Gilt der AI Act auch für kleine Unternehmen?

Ja. Die Grundpflichten — insbesondere die KI-Kompetenzpflicht (Art. 4) und die verbotenen Praktiken (Art. 5) — gelten für alle Unternehmen, die KI einsetzen, unabhängig von der Größe. Für KMU gibt es allerdings Erleichterungen: niedrigere Bußgelder, vereinfachte Dokumentation, Prioritätszugang zu Regulatory Sandboxes und kostenlose Teilnahme. Der Digital Omnibus sieht zudem vor, diese Erleichterungen auf 'kleine Midcaps' (bis 750 Mitarbeiter) auszuweiten.

Wir nutzen nur ChatGPT — betrifft uns der AI Act überhaupt?

Ja. Wenn Mitarbeiter ChatGPT oder andere KI-Tools beruflich nutzen, ist Ihr Unternehmen ein 'Betreiber' (Deployer) im Sinne des AI Acts. Seit Februar 2025 gilt die KI-Kompetenzpflicht: Sie müssen sicherstellen, dass Ihre Mitarbeiter im Umgang mit KI geschult sind. Ab August 2026 kommen Transparenzpflichten hinzu — etwa wenn Kunden mit einem KI-System interagieren.

Was ist die KI-Kompetenzpflicht und wie erfülle ich sie?

Art. 4 des AI Acts verpflichtet alle Unternehmen, die KI einsetzen, die KI-Kompetenz ihrer Mitarbeiter sicherzustellen. Konkret bedeutet das: Schulungen durchführen, die auf die Rolle der Person und das Risiko des eingesetzten Systems abgestimmt sind. Die Schulungen sollten dokumentiert werden. Es gibt keine vorgeschriebene Form — interne Trainings, E-Learnings oder externe Workshops erfüllen die Pflicht, solange sie nachweisbar sind. Die EU-Kommission hat eine FAQ und eine Datenbank mit AI Literacy-Programmen veröffentlicht.

Wird die Hochrisiko-Frist August 2026 wirklich verschoben?

Möglicherweise. Der Digital Omnibus der EU-Kommission (November 2025) schlägt vor, die Hochrisiko-Pflichten auf Dezember 2027 zu verschieben. Der Europäische Rat hat dem im März 2026 grundsätzlich zugestimmt, das EU-Parlament berät noch. Solange das Gesetzgebungsverfahren nicht abgeschlossen ist, gilt die ursprüngliche Frist August 2026. Die sicherste Strategie: So vorbereiten, als ob August 2026 gilt.

Ist KI im Recruiting wirklich Hochrisiko?

Ja. Annex III Punkt 4 des AI Acts stuft KI-Systeme für Recruiting, Bewerbungsfilterung, Kandidatenbewertung sowie für Beförderungs- und Kündigungsentscheidungen ausdrücklich als Hochrisiko ein. Das betrifft auch KI zur Leistungsüberwachung und zur Aufgabenzuweisung basierend auf Persönlichkeitsmerkmalen. Unternehmen, die solche Systeme einsetzen, müssen die vollen Deployer-Pflichten erfüllen: menschliche Aufsicht, Log-Aufbewahrung, Arbeitnehmer-Information und ggf. Datenschutz-Folgenabschätzung.

Was hat der AI Act mit Equal Pay zu tun?

Wer KI für Gehaltsanalysen, Vergütungsbenchmarks oder Leistungsbewertungen einsetzt, unterliegt möglicherweise sowohl dem AI Act (Hochrisiko unter Annex III Punkt 4) als auch der EU-Entgelttransparenzrichtlinie (Frist: 7. Juni 2026). Beide Regulierungen betreffen den HR-Bereich und erfordern koordinierte Compliance. Unternehmen sollten beide Themen gemeinsam angehen.

Was kostet ein Verstoß gegen den AI Act?

Die Bußgelder sind gestaffelt: Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken, bis zu 15 Mio. € oder 3 % für Hochrisiko- und Transparenzverstöße, bis zu 7,5 Mio. € oder 1 % für falsche Angaben an Behörden. Bei KMU gilt jeweils der niedrigere Wert (Festbetrag oder Prozentsatz). Die Höhe hängt von Faktoren wie Schwere, Dauer, Kooperationsbereitschaft und Unternehmensgröße ab.

Braucht mein Unternehmen einen KI-Beauftragten?

