EU AI Act: 3 Sofortmaßnahmen für dein Unternehmen
Zurück zum Blog

EU AI Act: 3 Sofortmaßnahmen für dein Unternehmen

25. Mai 20266 Min. Lesezeit

Seit dem 2. Februar 2025 gelten erste Teile des EU AI Act für alle Unternehmen, die KI einsetzen. Nicht irgendwann. Jetzt. Wer noch kein KI-Inventar hat, keine Mitarbeiterschulungen durchgeführt hat und keinen Plan für die Chatbot-Kennzeichnung besitzt, hat bereits Handlungsbedarf. Dieser Artikel zeigt drei konkrete Maßnahmen, die du sofort umsetzen kannst.

Was heute bereits gilt und was der Digital Omnibus verändert

Am 7. Mai 2026 einigten sich EU-Parlament, EU-Rat und EU-Kommission auf das sogenannte Digital Omnibus on AI. Das Paket verschiebt die aufwendigsten Compliance-Pflichten für Hochrisiko-KI-Systeme erheblich: Statt August 2026 gilt nun der 2. Dezember 2027 als Stichtag. Für kleine und mittlere Unternehmen klingt das nach guten Nachrichten, und das stimmt für einen Teil der Anforderungen.

Zwei Bereiche sind jedoch nicht verschiebbar. Die Verbote für bestimmte KI-Praktiken (Artikel 5) gelten bereits seit dem 2. Februar 2025. Die KI-Kompetenzpflicht (Artikel 4) ebenfalls. Und die Transparenzpflichten (Artikel 50) treten wie geplant am 2. August 2026 in Kraft. Der Digital Omnibus hat diese Bereiche ausdrücklich nicht verändert.

Wichtiger Hinweis: Der Digital Omnibus ist Stand 25. Mai 2026 eine provisorische politische Einigung, aber noch nicht formal im Amtsblatt der EU veröffentlicht. Die formelle Annahme wird vor dem Stichtag 2. August 2026 erwartet. Bis dahin gilt rechtlich noch der ursprüngliche Zeitplan.

Sofortmaßnahme 1: Erstelle ein KI-Inventar für dein Unternehmen

Der erste und wichtigste Schritt ist eine vollständige Bestandsaufnahme aller KI-Systeme, die in deinem Unternehmen eingesetzt werden. Das klingt aufwendig, ist für ein Unternehmen mit 5 bis 100 Mitarbeitenden aber in wenigen Stunden umsetzbar.

Ein strukturiertes KI-Inventar erfüllt zwei Funktionen gleichzeitig. Zum einen schafft es die Grundlage für alle weiteren Compliance-Maßnahmen. Zum anderen deckt es auf, welche Tools im Unternehmen genutzt werden, ohne dass du davon weißt. Dieses Phänomen heißt in der Fachsprache „Shadow AI": Mitarbeitende nutzen ChatGPT, Copilot oder ähnliche Tools eigenständig und ohne Genehmigung. Unter dem EU AI Act ist das ein reales regulatorisches Risiko, denn als Unternehmen bist du für den Einsatz dieser Systeme verantwortlich.

Für jedes Tool solltest du festhalten:

  • Welches KI-System wird genutzt (Name, Anbieter, Version)?
  • Für welchen Zweck wird es eingesetzt?
  • Wer nutzt es, und in welchem Kontext?
  • Handelt es sich um eine eingekaufte Lösung (Betreiber-Rolle) oder ein selbst entwickeltes System (Anbieter-Rolle)?
  • In welche Risikokategorie fällt das System?

Die meisten KI-Tools, die kleine Unternehmen im Alltag einsetzen, fallen in die Kategorien mit minimalem oder limitiertem Risiko. KI-Schreibassistenten, Marketing-Automatisierung und einfache Chatbots gehören dazu. Hochrisiko-Systeme sind beispielsweise KI-gestützte Bewerbermanagement-Tools oder automatisierte Kreditprüfungen. Diese Unterscheidung ist entscheidend für die weiteren Schritte.

