EU AI Act: Ist mein Unternehmen betroffen?
Der EU AI Act gilt gestaffelt. Was kleine und mittlere Unternehmen wissen müssen, welche Pflichten greifen und warum Panik der falsche Ratgeber ist.

Der EU AI Act sorgt für Verunsicherung im Mittelstand. Viele fragen sich, ob sie jetzt ein Bürokratiemonster fürchten müssen, nur weil sie ein bisschen automatisieren. Die kurze Antwort: für die allermeisten Anwendungen im Alltag ist die Lage entspannter, als die Schlagzeilen vermuten lassen.
Was der EU AI Act ist
Der AI Act ist die europäische Verordnung, die den Einsatz von KI nach Risiko reguliert. Er gilt nicht auf einen Schlag, sondern gestaffelt über mehrere Stichtage. Je höher das Risiko einer Anwendung für Menschen, desto strenger die Pflichten. Das ist der ganze Grundgedanke.
Die vier Risikoklassen
Der AI Act ordnet Anwendungen grob in vier Stufen ein:
- Verboten: KI, die etwa Menschen manipuliert oder sozial bewertet. Für normale Betriebe kein Thema.
- Hochrisiko: KI in sensiblen Bereichen wie Personalauswahl oder kritischer Infrastruktur. Hier gelten strenge Pflichten.
- Begrenztes Risiko: etwa Chatbots. Es gilt vor allem eine Transparenzpflicht, also der Hinweis, dass man mit KI spricht.
- Minimales Risiko: der Großteil der Automatisierung im Alltag, von Rechnungsverarbeitung bis Reporting. Praktisch keine besonderen Pflichten.
Die meisten Automatisierungen im Mittelstand fallen in die Klasse mit minimalem Risiko. Aufwand entsteht vor allem dort, wo KI über Menschen entscheidet.
Wann es für Sie konkret wird
Relevant wird der AI Act für Sie, wenn KI Entscheidungen über Menschen trifft oder vorbereitet, etwa bei Bewerbungen, Kreditwürdigkeit oder im Zugang zu wichtigen Leistungen. Wer dagegen Belege verbucht, Berichte erstellt oder interne Fragen beantwortet, bewegt sich fast immer im unkritischen Bereich.
Was Sie jetzt sinnvollerweise tun
Panik ist der falsche Ratgeber, Ignorieren aber auch. Sinnvoll ist eine einfache Bestandsaufnahme: Wo setzen wir KI ein, und in welche Risikoklasse fällt das? Diese Übersicht schafft Klarheit und ist die Basis, falls eine Anwendung doch strengere Pflichten auslöst. Konkret reicht eine kurze Liste aller KI-Anwendungen im Haus, je mit Einsatzzweck und Risikoklasse. Diese halbe Seite ist im Zweifel mehr wert als jede vorsorgliche Aufregung, weil sie schwarz auf weiß zeigt, wo wirklich Handlungsbedarf besteht und wo nicht.
Beim Einordnen und Vorbereiten helfen wir im Rahmen unserer KI-Beratung. Dieser Beitrag ist eine Orientierung, keine Rechtsberatung: Die verbindliche Bewertung im Einzelfall gehört in fachkundige Hände.
So ordnen Sie eine Anwendung praktisch ein
Die Einordnung ist weniger kompliziert, als sie klingt. Nehmen Sie einen Agenten, der eingehende Rechnungen ausliest und verbucht: Er entscheidet nicht über Menschen, also fällt er in die Klasse mit minimalem Risiko, ganz ohne besondere Pflichten. Ein Chatbot auf Ihrer Website fällt in das begrenzte Risiko, hier genügt der Hinweis, dass man mit einem Assistenten spricht. Erst ein System, das Bewerbungen vorsortiert, landet im Hochrisiko-Bereich mit echten Anforderungen. Dasselbe Werkzeug, drei Einsatzfälle, drei Pflichtenstufen.
Transparenz ist die häufigste Pflicht
Für die meisten Betriebe läuft es auf eine einzige praktische Pflicht hinaus: offenlegen, wo KI im Spiel ist. Wer einen Chatbot oder einen Voice-Agenten einsetzt, weist darauf hin, dass es eine KI ist. Diese Transparenz ist schnell umgesetzt und in aller Regel die ganze Hürde.
Anbieter oder Betreiber: Welche Rolle Sie haben
Der AI Act unterscheidet, ob Sie eine KI selbst entwickeln und in Verkehr bringen oder ob Sie eine fertige KI im eigenen Betrieb einsetzen. Für den Mittelstand ist fast immer die zweite Rolle einschlägig: Sie sind Betreiber, nicht Anbieter. Das ist wichtig, weil die strengsten Pflichten beim Anbieter liegen, während für den Betreiber überschaubarere Anforderungen gelten, vor allem der bestimmungsgemäße Einsatz und die Transparenz gegenüber den Menschen. Praktisch heißt Dokumentation für Sie nicht, ein Modell technisch zu zertifizieren, sondern festzuhalten, welche KI Sie wofür einsetzen, welche Daten hineingehen und wer im Haus dafür zuständig ist. Diese kurze Übersicht ist im Zweifel Ihr wichtigster Beleg, dass Sie die KI bewusst und kontrolliert einsetzen, und sie ist mit überschaubarem Aufwand zu führen.
Häufige Fragen
Ab wann gilt der EU AI Act?
Der AI Act gilt gestaffelt über mehrere Stichtage zwischen 2025 und 2027. Erste Verbote greifen bereits, weitere Pflichten kommen schrittweise hinzu. Welcher Stichtag für Sie zählt, hängt von der Anwendung ab.
Ist mein KMU vom EU AI Act betroffen?
Betroffen im Sinne strenger Pflichten sind Sie vor allem, wenn Sie Hochrisiko-KI einsetzen, etwa zur Personalauswahl. Reine Prozessautomatisierung fällt meist in die unkritische Klasse mit minimalen Anforderungen.
Brauche ich jetzt einen Anwalt?
Für eine erste Einordnung reicht eine saubere Bestandsaufnahme Ihrer KI-Anwendungen. Wird eine davon als Hochrisiko eingestuft, ist juristischer Rat sinnvoll. Wir helfen, den Überblick herzustellen.
NordFlux UG (haftungsbeschränkt)
NordFlux baut Organisationen digitale Mitarbeiter: Automatisierungen und KI-Agenten, die wiederkehrende Arbeit abnehmen. Sie behalten die Kontrolle.
Unsicher, ob der AI Act Sie betrifft?
In einer kostenlosen Erstanalyse ordnen wir Ihre KI-Anwendungen den Risikoklassen zu, damit Sie wissen, wo Handlungsbedarf besteht und wo nicht.
- Ein fester Ansprechpartner, kein Callcenter
- Erste Ergebnisse in rund 30 Tagen
- Deutsche Datenhoheit, AVV liegt vor