EU AI Act

EU AI Act für Selbstständige und Mittelstand: Die ehrliche Kurzfassung

Stand: 21. Mai 20264 Min Lesezeit

Was drin steht

  • Der EU AI Act ist seit dem 1. August 2024 in Kraft — die meisten Pflichten gelten 2025/2026 schrittweise.
  • Für Selbstständige und Mittelstand sind drei Dinge real: Schulungspflicht (Art. 4, seit 02.02.2025), Transparenzpflicht bei generierten Inhalten (Art. 50), Verbot von verbotenen Praktiken (Art. 5).
  • Was nicht real ist: Du musst keine Risiko-Klassifizierung erstellen, wenn du KI-Tools wie ChatGPT, Claude oder Microsoft Copilot bloß nutzt.
  • Pflichten greifen vor allem als <strong>Anwender</strong>, nicht als „Entwickler" — was viele Anbieter aus Verkaufs-Gründen verschwimmen lassen.
  • Praxis-Pfad: Schulungs-Nachweis, Hinweis auf KI-generierte Inhalte, Datenschutz-Hygiene. Mehr braucht es vorerst nicht.

Es gibt wenige Themen, bei denen mehr Halbwissen, Lobby-Lärm und Angst-Verkauf zirkulieren als rund um den EU AI Act. Wir bekommen dazu mittlerweile mehrere Anfragen pro Woche, also schreiben wir es hier in Ruhe auf.

Vorab: Wir sind keine Anwälte. Was hier steht, ist ein Praxis-Überblick aus Beratungs-Gesprächen mit Steuerberatern, Handwerksmeistern, Ärzten und Mittelstands-Geschäftsführern. Wenn dein Fall komplex ist, ziehst du einen Fachanwalt für IT-Recht hinzu — wir nennen dir gerne welche.

Was der EU AI Act überhaupt ist

Der „AI Act" — Verordnung (EU) 2024/1689 — ist die erste umfassende KI-Regulierung der Welt. Sie ist seit dem 1. August 2024 in Kraft. Die einzelnen Pflichten greifen aber gestaffelt:

  • 02.02.2025 — Verbotene Praktiken (Art. 5) + Schulungspflicht (Art. 4)
  • 02.08.2025 — Pflichten für Anbieter von General-Purpose-AI-Modellen (GPT-5, Claude, Gemini)
  • 02.08.2026 — Hochrisiko-KI-Pflichten
  • 02.08.2027 — Restliche Sondervorschriften

Für 99% der Mittelstands-Praxen heißt das: Die ersten beiden Stufen sind das, was dich betrifft. Den Rest betrifft Anbieter wie OpenAI, Google oder Microsoft.

Drei Pflichten, die dich als Anwender real treffen

1. Schulungspflicht (Art. 4) — seit 02.02.2025

Jeder, der KI-Systeme einsetzt oder davon betroffen ist, muss „über ein ausreichendes Maß an KI-Kompetenz verfügen". Klingt diffus — ist es auch. In der Praxis heißt das: Du musst nachweisen können, dass deine Mitarbeiter (und du selbst) wissen, was die genutzten KI-Tools tun, wo ihre Grenzen liegen und wie mit den Ergebnissen umzugehen ist.

Wie geht das konkret? Drei pragmatische Wege:

  • Interne Kurzschulung (1-2 Stunden) mit Teilnehmer-Liste und Unterschriften. Reicht für die meisten Mittelstands-Fälle. Inhalte: Was ist ein LLM, was sind Halluzinationen, was darf in den Prompt rein (DSGVO), was nicht, wie wird ein Ergebnis kontrolliert.
  • Externe Online-Schulung mit Zertifikat. Es gibt mittlerweile gute kostenlose Optionen (Bitkom, IHK-Akademien). Kostenpflichtige Kurse von „IHK-Geprüfter KI-Manager" bis „TÜV-zertifizierter AI-Compliance-Officer" sind nicht Pflicht — sie sind Verkaufs-Pakete der Anbieter.
  • Hersteller-Tutorials + Dokumentation. Microsoft, OpenAI und Anthropic stellen Trainings-Materialien zur Verfügung. Wenn ihr die anguckt und das in einer Mitarbeiter-Mail dokumentiert, hast du den Nachweis.

