Wissen

Der EU AI Act – Was kleine und mittelständische Unternehmen jetzt wissen müssen

04. November 2025
16:57
von Marvin Gebicke

Seit dem 1. August 2024 ist der EU AI Act in Kraft. Das weltweit erste umfassende KI-Gesetz. Für Unternehmen, die auf KI-gestützte Prozesse setzen, bedeutet dies nicht nur eine rechtliche Herausforderung, sondern auch die Chance, sich als Vorreiter für vertrauenswürdige KI zu positionieren.

Die Europäische Union hat mit dem EU AI Act den ersten umfassenden Rechtsrahmen für den Einsatz von Künstlicher Intelligenz geschaffen. Das Ziel ist einfach zu verstehen: KI soll genutzt werden dürfen, aber in einem sicheren und nachvollziehbaren Rahmen. Für Unternehmen im Mittelstand ist das eine wichtige Entwicklung. Sie bringt Klarheit in ein Feld, das bislang oft unscharf war. Dieser Leitfaden erklärt, was der AI Act bedeutet, warum er relevant ist und wie Unternehmen sich sinnvoll vorbereiten können.

Was ist der EU AI Act?

Der EU AI Act ist ein Gesetz, das festlegt, wie KI-Systeme entwickelt, eingesetzt und überwacht werden müssen. Dahinter steht die Idee, Innovation zu ermöglichen und gleichzeitig Risiken zu begrenzen. Der Gesetzgeber orientiert sich dafür an einem einfachen Prinzip: Je mehr Einfluss eine KI auf Menschen oder wichtige Entscheidungen hat, desto strenger sind die Regeln.

Der AI Act unterscheidet vier Risikostufen (Future of Life Institute, 2024):

Verboten – Anwendungen, die Menschen schaden oder manipulieren können.
Hohes Risiko – Systeme, die wichtige Entscheidungen beeinflussen, zum Beispiel bei Bewerbungen oder Finanzierungen.
Begrenztes Risiko – vor allem Anwendungen, bei denen Menschen wissen müssen, dass sie mit einer KI interagieren.
Minimales Risiko – die große Mehrheit an KI-Systemen, die ohne größere Einschränkungen genutzt werden dürfen.

Damit bietet der AI Act eine klare Orientierung für Unternehmen, die bislang oft nicht wussten, ob bestimmte Anwendungen sensibel sind oder nicht.

Wichtig für die PraxisViele Prozessautomatisierungslösungen fallen in die Kategorie „minimales Risiko“ – etwa ein automatisierter Workflow zur Rechnungsverarbeitung ohne personenbezogene Entscheidungen. Sobald jedoch KI-Systeme über Einstellungen, Kündigungen oder Kreditvergaben entscheiden, handelt es sich um Hochrisiko-Systeme mit umfangreichen Compliance-Anforderungen.

Warum ist der EU AI Act wichtig für Unternehmen?

KI ist längst ein Bestandteil vieler Geschäftsprozesse. Sie sortiert Daten, beantwortet Anfragen oder unterstützt Mitarbeitende bei Entscheidungen (McKinsey, 2023). Doch je stärker Unternehmen darauf setzen, desto größer wird der Bedarf an Sicherheit und Verantwortlichkeit. Der AI Act liefert dafür einen verbindlichen Rahmen.

Hier sind einige Gründe, warum er für den Mittelstand besonders relevant ist:

Er schafft Rechtssicherheit in einem bisher unregulierten Bereich.
Unternehmen können Risiken besser einschätzen und vermeiden (OECD, 2023).
Kunden und Partner gewinnen Vertrauen, wenn KI nachvollziehbar genutzt wird.
Wer früh handelt, profitiert von einem Wettbewerbsvorteil.
Unternehmen vermeiden Bußgelder, indem sie klare Anforderungen einhalten.

Der AI Act ist also kein Innovationsstopp, sondern eine Hilfestellung für einen verantwortungsvollen Umgang mit moderner Technologie.

Wie funktioniert der EU AI Act in der Praxis?

In der praktischen Umsetzung folgt der AI Act einer logischen Reihenfolge. Unternehmen müssen zunächst verstehen, welche Art von KI sie nutzen. Danach geht es um die Frage, welche Anforderungen damit verbunden sind und wie diese erfüllt werden können.

