Was bedeutet der EU AI Act für mein Unternehmen?

Der EU AI Act stuft KI-Systeme nach Risiko ein. Für die meisten Mittelständler fallen die eingesetzten KI-Workflows in die Kategorien minimal oder begrenzt. Hier gelten kaum oder nur leichte Transparenzpflichten. Streng reguliert wird KI nur, wenn sie über Menschen entscheidet, etwa bei Bewerberauswahl oder Kreditwürdigkeit (Hochrisiko). Entscheidend ist also nicht, ob Sie KI nutzen, sondern wofür.

Ab wann gilt der EU AI Act?

Der EU AI Act ist am 1. August 2024 in Kraft getreten und gilt gestaffelt. Seit 2. Februar 2025 sind verbotene KI-Praktiken untersagt, seit 2. August 2025 gelten Pflichten für KI-Basismodelle (GPAI). Die Pflichten für Hochrisiko-KI greifen nach Originalfassung 2026 bzw. 2027. Diese Fristen werden über das EU-Digital-Omnibus-Paket derzeit möglicherweise nach hinten verschoben; bis zur formalen Verabschiedung gelten die Originaldaten.

Ist der Einsatz von KI DSGVO-konform?

Ja, wenn drei Bedingungen erfüllt sind: Es gibt eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten (z. B. berechtigtes Interesse oder Vertragserfüllung), es werden nur die nötigen Daten verarbeitet (Datenminimierung), und die Daten bleiben in der EU oder es existiert eine zulässige Übermittlungsgrundlage. KI an sich ist nicht DSGVO-widrig. Die konkrete Datenverarbeitung muss es einhalten.

Welche KI-Systeme gelten als Hochrisiko?

Als Hochrisiko gelten KI-Systeme, die maßgeblich über Menschen entscheiden: Bewerberauswahl und Personalentscheidungen, Kreditwürdigkeitsprüfung, Zugang zu Bildung, biometrische Identifikation, kritische Infrastruktur sowie Anwendungen in Strafverfolgung und Migration. Für diese gelten strenge Pflichten wie Risikomanagement, Datenqualität, Protokollierung und menschliche Aufsicht.

Strategie

EU AI Act und DSGVO: Was Geschäftsführer im Mittelstand 2026 wirklich beachten müssen

EU AI Act und DSGVO sind kein Showstopper für KI im Mittelstand, sondern Teil einer sauberen Einführung. Risikoklassen, Fristen und DSGVO-Grundlagen, pragmatisch erklärt für Geschäftsführer.

Marc Thiel26. Mai 20266 Min. Lesezeit

„Dürfen wir das überhaupt noch?" ist 2026 eine der häufigsten Fragen, die Geschäftsführer zu KI stellen. Die ehrliche Antwort lautet meistens: Ja, wenn Sie wissen, in welche Schublade Ihr Anwendungsfall fällt.

Regulatorik ist kein Grund, KI aufzuschieben, aber auch kein Detail, das man ignoriert. Sie ist Teil einer sauberen Einführung: erst verstehen, dann gezielt einbauen. Wer das in der richtigen Reihenfolge macht, spart sich Angst, Nachbesserung und teure Fehlentscheidungen.

Die vier Risikoklassen des EU AI Act

Der EU AI Act reguliert nicht „KI" pauschal, sondern unterscheidet nach dem Risiko des konkreten Einsatzes. Vier Klassen, von oben nach unten:

Verboten (unannehmbares Risiko): Praktiken, die seit dem 2. Februar 2025 untersagt sind, etwa Social Scoring, manipulative Systeme, die das Verhalten gezielt unterlaufen, oder Emotionserkennung am Arbeitsplatz. Für den normalen Mittelstandsalltag praktisch nie relevant, aber gut zu wissen: Mitarbeiterüberwachung per Emotionsanalyse wäre hier ein Tabu.

