EU AI Act BAFA-förderfähig

EU AI Act Beratung für Mittelständler

Der EU AI Act ist seit 2024 in Kraft und betrifft praktisch jeden Mittelständler, der KI-Tools einsetzt. Wir klären Risikoklasse, Dokumentationspflichten und Audit-Vorbereitung.

Warum der EU AI Act jeden Mittelständler betrifft

Der EU AI Act ist seit August 2024 in Kraft und gilt für jeden Anbieter und Betreiber von KI-Systemen, der diese Systeme in der Europäischen Union in den Verkehr bringt oder dort einsetzt. Das bedeutet konkret, dass praktisch jedes mittelständische Unternehmen betroffen ist, sobald es KI-Tools wie ChatGPT, Microsoft Copilot, automatisierte Texterstellung oder KI-gestützte Datenanalyse im Geschäftsbetrieb einsetzt.

Die Verordnung definiert vier Risikoklassen, von denen die meisten Mittelstands-Anwendungen in die Kategorie begrenztes oder minimales Risiko fallen. Das klingt entspannt, ist es aber nicht, denn auch begrenzte und minimale Risiken bringen konkrete Pflichten mit sich, insbesondere Transparenzpflichten gegenüber Mitarbeitern und Kunden sowie Dokumentationspflichten für den Fall einer behördlichen Anfrage. Wer diese Pflichten ignoriert, riskiert Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des Jahresumsatzes.

Die vier Risikoklassen im Überblick

Unzulässige Risiken sind klar definiert und betreffen Mittelständler nur selten, etwa Social Scoring, biometrische Echtzeit-Identifikation im öffentlichen Raum oder manipulative Techniken, die die Entscheidungsfreiheit Dritter unterlaufen. Hochriskante Systeme finden sich vor allem in HR (KI-gestütztes Recruiting und Performance-Management), Kreditvergabe, Versicherung, kritischer Infrastruktur und medizinischen Geräten. Wer in diesen Bereichen arbeitet, hat ab August 2026 deutlich erhöhte Pflichten.

Begrenztes Risiko betrifft die meisten Mittelständler. Dazu zählen Chatbots, KI-gestützte Texterstellung, Bilderzeugung und ähnliche generative Anwendungen. Hier gilt vor allem die Transparenzpflicht, also die klare Information an Nutzer und betroffene Personen, dass sie mit einer KI interagieren oder dass Inhalte KI-generiert sind. Minimales Risiko umfasst Standardanwendungen wie Spam-Filter und Routineklassifikation, hier gelten keine spezifischen AI-Act-Pflichten.

Der zeitliche Anwendungsrahmen

Die Anwendung erfolgt gestaffelt. Seit Februar 2025 gelten die Verbote unzulässiger KI-Praktiken sowie die Pflicht zur KI-Kompetenz im Unternehmen, also die Pflicht, Mitarbeiter im verantwortungsvollen Umgang mit KI zu schulen. Seit August 2025 gelten die Transparenzpflichten für GPAI-Anbieter. Ab August 2026 greifen die vollständigen Compliance-Pflichten für hochriskante KI-Systeme.

Das bedeutet praktisch, dass Mittelständler im Jahr 2026 vor zwei klar getrennten Aufgaben stehen. Erstens müssen sie bis August 2026 eine Compliance-Roadmap haben, wenn sie hochriskante KI-Systeme einsetzen. Zweitens müssen sie schon jetzt Transparenz- und Schulungspflichten erfüllen, weil diese seit 2025 anwendbar sind. Eine Beratung sollte daher beide Aufgaben gleichzeitig adressieren.

Was eine AI-Act-Compliance-Beratung konkret liefert

Wir beginnen jede AI-Act-Beratung mit einem strukturierten KI-System-Inventar, also einer Bestandsaufnahme aller im Unternehmen aktiv genutzten KI-Tools. Daraus entsteht ein Compliance-Score pro System mit klarer Risikoklasse, einer Gap-Analyse der bestehenden Dokumentation und einem priorisierten Maßnahmenplan. Der Plan enthält drei bis fünf konkrete Aktionen, die innerhalb der nächsten sechs bis zwölf Monate umgesetzt werden müssen, und eine Aufwandsschätzung pro Aktion.

