EU AI Act für den Mittelstand – Was Sie 2025 wissen müssen

Kurz und ehrlich

Der EU AI Act betrifft praktisch jedes Unternehmen, das KI einsetzt – auch Mittelständler. Seit dem 2. Februar 2025 müssen Sie KI-Kompetenz Ihrer Mitarbeitenden sicherstellen (Art. 4). Verbotene KI-Praktiken gelten seither auch. Die meisten weiteren Pflichten greifen schrittweise bis 2026 und 2027 und betreffen vor allem Hochrisiko-Anwendungen wie KI im Recruiting, Bonitätsprüfung oder Gesundheitsbereich.

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) regelt den Einsatz von Künstlicher Intelligenz in der EU. Er ist ein risikobasierter Rechtsrahmen – das heißt: Je höher das Risiko einer KI-Anwendung für Grundrechte und Sicherheit, desto strenger die Anforderungen. Er gilt EU-weit, betrifft Anbieter und Betreiber von KI-Systemen gleichermaßen und sieht teils empfindliche Bußgelder vor. Eine kompakte Übersicht bietet die Europäische Kommission.

Welche Fristen gelten?

Datum	Was gilt
1. August 2024	Inkrafttreten
2. Februar 2025	Verbotene Praktiken & KI-Kompetenz (Art. 4)
2. August 2025	Pflichten für General-Purpose-AI (GPAI), Governance, Bußgelder
2. August 2026	Großteil der Pflichten für Hochrisiko-KI
2. August 2027	Vollständige Anwendbarkeit (inkl. eingebetteter Systeme)

Die vier Risikoklassen

Verboten: Z. B. Social Scoring, manipulative biometrische Identifikation. Praxisrelevanz für Mittelständler: gering.
Hochrisiko: KI im Personalwesen (Recruiting, Beförderung), Kreditwürdigkeitsprüfung, kritische Infrastruktur, Bildung, Medizinprodukte. Hier gelten umfassende Pflichten – Risikomanagement, Daten-Governance, Transparenz, menschliche Aufsicht.
Begrenzt: Z. B. Chatbots oder generative Inhalte. Pflicht ist eine Kennzeichnung („Sie chatten mit einer KI“).
Minimales Risiko: Die meisten alltäglichen KI-Anwendungen – z. B. Spam-Filter, KI-gestützte Suche, Übersetzung. Hier greifen vor allem die allgemeine KI-Kompetenz und ggf. die Kennzeichnungspflicht.

Konkrete Pflichten für Mittelständler

Für die meisten Mittelständler reduzieren sich die wesentlichen Pflichten auf einen überschaubaren Katalog:

KI-Kompetenz Ihrer Mitarbeitenden sicherstellen (Art. 4) – seit Februar 2025
Inventar Ihrer eingesetzten KI-Systeme führen
Hochrisiko-Use-Cases identifizieren und besondere Anforderungen umsetzen
Bei generativen Inhalten: Kennzeichnung der KI-Beteiligung
DSGVO-Pflichten parallel erfüllen (AVV, DSFA, TOMs)

Schulungspflicht nach Art. 4 EU AI Act

Die zentrale Verpflichtung, die praktisch jeden Mittelständler trifft, ist die Sicherstellung ausreichender KI-Kompetenz bei den Personen, die KI einsetzen oder betreiben. Das gilt für interne Mitarbeitende ebenso wie für Dienstleister, die in Ihrem Auftrag KI nutzen.

Es gibt keine vorgeschriebene Form. In der Praxis bewährt hat sich ein Mix aus kompakter Grundlagen-Schulung für alle Mitarbeitenden, Vertiefungs-Schulungen für Power-User, einem Führungskräfte-Briefing sowie einer kurzen schriftlichen KI-Richtlinie – plus dokumentierte Auffrischung.

Wir bieten genau dieses Paket als KI-Kompetenz-Programm mit prüfungssicherer Dokumentation an.

Häufige Fragen

Antworten auf die wichtigsten Fragen

Gilt der EU AI Act auch für uns als kleines mittelständisches Unternehmen?

Ja. Es gibt zwar einzelne Erleichterungen für KMU, die grundlegenden Pflichten (insbesondere KI-Kompetenz) gelten aber für alle. Eine Ausnahme nur wegen Unternehmensgröße gibt es nicht.

Welche Bußgelder drohen bei Verstößen?

Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken; bis zu 15 Mio. € oder 3 % für andere Verstöße. Auch wenn das Risiko für Mittelständler oft kleiner wirkt: Pflichten sind verbindlich, und Audits durch Datenschutzbehörden sind realistisch.

Wie weisen wir KI-Kompetenz nach?

Üblich sind: dokumentierte Schulungsteilnahme aller Mitarbeitenden, schriftliche KI-Richtlinie, regelmäßige Auffrischungen sowie ein Verantwortlicher (KI-Beauftragter oder bestehende Rolle wie DSB).

Quellen

Quellen & weiterführende Informationen

Verordnung (EU) 2024/1689 über Künstliche Intelligenz (AI Act)EUR-Lex / Amt für Veröffentlichungen der EU
Regulatory framework for artificial intelligenceEuropäische Kommission – GD CNECT
KI-Strategie der BundesregierungBundesregierung
Stellungnahmen und Hinweise zum EU AI ActBfDI
Bitkom – Künstliche Intelligenz: Recht & ComplianceBitkom e. V.

Im Netzwerk von KI-Beratung Deutschland

Weiterführende Angebote im Netzwerk

Weiterführend

Bereit für KI-Automatisierung mit klarem ROI?

Im 30-minütigen Erstgespräch identifizieren wir die zwei bis drei Prozesse mit dem größten Hebel in Ihrem Unternehmen – inklusive Aufwand, Nutzen und konkretem Fahrplan.

Erstgespräch vereinbaren Schreiben Sie uns