Zurück zum Blog Compliance

EU AI Act für den Mittelstand: Was kleine Unternehmen jetzt wissen müssen

Der EU AI Act betrifft auch KMU, aber die meisten Anwendungen fallen in die niedrigste Risikoklasse. Was wirklich auf Sie zukommt und was Sie getrost ignorieren können.

Stand: 19. Mai 2026 · Autor: Daniel Boutoline

Der EU AI Act stuft KI-Anwendungen nach Risiko ein. Die allermeisten Automatisierungen im Mittelstand, etwa E-Mail-Sortierung oder Dokumentenverarbeitung, fallen in die niedrigste Klasse mit minimalen Pflichten. Verbote und strenge Auflagen treffen nur klar abgegrenzte Hochrisiko-Fälle, die im typischen KMU selten vorkommen.

Das Prinzip: Risiko entscheidet, nicht die Technik

Der EU AI Act reguliert nicht KI an sich, sondern den Verwendungszweck. Je größer das Risiko für Menschen, desto strenger die Regeln. Es gibt vier Stufen.

  • Verbotene Praktiken: etwa Social Scoring oder manipulative Systeme. Für normale Unternehmen praktisch irrelevant.
  • Hochrisiko: KI in Bereichen wie Personalauswahl, Kreditvergabe oder kritischer Infrastruktur. Hier gelten umfangreiche Dokumentations- und Aufsichtspflichten.
  • Begrenztes Risiko: Systeme, die mit Menschen interagieren, etwa Chatbots. Hier gilt vor allem eine Transparenzpflicht.
  • Minimales Risiko: der große Rest, darunter die meisten internen Automatisierungen. Kaum zusätzliche Pflichten.

Wo Ihr Unternehmen wahrscheinlich landet

Wenn Sie KI einsetzen, um eingehende E-Mails zu sortieren, Rechnungen auszulesen oder Standardanfragen vorzubereiten, bewegen Sie sich fast immer im Bereich minimales Risiko. Diese Anwendungen verarbeiten interne Abläufe und treffen keine Entscheidungen mit gravierenden Folgen für einzelne Personen.

Achtung bei zwei Punkten:

  • Chatbots und KI-Assistenten für Kunden fallen unter begrenztes Risiko. Sie müssen Menschen darüber informieren, dass sie mit einer KI sprechen. Das ist mit einem klaren Hinweis erledigt.
  • KI in Personalentscheidungen (Bewerber-Vorauswahl, Leistungsbewertung) kann als Hochrisiko gelten. Hier ist Vorsicht und gegebenenfalls Beratung angebracht.

Was Sie konkret tun sollten

  1. Verschaffen Sie sich einen Überblick: Wo setzen Sie heute KI ein und wofür?
  2. Ordnen Sie jede Anwendung einer Risikoklasse zu. Bei minimalem Risiko ist wenig zu tun.
  3. Setzen Sie die Transparenzpflicht um, wo KI direkt mit Menschen interagiert.
  4. Dokumentieren Sie, was Ihre Systeme tun. Das überschneidet sich mit den ohnehin nötigen DSGVO-Unterlagen.

Keine Panik, aber kein Blindflug

Der EU AI Act ist für den typischen Mittelständler gut beherrschbar. Wer KI für interne Routineprozesse nutzt, hat in den meisten Fällen kaum zusätzliche Pflichten. Wichtig ist, die wenigen sensiblen Fälle zu erkennen, bevor sie zum Problem werden. Wie Sie Datenschutz und KI sauber zusammenbringen, lesen Sie in DSGVO-konforme KI im Unternehmen.

Dieser Artikel ist eine Orientierung, keine Rechtsberatung. Für die verbindliche Einordnung Ihrer konkreten Anwendung ziehen Sie fachkundige Beratung hinzu.

Limitierte Kapazitäten

Bereit für den digitalen Vorsprung?

Lassen Sie uns in einem unverbindlichen Erstgespräch klären, wie wir Ihre Routine-Prozesse skalierbar und effizient machen können.

Erstberatung buchen kontakt@aimetra.de