Groenewold IT Solutions LogoGroenewold IT Solutions – Startseite
🇬🇧

Stand: April 2026.

Zurück zur Übersicht KI für Unternehmen
Thema KI für Unternehmen

AI Act 2026: Was Mittelständler beim Einsatz von KI jetzt wissen müssen

EU AI Act für den Mittelstand: Risikoklassen, Verbote, Hochrisiko-KI, GPAI, Pflichten für Anwender, Kosten — Groenewold IT Solutions.

Was ist der AI Act?

Die Verordnung (EU) 2024/1689 („KI-Verordnung“, „AI Act“) ist das erste umfassende Regelwerk der EU für Künstliche Intelligenz. Es verbindet Produkt- und Grundrechtsperspektive: Hochrisiko-Anwendungen müssen dokumentierte Governance erhalten; verbotene Praktiken sind ausgeschlossen; Transparenzpflichten treffen u. a. General-Purpose-KI und bestimmte Interaktionen mit Menschen [Quelle: EU CELEX 32024R1689].

Für den Mittelstand ist entscheidend, dass der AI Act nicht nur Modellanbieter betrifft, sondern auch Organisationen, die KI in geschützten Kontexten einsetzen — etwa HR, Bildung oder kritische Infrastrukturen, wenn Hochrisiko nach Anhang III vorliegt. Parallel gelten datenschutzrechtliche Pflichten aus der DSGVO; ein „KI-only“-Compliance-Konzept ohne Datenfluss-Analyse reicht selten.

Der AI Act ist damit eng mit Ihrer KI-Strategie verknüpft: Welche Use Cases laufen intern? Wer entscheidet über Trainingsdaten und Prompts? Wo liegt menschliche Kontrolle („Human oversight“)? Diese Fragen sollten Sie vor großen Rollouts klären — nicht erst bei Audit oder Vorfall.

Risikoklassen im Überblick

KlasseBeispieleTypische Pflichten
Unannehmbares RisikoBestimmte manipulative oder überwachungsgestützte MassenbewertungVerbot — keine Ausnahme im Alltag
HochrisikoAuswahl in kritischen Bereichen (z. B. HR unter Bedingungen des Anhang III)Risikomanagement, Daten-Governance, Logging, Aufsicht
Begrenztes RisikoChatbots ohne Hochrisiko-Kontext, TransparenzpflichtenTransparenz gegenüber Nutzer:innen
Minimales RisikoSpamfilter, einfache EmpfehlungenKeine schweren Pflichten — Basis-TOP bleibt sinnvoll

Quelle | Stand: Verordnungstext | EUR-Lex

Die Einordnung ist sachlich und dokumentiert vorzunehmen: Produktowner notiert Zweck, betroffene Personengruppen, Datenquellen und Entscheidungspfade. Für verwandte Lesarten siehe unser Thema DSGVO und KI.

In der Praxis vermischen Teams gerne „interne Produktivitäts-KI“ (z. B. Zusammenfassungen) mit entscheidungsnahen Workflows (Bewertung von Bewerbungen). Genau dort liegt das Risiko: ein Tool, das im Meeting nur „Text hilft“, kann in HR plötzlich hochriskant werden, wenn Output ungeprüft in Folgesysteme fließt. Entkoppeln Sie Use Cases strikt (Prompt-Templates, Zugriffsrollen, Speicherverbote für sensible Felder).

Für Compliance-Zyklen empfiehlt sich eine Risiko-Library: einmal definierte Kataloge für Datenklassen, Modell-Familien und Integrationspunkte (ATS, CRM, Ticketsystem). So wiederholen Sie nicht jedes Quartal die gleiche Grundsatzdiskussion — sondern pflegen nur Änderungen an Datenflüssen und Modellversionen [Quelle: interne Best Practices; EU AI Act zu Dokumentation und QM-System].

Was ist verboten?

Art. 5 der Verordnung listet unzulässige Praktiken — etwa bestimmte Formen von Fernidentifikation mittels Massenüberwachung in öffentlichen Räumen oder KI, die Menschen zu manipulieren versucht, ohne dass sie es merken. Für Unternehmen ist wichtig: Marketing- oder HR-Experimente dürfen nicht in Graubereiche rutschen — „wir testen nur mal“ reicht nicht, wenn verbotene Muster berührt werden [Quelle: Art. 5 AI Act].

  • Keine Ausnahmen ohne Prüfung: kurze Checkliste mit Legal vor Pilotstart.
  • Biometrie und Emotionserkennung am Arbeitsplatz sind besonders sensibel — oft Spezialthema.
  • Social-Scoring durch private Akteure ist ebenfalls adressiert — nicht nur staatliche Systeme.

