EU AI Act Compliance Leitfaden Unternehmen · 11 Min. Lesezeit

EU AI Act Compliance Leitfaden: Schritt für Schritt für Unternehmen 2026

Praktischer KI-Compliance Leitfaden für den Mittelstand: EU AI Gesetz Pflichten 2026 in DACH, Risikokategorien, konkrete Schritte und alle Deadlines.

Redaktion RechtAI · Fachlich geprüft
Juristen & Compliance-Experten, spezialisiert auf DSGVO und EU AI Act

Zuletzt geprüft am: 2026-04-10 | Quellen: eur-lex.europa.eu, digital-strategy.ec.europa.eu, gesetze-im-internet.de

TL;DR – Das Wichtigste auf einen Blick

  • Der EU AI Act (Verordnung (EU) 2024/1689) gilt ab dem 2. August 2026 vollständig – für alle Unternehmen, die KI in der EU einsetzen, auch für reine Nutzer.
  • Die vier Risikokategorien entscheiden, welche Pflichten dein Unternehmen hat – viele Mittelständler fallen in die Kategorie „begrenztes Risiko” oder „minimales Risiko”.
  • Bußgelder drohen bei Verstößen bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (Art. 99 Abs. 3 EU AI Act).
  • Unternehmen als Deployer (Nutzer von KI-Systemen anderer Anbieter) haben eigene Pflichten: Dokumentation, menschliche Aufsicht und Risikobewertung nach Art. 26 EU AI Act.
  • Jetzt handeln lohnt sich: Wer heute ein KI-Inventar erstellt und Hochrisiko-Systeme identifiziert, hat 2026 deutlich weniger Stress.

Was ist der EU AI Act? (Kurzüberblick)

Der EU AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende gesetzliche Regulierung für künstliche Intelligenz. Er wurde im Amtsblatt der EU veröffentlicht und trat am 1. August 2024 in Kraft (Art. 113 EU AI Act).

Das Gesetz gilt für alle, die KI-Systeme in der Europäischen Union entwickeln, in Verkehr bringen oder nutzen – unabhängig davon, wo das Unternehmen seinen Sitz hat. Als Compliance-Beauftragte in einem Mittelstandsunternehmen bist du nicht nur dann betroffen, wenn euer Softwareanbieter KI einsetzt, sondern auch, wenn ihr selbst KI-Tools im HR, Marketing oder Kundenservice verwendet.

Der Ansatz des Gesetzes ist risikobasiert: Je höher das potenzielle Risiko eines KI-Systems für Grundrechte und Sicherheit der Betroffenen, desto strenger die Anforderungen. Das bedeutet: Nicht jedes KI-System löst automatisch großen Compliance-Aufwand aus. Ein einfacher Spam-Filter fällt unter „minimales Risiko” und braucht keine besondere Dokumentation. Ein KI-gestütztes Bewerbungs-Screening-Tool hingegen ist sehr wahrscheinlich Hochrisiko – mit entsprechenden Pflichten.

Wichtig zu verstehen: Der EU AI Act unterscheidet zwischen Anbietern (Unternehmen, die KI-Systeme entwickeln und auf den Markt bringen) und Deployern (Unternehmen, die fertige KI-Systeme in ihrer Organisation einsetzen). Mittelständler ohne eigene KI-Entwicklung sind meistens Deployer – das reduziert den Aufwand, schließt Compliance-Pflichten aber nicht aus.

Für einen breiteren Überblick über das Gesetz lies unseren Artikel EU AI Act 2026: Überblick für Unternehmen.

Risiko-Klassifizierung: Welche Kategorie ist dein KI-System?

Der EU AI Act unterscheidet vier Risikostufen – und die richtige Einordnung ist die Grundlage deines gesamten Compliance-Projekts.