Hochrisiko: KI, die maßgeblich über Menschen entscheidet. Beispiele aus dem Mittelstand: ein System, das Bewerbungen vorsortiert oder bewertet, eine automatisierte Kreditwürdigkeitsprüfung, KI im Zugang zu Bildung. Hier gelten die strengsten Pflichten: Risikomanagement, dokumentierte Datenqualität, Protokollierung, menschliche Aufsicht. Wer hier landet, braucht ein Konzept, kein Bauchgefühl.

Begrenztes Risiko (Transparenzpflicht): KI, mit der Menschen direkt interagieren, ohne dass die Entscheidung über sie fällt. Der klassische Fall: ein Chatbot auf Ihrer Website oder KI-generierte Inhalte. Die Pflicht ist überschaubar: Sie müssen kenntlich machen, dass eine KI im Spiel ist. Mehr nicht.

Minimales Risiko: Der mit Abstand größte Teil des Mittelstands-Einsatzes. KI, die im Hintergrund Routine übernimmt: Angebotsentwürfe vorbereiten, E-Mails vorsortieren, Reports konsolidieren, Daten zwischen Systemen bewegen. Hier gibt es keine besonderen Pflichten aus dem AI Act. Die meisten sinnvollen KI-Workflows fallen genau hierhin.

Die wichtigste Einsicht für Geschäftsführer: Nicht der Einsatz von KI ist reguliert, sondern der Zweck. Dieselbe Technologie kann minimal oder hochriskant sein. Es kommt darauf an, worüber sie entscheidet.

Die Fristen, kurz und verifiziert

Der EU AI Act ist am 1. August 2024 in Kraft getreten und gilt gestaffelt:

Datum	Was gilt
1. August 2024	EU AI Act tritt in Kraft
2. Februar 2025	Verbotene KI-Praktiken untersagt; KI-Kompetenzpflicht für Personal
2. August 2025	Pflichten für KI-Basismodelle (GPAI)
2. August 2026	Hochrisiko-Pflichten (Annex III) nach Originalfassung
2. August 2027	Hochrisiko-KI in regulierten Produkten (Annex I)

Wichtige Einordnung: Diese Fristen stehen unter Vorbehalt. Die EU arbeitet mit dem sogenannten Digital-Omnibus-Paket an einer Vereinfachung und möglichen Verschiebung der Hochrisiko-Pflichten nach hinten. Solange eine solche Änderung nicht formal verabschiedet und im EU-Amtsblatt veröffentlicht ist, gelten die Originaldaten in der Tabelle oben. Prüfen Sie vor verbindlichen Entscheidungen den aktuellen Stand. Das hier ist Einordnung, keine Rechtsberatung, und die konkrete Einstufung Ihres Falls gehört in fachkundige Hände.

Die DSGVO-Schnittstelle: oft die größere Baustelle

Für die meisten Mittelständler ist nicht der AI Act die eigentliche Hürde, sondern die DSGVO. Denn sobald KI personenbezogene Daten verarbeitet (Kundennamen, E-Mails, Bewerberdaten), greift sie. Drei Punkte entscheiden, ob Ihr Einsatz sauber ist:

Rechtsgrundlage. Jede Verarbeitung personenbezogener Daten braucht eine Grundlage, meist berechtigtes Interesse, Vertragserfüllung oder Einwilligung. Ein KI-Workflow, der Kundenanfragen vorsortiert, läuft in der Regel über Vertragserfüllung. Wer das nicht sauber bestimmt, hat ein Problem, völlig unabhängig vom AI Act.

Datenminimierung. Eine KI darf nur die Daten sehen, die sie für ihre Aufgabe braucht. Es ist verlockend, „alles" in ein System zu kippen, aber genau das ist der Fehler. Saubere KI-Workflows arbeiten mit dem nötigen Minimum, nicht mit dem maximal Verfügbaren.

EU-Hosting und keine Drittland-Trainings ohne Grundlage. Wo liegen die Daten, und wo werden sie verarbeitet? Bei uns ist die Antwort eindeutig: Daten bleiben DSGVO-konform in der EU, etwa über Supabase in Frankfurt. Personenbezogene Daten landen nicht ohne zulässige Grundlage in einem Drittland-Modelltraining. Das ist kein Nice-to-have, sondern die Voraussetzung dafür, dass der Einsatz überhaupt tragfähig ist.

