Die wichtigste KI-Regulierung Europas - übersetzt in eine Sprache, die ein Mittelständler in einer halben Stunde versteht. Sechs Punkte zu Risikoklassen, Pflichten, Fristen und dem, was du jetzt tun solltest.
Der EU AI Act ist seit 2024 in Kraft und wird stufenweise scharfgestellt. Er trifft dich, wenn du KI baust - aber auch, wenn du KI nur einsetzt.
Diese Seite ist die schnelle Orientierung. Sie ersetzt keine juristische Beratung - aber sie hilft dir, einzuordnen, ob du dich tiefer damit beschäftigen musst. Hinweise zum Rechtsstand: Mai 2026. Da das Gesetz stufenweise wirksam wird, ändert sich der genaue Stand der Pflichten in den kommenden Jahren.
Der AI Act ist eine europäische Verordnung - sie gilt in allen EU-Mitgliedsstaaten direkt, ohne dass Deutschland eigene Gesetze daraus machen muss. Sie regelt zwei Dinge: Welche KI-Anwendungen in Europa verboten sind, und welche Pflichten Anbieter und Nutzer bestimmter KI-Systeme haben.
Der zentrale Gedanke ist eine Risikoabstufung: Je gefährlicher eine KI ist, desto strenger die Regeln. Eine Bewerbungssoftware, die über Lebensläufe vorsortiert, gilt als hochriskant - eine E-Mail-Sortier-KI dagegen kaum. Ziel ist nicht, KI zu verbieten, sondern sie kontrollierbar zu machen.
Der AI Act unterscheidet vier Stufen. Die meisten Mittelstands-Anwendungen landen in den unteren zwei.
Verboten. Social-Scoring-Systeme, manipulative KI, biometrische Massenüberwachung in Echtzeit. Für den normalen Mittelständler nicht relevant - diese Anwendungen darf in Europa niemand betreiben.
Hochrisiko. KI in Personalauswahl, Kreditwürdigkeit, kritischen Infrastrukturen, Bildung, Strafverfolgung oder als Sicherheits-Komponente in Produkten. Hier gelten strenge Pflichten: Dokumentation, Risikobewertung, menschliche Aufsicht, Konformitätsprüfung. Wenn du eine solche KI bauen oder in deinem Unternehmen einsetzen willst, brauchst du spezialisierte Beratung.
Begrenztes Risiko. Chatbots, KI-generierte Inhalte, Emotionserkennung. Hier gilt vor allem Transparenzpflicht: Nutzer müssen erkennen können, dass sie mit einer KI sprechen oder dass ein Inhalt KI-erzeugt ist.
Minimales Risiko. Der allergrößte Teil der KI-Anwendungen: Spam-Filter, Empfehlungs-Algorithmen, Übersetzungs-Tools, KI-Assistenten für Mitarbeiter. Hier gibt es keine besonderen Pflichten - die DSGVO und die normalen Sorgfaltsregeln gelten weiter, mehr aber nicht.
Wenn du KI einkaufst (zum Beispiel ChatGPT, Copilot, einen KI-Assistenten), ist deine Hauptpflicht: deine Mitarbeiter sollten verstehen, was sie tun. Das nennt der AI Act KI-Kompetenz - und es gilt seit Anfang 2025.
Das ist keine formale Schulungspflicht im Sinne von Zertifikaten, aber eine inhaltliche: Wer KI nutzt, sollte wissen, was sie kann, was sie nicht kann, wo Halluzinationen entstehen, was man auf keinen Fall an sie geben sollte. Eine pragmatische zweistündige Einführung pro Team reicht in den meisten Fällen aus - und sie ist sowieso eine gute Investition (siehe Mitarbeiter und KI).
Der AI Act wird stufenweise wirksam. Stand Mai 2026 sind diese Stufen bereits aktiv oder kommen:
Seit Februar 2025: Verbotene KI-Praktiken sind verboten. KI-Kompetenz-Pflicht gilt.
Seit August 2025: Pflichten für Anbieter sogenannter General Purpose AI Models (also LLMs wie GPT, Claude, Gemini). Das betrifft die großen Anbieter, nicht dich als Nutzer direkt.
Ab August 2026: Die meisten allgemeinen Regeln des AI Act gelten - inklusive der Pflichten für begrenztes Risiko (Kennzeichnung von KI-Inhalten, Chatbot-Hinweise).
Ab August 2027: Volle Geltung der Hochrisiko-Regeln, auch für KI-Systeme, die in bereits regulierten Produkten verbaut sind.
Die Strafen sind beachtlich. Wer verbotene KI-Praktiken betreibt, kann mit bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes belegt werden - je nachdem, was höher ist.
Für Verstöße bei Hochrisiko-Systemen gelten geringere, aber immer noch substanzielle Beträge - bis zu 15 Millionen Euro oder drei Prozent des Umsatzes. Für falsche oder unvollständige Informationen an Aufsichtsbehörden bis 7,5 Millionen oder anderthalb Prozent. Für die meisten Mittelständler sind diese Größenordnungen abschreckend genug, dass die Frage nicht "Wie verstecke ich das?" ist, sondern "Wie mache ich es richtig?".
Drei Schritte, die jeder Mittelständler 2026 gehen sollte - unabhängig davon, in welcher Risikoklasse er später landet.
Eins: Liste, welche KI-Anwendungen in deinem Betrieb überhaupt im Einsatz sind. Auch ChatGPT-Nutzung einzelner Mitarbeiter zählt. Du wirst überrascht sein, wie viel das ist.
Zwei: Klassifiziere grob: Welche dieser Anwendungen ist Hochrisiko, welche begrenztes Risiko, welche minimal? Bei Unsicherheit hilft die offizielle EU-Liste oder eine kostenlose Beratung beim BSI oder einem Digital Innovation Hub.
Drei: Sorge für die KI-Kompetenz-Pflicht. Eine Einführung für dein Team, eine kurze interne Richtlinie zu Datenarten (was darf rein, was nicht), eine Liste der erlaubten Werkzeuge. Das ist nicht aufwendig, aber unverzichtbar.
Wir prüfen bei jedem KI-Projekt zu Beginn, in welche Risikoklasse die geplante Anwendung fällt. Wenn sie als Hochrisiko einzustufen ist, sagen wir das offen - und empfehlen ein spezialisiertes Rechtsbüro, das Erfahrung mit dem AI Act hat. Hochrisiko-Projekte bauen wir nur, wenn diese Beratung lückenlos läuft.
Bei begrenztem oder minimalem Risiko sorgen wir standardmäßig für die nötigen Transparenzhinweise, Dokumentation und Übergabematerialien für deine KI-Kompetenz-Schulungen. So bleibst du compliant, ohne dass es zur eigenen Wissenschaft wird.
Der EU AI Act ist nicht das Ende der KI in Europa. Er ist der Versuch, sie unter eine Erwachsenenaufsicht zu stellen.
Für den durchschnittlichen Mittelständler sind die Pflichten weniger schlimm als die ersten Schlagzeilen suggeriert haben. Wer KI bewusst einsetzt, dokumentiert und seine Leute einweiht, hat das Wichtigste schon getan. Wer den Kopf in den Sand steckt, riskiert mehr als juristisch - er verpasst auch die Chance, KI sauber in seinen Betrieb einzubauen.
Was KI grundsätzlich ist, steht unter Was ist eigentlich KI?. Welche Begriffe in diesem Themenfeld auftauchen, steht unter KI-Glossar. Wie wir Mitarbeiter beim KI-Einsatz mitnehmen, steht unter Mitarbeiter und KI.