Du musst kein Jurist sein, um den EU AI Act zu verstehen. Aber du solltest wissen, was gilt, und vor allem: was passiert, wenn du nichts tust.
Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Er gilt für jedes Unternehmen, das in der EU tätig ist oder Kunden in der EU hat. Das bedeutet: er gilt für dich. Seit Februar 2025 sind die ersten Regelungen in Kraft, seit August 2025 gelten Pflichten für alle gängigen KI-Tools wie ChatGPT, Copilot oder Gemini, und ab August 2026 kommen die strengsten Anforderungen für Hochrisiko-Systeme.
Diese Checkliste gibt dir sieben konkrete Schritte, mit ungefährem Zeitaufwand und Hinweis, wer im Unternehmen verantwortlich sein sollte.
Schritt 1: KI-Bestandsaufnahme: wer nutzt was?
Zeitaufwand: 2–4 Stunden
Verantwortlich: Geschäftsführung oder IT-Leitung
Liste alle KI-Systeme auf, die in deinem Unternehmen eingesetzt werden, offiziell und inoffiziell. Das klingt einfacher als es ist: Neben den Tools, die ihr zentral eingekauft habt (Microsoft Copilot, Google Workspace KI-Features), gibt es fast immer eine Grauzone. Mitarbeitende, die privat ChatGPT-Accounts für die Arbeit nutzen. Abteilungen, die eigene Tools ausprobieren. KI-Funktionen in bestehender Software, die gar nicht als “KI” wahrgenommen werden.
Frag aktiv in alle Abteilungen. Nutzt ihr KI-Tools in Verkauf, HR, Buchhaltung, Kommunikation? Welche?
Ohne diese Liste weißt du nicht, wo du stehst, und kannst weder regulieren noch dokumentieren.
Schritt 2: Risikoklasse bestimmen
Zeitaufwand: 1–3 Stunden pro Tool
Verantwortlich: Geschäftsführung, ggf. mit externer Beratung
Der EU AI Act teilt KI-Systeme in vier Kategorien ein. Je nach Kategorie unterscheiden sich die Pflichten erheblich.
Verbotene KI: Manipulation durch unterschwellige Techniken, biometrische Echtzeitüberwachung, Social Scoring. Für die meisten Mittelständler irrelevant, aber wichtig zu kennen.
Hochrisiko-KI (strenge Pflichten ab August 2026): Systeme, die in Personalentscheidungen, Kreditvergabe, Bildungsbewertung oder kritischer Infrastruktur eingesetzt werden. Wenn ihr KI zur Bewerbungsauswahl oder Bonitätsprüfung nutzt, auch nur als “Unterstützung”, seid ihr hier.
Transparenzpflichtige KI (gilt seit August 2025): Chatbots, generative KI-Inhalte nach außen, KI-generierte Texte oder Bilder im Kundenverkehr. Das trifft die meisten Unternehmen.
Minimal-Risiko: Standard-Automatisierungen, Spam-Filter, einfache KI-Optimierungen. Hier sind die Anforderungen gering.
Mach diese Bewertung für jedes Tool auf deiner Liste. Im Zweifel: lieber höher einschätzen und sorgfältiger sein.
Schritt 3: KI-Policy erstellen
Zeitaufwand: 3–6 Stunden (Entwurf + Abstimmung)
Verantwortlich: Geschäftsführung, HR, ggf. Datenschutzbeauftragte/r
Eine interne Richtlinie ist das wichtigste Dokument für eure KI-Governance. Sie muss nicht perfekt sein, sie muss existieren, kommuniziert werden und praktisch anwendbar sein.
Mindest-Inhalte:
- Welche Tools sind offiziell freigegeben? Alle anderen sind bis auf weiteres nicht erlaubt.
- Welche Daten dürfen eingespeist werden? Klare Grenze: keine Kundendaten, keine personenbezogenen Daten, keine Vertragsdetails in öffentliche KI-Systeme.
- Was gilt für KI-generierte Inhalte nach außen? Kennzeichnungspflicht? Vier-Augen-Prüfung?
- Wer ist Ansprechpartner bei Fragen? Jeder muss wissen, wen er fragen kann.
Diese Policy schützt euch rechtlich und gibt eurem Team Sicherheit. Beides gleichzeitig.