Kategorie 1: Verbotene KI-Systeme (Art. 5 EU AI Act)

Diese Systeme sind seit dem 2. Februar 2025 (Art. 113 Abs. 1 EU AI Act) vollständig verboten und dürfen nicht eingesetzt werden:

  • Social-Scoring-Systeme, die Menschen nach sozialem Verhalten bewerten
  • Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum durch Strafverfolgungsbehörden
  • Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen
  • KI-Systeme, die Personen durch unterschwellige Techniken manipulieren
  • Predictive Policing auf Basis persönlicher Merkmale

Für den Mittelstand relevant: Wenn euer HR-Software-Anbieter ein System zur automatischen Bewertung von Mitarbeitern auf Basis von Emotionsanalysen bewirbt – das wäre eine verbotene KI-Praxis. Sofort abschalten.

Kategorie 2: Hochrisiko-KI-Systeme (Art. 6 und Anhang III EU AI Act)

Hier ist der Compliance-Aufwand am größten. Hochrisiko gilt in folgenden Bereichen (Anhang III EU AI Act):

  • Beschäftigung und Personalmanagement: KI zur Bewerbungsauswahl, Einstellungsentscheidungen, Leistungsbewertung oder Kündigung – besonders relevant für Unternehmen mit eigenem HR-Prozess
  • Zugang zu Dienstleistungen: KI-gestützte Kreditvergabe oder Bonitätsprüfung
  • Bildung: Systeme, die Schüler oder Studierende bewerten
  • Biometrische Identifikation: Systeme zur Personenidentifikation (z.B. Gesichtserkennung für Zugangskontrollen)
  • Kritische Infrastruktur: Energie, Wasser, Verkehr
  • Justiz und Strafverfolgung: Risikoeinschätzung für Wiederholungstaten

Für den Mittelstand relevant: Nutzt ihr ein KI-gestütztes Bewerber-Screening-Tool oder einen KI-Assistenten für Leistungsbeurteilungen? Das ist sehr wahrscheinlich Hochrisiko-KI. Das bedeutet: Du musst als Deployer sicherstellen, dass ihr die Anforderungen aus Art. 26 EU AI Act erfüllst – mehr dazu im nächsten Abschnitt. Welche DSGVO-Pflichten dabei zusätzlich greifen — Art. 22 DSGVO, menschlicher Letzentscheid und BDSG § 26 — erklärt unser Artikel DSGVO & KI im Recruiting: Bewerber-Screening rechtskonform.

Kategorie 3: KI mit begrenztem Risiko (Transparenzpflichten)

Chatbots, KI-generierte Texte, Bilder oder Videos müssen klar als KI-Erzeugnis gekennzeichnet werden. Wenn ihr einen KI-Chatbot für den Kundendienst einsetzt, müssen Nutzer darüber informiert werden, dass sie mit einer KI kommunizieren – und nicht mit einem Menschen.

Kategorie 4: Minimales Risiko

Spam-Filter, einfache Empfehlungsalgorithmen, KI-Funktionen in Produktions- oder Logistiksoftware mit reiner Automatisierungsfunktion – diese unterliegen keinen besonderen Anforderungen des EU AI Acts.

Praktische Faustregel: Berührt die KI Entscheidungen über Menschen (Einstellung, Kündigung, Kredit, Bewertung) oder in sicherheitskritischen Bereichen? Dann prüfe Hochrisiko. Interagiert die KI mit Menschen und könnte sie für menschlich gehalten werden? Dann prüfe Transparenzpflichten.

Schritt-für-Schritt: Was Unternehmen jetzt tun müssen

Als Deployer – also Unternehmen, das KI-Systeme von Dritten nutzt – hast du nach Art. 26 EU AI Act folgende Kernpflichten bei Hochrisiko-KI. Hier ist der praktische Fahrplan für den Mittelstand ohne eigene Rechtsabteilung:

Schritt 1: KI-Inventar erstellen (Woche 1–2)

Erfasse alle KI-Systeme, die euer Unternehmen nutzt oder plant einzusetzen. Gehe dabei systematisch vor:

  • Software mit KI-Features: HR (Bewerbermanagement, Leistungsbeurteilung), CRM, ERP, Buchhaltung
  • Chatbots und Sprachassistenten im Kundendienst oder intern
  • Automatisierte Entscheidungssysteme (z.B. Kreditlimit-Prüfung, Betrugserkennung)
  • KI-Tools, die einzelne Mitarbeiter selbst nutzen (ChatGPT, Microsoft Copilot, GitHub Copilot)
  • KI-Funktionen in cloudbasierten Diensten (oft versteckt als „intelligente Features”)

Erstelle eine einfache Tabelle: System | Zweck | Anbieter | Nutzungsbereich | Risikokategorie (vorläufig).