Wir haben dazu einen eigenen, tieferen Artikel: KI-Schulungspflicht ab Februar 2025 — was reicht, was ist Pflicht.

2. Transparenzpflicht bei generierten Inhalten (Art. 50)

Wenn du KI nutzt, um Inhalte zu generieren, die für Konsumenten/Kunden sichtbar werden — Texte, Bilder, Videos, Sprachausgabe — muss erkennbar sein, dass das KI-generiert ist. Das gilt insbesondere für:

  • Chatbots, die Nutzer auf deiner Website beraten: Der Hinweis „Dies ist ein KI-Chatbot" muss klar sein.
  • Synthetische Medien (Deepfakes, KI-Bilder von Personen, Voice-Clones): müssen markiert sein.
  • Texte, die wie Nachrichten/redaktionelle Inhalte aussehen: müssen als KI-generiert kenntlich sein.

Praxis: Wir haben auf unserer eigenen Seite unter dem „Frag uns“-Chat die Zeile „Es antwortet Hannes — sofort, rund um die Uhr. Heike + Lutz übernehmen, sobald es persönlich werden muss." Das ist nicht nur korrekt, es ist auch das, was Käufer respektieren — KI-Verschleierung wird in der nächsten Käufer-Generation als unseriös wahrgenommen.

3. Verbotene Praktiken (Art. 5)

Es gibt eine Liste von KI-Anwendungen, die in der EU komplett verboten sind. Für Mittelstand-Sites sind die meisten irrelevant (Social Scoring, Echtzeit-Biometrie im öffentlichen Raum, kognitive Manipulation). Eine Praxis-Frage taucht aber auf: Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen ist verboten. Wer also eine „Mitarbeiter-Zufriedenheits-KI" einkauft, die per Kamera Stimmungen erkennt — Finger weg.

Was nicht stimmt: drei Mythen, die Beratungs-Hammer produzieren

Mythos 1: „Du musst eine KI-Risiko-Klassifizierung machen"

Nein. Die Risiko-Klassifizierung (Hochrisiko, geringes Risiko, minimales Risiko) betrifft Anbieter und Entwickler von KI-Systemen, nicht Anwender. Wenn du ChatGPT für deine Marketing-Texte nutzt, musst du nichts klassifizieren. ChatGPT klassifizieren OpenAI als Anbieter.

Mythos 2: „Du brauchst einen KI-Beauftragten"

Nein. Es gibt keine gesetzliche Pflicht zu einem „KI-Beauftragten" oder „AI Officer". Das ist Verkaufs-Sprache von Schulungs- und Beratungs-Anbietern. Was sinnvoll ist: jemand im Unternehmen, der weiß, wo KI eingesetzt wird und ob die Schulungs-Pflicht erfüllt ist. Das kann der Geschäftsführer in Personalunion sein.

Mythos 3: „Bußgelder bis 35 Millionen Euro"

Die Maximal-Bußgelder im AI Act sind tatsächlich hoch (bis 35 Mio. EUR oder 7 % des Weltjahresumsatzes), aber sie betreffen verbotene Praktiken und schwere Verstöße bei Hochrisiko-Systemen. Bei Schulungspflicht-Verstoß oder fehlender Transparenz-Kennzeichnung sind die Sanktionen deutlich kleiner — und in der ersten Aufsichts-Welle wird es ohnehin um Hinweise und Nachbesserung gehen, nicht um Strafverfügungen.

