der AI Act unterscheidet zwischen Anbietern (wer KI entwickelt und in Verkehr bringt) und Betreibern (wer KI im eigenen Unternehmen nutzt). Für die meisten Mittelständler bist Du Betreiber — und damit gelten für Dich deutlich leichtere Pflichten als für einen KI-Hersteller.

Die vier Risikoklassen

Der AI Act teilt KI-Systeme in vier Stufen ein:

1. Unzulässiges Risiko (verboten)

Seit 2. Februar 2025 komplett verboten: Social Scoring durch Behörden, manipulative Systeme, die gezielt Schwächen ausnutzen, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (mit engen Ausnahmen) und Emotionserkennung am Arbeitsplatz oder in Schulen. Für die meisten Unternehmen ist das nicht relevant — aber schau einmal genau hin, ob Du keine Tools nutzt, die hier hineinfallen.

2. Hohes Risiko

Hier wird es für viele Mittelständler interessant. Hochrisiko-KI liegt vor, wenn sie in kritischen Bereichen eingesetzt wird: Personalauswahl und Bewerbermanagement, Kreditwürdigkeitsprüfung, Zugang zu Bildung, kritische Infrastruktur, medizinische Anwendungen. Wer hier ein KI-System einsetzt, muss umfangreiche Pflichten erfüllen: Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Protokollierung. Ab August 2026 gelten die Kernpflichten, ab August 2027 vollständig.

3. Begrenztes Risiko

Das trifft die meisten alltäglichen KI-Anwendungen: Chatbots, KI-generierte Inhalte, Deepfakes. Hier gelten vor allem Transparenzpflichten. Nutzer müssen erkennen können, dass sie mit einer Maschine sprechen oder einen KI-generierten Text lesen. Praktisch heißt das: Wenn Du einen Chatbot auf Deiner Website einsetzt, musst Du das kennzeichnen.

4. Minimales Risiko

Spamfilter, Rechtschreibprüfung, KI in Videospielen — darauf entfällt der Großteil der KI-Anwendungen. Hier gibt es keine spezifischen Pflichten aus dem AI Act.

Die wichtigste Pflicht für fast alle: KI-Kompetenz (Artikel 4)

Seit 2. Februar 2025 gilt Artikel 4 — und der betrifft praktisch jedes Unternehmen, das KI einsetzt, egal in welcher Risikoklasse. Der Wortlaut ist einfach: Du musst sicherstellen, dass Deine Mitarbeiter, die mit KI arbeiten, über ausreichende KI-Kompetenz verfügen.

Was heißt das konkret? Es gibt keinen festen Katalog, aber der Grundgedanke ist klar: Wer KI bedient, muss verstehen, was das System tut, wo seine Grenzen liegen, welche Daten er wie eingeben darf und welche Risiken er erkennen muss. Für die meisten KMU reicht eine interne Schulung, die folgende Punkte abdeckt:

  • Grundverständnis: Wie funktioniert generative KI, was ist ein Halluzinations-Risiko
  • DSGVO und KI: Welche Daten darfst Du eingeben, welche nicht
  • Eigene KI-Tools im Unternehmen: Was darf wofür genutzt werden
  • Ergebnis-Kontrolle: Vier-Augen-Prinzip, nie blind übernehmen

Wir helfen Dir gerne dabei, so ein Schulungsformat aufzusetzen — siehe unsere KI-Beratung.

Konkrete To-dos für Dein Unternehmen

Statt Panik jetzt einmal Butter bei die Fische. Das sind die Schritte, die wir unseren Kunden empfehlen:

  1. KI-Inventur machen. Welche KI-Tools nutzt Ihr aktuell? ChatGPT, Copilot, DeepL Write, Grammarly, Übersetzungs-Plugins? Oft sind das mehr als gedacht.
  2. Risikoklasse zuordnen. Für jedes Tool prüfen: Ist das minimal, begrenzt oder hoch? In 95 Prozent der Fälle landest Du bei minimal oder begrenzt.
  3. Schulung aufsetzen. Kurze interne Schulung für alle Mitarbeiter, die KI nutzen. Dokumentiert in einer Policy.
  4. KI-Richtlinie schreiben. Ein bis zwei Seiten, die klarmachen, was im Unternehmen erlaubt ist und was nicht. Keine kostenlosen ChatGPT-Accounts für Kundendaten, keine Eingabe personenbezogener Daten ohne Freigabe.
  5. Transparenz herstellen. Wenn Du Chatbots oder KI-generierte Inhalte nutzt, kennzeichne sie.
  6. Termine im Kalender. August 2026 (Kernpflichten Hochrisiko) und August 2027 (Vollanwendung) im Auge behalten.

Mehr zum Thema findest Du auch in unserem EU AI Act Überblick.