Der AI Act schreibt keinen 'KI-Beauftragten' als formale Rolle vor — anders als etwa den Datenschutzbeauftragten in der DSGVO. Allerdings verlangt er, dass Unternehmen Verantwortlichkeiten für KI-Governance festlegen und kompetente Personen für die menschliche Aufsicht benennen. In der Praxis empfiehlt es sich, eine klare Zuständigkeit zu definieren — ob als eigene Rolle oder als Erweiterung bestehender Positionen (z.B. Compliance, IT, Datenschutz).

Zurück zum Blog

20. März 2026

EU AI Act: Was Unternehmen jetzt tun müssen — auch wenn sie nur ChatGPT nutzen

EU AI Act: Erste Pflichten gelten bereits seit Februar 2025. KI-Kompetenzpflicht, Transparenz, Hochrisiko-Regeln — was auf Unternehmen zukommt und was der Digital Omnibus ändert.

Sie nutzen ChatGPT im Büro? Microsoft Copilot? Ein KI-Tool für Bewerbungsscreening? Dann betrifft Sie der EU AI Act. Nicht irgendwann — jetzt.

Die Verordnung (EU) 2024/1689 — besser bekannt als EU AI Act — ist seit August 2024 in Kraft. Erste Pflichten gelten seit Februar 2025. Der Haupttermin war für August 2026 geplant, wird durch den sogenannten Digital Omnibus aber voraussichtlich teilweise verschoben. Trotzdem: Wer jetzt nicht handelt, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

Dieser Artikel erklärt, was der AI Act von Ihrem Unternehmen verlangt — Schritt für Schritt, ohne Juristendeutsch.

Was ist der EU AI Act?

Der AI Act ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Er gilt für jedes Unternehmen, das KI-Systeme entwickelt, vertreibt oder einsetzt — in der EU oder mit Wirkung in der EU. Als EU-Verordnung gilt er unmittelbar in allen Mitgliedstaaten, ohne dass eine nationale Umsetzung nötig wäre.

Das Grundprinzip: Je höher das Risiko eines KI-Systems für Grundrechte, Gesundheit und Sicherheit, desto strenger die Auflagen. Der AI Act unterscheidet vier Risikostufen:

Unakzeptables Risiko: Verboten. Social Scoring, manipulative KI, Emotionserkennung am Arbeitsplatz.
Hohes Risiko: Strenge Auflagen. KI im Recruiting, in der Kreditvergabe, in der Leistungsbewertung.
Begrenztes Risiko: Transparenzpflichten. Chatbots, Deepfakes, KI-generierte Inhalte.
Minimales Risiko: Keine besonderen Auflagen. Spam-Filter, Suchvorschläge, KI in Videospielen.

Wer ist betroffen? Die Rollen im AI Act

Die meisten Unternehmen sind keine KI-Entwickler — sie nutzen KI. Im AI Act heißen sie Betreiber (Deployer). Und die Pflichten für Betreiber sind real.

Der AI Act unterscheidet:

Anbieter (Provider): Wer ein KI-System entwickelt und auf den Markt bringt. Trägt die schwersten Pflichten.
Betreiber (Deployer): Wer ein KI-System beruflich einsetzt — also fast jedes Unternehmen, das ChatGPT, Copilot oder andere KI-Tools nutzt.
Importeur/Distributor: Wer KI-Systeme von außerhalb der EU einführt oder vertreibt.

Entscheidend: Auch wenn Sie KI nur „nebenbei" nutzen — etwa für E-Mail-Entwürfe, Übersetzungen oder Datenanalyse —, sind Sie ein Betreiber im Sinne des AI Acts.

Was gilt bereits — seit Februar 2025

1. KI-Kompetenzpflicht (Art. 4)

Seit dem 2. Februar 2025 müssen alle Unternehmen, die KI einsetzen, sicherstellen, dass ihre Mitarbeiter ein ausreichendes Maß an KI-Kompetenz haben. Das betrifft jeden, der mit KI-Systemen arbeitet — vom Geschäftsführer bis zur Sachbearbeiterin.

