Alle Artikel
Recht & Compliance02. Mai 20266 Min

EU AI Act für den Mittelstand: Die 8-Punkte-Checkliste

Der EU AI Act gilt seit August 2025 stufenweise. Für Mittelständler keine Panik nötig, aber acht konkrete Hausaufgaben — die meisten in einem Halbtagsworkshop machbar.

1. KI-Inventar erstellen

Listen Sie jede KI-Anwendung im Unternehmen — auch die, die Mitarbeiter eigeninitiativ nutzen (ChatGPT-Konten, Copilot, eingekaufte SaaS-Tools mit KI-Features). Spalten: Name, Anbieter, Zweck, verarbeitete Datenarten, Verantwortliche:r.

2. Risikoklasse bestimmen

Pro Eintrag: minimal (Standard-Tools), limitiert (Chatbots, Bild-Generierung), hoch (HR-Auswahl, Kreditentscheidungen, kritische Infrastruktur), verboten (Social Scoring, Emotionserkennung am Arbeitsplatz). Hochrisiko und verboten brauchen sofortige Aufmerksamkeit.

3. Transparenzpflichten umsetzen

Limitiertes Risiko verpflichtet zu Hinweisen: Chatbots müssen sich als KI zu erkennen geben, KI-generierte Bilder/Videos müssen gekennzeichnet sein. In der Regel ein Satz im UI oder im Footer.

4. AVV mit Modell-Anbietern

Für jede produktiv genutzte API (OpenAI, Anthropic, Google) eine Auftragsverarbeitungs-Vereinbarung abschließen. Standard-Templates der Anbieter sind ausreichend; Enterprise-Verträge garantieren zusätzlich Kein-Training-auf-Ihren-Daten.

5. Datenschutz-Folgenabschätzung (DSFA)

Wenn personenbezogene Daten verarbeitet werden und das Risiko nicht trivial ist (z.B. Bewerber-Vorauswahl, Kunden-Klassifikation), ist eine DSFA Pflicht. 2–4 Seiten, Vorlage vom BfDI.

6. Mitarbeiter-Schulung

Der AI Act verpflichtet Anbieter und Betreiber zu „angemessener KI-Kompetenz“ der Mitarbeitenden. Praktisch: ein 90-Minuten-Onboarding zu Möglichkeiten, Risiken, Datenschutz-Regeln und Ihren internen Richtlinien — dokumentiert.

7. Technische Dokumentation für Hochrisiko-KI

Falls Sie ein Hochrisiko-System einsetzen oder anbieten: Architekturbeschreibung, Trainings-/Validierungsdaten, Eval-Ergebnisse, Risikomanagement, Logging-Konzept. Aufwand: 1–3 Personentage pro System, alle 12 Monate aktualisieren.

8. Verantwortlichkeiten klären

Eine Person als „KI-Beauftragte:r“ benennen (oft beim Datenschutzbeauftragten oder CISO angesiedelt). Diese Person hält das Inventar aktuell, bewertet neue Tools und ist Ansprechperson für Aufsichtsbehörden.

Kernbotschaften

  • Der AI Act ist machbar — keine 100-Seiten-Compliance, sondern 8 konkrete Schritte.
  • Die meisten Mittelständler haben nur limitiertes Risiko und kommen mit Inventar + Transparenz + Schulung aus.
  • Hochrisiko-Systeme brauchen technische Dokumentation und jährliche Updates.
  • Strafen sind real (bis 35 Mio € oder 7% Jahresumsatz) — Aufwand zur Vermeidung gering.
EU AI ActComplianceDSGVO

KI-Projekt im Unternehmen starten?

Wir matchen Sie mit dem passenden Senior-Berater — vorgeprüft, vertraglich abgesichert, einsatzbereit in Tagen.

Match starten

Weitere Artikel