Wenn Sie unsicher sind, ob Ihr Anwendungsfall berührt ist: stoppen Sie den Rollout und holen Sie eine rechtliche Einordnung ein — technisch können wir parallel Architektur und Datenflüsse dokumentieren (Made in Germany).

Was ist Hochrisiko-KI?

Hochrisiko-Systeme unterliegen strengeren Pflichten: Risikomanagement-System, Daten-Governance, technische Dokumentation, Logging, Überwachung nach Inverkehrbringen und mehr — je nach Rolle (Anbieter vs. Anwender) unterschiedlich verteilt [Quelle: AI Act Kapitel zu Hochrisiko und Anhang III].

Typische Mittelstands-Anwendungen, die kritisch sein können: automatisierte Lebensläufe-Screenings, Scoring in der Kreditentscheidung, Auswahlwerkzeuge in HR-Software, die empfehlend eingreifen. Hier hilft eine saubere Grenzziehung: Assistenzmodus (Vorschlag + Mensch entscheidet dokumentiert) vs. automatische Entscheidung ohne Review.

Technisch sollten Sie Erklärbarkeit nicht überinterpretieren — nicht jedes Modell liefert „schöne“ Erklärungen. Aber Sie können dokumentieren: Features, Trainingsdaten-Kategorien, Fairness-Checks, Fallback bei Niedrig-Konfidenz und Eskalationspfad zum Menschen — siehe auch unsere KI-Wissensdatenbank-Projekte mit nachvollziehbaren Quellen.

Verwandte Lesung: KI-Use-Cases Mittelstand.

GPAI / Foundation Models — was Anbieter und Anwender beachten müssen

General-Purpose-AI-Modelle (z. B. große Sprachmodelle) unterliegen bei Anbietern zusätzlichen Transparenz- und Sicherheitsanforderungen; bei Systemischen Risiken gibt es erweiterte Pflichten [Quelle: AI Act GPAI-Kapitel]. Anwender sind nicht automatisch „frei“: Sie müssen Produktkette und Einhaltung dokumentieren — etwa welche Modelle in Produktion sind, mit welchen Datengrenzen und welchen Prompt-/Tool-Policies.

Praktisch: Für ChatGPT, Claude, Gemini oder Mistral pflegen wir intern Modell-Freigaben, Datenklassen und Vaulting von API-Keys. Der Zugriff erfolgt rollenbasiert — nicht jedes Team darf beliebig Dokumente indexieren. Das passt zu Anforderungen aus AI Act und DSGVO gleichermaßen.

Kurz: Anbieter liefern Transparenz und technische Unterlagen — Anwender implementieren Grenzen im Betrieb und dokumentieren sie.

Welche Pflichten treffen Anwender (B2B)?

  • Schulung & Awareness: sachliche Nutzungsregeln, Kennzeichnung KI-generierter Inhalte wo erforderlich.
  • Daten-Governance: nur erlaubte Datenquellen in Fine-Tuning/RAG; Löschkonzepte und Zugriffsprotokolle.
  • Logging: wer hat welches Modell mit welchem Zweck genutzt — revisionssicher für Hochrisiko-Kontexte.
  • Mensch-in-der-Schleife: bei sensiblen Entscheidungen dokumentierte Freigaben.
  • Vorfälle: Fehler- und Vorfall-Meldungen an Hersteller/Anbieter nach Mitwirkungspflichten.

Für Mittelständler heißt das in der Regel: Governance ist klein aber konsistent — nicht 200-seitige Ordner, sondern klare Regeln in Notion/Intranet plus Nachweise in Tickets.

Ein wiederkehrendes Muster in Projekten: Teams kaufen SaaS-KI (Meeting-Notes, Sales-Mail) ohne Datenklassen — später landen sensible Gesprächsinhalte in Trainingsdaten Dritter. Verhindern Sie das durch technische und organisatorische Schotten: getrennte Tenants, Verbotslisten für Dateitypen und automatische Retention-Limits. Das ist keine „Zusatzlast“, sondern schützt vor den teuersten Vorfallszenarien — gleichzeitig hilft es bei Aufsichtsfragen zur Zweckbindung.

Für Finance und Legal empfiehlt sich eine gemeinsame Risiko-Sprache: nicht „Tool XY“, sondern „Entscheidungsassistenz im Bewerbungsprozess mit Zugriff auf Profildaten“. Je präziser die Beschreibung, desto leichter wird die Risikoklasse — und desto einfacher sind Ableitungen für Datenschutz-Folgenabschätzungen und AI-Act-Dokumentation [Quelle: interne Governance-Muster; EU AI Act zu Dokumentation].