Das Ergebnis dieser Beratung ist gleichzeitig der BAFA-Beratungsbericht, sodass die geförderte Beratung doppelten Nutzen hat. Der Mandant erhält eine konkrete, prüffähige Compliance-Roadmap, und das BAFA erhält den Verwendungsnachweis für die Förderung. Bei einem typischen Honorar von 3.500 Euro netto reduziert sich der Eigenanteil in den alten Bundesländern auf 1.750 Euro.

AI-Act-Compliance in fünf Schritten

  1. 1

    KI-System-Inventar erstellen

    Bestandsaufnahme aller im Unternehmen aktiv eingesetzten KI-Tools, von ChatGPT-Subscriptions über CRM-KI-Features bis zu eingebetteter Bilderkennung. Ergebnis ist eine Liste mit Anwendungsfall, Nutzergruppe und verarbeiteten Daten pro System.

  2. 2

    Risikoklassifizierung pro System

    Jedes System wird einer der vier AI-Act-Risikoklassen zugeordnet (unzulässig, hochriskant, begrenzt, minimal). Die Einordnung folgt den Anwendungsfeld-Definitionen aus Anhang III des AI Act.

  3. 3

    Gap-Analyse Dokumentation

    Pro System wird geprüft, welche Pflichten konkret gelten (Transparenz, Logging, Risikobewertung, Konformitätsbewertung) und ob die Dokumentation diese Pflichten bereits erfüllt.

  4. 4

    Maßnahmenplan mit Zeitplan

    Priorisierter Maßnahmenplan mit drei bis fünf konkreten Aktionen und einem Zeitplan, der auf die Anwendungsfristen Februar 2025, August 2025 und August 2026 abgestimmt ist.

  5. 5

    Interne Zuständigkeit verankern

    Benennung eines AI-Compliance-Verantwortlichen, Definition des internen Eskalationsweges bei neuen KI-Einführungen, Aufnahme der AI-Compliance in die regelmäßige Geschäftsleitungs-Berichterstattung.

Spezial-Seiten zum EU AI Act

Wer einzelne Aspekte tiefer durchdringen möchte, findet auf den folgenden Seiten konkrete Detailinformationen zu Risikoklassen, Branchen-Spezifika und Dokumentationspflichten.

AI Act Anbieter vs. Betreiber: Rolle für KMU klären

Anbieter oder Betreiber nach EU AI Act: So klärt der Mittelstand seine Rolle und vermeidet die Anbieter-Falle nach Artikel 25.

AI Act Compliance-Check: Der 5-Schritte-Audit-Prozess für Ihr Unternehmen

AI Act Compliance-Check in 5 Schritten: So führen Sie ein systematisches KI-Audit durch, mit Checkliste, Zeitaufwand und Praxisbeispiel.

AI Act Bußgelder Mittelstand 2026: 35 Mio Euro oder 7%

Was der EU AI Act ab 2026 für mittelständische Unternehmen an Bußgeldern vorsieht. Bis zu 35 Mio Euro oder 7 Prozent Jahresumsatz, gestaffelt nach Verstoßart.

AI Act Dokumentationspflicht Mittelstand: Annex IV im Klartext

Welche technische Dokumentation der EU AI Act für KI-Systeme im Mittelstand verlangt, was Annex IV im Klartext bedeutet und wie Sie die Pflichten BAFA-gefördert abdecken.

AI Act GPAI-Pflichten Mittelstand: Wann Sie Anbieter werden

Wann ein mittelständisches Unternehmen durch Fine-Tuning von GPAI-Modellen selbst zum Anbieter wird, welche Pflichten der AI Act seit August 2025 auslöst und wie eine BAFA-geförderte Klärung abläuft.

AI-Act-Konformitätsbewertung: So lassen Sie Hochrisiko-KI prüfen

Wie kleine und mittlere Unternehmen die Konformitätsbewertung nach Artikel 43 EU AI Act für Hochrisiko-KI strukturieren und vor dem 2. August 2026 abschließen.

AI Act Reallabor 2026: KMU-Vorrang und Sandbox-Antrag

KI-Reallabor nach Art. 57 bis 63 EU AI Act: ab 02.08.2026 Pflicht, KMU haben Vorrang. So sichern Sie sich den Sandbox-Zugang mit Bußgeld-Schutz, BAFA-gefördert.