Im Kern lässt sich der Prozess auf vier Schritte reduzieren:

Schritt 1: Die eigene KI einstufen

Bevor man über Maßnahmen spricht, muss klar sein, in welche Risikokategorie eine Anwendung fällt. Das betrifft nicht nur selbst entwickelte Lösungen, sondern jede KI, die im Unternehmen eingesetzt wird. Oft reicht schon ein Blick auf die Funktion.
Einige Beispiele zur Orientierung:

Risikoklasse	Typische Anwendungen
Verboten	Social Scoring oder großflächige biometrische Überwachung
Hohes Risiko	Bewerberauswahl, Kreditentscheidungen, medizinische Systeme
Begrenztes Risiko	Chatbots oder KI-Assistenzsysteme
Minimales Risiko	Bildklassifikationen für interne Abläufe oder einfache Sortier-Tools

Diese Einstufung bestimmt, ob Unternehmen nur Transparenz gewährleisten müssen oder ein umfassendes Risikomanagement erforderlich ist.

Schritt 2: Die Anforderungen verstehen

Je höher die Risikokategorie, desto mehr Anforderungen bringt der AI Act mit sich. Viele davon ähneln bekannten Mechanismen aus der DSGVO oder dem Qualitätsmanagement.

Für Unternehmen können folgende Punkte relevant werden:

Führen eines Risikomanagements
Sicherstellung von Datenqualität
Dokumentation des Systems und seiner Funktionsweise
Transparenz gegenüber Nutzerinnen und Nutzern
Überprüfung der technischen Robustheit

Auch wenn das im ersten Moment aufwendig wirkt, handelt es sich in der Praxis meist um nachvollziehbare und gut planbare Schritte.

Schritt 3: Prozesse und Verantwortlichkeiten einrichten

Damit KI sicher genutzt werden kann, braucht es klare Zuständigkeiten. Unternehmen sollten festlegen, wer für die Bewertung, Freigabe und Überwachung zuständig ist. Außerdem ist es sinnvoll, einfache interne Leitlinien zu entwickeln:

Wann darf KI eingesetzt werden? Wo ist menschliche Kontrolle notwendig?

Dieser organisatorische Rahmen wirkt wie ein Sicherheitsnetz und verhindert, dass KI unkontrolliert in sensiblen Bereichen landet.

Schritt 4: Laufende Überwachung sicherstellen

KI-Systeme sind nicht statisch. Sie verändern sich durch Updates, neue Daten oder Anpassungen im Geschäftsprozess (ENISA, 2022). Deshalb verlangt der AI Act eine regelmäßige Überprüfung.

Dazu gehört zum Beispiel:

Funktions- und Fehlerkontrolle
Überwachung der Datenqualität
Aktualisierung der Dokumentation
Bewertung neuer Risiken

Wer diese Routine etabliert, verbessert nicht nur die Compliance, sondern oft auch die Leistungsfähigkeit der eingesetzten KI.

Best Practices und Checkliste

Praktische Empfehlungen, die sich laut Studien und Erfahrungsberichten bewährt haben (McKinsey, 2023):

Ein vollständiges Inventar aller KI-Systeme erstellen.
Jedes System einer Risikokategorie zuordnen.
Verantwortlichkeiten klar definieren.
Dokumentationsprozesse vereinheitlichen.
Monitoring und regelmäßige Überprüfung sicherstellen.
Mitarbeitende schulen und sensibilisieren.
Tool-Anbieter und Partner auf Compliance prüfen.
Prozesse anpassen, sobald sich Anforderungen ändern.

Checkliste

Aufgabe	Erledigt?
KI-Inventar erstellt	☐
Risikoklassifizierung abgeschlossen	☐
Rollen und Verantwortlichkeiten definiert	☐
Dokumentation eingerichtet	☐
Monitoring-Prozess etabliert	☐
Mitarbeitende geschult	☐
Anbieter-Compliance geprüft	☐

Vorteile und Grenzen des EU AI Act

Eine realistische Einschätzung hilft, das Gesetz einzuordnen.