Schritt 2: Risikokategorie bestimmen (Woche 2–3)

Gehe die Inventarliste Zeile für Zeile durch und ordne jedes System einer der vier Kategorien zu. Orientiere dich dabei an Anhang III des EU AI Acts für Hochrisiko-Systeme. Lies dazu auch unsere EU AI Gesetz Compliance Checkliste, die dir die Einordnung erleichtert.

Wichtig für Deutschland: Wenn ein KI-System im HR-Bereich eingesetzt wird und Einfluss auf Personalentscheidungen hat, ist es in Deutschland zusätzlich mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 6 BetrVG – binde den Betriebsrat frühzeitig ein, das spart später Konflikte.

Schritt 3: Für Hochrisiko-Systeme – Anbieter befragen (Woche 3–4)

Als Deployer darfst du dich auf die Dokumentation deines Anbieters stützen – du musst aber sicherstellen, dass diese vorliegt und vollständig ist. Frage deinen Softwareanbieter schriftlich:

  • Gibt es eine technische Dokumentation nach Art. 11 EU AI Act?
  • Ist das System einer Konformitätsbewertung unterzogen worden?
  • Gibt es automatische Logs und Protokolle, die ihr als Nutzer aufbewahren könnt?
  • Wie funktioniert das Human-in-the-Loop-Prinzip in eurem konkreten Anwendungsfall?
  • Ist das System in der EU-Datenbank für Hochrisiko-KI registriert (Pflicht ab August 2026)?

Anbieter, die bis August 2026 keine klaren Antworten auf diese Fragen geben können, stellen ein Compliance-Risiko für euer Unternehmen dar.

Schritt 4: Interne Governance aufbauen (Monat 2)

Definiere intern klare Strukturen:

  • Zuständigkeiten: Wer ist in eurem Unternehmen für KI-Compliance verantwortlich? Dokumentiere das formal – bei Prüfungen musst du eine Ansprechperson benennen können.
  • Freigabeprozess: Wie wird eine neue KI-Anwendung vor der Einführung bewertet? Ein einfaches Formular mit den Kernfragen genügt für den Start.
  • Schulungen: Mitarbeiter, die Hochrisiko-KI bedienen, müssen laut Art. 26 Abs. 2 EU AI Act ausreichend geschult sein, um die menschliche Aufsicht wahrnehmen zu können.
  • Incident-Prozess: Was passiert, wenn das KI-System fehlerhafte oder diskriminierende Entscheidungen trifft? Definiere klare Eskalationswege.

Schritt 5: Dokumentation und internes KI-Register führen (laufend)

Führe ein internes KI-Register – kein gesetzlich vorgeschriebenes Format für private Unternehmen, aber essentiell für die eigene Nachvollziehbarkeit und als Nachweis bei behördlichen Prüfungen. Dokumentiere für jedes Hochrisiko-System:

  • Datum der Einführung und letzte Überprüfung
  • Zweck und konkreter Einsatzbereich
  • Anbieter und Vertragsgrundlage (inkl. Compliance-Zusicherungen)
  • Ergebnis der internen Risikobewertung
  • Maßnahmen zur menschlichen Aufsicht (wer, wie, wie oft)
  • Schulungsnachweise der Nutzer

Eine gute Einführung in die grundlegenden Compliance-Konzepte findest du in unserem Artikel Einführung in KI-Compliance.

