KI-Verordnung (AI Act): Diese Pflichten treffen Ihr Unternehmen jetzt
Die EU-KI-Verordnung (AI Act) ist das weltweit erste umfassende KI-Gesetz – und sie betrifft nicht nur Tech-Konzerne: Auch das mittelständische Unternehmen, das ChatGPT im Kundenservice, KI im Bewerbungs-Screening oder ein Analyse-Tool mit KI-Komponente einsetzt, ist als Betreiber in der Pflicht.
Die Verordnung gilt gestuft seit 2025: Verbote und die Pflicht zur KI-Kompetenz der Mitarbeitenden greifen bereits, die Regeln für Hochrisiko-Systeme folgen schrittweise. Dieser Ratgeber ordnet ein, welche Rolle Ihr Unternehmen einnimmt, welche Pflichten daraus folgen – und wie ein pragmatischer Einstieg in die KI-Compliance aussieht.
Dieser Ratgeber wurde von Rechtsanwalt Demirel von der Kanzlei MANDATI in Essen auf Grundlage der aktuellen Gesetzeslage und Rechtsprechung erstellt. Die Kanzlei berät Unternehmen, Start-ups und Verbraucher im IT-Recht – vor Ort im Ruhrgebiet und bundesweit digital.
1. Das Grundprinzip: Vier Risikoklassen
Die KI-Verordnung reguliert nicht „die KI“, sondern konkrete Anwendungsfälle – je riskanter, desto strenger:
| Risikoklasse | Beispiele | Rechtsfolge |
|---|---|---|
| Verbotene Praktiken | Social Scoring, manipulative Techniken, bestimmte biometrische Massenüberwachung | Vollständig untersagt (seit Februar 2025) |
| Hochrisiko-KI | KI im Recruiting, bei Kreditvergabe, kritischer Infrastruktur, Bildung | Umfassende Anforderungen: Risikomanagement, Datenqualität, Aufsicht, Dokumentation |
| Begrenztes Risiko | Chatbots, Deepfakes, Emotionserkennung | Transparenzpflichten: KI-Einsatz muss erkennbar sein |
| Minimales Risiko | Spamfilter, KI in Videospielen | Keine besonderen Pflichten |
Quer dazu gelten eigene Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI wie GPT oder Claude) – diese treffen primär die Modellanbieter.
2. Anbieter oder Betreiber? Ihre Rolle entscheidet
Die Pflichten hängen an der Rolle: Anbieter ist, wer ein KI-System entwickelt und unter eigenem Namen in Verkehr bringt; Betreiber, wer es in eigener Verantwortung beruflich verwendet. Der Mittelstand ist meist Betreiber – doch Vorsicht: Wer ein KI-System wesentlich verändert oder unter eigener Marke anbietet, kann in die strengeren Anbieterpflichten hineinrutschen. Das betrifft etwa Software-Häuser, die GPT-Funktionen in ihr Produkt integrieren und als eigenes Feature vermarkten.
3. Was bereits jetzt gilt: KI-Kompetenz und Transparenz
Sofortpflichten für praktisch jedes Unternehmen mit KI-Einsatz
- KI-Kompetenz (Art. 4): Mitarbeitende, die KI einsetzen, müssen über ausreichende Kenntnisse verfügen – Schulungen dokumentieren!
- Verbotene Praktiken ausschließen: Interne Prüfung, dass keine untersagten Anwendungen laufen
- Transparenz bei Chatbots: Nutzer müssen erkennen können, dass sie mit einer KI interagieren
- Kennzeichnung synthetischer Inhalte: Deepfakes und KI-generierte Inhalte sind als solche auszuweisen
- Bestandsaufnahme: Welche KI-Systeme sind im Einsatz – offiziell und als „Schatten-KI“ der Fachabteilungen?
Unterschätztes Risiko „Schatten-KI“: In vielen Unternehmen nutzen Mitarbeitende KI-Tools ohne Freigabe – mit Kundendaten in fremden Clouds. Das ist nicht nur ein AI-Act-Thema, sondern vor allem ein Datenschutz- und Geheimnisschutzproblem. Eine interne KI-Richtlinie ist der erste, wichtigste Compliance-Schritt.
4. Hochrisiko-KI: Wenn es ernst wird
Setzt Ihr Unternehmen KI in sensiblen Bereichen ein – etwa beim Bewerber-Screening, bei Beförderungsentscheidungen oder der Kreditwürdigkeitsprüfung –, gelten gestaffelt die Hochrisiko-Anforderungen: menschliche Aufsicht, Protokollierung, Information der Betroffenen, Verwendung gemäß Betriebsanleitung des Anbieters. Parallel bleibt die DSGVO voll anwendbar: Automatisierte Einzelentscheidungen (Art. 22 DSGVO), Datenschutz-Folgenabschätzung und Informationspflichten kommen hinzu. Wer beides zusammen denkt, spart doppelte Arbeit.
5. Ihr pragmatischer Compliance-Fahrplan
Inventur
Alle KI-Einsätze erfassen – inklusive der KI-Funktionen in Bestandssoftware (CRM, HR-Tools, Microsoft/Google-Suiten).
Einordnung
Je System: Risikoklasse und Rolle (Anbieter/Betreiber) bestimmen; Hochrisiko-Kandidaten priorisieren.