Sofortmaßnahme 2: Stelle sicher, dass dein Team KI-kompetent ist

Artikel 4 des EU AI Act schreibt KI-Kompetenz für alle Mitarbeitenden vor, die KI-Systeme beruflich nutzen oder deren Ergebnisse verwenden. Diese Pflicht gilt bereits seit dem 2. Februar 2025, wurde aber von vielen Unternehmen bisher ignoriert.

Die Anforderung ist bewusst offen formuliert. Es geht nicht um ein zertifiziertes Schulungsprogramm mit hundert Unterrichtsstunden. Gefordert ist ein angemessenes Verständnis dafür, was ein KI-System kann, wo es an Grenzen stößt und welche Risiken seine Nutzung im konkreten Einsatzbereich mit sich bringt. Für ein kleines Unternehmen bedeutet das in der Praxis:

  • Mitarbeitende wissen, welche KI-Tools sie nutzen dürfen und welche nicht.
  • Sie verstehen, dass KI-Outputs nicht unkritisch übernommen werden dürfen.
  • Sie kennen die grundlegenden Datenschutzregeln beim Einsatz externer KI-Tools.
  • Es gibt eine interne Ansprechperson oder zumindest eine klare Richtlinie zum KI-Einsatz.

Ein praktischer Einstieg ist eine interne KI-Nutzungsrichtlinie: ein ein- bis zweiseitiges Dokument, das regelt, welche Tools erlaubt sind, welche Daten nicht in externe KI-Systeme eingegeben werden dürfen und wie mit KI-generierten Inhalten umzugehen ist. Das schützt sowohl das Unternehmen als auch die Mitarbeitenden.

Tipp aus der Praxis: Wer bereits eine DSGVO-Datenschutzstruktur im Unternehmen hat, kann darauf aufbauen. Viele der relevanten Fragen, zum Beispiel welche Daten an externe Dienste übertragen werden dürfen, sind in DSGVO-Prozessen bereits beantwortet. Der KI-Kontext ergänzt diese Struktur, ersetzt sie aber nicht.

Sofortmaßnahme 3: Bereite dich auf die Transparenzpflichten vor

Am 2. August 2026 treten die Transparenzpflichten nach Artikel 50 des EU AI Act in Kraft. Für die meisten kleinen Unternehmen ist das die relevanteste kurzfristige Deadline, denn sie betrifft den Alltag direkt.

Konkret gilt ab diesem Datum:

  • Chatbots müssen klar als KI gekennzeichnet sein. Wer einen KI-Chatbot auf seiner Website betreibt, muss offenlegen, dass es sich um KI handelt. Das gilt für den Handwerksbetrieb genauso wie für das mittelständische Dienstleistungsunternehmen.
  • KI-generierte Texte, Bilder, Audio und Video, die öffentlich veröffentlicht werden, müssen entsprechend gekennzeichnet werden. Wer Marketing-Inhalte mit KI-Tools produziert und diese publiziert, ist betroffen.
  • Anbieter von generativen KI-Systemen müssen ihre Outputs technisch markieren, zum Beispiel durch Wasserzeichen oder Metadaten. Für bestehende Systeme gilt eine Übergangsfrist bis Dezember 2026.

Die Umsetzung dieser Pflicht erfordert keinen großen technischen Aufwand. Ein deutlicher Hinweis wie „Dieser Text wurde mit KI erstellt" oder „Du kommunizierst mit einem KI-Assistenten" reicht in vielen Fällen aus. Wichtig ist, dass die Kennzeichnung sichtbar und unmissverständlich ist.

Welche Risiken drohen bei Untätigkeit?

Der EU AI Act sieht abgestufte Bußgelder vor. Verstöße gegen die Verbote (Artikel 5) können mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden. Verstöße gegen Hochrisiko-Anforderungen kosten bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes. Für KMU gilt jeweils der niedrigere Wert, also der Festbetrag oder der Umsatzprozentsatz.