AI-Act-Schulung Mitarbeiter: Pflicht nach Artikel 4 erfüllen

AI-Act-Schulung für Mitarbeiter im Mittelstand nach Artikel 4: rechtssichere Inhalte, drei Kompetenzstufen, BAFA-Förderung und prüffeste Dokumentation.

ChatGPT im Unternehmen datenschutzkonform nutzen: Richtlinie für den sicheren KI-Einsatz

Mitarbeiter nutzen ChatGPT unkontrolliert – Kundennamen und Vertragsdaten landen in Prompts ohne Rechtsgrundlage.

Datenschutz-Folgenabschätzung für KI: Wann sie Pflicht ist und wie Sie sie durchführen

Wann ist die Datenschutz-Folgenabschätzung für KI Pflicht? DSFA nach Art. 35 DSGVO, DSK-Muss-Liste und EU AI Act erklärt. Jetzt Schwellenwert prüfen lassen.

EU KI-Verordnung: Was Mittelstand 2026 jetzt tun muss

KI-Kompetenzpflicht gilt JETZT, Hochrisiko-Fristen verschoben. 9 Betreiber-Pflichten, Bußgelder bis 15 Mio. €. Kostenlose Erstberatung.

KI-Audit für Ihr Unternehmen: Bestandsaufnahme und Checkliste vor der KI-Einführung

Bevor KI eingeführt wird, braucht es eine Bestandsaufnahme: KI-Inventar erstellen, Risiken bewerten, verbotene Praktiken prüfen.

KI-Beauftragter im Mittelstand: Aufgaben, Pflichten, Kosten

Was ein KI-Beauftragter im Mittelstand können muss, welche Aufgaben die Rolle unter dem EU AI Act hat und wann externe Beratung sinnvoll ist.

KI im Personalwesen rechtssicher einsetzen: DSGVO und AI Act für HR-Verantwortliche

KI im Personalwesen rechtssicher anwenden: Hochrisiko-Einstufung nach EU AI Act Anhang III, Art. 22 DSGVO, Betriebsrat nach BetrVG und die digitale Personalakte richtig aufsetzen.

KI-Governance im Mittelstand: Was die EU-KI-Verordnung konkret verlangt und wie Sie sie ohne Rechtsabteilung erfüllen

KI-Governance für den Mittelstand: Timeline der EU-KI-VO-Pflichten 2025 bis 2027, Strafrahmen bis 35 Mio €, vier Risikoklassen und ein praktikabler Governance-Rahmen ohne Rechtsabteilung.

KI-Richtlinie erstellen: AI-Act-konforme Vorlage für den Mittelstand

KI-Richtlinie für Ihr Unternehmen erstellen: Vorlage nach EU AI Act und DSGVO, mit Schatten-KI-Schutz, Mitarbeiterpflichten und der KI-Kompetenz-Pflicht aus Art. 4.

KI-Risikobewertung nach AI Act: Welche Pflichten Ihr Unternehmen jetzt hat

Unternehmen müssen eine Risikobewertung ihrer KI-Systeme vornehmen und dokumentieren, welche Risikoklasse vorliegt.

KI-Verordnung Risikoklassen: In welche Kategorie fällt Ihre Software?

KI-Verordnung Risikoklassen erklärt: Alle 8 Hochrisiko-Bereiche aus Anhang III mit konkreten Software-Beispielen (SAP, Personio, Copilot) und Grenzfällen für den Mittelstand.

KI-Transparenzpflicht: Was Sie Mitarbeitern und Kunden über Ihren KI-Einsatz mitteilen müssen

Mitarbeiter und Kunden müssen nachvollziehen können, wie ihre Daten in KI-Systemen genutzt werden, denn Transparenz ist DSGVO- und AI-Act-Pflicht.

Microsoft Copilot & Datenschutz: So setzen Sie den KI-Assistenten sicher im Unternehmen ein

IT-Leiter fragen sich, ob Microsoft Copilot wirklich datenschutzkonform ist. Business-Lösungen arbeiten innerhalb der firmeneigenen Microsoft 365-Daten.