Vorteile

Unternehmen erhalten klare Orientierung.
Risiken für Kundinnen, Mitarbeitende und Partner sinken.
Vertrauen in KI-Anwendungen steigt.
Die Qualität der eigenen Daten und Prozesse verbessert sich (Deloitte, 2023).

Grenzen

Bei Hochrisiko-KI kann der Aufwand für Dokumentation und Kontrolle spürbar sein.
Kleine Unternehmen benötigen eventuell externe Unterstützung.
Die Regulierung befindet sich in einer Übergangsphase, in der sich Details noch klären.
Der AI Act wird sich in der Praxis weiterentwickeln. Unternehmen, die frühzeitig Strukturen schaffen, tun sich später deutlich leichter.

Der AI Act wird sich in der Praxis weiterentwickeln. Unternehmen, die frühzeitig Strukturen schaffen, tun sich später deutlich leichter.

Zeitplan für die Umsetzung

Beginnen Sie heute mit der Inventarisierung Ihrer KI-Systeme, identifizieren Sie Hochrisiko-Anwendungen und entwickeln Sie einen klaren Umsetzungsplan. Die Zeit läuft, aber wer strategisch vorgeht, schafft nicht nur Compliance, sondern auch Vertrauen.

2. Feb 2025

Verbotene KI-Praktiken wirksam Systeme mit inakzeptablem Risiko müssen abgeschaltet werden. KI-Kompetenzverpflichtungen (Artikel 4) treten in Kraft: Unternehmen müssen Mitarbeiter schulen (AI-Act-Service-Desk)

2. Aug 2025

GPAI-Regelungen anwendbar Governance-Regeln und Verpflichtungen für General Purpose AI-Modelle wie ChatGPT gelten (AI-Act-Service-Desk)

2. Aug 2026

Volle Anwendbarkeit Alle Hauptbestimmungen des EU AI Act sind wirksam, Hochrisiko-Systeme müssen compliant sein (AI-Act-Service-Desk)

2. Aug 2027

Erweiterte Übergangsfrist Hochrisiko-KI-Systeme, die in regulierte Produkte eingebettet sind, müssen spätestens jetzt den Anforderungen entsprechen (AI-Act-Service-Desk)

Der EU AI Act ist nicht nur eine regulatorische Hürde, er ist eine Chance, vertrauenswürdige KI zu einem Wettbewerbsvorteil zu machen. Unternehmen, die frühzeitig auf Compliance setzen, positionieren sich als verlässliche Partner und vermeiden kostspielige Nachbesserungen.

Fazit

Der EU AI Act markiert einen Wendepunkt in der Regulierung künstlicher Intelligenz. Für Unternehmen, die auf Prozessautomatisierung und KI-gestützte Workflows setzen, bedeutet dies eine doppelte Herausforderung: Einerseits müssen komplexe rechtliche Anforderungen erfüllt werden, andererseits eröffnet sich die Chance, vertrauenswürdige KI als strategischen Vorteil zu nutzen.

Die Kernbotschaft lautet: Ratsam ist, sich jetzt zu positionieren. Wer KI-Systeme frühzeitig nach Risiken klassifiziert, Dokumentationsprozesse etabliert und menschliche Aufsicht sicherstellt, minimiert nicht nur rechtliche Risiken, sondern stärkt auch das Vertrauen von Kunden, Mitarbeitern und Geschäftspartnern.

Prozessautomatisierung wird nicht verschwinden – im Gegenteil, sie wird weiter an Bedeutung gewinnen. Der EU AI Act stellt sicher, dass diese Entwicklung auf einer soliden ethischen und rechtlichen Grundlage erfolgt. Unternehmen, die diese Balance meistern, werden die Gewinner des digitalen Jahrzehnts sein.

Marvin Gebicke

Marvin Gebicke ist Gründer von procid. Nach mehreren Jahren in der Software- und Datenschutzbranche kennt er die Herausforderungen, die entstehen, wenn Abläufe wachsen, aber die Zeit für Prozessoptimierung fehlt. Heute begleitet er kleine und mittelständische Unternehmen dabei, ihre Arbeit einfacher, effizienter und zeitgemäßer zu gestalten.

Klarheit schafft Zeit. Zeit schafft Fortschritt.

Beginnen wir dort, wo es sich wirklich lohnt.

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy