Home Leistungen Lösungen Blog Über uns Gespräch starten →
← Zurück zum Blog
29. März 2026 · 15 Min. Lesezeit

EU AI Act 2026: Diese verbotenen Praktiken und Pflichten sollten Mittelständler jetzt wirklich kennen

Der EU AI Act ist seit Februar 2025 in Kraft. Artikel 5 verbietet bestimmte KI-Praktiken, Artikel 26 definiert Pflichten für Deployers hochriskanter Systeme. Was bedeutet das für mittelständische Unternehmen?

EU AI Act Compliance Unternehmen

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Seit Februar 2025 in Kraft, regelt es, welche KI-Praktiken verboten sind und welche Pflichten Unternehmen beim Einsatz hochriskanter KI haben.

Viele Mittelständler denken: "Das betrifft uns nicht." Falsch. Auch wenn Sie keine KI entwickeln, sondern nur nutzen, können Sie als Deployer bestimmte Pflichten haben.

Wichtig: Dieser Artikel ist keine Rechtsberatung. Im Zweifelsfall konsultieren Sie einen spezialisierten Anwalt.

Was am EU AI Act 2026 für Unternehmen wirklich relevant ist

Der AI Act unterscheidet KI-Systeme nach Risikostufen:

Für Mittelständler sind vor allem relevant:

  1. Welche Praktiken sind verboten? (Artikel 5)
  2. Was muss ich tun, wenn ich hochriskante KI einsetze? (Artikel 26)

Welche Praktiken verboten sind

Artikel 5 des AI Act verbietet bestimmte KI-Anwendungen, die als zu riskant für Grundrechte eingestuft werden:

1. Manipulative KI-Systeme

Verboten sind Systeme, die Menschen unbewusst manipulieren, sodass sie Entscheidungen treffen, die ihnen schaden könnten.

Beispiel: Ein Chatbot, der gezielt psychologische Schwächen ausnutzt, um teure Verträge abzuschließen.

2. Social Scoring durch Behörden

Systeme, die Menschen basierend auf Sozialverhalten, persönlichen Merkmalen oder vorhergesagtem Verhalten bewerten und dadurch benachteiligen.

Klar: Das betrifft Unternehmen nicht. Verboten ist Social Scoring nur durch staatliche Stellen.

3. Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen

KI, die Emotionen von Mitarbeitern oder Schülern erkennt, ist am Arbeitsplatz und in Schulen verboten – mit Ausnahme von Sicherheits- oder medizinischen Gründen.

Vorsicht: Wenn Sie überlegen, KI zur "Mitarbeiter-Stimmungsanalyse" einzusetzen – das ist sehr wahrscheinlich illegal.

4. Biometrische Kategorisierung

Systeme, die Menschen anhand biometrischer Daten (Gesicht, Stimme) in Kategorien wie Rasse, politische Meinung oder sexuelle Orientierung einteilen.

Betrifft Unternehmen selten. Aber: Vorsicht bei Gesichtserkennung in Bewerbungsprozessen.

Wann ein Unternehmen als Deployer Pflichten hat

Wenn Sie ein hochriskantes KI-System einsetzen, sind Sie Deployer und haben bestimmte Pflichten nach Artikel 26.

Was ist hochriskant? Z.B.:

Die meisten Standard-KI-Tools (ChatGPT für interne Dokumente, Buchhaltungs-Automatisierung, E-Mail-Assistenten) sind nicht hochriskant.

Faustregel: Wenn die KI direkt über Jobs, Kredite, Zugang zu Dienstleistungen oder Sicherheit entscheidet, ist sie wahrscheinlich hochriskant.

Pflichten für Deployers hochriskanter KI

Wenn Sie betroffen sind, müssen Sie:

Typische Fehlannahmen im Mittelstand

Fehlannahme 1: "Wir entwickeln keine KI, also betrifft uns das nicht."

Falsch. Auch wenn Sie nur ein externes KI-System nutzen (z.B. Bewerbermanagementsystem mit KI-Ranking), können Sie als Deployer Pflichten haben.

Fehlannahme 2: "ChatGPT fällt unter den AI Act."

Teilweise richtig. Wenn Sie ChatGPT nur für interne Recherche nutzen, nein. Wenn Sie es für automatisierte Kundenentscheidungen nutzen, vielleicht.

Fehlannahme 3: "Erst ab 2027 relevant."

Falsch. Verbotene Praktiken (Artikel 5) gelten seit Februar 2025. Deployer-Pflichten treten schrittweise in Kraft – teilweise schon 2026.

Praktische 7-Punkte-Checkliste für Geschäftsführung und IT

Compliance-Checkliste EU AI Act

  1. Inventar erstellen: Welche KI-Systeme nutzen wir? (auch externe Tools!)
  2. Risikoklasse prüfen: Ist eines davon hochriskant?
  3. Verbotene Praktiken checken: Nutzen wir Emotionserkennung, biometrische Kategorisierung, manipulative Systeme?
  4. Dokumentation aufbauen: Welche Daten nutzen wir? Wer überwacht das System?
  5. Mitarbeiter informieren: Wenn KI über Bewerbungen oder Leistung entscheidet, müssen sie es wissen.
  6. Monitoring einrichten: Wie stellen wir sicher, dass KI korrekt funktioniert?
  7. Anbieter prüfen: Stellt der Anbieter Compliance-Dokumentation bereit?

Fazit

Der EU AI Act ist kein KI-Verbot – er ist ein Sicherheitsrahmen.

Für die meisten Mittelständler bedeutet er: Dokumentieren Sie, was Sie tun. Prüfen Sie, ob Ihre KI-Systeme hochriskant sind. Und nutzen Sie keine verbotenen Praktiken.

In der Praxis sind die meisten KI-Anwendungen (Dokumentenanalyse, interne Automatisierung, Chatbots) nicht hochriskant – und damit auch nicht von strengen Pflichten betroffen.

Aber: Wenn Sie unsicher sind, prüfen Sie es. Die Bußgelder für Verstöße können bis zu 7% des weltweiten Jahresumsatzes betragen.

Wir prüfen, welche KI-Ideen in Ihrem Betrieb machbar, sinnvoll und compliance-tauglich sind

Nicht jede KI-Anwendung ist legal. Nicht jede legale Anwendung ist sinnvoll. Wir helfen Ihnen, beides zu unterscheiden.

Kostenlose Erstberatung

Häufig gestellte Fragen

Welche KI-Act-Pflichten gelten für Mittelständler?
Die meisten haben keine direkten Pflichten, solange sie keine hochriskante KI einsetzen. Wichtig: Keine verbotenen Praktiken (z.B. Emotionserkennung am Arbeitsplatz) nutzen.
Ist ChatGPT hochriskant?
Nein, wenn Sie es für interne Recherche oder Content-Erstellung nutzen. Ja, wenn Sie es nutzen, um automatisch über Bewerbungen oder Kundenanträge zu entscheiden.
Was passiert bei Verstößen?
Bußgelder bis 7% des weltweiten Jahresumsatzes (bei verbotenen Praktiken) oder bis 3% (bei Deployer-Pflichtverletzungen).
Muss ich jetzt sofort handeln?
Verbotene Praktiken sind seit Februar 2025 illegal. Deployer-Pflichten greifen schrittweise. Empfehlung: Jetzt Inventar erstellen und Risiken prüfen.

Lesenswert: EU AI Act: Was Unternehmen jetzt wissen müssen | Warum lokale KI-Systeme immer wichtiger werden | KI-Agenten im Unternehmen