In Deutschland ist die Bundesnetzagentur die zentrale Aufsichtsbehörde, flankiert vom BSI für Cybersicherheitsfragen und der BaFin für den Finanzsektor. Das BSI hat angekündigt, ab August 2026 aktiv zu prüfen. Zudem hat das Bundeskabinett mit dem KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) im Februar 2026 das deutsche Durchführungsgesetz beschlossen, das die nationalen Zuständigkeiten regelt.

KI-Nutzung lohnt sich trotzdem

Der regulatorische Aufwand sollte nicht dazu verleiten, KI-Tools komplett zu meiden. Laut dem Bitkom KI-Barometer 2026 verzeichneten Unternehmen mit KI-Einsatz ein durchschnittliches Umsatzwachstum von 8,2 Prozent gegenüber 4,6 Prozent bei Unternehmen ohne KI-Einsatz. Gleichzeitig nutzen erst 25 Prozent der deutschen KMU KI aktiv, ein Anstieg von 21 Prozent im Vorjahr. Der Raum für Wettbewerbsvorteile ist also noch offen.

Wer DSGVO-konform arbeitende Tools einsetzt, die keine Kundendaten für KI-Training verwenden und auf EU-Servern gehostet werden, erfüllt damit bereits einen wesentlichen Teil der datenschutzrechtlichen Anforderungen. Plattformen wie ConRat AI sind auf deutschen Servern gehostet, DSGVO-konform und bündeln mehrere KI-Tools unter einem Login, was das Inventar übersichtlich hält und Shadow AI im Unternehmen reduziert.

Unser Fazit

Der EU AI Act ist kein Bürokratieprojekt für große Konzerne. Er betrifft jedes Unternehmen, das KI einsetzt, auch das mit zehn Mitarbeitenden. Die gute Nachricht: Die drei Sofortmaßnahmen, KI-Inventar erstellen, Mitarbeitende schulen und Transparenzpflichten vorbereiten, sind mit überschaubarem Aufwand umsetzbar. Wer jetzt anfängt, hat bis August 2026 ausreichend Zeit, die wesentlichen Punkte abzuhaken. Wer wartet, schafft sich unnötige Risiken.

Für offene Fragen bietet die EU-Kommission einen offiziellen AI Act Service Desk an, der Unternehmen und Behörden bei der Umsetzung unterstützt.

Quellen

EU AI ActKI-ComplianceKünstliche IntelligenzDigital OmnibusKI-RegulierungUnternehmens-KIHochrisiko-KIAI Act 2025
Teilen:LinkedInX / Twitter
Kostenloser Newsletter

KI-Tipps direkt in dein Postfach

Erhalte wöchentlich die besten KI-Tipps, Tools und Strategien für dein Unternehmen. Kostenlos und jederzeit kündbar.

DSGVO-konform mit Double-Opt-In. Kein Spam, jederzeit abmeldbar.

Weitere Artikel

KI-Kompetenz im Lebenslauf: Was hinter den Zahlen wirklich steckt

KI-Kompetenz im Lebenslauf: Was hinter den Zahlen wirklich steckt

Studie zeigt: 63 % der Beschäftigten übertreiben ihre KI-Kenntnisse, getrieben von Automatisierungsangst. Was steckt hinter der sogenannten „AI Skills Bubble"?

28. Mai 20265 Min.
Shadow AI: Wenn Mitarbeitende KI nutzen, ohne dein Wissen

Shadow AI: Wenn Mitarbeitende KI nutzen, ohne dein Wissen

Shadow AI ist 2026 die größte unkontrollierte Technologie-Adoption in Unternehmen, mit echten Risiken für Datenschutz und Sicherheit im DACH-Raum.

26. Mai 20265 Min.
5 Prompts für Angebote die sich selbst schreiben

5 Prompts für Angebote die sich selbst schreiben

Mit den richtigen ChatGPT-Prompts schreiben Selbstständige professionelle Angebote in Minuten statt Stunden. Klar, überzeugend und ohne großen Schreibaufwand.

25. Mai 20263 Min.