Was „ausreichend" bedeutet, hängt ab von:

Der Rolle der Person (ein HR-Manager, der KI für Recruiting nutzt, braucht mehr Wissen als jemand, der ChatGPT für E-Mails nutzt)
Dem Risiko des eingesetzten Systems
Den betroffenen Personengruppen

Praxis-Tipp: Dokumentieren Sie, welche KI-Systeme in Ihrem Unternehmen eingesetzt werden und wer damit arbeitet. Führen Sie Schulungen durch — und dokumentieren Sie diese. Bei einer Prüfung müssen Sie nachweisen können, dass Sie Maßnahmen ergriffen haben.

2. Verbotene Praktiken (Art. 5)

Ebenfalls seit Februar 2025 sind folgende KI-Praktiken verboten:

Manipulative KI: Systeme, die unterschwellige oder täuschende Techniken einsetzen, um Verhalten zu beeinflussen
Social Scoring: Bewertung von Personen basierend auf Sozialverhalten oder Persönlichkeitsmerkmalen
Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (Ausnahme: medizinische oder Sicherheitsgründe)
Ungezielte Gesichtserkennung: Aufbau von Gesichtsdatenbanken durch Scraping
Biometrische Kategorisierung nach sensiblen Merkmalen (Rasse, Religion, sexuelle Orientierung)

Achtung: Das Verbot der Emotionserkennung am Arbeitsplatz ist weitreichend. Wenn Sie ein Tool einsetzen, das die Stimmung oder Zufriedenheit Ihrer Mitarbeiter per KI misst — das könnte bereits verboten sein.

Was kommt ab August 2026

3. Transparenzpflichten (Art. 50)

Ab dem 2. August 2026 müssen Unternehmen:

KI-Interaktion offenlegen: Wenn Kunden mit einem KI-System interagieren (z.B. Chatbot auf der Website), müssen sie darüber informiert werden.
Deepfakes kennzeichnen: KI-generierte oder manipulierte Bilder, Videos und Audio müssen als solche deklariert werden.
KI-generierte Texte: Wenn Sie KI-generierten Text veröffentlichen, der die Öffentlichkeit informieren soll, müssen Sie das offenlegen — es sei denn, ein Mensch hat den Text redaktionell geprüft und verantwortet.

4. Hochrisiko-Pflichten

Für KI-Systeme in besonders sensiblen Bereichen gelten die strengsten Auflagen. Die wichtigsten Hochrisiko-Bereiche für Unternehmen:

HR und Recruiting: KI für Stellenausschreibungen, Bewerbungsfilterung, Kandidatenbewertung, Leistungsüberwachung, Beförderungs- und Kündigungsentscheidungen
Kreditvergabe: KI-basiertes Credit Scoring
Versicherung: KI für Risikobewertung und Preisgestaltung bei Lebens- und Krankenversicherungen
Bildung: KI für Zulassungsentscheidungen und Prüfungsbewertungen

Wenn Sie ein solches System einsetzen, müssen Sie unter anderem:

Menschliche Aufsicht durch kompetente Personen sicherstellen
Das System gemäß der Gebrauchsanweisung des Anbieters einsetzen
Automatisch erzeugte Logs mindestens 6 Monate aufbewahren
Arbeitnehmer vor Einsatz informieren (Betriebsrat!)
Bei Risiken sofort den Anbieter und die Behörden informieren
Ggf. eine Datenschutz-Folgenabschätzung durchführen

Digital Omnibus: Verschieben sich die Fristen?

Ja — voraussichtlich. Im November 2025 hat die EU-Kommission das sogenannte Digital Omnibus Paket vorgeschlagen, das mehrere Fristen verschiebt:

Hochrisiko-Pflichten (Annex III): Statt August 2026 voraussichtlich erst Dezember 2027
Hochrisiko in Produkten (Annex I): Verschoben auf August 2028
KI-Inhaltskennzeichnung (Art. 50 Abs. 2): Für bestehende Systeme bis Februar 2027
KMU-Erleichterungen werden auf „kleine Midcaps" (bis 750 Mitarbeiter) ausgeweitet

Aber Achtung: Der Digital Omnibus ist noch nicht beschlossen. Am 18. März 2026 haben die Parlamentsausschüsse IMCO und LIBE abgestimmt, die Triloge mit dem Rat laufen. Solange das Gesetzgebungsverfahren nicht abgeschlossen ist, gilt die ursprüngliche Frist August 2026.

Die klügste Strategie: So vorbereiten, als ob August 2026 gilt — und so planen, als ob Dezember 2027 das wahrscheinliche Datum ist.

