EU AI Act 2026: Was Unternehmen jetzt wirklich tun müssen

Als das Thema KI-Regulierung vor einigen Jahren erstmalig diskutiert wurde, hofften viele Unternehmerinnen und Unternehmer noch, es würde so schnell wieder verschwinden wie ein schlechter Werbespot. Heute wissen wir: Der EU AI Act ist da – und er hat Zähne.

Gerade für kleine und mittlere Unternehmen wirkt das Thema auf den ersten Blick kompliziert – neue Vorschriften, neue Begriffe, neue Risiken. Doch die gute Nachricht lautet: Nicht jedes Unternehmen muss plötzlich komplexe Zertifizierungsprozesse durchlaufen oder seine komplette Arbeitsweise umstellen.

Entscheidend ist vor allem eines: zu wissen, wo im eigenen Unternehmen bereits KI eingesetzt wird und welche Pflichten daraus tatsächlich entstehen.

Warum das Thema jetzt wichtig ist

Seit Februar 2025 gelten bereits erste Regelungen des EU AI Acts. Dazu gehören unter anderem Verbote bestimmter KI-Praktiken sowie die Pflicht, ausreichende KI-Kompetenz im Unternehmen sicherzustellen.

Wer Mitarbeitende mit KI-Systemen arbeiten lässt, sollte dafür sorgen, dass diese die Chancen, Risiken und grundlegenden Regeln im Umgang mit KI verstehen. Dabei geht es nicht um Informatikstudiengänge oder komplizierte Zertifikate. In vielen Fällen reichen klare interne Regeln, dokumentierte Schulungen und ein bewusster Umgang mit eingesetzten Tools bereits aus.

Nicht jede KI ist automatisch ein Hochrisiko-System

Ein wichtiger Punkt wird in vielen Diskussionen vergessen: Der EU AI Act unterscheidet zwischen verschiedenen Risikostufen. Viele alltägliche KI-Anwendungen – etwa Text- oder Bildgeneratoren, Übersetzungshilfen oder KI-gestützte Office-Tools – fallen nicht automatisch unter die strengsten Vorgaben.

Besonders sensibel wird es dort, wo KI:

• Menschen bewertet,

• Entscheidungen vorbereitet,

• Bewerbungen sortiert,

• Leistungen beurteilt,

• personenbezogene Daten verarbeitet oder

• erheblichen Einfluss auf Menschen haben kann.

Gerade in Bereichen wie Recruiting, Bildung, Gesundheitswesen oder Verwaltung lohnt sich deshalb ein genauer Blick auf die eingesetzten Systeme.

KI im Unternehmen sichtbar machen

Die größte Herausforderung in vielen KMU ist derzeit nicht die Technik – sondern fehlende Übersicht.

Denn häufig wird KI bereits genutzt, ohne dass es offiziell dokumentiert ist:

• Mitarbeitende verwenden ChatGPT für Texte

• Bildgeneratoren für Social Media

• KI-Funktionen in Office-Programmen

• automatische Transkriptionen

• Übersetzungs- oder Analyse-Tools

Deshalb empfiehlt sich als erster Schritt eine einfache KI-Inventur:

• Welche KI-Tools werden genutzt?

• Wer nutzt sie?

• Wofür werden sie eingesetzt?

• Werden personenbezogene oder vertrauliche Daten verarbeitet?

Ein einfaches internes KI-Register schafft hier schnell Klarheit.

Transparenz statt versteckter KI

Der EU AI Act enthält außerdem Transparenzpflichten für bestimmte KI-Anwendungen. Besonders bei realistisch wirkenden KI-generierten Bildern, Videos oder Audioinhalten sollten Unternehmen offen kommunizieren, dass KI eingesetzt wurde. Auch bei Chatbots oder automatisierten Interaktionen kann Transparenz erforderlich sein.

Wichtig ist dabei: Nicht jeder KI-generierte Text auf einer Website muss automatisch gekennzeichnet werden. Entscheidend ist immer der konkrete Einsatzzweck und das Risiko einer Irreführung.

Unsere Empfehlung:

Offenheit schafft Vertrauen. Formulierungen wie „KI-unterstützt erstellt – redaktionell geprüft“ wirken oft professioneller als versteckte Automatisierung.

Die unterschätzte Gefahr: Schatten-KI

Ein Thema begegnet uns derzeit besonders häufig in Unternehmen und Verwaltungen. Offiziell gibt es keine KI-Nutzung – inoffiziell arbeiten Mitarbeitende längst mit privaten KI-Accounts.

Das Problem ist, dass vertrauliche Informationen, Kundendaten, interne Dokumente oder urheberrechtlich geschützte Inhalte möglicherweise in nicht freigegebenen Systemen landen.

Ein generelles Verbot löst dieses Problem selten. Meist entsteht dadurch nur mehr Unsicherheit. Der bessere Weg sind klare interne Leitlinien, die festlegen, dass KI nicht verboten ist, sondern sicher und verantwortungsvoll genutzt wird.

Drei praktische Schritte für diesen Monat

1. Überblick schaffen

Prüfen Sie, welche KI-Systeme in Ihrem Unternehmen bereits genutzt werden – offiziell oder inoffiziell.

2. Verantwortliche schulen

Sorgen Sie dafür, dass Mitarbeitende grundlegende Kenntnisse über Chancen, Risiken und Regeln im Umgang mit KI erhalten. Dokumentierte Workshops oder interne Leitlinien können hier bereits ein wichtiger Schritt sein.

3. Datenschutz prüfen

KI und Datenschutz gehören zusammen. Prüfen Sie deshalb, ob eingesetzte KI-Tools personenbezogene Daten verarbeiten und ob diese Nutzung transparent dokumentiert werden sollte – beispielsweise in internen Richtlinien oder Datenschutzhinweisen.

Fazit: Sicherheit wird zum Wettbewerbsvorteil

Der EU AI Act ist kein Innovationskiller. Er soll vor allem dafür sorgen, dass KI verantwortungsvoll und vertrauenswürdig eingesetzt wird. Für KMU bedeutet das nicht automatisch mehr Bürokratie – sondern vor allem mehr Struktur, Klarheit und Transparenz.

Unternehmen, die sich jetzt sinnvoll vorbereiten, schaffen Vertrauen bei ihrer Kundschaft, Mitarbeitenden und Partnerinnen und Partnern – und vermeiden gleichzeitig unnötige Risiken.

Als Ihre Ansprechpartner für KI-Compliance und digitale Kommunikation im Rhein-Sieg-Kreis unterstützen wir Sie dabei, KI verständlich, praktikabel und rechtssicher in Ihren Arbeitsalltag zu integrieren.

Sie möchten wissen, welche Pflichten für Ihre eingesetzten KI-Tools tatsächlich relevant sind? Dann werfen wir gemeinsam einen strukturierten Blick darauf – verständlich, praxisnah und ohne unnötigen Fachjargon.