Schritt 4: Mitarbeitende schulen
Zeitaufwand: 2–4 Stunden Team-Workshop
Verantwortlich: HR oder Führungskraft, ggf. externer Trainer
Der EU AI Act schreibt “ausreichende KI-Kompetenz” für alle vor, die KI-Systeme nutzen. Das ist keine Empfehlung. Das ist gesetzliche Pflicht.
Was das in der Praxis bedeutet: Eure Leute müssen KI-Ergebnisse kritisch bewerten können, die Grenzen kennen, wissen wann ein Output nicht einfach übernommen werden darf, und verstehen, welche Daten sie teilen dürfen und welche nicht.
Das ist kein Hochschulkurs. Ein strukturierter Workshop von zwei bis vier Stunden mit konkreten Beispielen aus eurem Arbeitsalltag reicht für den Einstieg. Und: Schulung dokumentieren. Wer hat wann was gelernt? Das ist später euer Nachweis.
Schritt 5: Transparenz nach außen sicherstellen
Zeitaufwand: Laufend, als fester Prozess etablieren
Verantwortlich: Marketing, Kommunikation, Vertrieb
Wenn KI-generierte Inhalte nach außen kommuniziert werden, müssen sie erkennbar sein. Das gilt seit August 2025. Newsletter, Social-Media-Beiträge, Angebote, Berichte: wenn KI wesentlich daran beteiligt war, macht das kenntlich.
“Mit KI-Unterstützung erstellt” oder “KI-generiert, menschlich geprüft” sind akzeptable Formulierungen. Was nicht geht: KI-Inhalte als rein menschlich erstellte Inhalte ausgeben, wenn das nicht der Fall ist.
Baut das als festen Schritt in euren Content-Prozess ein. Nicht als Zusatzaufgabe, sondern als Standard.
Schritt 6: Datenschutz prüfen
Zeitaufwand: 2–4 Stunden, ggf. mit DSBA/Datenschutzbeauftragtem
Verantwortlich: Datenschutzbeauftragte/r oder IT-Leitung
Überprüft, welche Daten eure KI-Tools verarbeiten. Dazu gehören: Kundendaten, Mitarbeiterdaten, Gesundheitsdaten, Finanzdaten, Vertragsinformationen.
Öffentliche KI-Systeme (ChatGPT Free, Gemini ohne Unternehmensvertrag) dürfen keine dieser Daten erhalten. Für Business- oder Enterprise-Versionen braucht ihr einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.
EU AI Act und DSGVO greifen hier eng ineinander. Wer bereits einen soliden Datenschutzprozess hat, hat hier Vorarbeit geleistet. Alle anderen: das ist der Moment, das anzugehen.
Schritt 7: Dokumentation aufbauen
Zeitaufwand: 2–3 Stunden initial, danach laufend
Verantwortlich: Geschäftsführung oder Compliance-Verantwortliche/r
Für Hochrisiko-Systeme schreibt der EU AI Act eine umfangreiche technische Dokumentation vor. Für alle anderen gilt: eine strukturierte Übersicht ist dennoch sinnvoll und schützt euch bei Prüfungen.
Was dokumentiert werden sollte:
- Welche KI-Systeme ihr nutzt und seit wann
- Welche Risikoklasse ihr ihnen zugeordnet habt
- Welche Schulungen stattgefunden haben
- Welche Datenschutzmaßnahmen getroffen wurden
Das ist keine große Bürokratie. Eine gepflegte Tabelle reicht für den Anfang.
Was passiert, wenn ihr nichts tut?
Compliance ist kein einmaliges Projekt. Sie ist ein Zustand. Und der beginnt jetzt.
Die Behörden werden aktiver. Proaktive Audits werden zunehmen. Und: Beschwerden von Bewerberinnen, Kunden oder Mitarbeitenden, die betroffen sind, werden häufiger, weil das Bewusstsein steigt.
Wer jetzt anfängt, hat die Wahl. Wer wartet, hat irgendwann nur noch die Option der nachträglichen Korrektur, unter Druck, mit Zeitkosten und im schlechtesten Fall mit einem Bußgeld.
Ihr müsst nicht sofort perfekt sein. Aber ihr müsst anfangen.
Du willst wissen, wo dein Unternehmen bei dieser Checkliste konkret steht? Im Erstgespräch gehen wir die sieben Schritte gemeinsam durch und du weißt danach, was wirklich dringend ist und was warten kann.
Fragen? Einfach melden — oder direkt ein kurzes Gespräch buchen.
Kurzes Gespräch buchen →