Fristen und Deadlines 2026

Hier ist der offizielle Zeitplan des EU AI Acts (Art. 113 Verordnung (EU) 2024/1689):

DatumWas gilt
1. August 2024EU AI Act in Kraft getreten
2. Februar 2025Verbotene KI-Praktiken (Art. 5) sind durchsetzbar – sofortige Prüfung notwendig
2. August 2025GPAI-Regeln für Anbieter von Allzweck-KI-Modellen (wie GPT-4) gelten
2. August 2026Vollständige Anwendung für Hochrisiko-KI und Transparenzpflichten
2. August 2027Hochrisiko-KI in regulierten Produkten nach Anhang I (z.B. Medizinprodukte, Maschinen)

Was das für deinen Betrieb bedeutet:

  • Sofort (2025): Verbotene KI-Praktiken sind bereits unzulässig. Prüfe jetzt, ob eure Systeme in diese Kategorie fallen.
  • Bis August 2026: Die KI-Compliance für Hochrisiko-Systeme muss stehen. Plane das Projekt mit mindestens 12–18 Monaten Vorlauf – das heißt, wer jetzt noch nicht angefangen hat, liegt im Zeitverzug.
  • Laufend: Die Anforderungen an Transparenz (Kennzeichnung von KI-generierten Inhalten, Chatbot-Disclosure) gelten ab August 2026.

Der Bußgeldrahmen nach Art. 99 EU AI Act:

  • Verstöße gegen Verbote (Art. 5): bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (Art. 99 Abs. 3)
  • Verstöße gegen sonstige Pflichten (inkl. Hochrisiko-Anforderungen): bis zu 15 Mio. € oder 3 % des Jahresumsatzes (Art. 99 Abs. 4)
  • Falsche Angaben gegenüber Behörden: bis zu 7,5 Mio. € oder 1,5 % des Jahresumsatzes (Art. 99 Abs. 5)

Für KMU gilt dabei jeweils der niedrigere Betrag (Prozentsatz oder Fixbetrag), was Mittelständler zumindest vor unverhältnismäßig hohen Absolut-Bußgeldern schützt.

Welche Tools helfen bei der Compliance?

Als Mittelständler ohne eigene Rechtsabteilung brauchst du praktische Unterstützung. Hier eine Übersicht nützlicher Ressourcen und Kategorien:

Offizielle Ressourcen (kostenlos)

  • EU AI Act Service Desk der Europäischen Kommission: Beantwortet praktische Fragen zur Umsetzung auf digital-strategy.ec.europa.eu
  • EUR-Lex: Volltext der Verordnung (EU) 2024/1689 in allen EU-Sprachen kostenlos abrufbar
  • Leitlinien der EU-Kommission zu GPAI-Modellen (veröffentlicht 18. Juli 2025): Wichtig, wenn ihr OpenAI, Google Gemini oder ähnliche Dienste nutzt
  • IHK und Handelskammern: Bieten zunehmend kostenlose Informationsveranstaltungen und Merkblätter zum EU AI Act an

Software-Tools für KI-Compliance

  • KI-Inventarisierungs- und Governance-Tools: Lösungen wie OneTrust oder spezialisierte KI-Governance-Plattformen helfen beim Aufbau eines KI-Registers und der strukturierten Risikobewertung.
  • DSGVO-Compliance-Tools mit KI-Add-on: Viele bestehende Datenschutz-Tools erweitern ihren Scope auf den EU AI Act und decken damit DSGVO und KI-Regulierung gemeinsam ab.
  • Checklisten und Vorlagen: RechtAI stellt kostenlose Templates für das KI-Inventar und die Risikobewertung bereit – ein guter Einstiegspunkt ohne großen Initialaufwand.

Externe Beratung

  • IT-Rechtsanwälte mit KI-Spezialisierung: Besonders für die Hochrisiko-Einordnung eurer HR-Systeme und für die Vertragsgestaltung mit KI-Anbietern empfehlenswert
  • Verbände (BITKOM, BDI, Wirtschaftskammer Österreich): Haben praxisorientierte Leitfäden für den Mittelstand veröffentlicht

Praktischer Tipp für den Einstieg: Beginne mit dem kostenlosen KI-Inventar in einer einfachen Tabelle. Das kostet nichts, dauert einen halben Arbeitstag, und du weißt danach, ob ihr überhaupt Hochrisiko-Systeme im Einsatz habt. In vielen Mittelstandsbetrieben sind 80–90 % der genutzten KI-Tools in der Kategorie „minimales Risiko” – das macht den gesamten Compliance-Aufwand deutlich überschaubarer.