AI Act und DSGVO

AspektAI ActDSGVO
FokusRisikoklassen, Marktüberwachung, ProduktpflichtenPersonenbezogene Daten, Rechtsgrundlagen, Betroffenenrechte
ÜberlappungViele Audits verlangen gemeinsame Nachweise — eine Datenfluss-Doku dient beiden Zwecken, wenn personenbezogene Daten verarbeitet werden.

Stand Einordnung April 2026 — keine Rechtsberatung.

Was kostet die Compliance?

Typischerweise entstehen Kosten für Governance-Aufbau (40–120 kEUR je nach Größe), Schulungen (intern oder extern), technische Umsetzung (Identity, Logging, RAG-Isolation) und laufende Reviews bei Modell-/Prompt-Änderungen. Große Sprünge vermeiden Sie, wenn Sie auf bestehende Security-Baseline (MFA, MDM, Ticket-System) aufsetzen.

ROI entsteht durch weniger Fehlentscheidungen, schnellere Audits und vermeidbare Stillstände — nicht durch „KI um der KI willen“.

Praxis: KI-Wissensdatenbank und KI-Telefonbot AI-Act-konform betreiben

Bei Groenewold IT Solutions koppeln wir Kundenprojekte an klare Datenherkunft: nur freigegebene Dokumente indexieren, Zugriff über bestehende Identity, nachvollziehbare Quellenangaben in Antworten und technische Logs ohne unnötige Personendaten. Für KI-Telefonbots definieren wir Eskalationspfade zum Menschen und Halteverbote für sensible Themen.

„AI Act-ready“ bedeutet für uns: dokumentierte Architektur, Release-Checkliste bei Modellwechsel und Nachweise für Auftraggeber — nicht nur eine Marketing-Badge.

Vertiefung: KI-Wissensdatenbank, KI-Schulungen.

Wie wir Sie unterstützen

Termin zur AI-Act-Einordnung — Use Cases priorisieren und Risiko klassifizieren.

Blog & Glossar: Blog KI & Chatbots, Glossar KI.

Quellen

Literaturdatei: `src/data/references/ai-act-mittelstand.references.md`

Stand und nächste Aktualisierung

Stand: April 2026 · Nächste Revision: Oktober 2026

Häufige Fragen zu AI Act 2026: Was Mittelständler beim Einsatz von KI jetzt wissen müssen

Brauche ich einen KI-Beauftragten?
Es gibt keinen universellen Ersatz für klare Rollen: oft genügt eine benannte Verantwortliche Person mit Backup — gekoppelt an Ihre IST-Organisation. Hochrisiko-Kontexte erfordern strukturiertere QM-Nachweise.
Wie kennzeichne ich KI-generierte Inhalte?
Wo Transparenzpflichten greifen, sollten Nutzer:innen KI erkennen — Form und Kanal hängen vom Anwendungsfall ab (UI-Hinweis, Footer, Voice-Prompt). Interne Guidelines helfen, Wildwuchs zu vermeiden.
Sind ChatGPT-Antworten dokumentationspflichtig?
In Hochrisiko- oder entscheidungsnahen Prozessen sollten Zweck, Eingaben und Review dokumentiert werden — technisch über Tickets oder Governance-Tools; keine unnötige Speicherung personenbezogener Daten.
Was tun, wenn unsere Software ein Hochrisiko-System ist?
Rolle klären (Anbieter vs. Betreiber), Risikomanagement aktivieren, Daten und Tests dokumentieren — und rechtliche Beratung einbinden; technisch liefern wir Architektur und Logging-Voraussetzungen.
Wie verhält sich der AI Act zur DSGVO?
Parallel: AI Act adressiert Risiko und Marktüberwachung; DSGVO schützt Personenbezug — Datenflüsse und Zweckbindung müssen zusammen gedacht werden.
Ab wann gelten GPAI-Pflichten für uns?
Zeitachsen sind gestaffelt — prüfen Sie den Verordnungstext und nationale Begleitregeln zum Stichtag Ihrer Nutzung und Modellgeneration.
Was ist mit Open-Source-Modellen?
Je nach Rolle und Risiko können Dokumentations- und Lizenzpflichten gelten — „Open Source“ ist kein Freifahrtschein für Hochrisiko-Einsatz ohne Governance.
Welche ersten technischen Maßnahmen sind sinnvoll?
MFA/SSO für KI-Tools, Secrets-Management, Datenklassen für RAG, Logging ohne Übererfassung und Eskalationspfade zum Menschen.
Termin vereinbaren

Nächster Schritt

Lassen Sie uns kurz klären, was für Ihr Projekt sinnvoll ist.

Wir hören zu, fragen nach und geben Ihnen eine fundierte Einschätzung.

Projekt-Check startenJetzt Termin vereinbaren

30 Min. Strategiegespräch – 100% kostenlos & unverbindlich