Bevor wir über Paragrafen reden, ein Blick in die Realität: In den meisten Betrieben ist KI längst im Einsatz, nur weiß es niemand offiziell. Laut Bitkom nutzen 2025 bereits 10 Prozent der Erwerbstätigen in Deutschland KI beruflich ohne Wissen des Arbeitgebers, doppelt so viele wie im Jahr davor. Weitere Umfragen vom Juli 2026 kommen sogar zu dem Ergebnis, dass fast jeder zweite inoffiziell eigene Tools nutzt.
Das heißt im Klartext: Der EU AI Act betrifft genau diese Unternehmen. Nicht nur Tech-Konzerne, sondern jeden Betrieb, in dem Beschäftigte ihren privaten ChatGPT Account nutzen, sich mit Claude eigene Agenten bauen oder andere Arbeitsschritte KI-gestützt ausgeführt werden, ob die Geschäftsführung davon weiß oder nicht.
Was der EU AI Act ist und wie er Risiken einteilt
Der EU AI Act (Verordnung (EU) 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für KI. Sein Ziel: vertrauenswürdige KI fördern, Grundrechte und Sicherheit schützen, ohne Innovation abzuwürgen. Der Kern ist ein risikobasierter Ansatz mit vier Klassen:
- Inakzeptables Risiko: verbotene Praktiken wie Social Scoring oder Emotionserkennung am Arbeitsplatz.
- Hohes Risiko: KI, die über Menschen entscheidet, im Mittelstand vor allem Software zur Vorauswahl von Lebensläufen im Recruiting und KI zur Kreditwürdigkeitsprüfung.
- Transparenzrisiko: Chatbots, Voice-Bots und andere KI-generierte Inhalte, die als solche erkennbar sein müssen.
- Minimales Risiko: die große Mehrheit der Anwendungen, etwa Spamfilter, für die keine neuen Pflichten gelten.
Wichtig ist auch die Rolle: Die Verordnung unterscheidet Anbieter, die KI-Systeme entwickeln, und Betreiber, die sie einsetzen. Der typische Mittelständler ist Betreiber, mit eigenen, aber schlankeren Pflichten.
Was gilt, was am 2. August 2026 kommt, was verschoben werden soll
Seit dem 2. Februar 2025 gelten die Verbote und die Pflicht zur KI-Kompetenz (AI Literacy): Wer KI einsetzt, muss dafür sorgen, dass die eigenen Mitarbeiter sie sachkundig bedienen können. Seit dem 2. August 2025 gelten die Regeln für die großen Sprachmodelle. Am 2. August 2026 wird die Verordnung nach dem Zeitplan der EU-Kommission in weiten Teilen anwendbar, darunter die Transparenzregeln und ein Teil der Hochrisiko-Regeln. Für Hochrisiko-KI in regulierten Produkten gilt ein verlängerter Übergang bis zum 2. August 2027.
Vielleicht haben Sie den Begriff Digital Omnibus gelesen. Dahinter steckt ein Gesetzespaket, das die EU-Kommission im November 2025 vorgeschlagen hat, um die Umsetzung ihrer Digitalgesetze zu vereinfachen. Für den AI Act sieht es vor, die Fristen für die Hochrisiko-Pflichten zu strecken und kleine und mittlere Unternehmen zu entlasten, etwa bei der technischen Dokumentation. Entscheidend ist der Status: Parlament und Rat verhandeln den Vorschlag derzeit noch, er ist kein geltendes Recht. Behandeln Sie deshalb den 2. August 2026 als verbindlich und eine mögliche Streckung als Puffer, nicht umgekehrt.
Von der Pflicht zur Praxis: die ersten Schritte
Verantwortung liegt auf beiden Ebenen: Die Organisation schafft Regeln, Zuständigkeiten und Kontrolle, die Mitarbeitenden müssen wissen, was sie mit welchem Werkzeug tun dürfen. Reine Compliance greift dabei zu kurz. Responsible AI heißt: KI so einsetzen, dass Kunden, Beschäftigte und Geschäftspartner ihr vertrauen können. Die Bausteine dafür sind zugleich das Vokabular der Verordnung: ein KI-Inventar (welche KI ist im Haus, offiziell und inoffiziell?), eine Risikoklassifizierung, klare Rollen und Verantwortlichkeiten, geschulte KI-Kompetenz und darüber eine AI Governance, die das dauerhaft steuert. Eine KI-Richtlinie, also klare Regeln, welche Werkzeuge erlaubt und welche Daten tabu sind, schreibt die Verordnung nicht wörtlich vor.
Warum unser Vorgehen diese Risiken systematisch minimiert
Bei ankerkern verankern wir KI systematisch im Kern des Unternehmens, mit einer Methodik und einer Plattform, unserem „KI-Baukasten". Wir nehmen zuerst auf: Prozesse, Systeme, Datenflüsse, gemeinsam mit den Menschen, die sie täglich ausführen. Daraus identifizieren wir unternehmensspezifische Use Cases für den Einsatz von KI-Agenten. Schon bei dieser Auswahl beraten wir mit, welche Anwendungsfälle EU-AI-Act-konform umsetzbar sind und welche in kritische Bereiche fallen. Jeder KI-Agent läuft dann im Parallelbetrieb, sein Ergebnis geht zur Kontrolle an den Menschen, nicht nach außen. Jede Aktion wird protokolliert und damit auditierbar. Live geht nur, was nachweislich Mehrwert stiftet. Das ist gelebte menschliche Aufsicht, lückenlose Protokollierung und Dokumentation, also genau das, was die Verordnung für kritische Systeme verlangt, als Nebenprodukt der Methodik.
Und wir befähigen: Auf unserer DSGVO- und EU-AI-Act-konformen, in der EU gehosteten Plattform sehen unsere Kunden, wie der digitale Organisations-Zwilling Use Case für Use Case anwächst und wie ihre unternehmensspezifischen KI-Agenten systemübergreifende Prozesse erledigen. Gleichermaßen werden sukzessive alle Mitarbeiter befähigt, KI in Anwendung zu bringen. Das Ziel ist die Transformation zur agentischen Organisation, in Eigenkontrolle des Unternehmens, nicht in Abhängigkeit vom Anbieter. Damit verschwindet auch der Nährboden der Schatten-KI: Wir sorgen für eine sichere Infrastruktur, und wer ein sicheres, offizielles Werkzeug hat, das schneller ist als der private Umweg, braucht den Umweg nicht mehr.
Unsere Empfehlung: Starten Sie mit dem KI-Inventar, inklusive der ehrlichen Frage, was Ihre Leute heute schon inoffiziell nutzen. Klassifizieren Sie, was Sie finden. Oder Sie gehen den direkten Weg und arbeiten mit ankerkern: Auf unserer Plattform sind EU-AI-Act- und DSGVO-Konformität von Tag eins eingebaut, menschliche Aufsicht, Dokumentation und EU-Hosting inklusive.
Sie wollen KI einführen, die vom ersten Tag an EU-AI-Act- und DSGVO-konform ist? 45 Minuten Erstgespräch, ehrlich und unverbindlich.