FAQ: 5 häufige Fragen zum EU AI Act für den Mittelstand

1. Gilt der EU AI Act auch für uns, wenn wir KI nur von externen Anbietern nutzen und nicht selbst entwickeln?

Ja. Als Deployer (Nutzer eines KI-Systems) hast du eigene Pflichten nach Art. 26 EU AI Act. Diese sind weniger umfangreich als die Pflichten des Anbieters, aber real: menschliche Aufsicht sicherstellen, Gebrauchsanleitungen befolgen, Protokolle aufbewahren und Mitarbeiter schulen. Ignorieren ist keine Option.

2. Was ist, wenn unser KI-Anbieter (z.B. Microsoft, SAP) die Compliance für uns übernimmt?

Große Anbieter werden für ihre Kernprodukte Compliance-Nachweise liefern – das ist ihr Verkaufsargument. Aber: Die Art und Weise, wie ihr das System einsetzt, liegt in eurer Verantwortung. Wenn ihr z.B. Microsoft Copilot für HR-Entscheidungen nutzt und keine menschliche Überprüfung der KI-Empfehlungen stattfindet, liegt das Compliance-Risiko vollständig bei euch.

3. Wie verhält sich der EU AI Act zur DSGVO – müssen wir beides beachten?

Die DSGVO regelt Datenschutz und bleibt vollständig in Kraft. Der EU AI Act kommt zusätzlich dazu. Viele Anforderungen überschneiden sich (Dokumentation, Transparenz, Risikofolgenabschätzung), aber sie sind nicht deckungsgleich. Für Hochrisiko-KI kann eine KI-spezifische Datenschutz-Folgenabschätzung erforderlich sein, die über die DSGVO-DSFA hinausgeht. Wer seine DSGVO-Hausaufgaben bereits gemacht hat, hat einen guten Vorsprung.

4. Gilt der EU AI Act in der Schweiz?

Die Schweiz ist nicht direkt durch die EU-Verordnung gebunden. Allerdings orientiert sich die Schweizer Rechtsentwicklung an der EU: Das neue Schweizer Datenschutzgesetz (nDSG) ist bereits eng an die DSGVO angelehnt. Für Schweizer Unternehmen, die in der EU aktiv sind oder EU-Kunden haben, gilt der EU AI Act dennoch – nach dem Marktortprinzip, analog zur DSGVO.

5. Was ist der Unterschied zwischen Anbieter (Provider) und Nutzer (Deployer)?

  • Anbieter/Provider: Entwickelt und bringt ein KI-System auf den Markt. Hat die umfangreichsten Pflichten (technische Dokumentation, Konformitätsbewertung, EU-Registrierung).
  • Deployer/Nutzer: Setzt das KI-System in der eigenen Organisation ein. Hat schlankere, aber reale Pflichten (Aufsicht, Schulung, Protokolle, eigene Risikobewertung im Nutzungskontext).

Als Mittelstandsunternehmen seid ihr in der Regel Deployer, nicht Anbieter – das reduziert den Compliance-Aufwand erheblich, macht ihn aber nicht null.

Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für individuelle Compliance-Fragen empfehlen wir die Konsultation eines auf IT-Recht oder KI-Recht spezialisierten Rechtsanwalts.

Quellen

Weitere Artikel

AI Datenschutz DSGVO

Künstliche Intelligenz und Datenschutz: Wie KMUs AI rechtssicher einsetzen

DSGVO & KI für Unternehmen: Art. 22 automatisierte Entscheidungen, Datenschutz-Folgenabschätzung für KI-Systeme und praktische Checkliste für KMUs.

EU AI Act IT-Dienstleister

EU AI Act für IT-Dienstleister 2026: Compliance-Leitfaden für Softwareunternehmen

Anbieter oder Betreiber? Konkrete Pflichten für IT-Dienstleister unter dem EU AI Act 2026: GPAI, Hochrisiko-KI, Dokumentation und Deadlines für Softwareunternehmen.

Datenschutzerklärung Website Deutschland

Datenschutzerklärung für Websites schreiben: Pflichtangaben 2026

Datenschutzerklärung für deutsche Websites: Alle Pflichtangaben nach DSGVO, Muster-Formulierungen und häufige Fehler — praxisnah für Selbstständige und KMU.