Praxis-Pfad: Was du diese Woche tun kannst

  1. Inventur: Liste die KI-Tools auf, die ihr nutzt (ChatGPT, Copilot, DeepL, ein eingebauter KI-Assistent, evtl. Bild-Generatoren).
  2. Mini-Schulung: 1 Stunde Workshop für alle Mitarbeiter, die KI nutzen — mit Teilnehmer-Liste. Inhalt: Was ist ein LLM, was sind Halluzinationen, was darf in den Prompt (DSGVO), wie kontrollieren wir Ergebnisse.
  3. Transparenz-Check: Wenn du KI-Chatbots auf deiner Site hast oder KI-generierte Inhalte als „eigene Artikel" veröffentlichst — Hinweis ergänzen.
  4. DSGVO-Hygiene: Welche personenbezogenen Daten gehen in welches KI-Tool? AVV mit dem Anbieter (OpenAI Business, Microsoft Copilot Business, Anthropic Business — alle EU-konform verfügbar).

Das ist es. Mehr brauchst du 2026 nicht. Wer dir mehr verkauft, verkauft Angst.

Wo wir helfen

Wenn du KI nicht nur konform nutzen, sondern als echten Hebel verstehen willst, sprich mit Hannes. Hannes ist offen gezeigte KI — eingebaut in unsere Plattform, EU-Frankfurt-Hosting, BFSG- und AI-Act-konform standardmäßig.

Häufige Fragen

Ist die KI-Schulungspflicht abmahnfähig?
Die Aufsichtsbehörden (in Deutschland: die Bundesnetzagentur als zentrale Marktüberwachungsbehörde plus die Landesdatenschutzbehörden) können bei Verstößen handeln. In den ersten 12-18 Monaten werden Aufforderungen zur Nachbesserung dominieren, nicht Bußgelder. Trotzdem: ein dokumentierter Mini-Workshop ist in 2 Stunden gemacht.
Muss ich meine Mitarbeiter formal zertifizieren lassen?
Nein. Ein internes Schulungs-Protokoll mit Datum, Inhalten und Teilnehmer-Unterschriften reicht. Externe Zertifikate sind keine Pflicht.
Was ist mit dem Datenschutz, wenn ich ChatGPT nutze?
OpenAI bietet ChatGPT Team und Enterprise mit AVV und EU-Datenresidenz an. Wer ohne diese Tarife mit personenbezogenen Daten arbeitet, hat ein DSGVO-Problem — unabhängig vom AI Act. Wir empfehlen für Mittelstand: Microsoft Copilot for M365 oder Anthropic Claude (Enterprise mit EU-Frankfurt) für hochsensible Use-Cases.
Brauche ich für eine KI auf meiner Website etwas anderes als für unsere Mitarbeiter-KI?
Wenn eine KI auf deiner Seite läuft (z.B. als Berater-Chat), greift die Transparenzpflicht (Art. 50): erkennbar als KI markieren. Der Schulungspflicht-Teil bleibt bei dir als Anwender — wir liefern dir die Hinweis-Bausteine mit.
Was kostet eine einmalige Mini-Schulung intern?
Wenn du selbst 1-2 Stunden investierst: 0 €. Wenn ein externer Berater das übernehmen soll: typisch 600-1.200 € einmalig für ein Mittelstands-Team von 5-15 Personen.
Müssen wir das jährlich wiederholen?
Der AI Act schreibt keine Wiederholungs-Frequenz vor. Praxis-Empfehlung: jährlich kurz auffrischen — analog zur DSGVO-Schulung. Bei größeren Tool-Wechseln (z.B. neue KI eingeführt) sofort ergänzen.

Das regeln wir — so sieht das bei uns aus.

Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.

Weiterlesen

10.02.2026EU AI Act Stand 2026: Was schon gilt, was kommt, was im Mittelstand wirklich greift05.11.2025AI-Act-Dokumentationspflicht: Was Mittelständler aufschreiben müssen — und was reicht05.09.2025Chatbot-Hinweispflicht nach EU AI Act: Was seit August 2025 wirklich rauf muss