Was bedeutet das konkret für Ihr Unternehmen?

Sie nutzen ChatGPT oder Copilot intern

→ KI-Kompetenzpflicht gilt jetzt. Schulen Sie Ihre Mitarbeiter und dokumentieren Sie es. Ab August 2026: Transparenz, wenn Kunden mit KI interagieren.

Sie setzen KI im Recruiting ein

→ Das ist ein Hochrisiko-System. Menschliche Aufsicht, Logs, Arbeitnehmer-Information — volle Deployer-Pflichten. Prüfen Sie, ob Ihr Anbieter die Provider-Pflichten erfüllt (CE-Kennzeichnung, EU-Datenbank-Registrierung).

Sie haben einen Chatbot auf der Website

→ Ab August 2026: Nutzer müssen wissen, dass sie mit KI interagieren. Ein einfacher Hinweis reicht.

Sie nutzen KI für Gehaltsanalysen

→ Doppeltes Thema: AI Act (potenziell Hochrisiko unter Annex III) und EU-Entgelttransparenzrichtlinie (Frist: Juni 2026). Zwei Regulierungen, ein Handlungsbedarf.

Die Strafen

Der AI Act orientiert sich bei den Strafen an der DSGVO — mit teils noch höheren Obergrenzen:

Verbotene Praktiken: Bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Hochrisiko- und Transparenzpflichten: Bis 15 Mio. € oder 3 % des Jahresumsatzes
Falsche Angaben an Behörden: Bis 7,5 Mio. € oder 1 % des Jahresumsatzes

KMU-Regelung: Bei kleinen und mittleren Unternehmen gilt jeweils der niedrigere Wert. Ein KMU mit 5 Mio. € Umsatz zahlt bei einem Transparenzverstoß also maximal 150.000 € (3 % von 5 Mio.) — nicht 15 Millionen.

Fünf Schritte, die Sie jetzt tun können

KI-Inventur: Welche KI-Systeme setzen Sie ein? Listen Sie alle auf — auch die, die „nur" einzelne Mitarbeiter nutzen.
Rollen klären: Sind Sie Betreiber (Deployer)? In den meisten Fällen: ja. Prüfen Sie bei jedem System, wer der Anbieter ist.
Risikoklasse bestimmen: Fällt ein System in einen Hochrisiko-Bereich (HR, Kredit, Versicherung, Bildung)? Dann gelten strengere Pflichten.
KI-Kompetenz schulen: Schulen Sie Ihre Mitarbeiter. Dokumentieren Sie die Schulungen. Das ist keine Kür — das ist seit Februar 2025 Pflicht.
Prozesse aufsetzen: Wer ist verantwortlich für KI-Governance in Ihrem Unternehmen? Wer überwacht den Einsatz? Wer dokumentiert?

Fazit: Nicht warten, vorbereiten

Der EU AI Act ist kein Zukunftsthema — er ist Gegenwart. Die KI-Kompetenzpflicht gilt bereits. Die Verbote gelten bereits. Und selbst wenn die Hochrisiko-Fristen durch den Digital Omnibus verschoben werden: Die Risikoklassifizierung Ihrer Systeme ändert sich dadurch nicht. Zu wissen, wo Sie stehen, ist der erste Schritt — und den können Sie heute gehen.

Sie möchten wissen, was der AI Act konkret für Ihr Unternehmen bedeutet? Wir helfen bei der Bestandsaufnahme — strukturiert, praxisnah, verständlich. Vereinbaren Sie ein kostenloses Erstgespräch.

Häufig gestellte Fragen

Hinweis: Die Inhalte dieses Artikels dienen der allgemeinen Information und stellen keine Rechtsberatung dar. Für eine verbindliche Einschätzung Ihrer individuellen Situation wenden Sie sich bitte an einen Rechtsanwalt.

Jens Druckenmüller, LL.M.

Unternehmer & unabhängiger Berater

20 Jahre Erfahrung in Boardrooms, Due Diligence und Unternehmensberatung. Heute als unabhängiger Berater in Luxemburg — mit wechselnden Themen, aber immer dem gleichen Anspruch.

Sie möchten sich vorbereiten?

In einem unverbindlichen Erstgespräch klären wir, wo Ihr Unternehmen steht und welche Schritte sinnvoll sind.

Erstgespräch vereinbaren