EU AI Act: Was jetzt wirklich zählt

In zwei Monaten ist Schluss mit dem Gewöhnungszeit-Argument. Am 2. August 2025 tritt der EU AI Act in seiner nächsten Stufe in Kraft, und er betrifft nicht nur KI-Anbieter oder Tech-Konzerne. Er betrifft dich, wenn du KI-Tools im Betrieb nutzt.

Die gute Nachricht zuerst: Der Großteil des deutschen Mittelstands fällt nicht in die Hochrisiko-Kategorien, die den dicksten Pflichtenkatalog mitbringen. Wer KI für Textentwürfe, Zusammenfassungen, Kundenkommunikation oder interne Auswertungen nutzt, bewegt sich in der Regel im Niedrigrisiko-Bereich. Dort sind die Anforderungen überschaubar.

Dennoch gibt es drei Dinge, die jetzt erledigt sein sollten.

Erstens: Bestandsaufnahme. Welche KI-Systeme setzt dein Unternehmen ein, und wofür genau? Das klingt banal, ist aber die Grundlage für alles Weitere. Viele Betriebe haben KI inzwischen an fünf verschiedenen Stellen im Einsatz und keiner hat den Überblick.

Zweitens: Risikokategorie klären. Das Gesetz unterscheidet zwischen minimalen, begrenzten, hohen und inakzeptablen Risiken. Hochrisiko bedeutet zum Beispiel KI, die bei Kreditvergabe oder Personalentscheidungen mitentscheidet. Wer dort arbeitet, braucht Dokumentation, menschliche Aufsicht und gegebenenfalls eine Konformitätsbewertung. Das ist der Teil, wo ein Anwalt mit Regulierungserfahrung sinnvoll ist.

Drittens: Transparenzpflichten umsetzen. Auch im Niedrigrisiko-Bereich gilt: Wenn Kunden oder Mitarbeitende mit einem KI-System interagieren, müssen sie das wissen. Ein Chatbot muss sich als Chatbot zu erkennen geben. Technisch kein großer Aufwand, wird aber häufig vergessen.

Was droht bei Verstößen? Bußgelder bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Für einen mittelständischen Betrieb ist das kein theoretisches Risiko, das man aussitzen kann.

Die Botschaft ist nicht: Panik. Wer jetzt zwei, drei Stunden investiert, um Klarheit zu schaffen, hat das Thema vom Tisch. Wer es weiter schiebt, schiebt ein echtes Risiko vor sich her.

Erstell diese Woche eine Liste aller KI-Tools im Einsatz und ordne jeden Anwendungsfall einer Risikokategorie zu.

Das Problem kennt fast jeder Vertriebsleiter: Die Strategie stimmt, aber die Mannschaft verbringt zu viel Zeit mit Datenpflege, Nachfass-Mails und dem Zusammensuchen von Informationen. Leads bleiben liegen, nicht weil jemand schläft, sondern weil die Arbeit schlicht zu viel ist.

Der Ausweg liegt näher, als viele denken. Moderne CRM-Systeme bringen KI-Funktionen heute direkt mit: automatische Gesprächszusammenfassungen, Vorschläge für den nächsten Schritt, Priorisierung nach Abschlusswahrscheinlichkeit. Du brauchst kein separates Tool und keine neue Plattform, sondern oft nur einen Blick darauf, was dein bestehendes System bereits kann.

Der entscheidende Unterschied zu früheren Automatisierungswellen: Die KI arbeitet im Kontext. Sie kennt den Kunden, die Historie, den Deal-Stand. Das Ergebnis sind keine generischen Textbausteine, sondern Vorschläge, die tatsächlich passen und die dein Vertriebsmitarbeiter nur noch abnehmen oder anpassen muss.

Für den Mittelstand bedeutet das konkret: Wer bereits ein CRM-System im Einsatz hat, sollte prüfen, welche KI-Funktionen bereits im Tarif enthalten sind. Viele Betriebe zahlen bereits dafür und nutzen es nicht. Wer noch auf Excel und E-Mail setzt, hat jetzt einen guten Zeitpunkt, das zu ändern. Der Aufwand für die Umstellung ist überschaubar, der Gewinn an Kapazität dagegen spürbar.

Für dich als Unternehmer ändert sich erstmal nichts Operatives. Aber du solltest wissen, was gerade beschlossen wird.

Das Bundesfinanzministerium plant, den Datenschutzrahmen für die Finanzverwaltung zu lockern. Steuerbehörden sollen künftig echte Steuerdaten nutzen dürfen, um eigene KI-Systeme zu trainieren. Bisher war das rechtlich nicht möglich. Als Gegengewicht sieht der Gesetzentwurf eine Löschpflicht nach zwölf Monaten vor.

Das Ziel ist nachvollziehbar: Wer KI-Modelle mit echten Fällen trainiert, bekommt bessere Ergebnisse als mit bereinigten Daten. Die Finanzverwaltung will damit Betrugserkennung, Risikoprüfung und Fallbearbeitung verbessern. Sprich: Die Behörde wird besser darin, Auffälligkeiten in Steuererklärungen zu finden.

Was das für deinen Betrieb bedeutet: Deine Steuerdaten könnten künftig in Trainingsprozesse einfließen, bevor sie gelöscht werden. Der Gesetzentwurf ist noch nicht verabschiedet, die technische Umsetzung offen.

Wer ohnehin auf saubere Buchführung und lückenlose Belege achtet, ist auf der sicheren Seite, egal wie gut die KI des Finanzamts wird.

KI macht Angriffe leichter. Das stimmt. Aber sie macht Verteidigung auch leichter, und das wird in der Debatte gern vergessen.

Bruce Schneier, einer der bekanntesten IT-Sicherheitsforscher weltweit, hat das in einem viel diskutierten Essay auf seinem Blog Schneier on Security so eingeordnet: Ja, KI senkt die Einstiegshürde für Angreifer. Phishing-Mails werden überzeugender, Schadcode lässt sich schneller zusammensetzen, und auch weniger erfahrene Kriminelle können damit gezielt vorgehen. Aber Angreifer müssen jedes Mal neu angreifen. Verteidiger können KI einmal einrichten und dauerhaft laufen lassen.

Das ist kein Trost, sondern ein struktureller Vorteil, den du nutzen kannst.

Für deinen Betrieb heißt das konkret: Die Bedrohungslage steigt, aber du bist nicht schutzlos. KI-gestützte Sicherheitswerkzeuge erkennen Anomalien im Netzwerk, filtern verdächtige Mails heraus und reagieren schneller als jeder Mensch es könnte. Viele davon sind heute in normalen Business-Paketen bereits enthalten, etwa in Microsoft 365 Defender oder über deinen IT-Dienstleister als Teil eines Managed-Service-Vertrags.

Das eigentliche Risiko sitzt nicht in der KI, sondern in der Passivität. Wer jetzt nichts tut, gibt den Vorteil kampflos ab. Wer dagegen seine bestehenden Werkzeuge aktiviert und regelmäßig prüft, was bereits läuft, ist schon einen großen Schritt weiter als der Durchschnitt.

Schneiers Kernpunkt ist dabei nüchtern und hilfreich zugleich: KI verändert das Kräfteverhältnis nicht grundsätzlich, sie verschiebt es. Und wer auf der Verteidigungsseite steht und die Werkzeuge kennt, hat gute Karten. Das gilt für Großkonzerne genauso wie für einen Mittelständler mit zwanzig Mitarbeitern.

Kein Grund zur Panik, aber ein guter Anlass für ein kurzes, konkretes Gespräch mit deinem IT-Verantwortlichen darüber, was bereits aktiv ist und was nicht.