EU AI Act für den Mittelstand: Die 8-Punkte-Checkliste
Der EU AI Act gilt seit August 2025 stufenweise. Für Mittelständler keine Panik nötig, aber acht konkrete Hausaufgaben — die meisten in einem Halbtagsworkshop machbar.
1. KI-Inventar erstellen
Listen Sie jede KI-Anwendung im Unternehmen — auch die, die Mitarbeiter eigeninitiativ nutzen (ChatGPT-Konten, Copilot, eingekaufte SaaS-Tools mit KI-Features). Spalten: Name, Anbieter, Zweck, verarbeitete Datenarten, Verantwortliche:r.
2. Risikoklasse bestimmen
Pro Eintrag: minimal (Standard-Tools), limitiert (Chatbots, Bild-Generierung), hoch (HR-Auswahl, Kreditentscheidungen, kritische Infrastruktur), verboten (Social Scoring, Emotionserkennung am Arbeitsplatz). Hochrisiko und verboten brauchen sofortige Aufmerksamkeit.
3. Transparenzpflichten umsetzen
Limitiertes Risiko verpflichtet zu Hinweisen: Chatbots müssen sich als KI zu erkennen geben, KI-generierte Bilder/Videos müssen gekennzeichnet sein. In der Regel ein Satz im UI oder im Footer.
4. AVV mit Modell-Anbietern
Für jede produktiv genutzte API (OpenAI, Anthropic, Google) eine Auftragsverarbeitungs-Vereinbarung abschließen. Standard-Templates der Anbieter sind ausreichend; Enterprise-Verträge garantieren zusätzlich Kein-Training-auf-Ihren-Daten.
5. Datenschutz-Folgenabschätzung (DSFA)
Wenn personenbezogene Daten verarbeitet werden und das Risiko nicht trivial ist (z.B. Bewerber-Vorauswahl, Kunden-Klassifikation), ist eine DSFA Pflicht. 2–4 Seiten, Vorlage vom BfDI.
6. Mitarbeiter-Schulung
Der AI Act verpflichtet Anbieter und Betreiber zu „angemessener KI-Kompetenz“ der Mitarbeitenden. Praktisch: ein 90-Minuten-Onboarding zu Möglichkeiten, Risiken, Datenschutz-Regeln und Ihren internen Richtlinien — dokumentiert.
7. Technische Dokumentation für Hochrisiko-KI
Falls Sie ein Hochrisiko-System einsetzen oder anbieten: Architekturbeschreibung, Trainings-/Validierungsdaten, Eval-Ergebnisse, Risikomanagement, Logging-Konzept. Aufwand: 1–3 Personentage pro System, alle 12 Monate aktualisieren.
8. Verantwortlichkeiten klären
Eine Person als „KI-Beauftragte:r“ benennen (oft beim Datenschutzbeauftragten oder CISO angesiedelt). Diese Person hält das Inventar aktuell, bewertet neue Tools und ist Ansprechperson für Aufsichtsbehörden.
Kernbotschaften
- →Der AI Act ist machbar — keine 100-Seiten-Compliance, sondern 8 konkrete Schritte.
- →Die meisten Mittelständler haben nur limitiertes Risiko und kommen mit Inventar + Transparenz + Schulung aus.
- →Hochrisiko-Systeme brauchen technische Dokumentation und jährliche Updates.
- →Strafen sind real (bis 35 Mio € oder 7% Jahresumsatz) — Aufwand zur Vermeidung gering.
KI-Projekt im Unternehmen starten?
Wir matchen Sie mit dem passenden Senior-Berater — vorgeprüft, vertraglich abgesichert, einsatzbereit in Tagen.
Match starten