Die gute Nachricht: Wer KI von Anfang an mit EU-Hosting und klarer Rechtsgrundlage aufsetzt, hat die DSGVO-Frage weitgehend gelöst, bevor sie zum Problem wird. Diese Reihenfolge (erst die Grundlage, dann der Workflow) ist auch Teil eines realistischen Zeitplans für die KI-Einführung im Mittelstand.

Was Geschäftsführer jetzt tun sollten

Sie brauchen keine Rechtsabteilung, um die ersten Schritte zu gehen. Sie brauchen Klarheit:

Bestandsaufnahme: Wo setzen Sie heute schon KI ein, auch versteckt, etwa in Tools, die KI-Funktionen mitbringen? Ohne diese Liste planen Sie im Blindflug.
Risikoklasse bestimmen: Ordnen Sie jeden Einsatz grob einer der vier Klassen zu. Entscheidet die KI über Menschen (Hochrisiko) oder unterstützt sie nur Routine (minimal)? Diese eine Frage klärt die meisten Fälle.
DSGVO-Grundlage prüfen: Werden personenbezogene Daten verarbeitet? Wenn ja: Gibt es eine Rechtsgrundlage, bleibt es beim nötigen Minimum, liegen die Daten in der EU?
KI-Kompetenz im Team: Seit Februar 2025 verlangt der AI Act ein Mindestmaß an KI-Kompetenz beim Personal, das mit KI arbeitet. Eine kurze Schulung reicht oft, sie sollte aber stattfinden.
Dokumentieren: Halten Sie Ihre Einordnung schriftlich fest. Nicht für die Schublade, sondern damit Sie bei Rückfragen handlungsfähig sind.

Diese fünf Schritte kosten wenig und nehmen die meiste Unsicherheit. In aller Regel zeigt sich: Der geplante KI-Einsatz ist unkritisch, und der Weg frei.

Regulatorik gehört in die Planung, nicht ans Ende

Der häufigste Fehler ist nicht, die Regeln zu verletzen. Es ist, KI aus Angst vor den Regeln gar nicht erst anzugehen. Dabei sind die meisten Mittelstands-Anwendungsfälle regulatorisch unkritisch. Die Hürde ist gefühlt, nicht real.

Genau deshalb ist Regulatorik bei uns kein Anhang, sondern Teil der Analyse von Anfang an. Unser KI Impact Audit (1.500 €, Report 48 Stunden nach dem Interview) liefert nicht nur drei konkrete KI-Hebel mit Stunden- und Euro-Schätzung, sondern enthält auch einen Regulatorik-Block mit DSGVO- und EU-AI-Act-Einordnung für genau diese Hebel. So wissen Sie vor der ersten Investition, ob der Weg frei ist, und nicht erst, wenn das Geld schon ausgegeben ist.

KI Impact Audit buchen →

Marc Thiel

Co-Founder · Finance & Business Design

Co-Founder von HanseImpact. Agile Coach und Projektleiter (SAFe Program Consultant) mit über zwölf Jahren Transformations-Mandaten in großen Konzernen wie Volkswagen, CARIAD, Signal Iduna und Otto. Kaufmännische Ausbildung von der Deutschen Bank, Gastvorlesung an der FH Münster. Berät DACH-Mittelstand zu KI-Workflows und Automatisierung.

LinkedIn →

EU AI Act und DSGVO: Was Geschäftsführer im Mittelstand 2026 wirklich beachten müssen

Die vier Risikoklassen des EU AI Act

Die Fristen, kurz und verifiziert

Die DSGVO-Schnittstelle: oft die größere Baustelle

Was Geschäftsführer jetzt tun sollten

Regulatorik gehört in die Planung, nicht ans Ende

Verwandte Einblicke

Die 5 häufigsten KI-Projekt-Fehler im Mittelstand, und wie Sie sie vermeiden

Wie lange dauert eine KI-Einführung wirklich? Ein realistischer Zeitplan für den Mittelstand