Richtlinie & Schulung
KI-Richtlinie einführen (erlaubte Tools, Datenregeln, Freigabeprozess) und Art.-4-Schulungen dokumentieren.
Verträge anpassen
KI-Klauseln in Einkaufs- und Kundenverträgen: Zusicherungen der Anbieter, Haftungsverteilung, Datenschutz.
Bei Verstößen drohen empfindliche Bußgelder – bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei verbotenen Praktiken. Realistischer für den Mittelstand ist aber das operative Risiko: Kunden und Auftraggeber verlangen AI-Act-Konformität zunehmend vertraglich.
Das Wichtigste in Kürze
Der AI Act betrifft fast jedes Unternehmen, das KI beruflich nutzt – meist in der Rolle des Betreibers. Schon heute gelten die Pflicht zur KI-Kompetenz, Transparenzregeln und die Verbote; Hochrisiko-Anwendungen wie KI im Recruiting brauchen besondere Aufmerksamkeit. Der Einstieg ist unspektakulär: Inventur, Einordnung, Richtlinie, Schulung. Genau dieses Paket setzen wir mit Mandanten in wenigen Wochen um.
KI im Einsatz – Compliance ungeklärt?
Betroffenheitsanalyse, KI-Richtlinie und Schulungskonzept als Festpreis-Paket: pragmatisch, dokumentiert, prüfungsfest.
Beratung anfragen →6. Häufige Fragen (FAQ)
Gilt die KI-Verordnung auch, wenn wir nur ChatGPT nutzen?
Ja – als Betreiber. Die Pflichten sind dann überschaubar: KI-Kompetenz der Mitarbeitenden sicherstellen, Transparenz wahren, keine verbotenen Anwendungen. Kritischer sind meist Datenschutz und Geheimnisschutz: Welche Daten fließen in das Tool? Eine interne KI-Richtlinie löst beides.
Ab wann gelten welche Pflichten?
Gestuft: Verbote und KI-Kompetenz seit Februar 2025, die Regeln für GPAI-Modelle seit August 2025, der Großteil der Hochrisiko-Pflichten ab August 2026 mit weiteren Übergangsfristen. Wer jetzt mit Inventur und Richtlinie startet, ist rechtzeitig vorbereitet.
Ist KI im Bewerbungsverfahren jetzt verboten?
Nein, aber sie ist regelmäßig Hochrisiko-KI: Es gelten strenge Anforderungen an Aufsicht, Information und Dokumentation – und parallel Art. 22 DSGVO für automatisierte Entscheidungen. Ein KI-gestütztes Vorscreening ist machbar, aber nur mit sauberem Setup.
Was bedeutet die Pflicht zur „KI-Kompetenz“ konkret?
Unternehmen müssen sicherstellen, dass Personal, das KI-Systeme einsetzt, über ausreichendes Verständnis von Funktionsweise, Grenzen und Risiken verfügt. Praktisch heißt das: rollenbezogene Schulungen, dokumentiert und wiederholt – vergleichbar mit Datenschutzschulungen.
Müssen wir KI-generierte Inhalte kennzeichnen?
Deepfakes und bestimmte synthetische Inhalte: ja. Bei normalen Marketing-Texten aus dem KI-Tool besteht keine generelle Kennzeichnungspflicht nach dem AI Act – wohl aber Transparenzpflichten bei Chatbots und je nach Kontext lauterkeitsrechtliche Grenzen. Details in unserem Ratgeber zu KI-Inhalten.
Wer kontrolliert die Einhaltung in Deutschland?
Die Marktüberwachung wird national organisiert; zentrale Zuständigkeiten liegen bei der Bundesnetzagentur. Unabhängig davon prüfen Datenschutzbehörden KI-Einsätze bereits heute unter der DSGVO – das praktisch relevanteste Aufsichtsrisiko.
7. Ihre Kanzlei für KI-Compliance-Beratung (AI Act) in Essen und ganz NRW
Die Kanzlei MANDATI in Essen berät Unternehmen, Start-ups und Verbraucher im IT-Recht – von der DSGVO-Compliance über IT-Verträge bis zur Abwehr von Abmahnungen. Persönlich in Essen oder vollständig digital, bundesweit.
MANDATI Rechtsanwälte – Ihr Anwalt für KI-Compliance-Beratung (AI Act) in Essen und dem gesamten Ruhrgebiet. Persönliche Beratung vor Ort oder mandatsbezogen bundesweit.
Hindenburgstr. 23, 45127 Essen, Nordrhein-Westfalen
Telefon: 0201 – 890 722 40 · E-Mail: [email protected]
Öffnungszeiten: Mo–Fr 9–18 Uhr
Einzugsgebiete / „in der Nähe":
- Essen
- Bochum
- Dortmund
- Düsseldorf
- Duisburg
- Mülheim a. d. Ruhr
- Oberhausen
- Gelsenkirchen
- Köln
Kanzlei MANDATI
Hindenburgstr. 23
45127 Essen
Nordrhein-Westfalen
Telefon: 0201 – 890 722 40
E-Mail: [email protected]
Beratung im IT-Recht: vor Ort in Essen · bundesweit digital per Video und Telefon
KI-Produkt geplant?
Wir begleiten Anbieter von der Rollenklärung über die Transparenzpflichten bis zum KI-Vertragswerk – Kanzlei MANDATI, Essen.
Beratung anfragen →
