KI in der Personalauswahl, in der Kundenbewertung, in der Kommunikation nach außen: das passiert in deutschen Unternehmen täglich. Meistens ohne dass jemand geprüft hat, was rechtlich gilt. Irgendwann kommt eine Beschwerde. Oder eine behördliche Anfrage. Und plötzlich hat die Personalabteilung ein Problem, das niemand auf dem Schirm hatte.
Das passiert nicht, weil Unternehmen böse Absichten haben. Es passiert, weil das Gesetz kaum bekannt ist.
Was der EU AI Act wirklich ist
Der EU AI Act, offiziell Verordnung (EU) 2024/1689, ist das weltweit erste umfassende KI-Gesetz. Er gilt für alle Unternehmen, die in der EU tätig sind oder deren Produkte und Dienstleistungen an EU-Bürger adressiert sind. Also: für nahezu jeden deutschen Betrieb, der KI einsetzt.
Das Gesetz ist kein Verbot. Es ist eine Risikoampel. Je höher das potenzielle Risiko eines KI-Systems, desto strenger die Auflagen. Das klingt vernünftig, und ist es auch. Aber es bedeutet, dass du zunächst wissen musst, welche KI-Systeme du überhaupt einsetzt und in welche Kategorie sie fallen.
Die Fristen: was wann gilt
Seit Februar 2025: Die verbotenen KI-Praktiken sind in Kraft. Social Scoring durch Behörden, Manipulation durch unterschwellige Techniken, biometrische Echtzeitüberwachung im öffentlichen Raum. Für die meisten Mittelständler irrelevant, aber der Startschuss war.
Seit August 2025: Die Pflichten für KI-Modelle allgemeiner Verwendung gelten. Das betrifft konkret die Tools, die dein Team wahrscheinlich täglich nutzt: ChatGPT, Claude, Gemini, Copilot. Wer diese Tools im Unternehmen einsetzt, muss sicherstellen, dass Mitarbeitende KI-Inhalte als solche erkennen und bewerten können. Das ist keine Empfehlung. Es ist gesetzliche Pflicht.
Ab August 2026: Die strengsten Anforderungen für Hochrisiko-Systeme treten in Kraft. Dazu gehören KI-Systeme in der Personalentscheidung, Kreditvergabe, medizinischen Diagnostik, kritischen Infrastrukturen und Bildung. Hier wird es für viele Unternehmen konkret ernst.
Was ist Hochrisiko, und betrifft das dich?
Hochrisiko klingt nach Großkonzern und Militärtechnologie. Das ist falsch. Hochrisiko bedeutet: das System hat erhebliche Auswirkungen auf das Leben von Menschen.
Das trifft dich, wenn du KI nutzt für:
- Bewerbungsauswahl oder Personalbewertung (auch als “Unterstützung”)
- Kreditwürdigkeitsprüfung oder Bonitätsbewertung
- Klassifizierung von Kunden für Versicherungen oder Verträge
- Systeme, die direkt mit Bildungsbewertung zu tun haben
Wenn du in einem dieser Bereiche ein KI-Tool als Hilfsmittel nutzt, auch nur als Ergänzung zur menschlichen Entscheidung, bist du betroffen. Die Dokumentationspflicht, die Transparenzpflicht gegenüber Betroffenen, die technische Risikobewertung: das alles greift dann ab August 2026.
Was wirklich droht
Die Bußgelder des EU AI Act sind empfindlich. 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes für die schwersten Verstöße. Das ist die Obergrenze. Für KMU gibt es Verhältnismäßigkeitsregeln, aber keine Freifahrtsscheine.
Wichtiger als die maximale Bußgeldhöhe: Regulierungsbehörden werden aktiv. Die deutschen Datenschutzbehörden haben bereits angekündigt, die KI-Aufsicht ernst zu nehmen. Wer keine KI-Policy hat, wer seine Tools nicht kennt, wer keine Schulungen nachweisen kann, der steht bei einer Prüfung mit leeren Händen da.
Und das setzt nicht einmal eine Beschwerde voraus. Proaktive Audits kommen.
Drei Schritte, die jetzt zählen
Schritt 1: KI-Bestandsaufnahme. Welche KI-Tools nutzt dein Unternehmen, offiziell und inoffiziell? Du kannst nur regulieren und dokumentieren, was du kennst. Diese Liste sollte eine verantwortliche Person führen. Sie muss nicht vollständig sein, sie muss existieren und gepflegt werden.
Schritt 2: KI-Policy erstellen. Keine 30-seitige Compliance-Bibel. Zwei bis drei Seiten reichen. Sie müssen klar regeln: Was ist erlaubt? Welche Daten dürfen nicht eingespeist werden? Was passiert mit KI-generierten Inhalten, die nach außen gehen? Wer ist Ansprechpartner bei Fragen?
Diese Policy ist gleichzeitig dein Nachweis für “angemessene KI-Governance”, falls es zu einer behördlichen Prüfung kommt.
Schritt 3: Mitarbeitende schulen. Der EU AI Act fordert explizit “ausreichende KI-Kompetenz” für alle, die KI-Systeme nutzen. Das ist keine Empfehlung, es ist gesetzliche Pflicht. Was das konkret bedeutet: Deine Leute müssen verstehen, was KI kann und was nicht, wie man Ergebnisse kritisch bewertet, und wann ein KI-Output nicht einfach übernommen werden darf.
Das ist keine Hochschulausbildung. Aber es ist mehr als nichts.
Was KMU entlastet und was nicht
Kleine und mittlere Unternehmen haben im EU AI Act einige Erleichterungen. Kostenloser Zugang zu regulatorischen Sandboxen, verhältnismäßige Bußgelder, vereinfachte Dokumentationsanforderungen in manchen Bereichen.
Was sie nicht entlastet: die Grundpflichten. Die KI-Policy muss her. Die Schulungen müssen stattfinden. Die Hochrisiko-Prüfung muss gemacht werden, wenn die Tools es erfordern.
Unwissenheit schützt vor Strafe nicht. Aber frühzeitiges Handeln schützt vor Panik und vor den echten Kosten einer nachträglichen Compliance.
Du willst wissen, wo dein Unternehmen beim EU AI Act wirklich steht? Im Erstgespräch gehen wir das gemeinsam durch: pragmatisch, ohne Panikmache, mit konkreten nächsten Schritten.
Fragen? Einfach melden — oder direkt ein kurzes Gespräch buchen.
Kurzes Gespräch buchen →