Häufige Fragen

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Die KI-Verordnung gilt grundsätzlich für alle Unternehmen, die KI-Systeme in der EU anbieten oder betreiben — unabhängig von der Größe. Es gibt einige Erleichterungen für kleine Betriebe bei Dokumentationspflichten, aber die Kernregeln, insbesondere die KI-Kompetenzpflicht, treffen auch den Einzelunternehmer.

Darf ich ChatGPT im Unternehmen noch nutzen?

Ja, ChatGPT fällt in die Kategorie „begrenztes Risiko” und darf weiterhin eingesetzt werden. Du musst aber sicherstellen, dass Mitarbeiter das Tool sachgerecht nutzen (Stichwort KI-Kompetenz), und Du musst die DSGVO im Auge behalten. Details dazu findest Du in unserem Beitrag zu ChatGPT DSGVO-konform einsetzen.

Wie hoch sind die Bußgelder bei Verstößen?

Die Strafen sind spürbar: Bei Verstößen gegen verbotene KI-Praktiken bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Bei Verstößen gegen Hochrisiko-Pflichten bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes. Für normale Transparenz-Verstöße geringere Beträge. Für die meisten KMU ist das Risiko finanziell nicht existenzbedrohend — aber Reputationsschaden und Abmahnungen solltest Du nicht unterschätzen.

Brauche ich einen KI-Beauftragten?

Der AI Act schreibt keinen eigenen KI-Beauftragten vor. In der Praxis ist es aber sinnvoll, die Rolle beim Datenschutzbeauftragten oder der IT-Leitung anzusiedeln — jemand, der den Überblick über eingesetzte KI-Tools behält.

Wie unterscheide ich Anbieter und Betreiber?

Anbieter ist, wer ein KI-System entwickelt oder unter eigenem Namen auf den Markt bringt. Betreiber ist, wer ein bestehendes KI-System im eigenen Unternehmen nutzt. Die meisten Mittelständler sind Betreiber — und damit gelten für sie vor allem Transparenz- und Kompetenzpflichten, nicht die deutlich umfangreicheren Hersteller-Pflichten. Wichtig: Baust Du ein fertiges Modell wie GPT-4 in ein eigenes Produkt ein und vertreibst es unter Deinem Namen, kannst Du plötzlich zum Anbieter werden.

Fazit

Der EU AI Act ist kein Grund für Panik, aber auch kein Thema zum Aussitzen. Mit einer KI-Inventur, einer klaren Richtlinie und einer kurzen Mitarbeiter-Schulung hast Du die wichtigsten Pflichten abgedeckt — und bist zugleich deutlich besser aufgestellt als der Durchschnitt des deutschen Mittelstands. Unser Rat: Handle jetzt, in kleinen, konkreten Schritten. Wir beraten Dich gerne dabei — ein kostenloses Erstgespräch bekommst Du über unser Kontaktformular.

Dieser Beitrag ist keine Rechtsberatung. Für verbindliche Auskünfte zu Deinem konkreten Fall wende Dich bitte an einen Fachanwalt oder eine spezialisierte Rechtsberatung.

Beitrag teilen
Thorsten Heß — Gründer MOLOTOW Web Development

Über den Autor

Thorsten Heß

Gründer · MOLOTOW Web Development

Seit über 20 Jahren beschäftige ich mich mit dem Web — von der ersten handgeschriebenen HTML-Seite bis zu komplexen KI-gestützten Plattformen. Bei MOLOTOW Web Development in Lahr entwickeln wir für kleine wie für mittelständische Unternehmen Lösungen, die nicht nur gut aussehen, sondern auch nach Jahren noch wartbar sind. Seit 2024 ergänzen wir unser Portfolio um zertifizierte KI-Beratung nach dem EU AI Act. Wenn Du eine Idee, ein Problem oder nur eine kurze Frage hast — schreib uns.

Kontakt aufnehmen Alle Blog-Beiträge

Verwandte Beiträge

KI-Compliance-Checkliste 2025 — DSGVO und EU AI Act zusammen denken
Datenschutz & Recht

KI-Compliance-Checkliste 2025 — DSGVO und EU AI Act zusammen denken
ePrivacy und Tracking im Online-Shop — was nach dem Cookie-Banner-Aus erlaubt bleibt
Datenschutz & Recht

ePrivacy und Tracking im Online-Shop — was nach dem Cookie-Banner-Aus erlaubt bleibt
Cookie-Banner 2025 — was die aktuelle Rechtslage für Dich ändert
Datenschutz & Recht

Cookie-Banner 2025 — was die aktuelle Rechtslage für Dich ändert
Lieber direkt? +49 7821 509 4500 mail@molotow-web.com