Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Seit Februar 2025 sind Teile davon wirksam, weitere Stufen folgen bis 2027. Für mittelständische Unternehmen, die KI einsetzen oder einsetzen wollen, sind drei Dinge entscheidend: Risiko-Klassifizierung, Transparenz-Pflichten und Dokumentation.
Welche KI-Systeme sind betroffen?
Der EU AI Act kennt vier Risikoklassen:
| Klasse | Beispiele | Pflichten |
|---|---|---|
| Inakzeptabel | Social Scoring, biometrische Massenüberwachung | Verboten |
| Hochrisiko | KI in HR, Kreditvergabe, kritischer Infrastruktur | Streng reguliert |
| Begrenzt | Chatbots, Deepfakes | Transparenzpflicht |
| Minimal | Spamfilter, Empfehlungssysteme | Keine spezifischen Pflichten |
Die meisten Mittelständler werden überwiegend begrenztes oder minimales Risiko einsetzen. Aber Achtung: Sobald KI in HR-Prozessen (Bewerbermanagement, Performance-Reviews) oder Compliance-relevanten Bereichen genutzt wird, rutscht man schnell in den Hochrisiko-Bereich.
Was bedeutet das konkret?
1. Inventarisierung Ihrer KI-Systeme
Sie müssen wissen, welche KI-Systeme bei Ihnen im Einsatz sind. Das klingt trivial, ist es aber nicht: Viele Unternehmen unterschätzen, wie viele „kleine KI-Features" über ihre Software-Landschaft verteilt sind. CRM-Systeme, Office-Suiten, Helpdesk-Tools — überall steckt heute KI drin.
Pragmatischer Tipp: Erstellen Sie eine Tabelle mit allen KI-Tools, ihrem Einsatzzweck und der Datenkategorie. Das ist Ihr „KI-Register".
2. Transparenz-Pflicht bei Chatbots
Wenn Sie einen KI-Chatbot auf Ihrer Website oder im Kundenservice einsetzen, müssen Sie das klar kenntlich machen. Eine kleine Notiz „Sie chatten mit einem KI-Assistenten" am Anfang reicht in der Regel.
3. Dokumentation für Hochrisiko-Systeme
Für Hochrisiko-Systeme müssen Sie eine technische Dokumentation vorhalten:
- Wie ist das KI-System trainiert?
- Welche Daten werden verarbeitet?
- Welche Risiken bestehen?
- Wie überwachen Sie die Performance?
Das ist Aufwand. Aber bewältigbar, wenn man es von Anfang an strukturiert angeht.
Was wir bei PRISAVO tun
Wir liefern für jeden unserer KI-Agenten standardmäßig ein EU-AI-Act-Compliance-Paket:
- Audit-Logs für jede KI-Interaktion (wer, wann, welcher Input/Output)
- Risiko-Klassifizierung des Use-Cases bei Onboarding
- Technische Dokumentation als Template
- Halbjährliche Re-Evaluierung der Risiko-Klasse
Damit sind unsere Kunden ab Tag eins regulatorisch sauber aufgestellt.
Wann müssen Sie handeln?
| Frist | Pflicht |
|---|---|
| Februar 2025 | Verbotene Praktiken (kein Social Scoring etc.) |
| August 2025 | General-Purpose-AI-Pflichten für Anbieter |
| August 2026 | Hochrisiko-Systeme: Konformitätsbewertung |
| August 2027 | Hochrisiko-Systeme in Anhang III: vollständige Compliance |
Für die meisten Mittelständler ist Q3/Q4 2026 die kritische Phase. Wer jetzt anfängt zu inventarisieren und zu dokumentieren, kommt entspannt durch.
Fazit
Der EU AI Act ist keine Bedrohung, sondern eine Chance: Wer jetzt strukturiert aufstellt, hat einen klaren Wettbewerbsvorteil. Souveräne KI, sauber dokumentiert, mit klaren Audit-Trails — das ist die Zukunft im europäischen Mittelstand.
Sie haben Fragen zur EU-AI-Act-Compliance Ihrer KI-Systeme? Buchen Sie einen kostenlosen Discovery-Call mit unserem Team in Hannover. Wir schauen uns Ihren Use-Case an und sagen Ihnen ehrlich, was Sie tun müssen — und was nicht.