Häufige Fragen zum EU AI Act

Der EU AI Act ist die erste umfassende KI-Regulierung der Europäischen Union, die im August 2024 in Kraft getreten ist und schrittweise bis 2027 vollständig Anwendung findet. Sie gilt für jeden Anbieter und Betreiber von KI-Systemen, der seine Systeme in der EU in den Verkehr bringt oder dort einsetzt, unabhängig davon, ob das Unternehmen seinen Sitz in der EU hat oder nicht.

Der AI Act unterscheidet vier Risikoklassen: unzulässiges Risiko (verbotene Praktiken wie Social Scoring), hohes Risiko (z.B. KI in HR-Entscheidungen, Kreditvergabe, kritische Infrastruktur), begrenztes Risiko (Transparenzpflichten, z.B. Chatbots) und minimales Risiko (Standard-KI-Tools im Büro). Die meisten Mittelstands-Anwendungen wie KI-gestützte Texterstellung oder Datenanalyse fallen in die Kategorie begrenztes oder minimales Risiko.

Als Betreiber eines KI-Systems mit begrenztem Risiko müssen Sie Mitarbeiter und Kunden transparent über den KI-Einsatz informieren, eine grundlegende Risikoeinschätzung dokumentieren und sicherstellen, dass keine personenbezogenen Daten ohne Rechtsgrundlage in das System fließen. Bei hochriskanten KI-Systemen kommen Konformitätsbewertung, technische Dokumentation, Logging und menschliche Aufsicht hinzu.

Die Vorschriften zu verbotenen Praktiken gelten seit Februar 2025, die Transparenzpflichten für GPAI-Systeme seit August 2025, und die vollständigen Compliance-Pflichten für hochriskante Systeme sind ab August 2026 anwendbar. Mittelständler haben damit ein gestaffeltes Zeitfenster zur Anpassung.

Verstöße gegen das Verbot bestimmter KI-Praktiken werden mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet. Verstöße gegen Pflichten für hochriskante KI-Systeme können bis zu 15 Millionen Euro oder 3 Prozent Jahresumsatz kosten. Falsche Informationen an Aufsichtsbehörden werden mit bis zu 7,5 Millionen Euro oder 1,5 Prozent Jahresumsatz sanktioniert.

Die DSGVO regelt den Schutz personenbezogener Daten, der AI Act regelt den Einsatz von KI-Systemen unabhängig davon, ob personenbezogene Daten verarbeitet werden. Beide Regelwerke ergänzen sich, das heißt ein KI-System das personenbezogene Daten verarbeitet, muss sowohl die DSGVO-Vorgaben als auch die AI-Act-Vorgaben erfüllen.

Einen formal benannten AI-Beauftragten verlangt der AI Act nur für Anbieter und Betreiber von Hochrisiko-KI-Systemen. Für Mittelständler mit Standard-KI-Tools ist eine interne Zuständigkeitsregelung ausreichend, in der dokumentiert wird, wer für KI-Compliance verantwortlich ist und wie Risikobewertungen ablaufen.

GPAI (General-Purpose AI) sind KI-Modelle mit breitem Anwendungsspektrum, also typischerweise große Sprachmodelle wie GPT, Claude oder Gemini. Anbieter von GPAI haben Transparenz- und Dokumentationspflichten gegenüber nachgelagerten Anbietern. Betreiber von GPAI im Unternehmensalltag haben vergleichsweise leichte Pflichten, primär Informationspflichten gegenüber Mitarbeitern.

Eine typische Beratung beginnt mit einem KI-System-Inventar, also einer Bestandsaufnahme aller im Unternehmen genutzten KI-Tools. Dann erfolgt die Risikoklassifizierung pro System, gefolgt von einer Gap-Analyse der bestehenden Dokumentation. Das Beratungsergebnis ist ein priorisierter Maßnahmenplan mit drei bis fünf konkreten Schritten und einem Compliance-Zeitplan, der auf die Anwendungsfristen des AI Act abgestimmt ist.

Ja, eine AI-Act-Compliance-Beratung fällt in die Kategorie strategische Unternehmensberatung und ist damit BAFA-förderfähig. Bei einem typischen Beratungshonorar von 3.500 Euro netto reduziert sich der Eigenanteil in den alten Bundesländern auf 1.750 Euro nach Förderung.

AI-Act-Beratung anfragen

Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Datenschutzerklärung