Kurz vorweg: Das ist kein Rechtsrat
Dieser Beitrag ordnet den EU AI Act aus Sicht eines Anbieters ein, der selbst KI-Systeme baut und betreibt. Er ersetzt keine anwaltliche Beratung. Für die konkrete Einordnung Ihres Einsatzes sprechen Sie mit einer auf IT-Recht spezialisierten Kanzlei. Was wir liefern können: eine ehrliche Landkarte, damit Sie das richtige Gespräch führen.
Der Grundmechanismus: Risiko bestimmt die Pflichten
Der AI Act reguliert nicht "KI" pauschal, sondern staffelt Pflichten nach Risikoklasse des Einsatzes:
- Verbotene Praktiken (z. B. Social Scoring, manipulative Systeme): schlicht untersagt.
- Hochrisiko-Systeme (z. B. KI in Personalauswahl, Kreditwürdigkeit, kritischer Infrastruktur): umfangreiche Pflichten — Risikomanagement, Dokumentation, menschliche Aufsicht, Protokollierung.
- Systeme mit Transparenzpflicht (z. B. Chatbots, die mit Menschen interagieren; KI-generierte Inhalte): der Nutzer muss wissen, dass er mit KI zu tun hat.
- Minimales Risiko (der große Rest): kaum spezifische Pflichten.
Für die meisten Mittelständler, die KI für Inbox-Sortierung, Angebotsentwürfe oder Support-Antworten nutzen, ist der relevante Bereich Transparenzpflicht — nicht Hochrisiko. Das ist die wichtigste Entwarnung dieses Artikels. Aber "nicht Hochrisiko" heißt nicht "nichts zu tun".
Die eine Falle: Personalauswahl
Es gibt einen Einsatz, der viele Betriebe überraschend in die Hochrisiko-Klasse zieht: KI in der Bewerberauswahl. Wenn ein System Bewerbungen bewertet, priorisiert oder vorsortiert und diese Bewertung in die Auswahlentscheidung einfließt, kann das als Hochrisiko gelten.
Praktische Konsequenz: Wenn Sie ein Recruiting-Modul einsetzen, das Bewerbungen screent, behandeln Sie es defensiv. Sorgen Sie dafür, dass
- die KI vorsortiert, aber nie entscheidet,
- ein Mensch jede Ablehnung verantwortet und dokumentiert,
- die Bewertungskriterien transparent und nicht diskriminierend sind,
- der Vorgang protokolliert wird.
Genau diese menschliche Aufsicht ist der Grund, warum wir Recruiting-Funktionen strikt als "Entwurf zur Freigabe" bauen — nie als Auto-Entscheidung.
Was Sie konkret dokumentieren sollten
Unabhängig von der Risikoklasse ist eine schlanke Dokumentation Ihres KI-Einsatzes gute Praxis und in Teilen bereits Pflicht. Eine praktikable Minimal-Liste:
- Welche KI-Systeme setzen wir wofür ein? Ein einfaches Register: System, Zweck, betroffene Datenkategorien, Anbieter.
- Wo entscheidet der Mensch? Für jeden Einsatz: An welcher Stelle prüft und verantwortet ein Mensch das Ergebnis?
- Wie klären wir Betroffene auf? Wissen Kunden, dass sie eine KI-gestützte Antwort bekommen können?
- Welche Datenschutzgrundlage nutzen wir? Verbindung zur DSGVO — Auftragsverarbeitungsvertrag mit dem Anbieter, Rechtsgrundlage der Verarbeitung.
Dieses Register ist kein bürokratischer Selbstzweck. Es ist die Grundlage, mit der Sie im Ernstfall — Anfrage der Aufsichtsbehörde, Beschwerde eines Betroffenen — souverän antworten können.
Transparenz ist der Standard, nicht die Ausnahme
Die Transparenzpflicht des AI Act deckt sich mit gutem Geschäftssinn: Menschen mögen es nicht, unwissentlich mit einer Maschine zu reden. Ein sauberer Umgang:
- KI-generierte Antworten, die extern rausgehen, laufen über menschliche Freigabe — dann ist es faktisch eine menschlich verantwortete Antwort.
- Wo ein System direkt und unbeaufsichtigt mit Menschen interagiert, wird das kenntlich gemacht.
Wie eine Plattform Sie hier unterstützt (und wo nicht)
Ein Anbieter wie ORCONIC kann Ihnen einen Teil der Last abnehmen, aber nicht alles:
- Was die Plattform liefert: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, revisionssicheres Audit-Log jeder KI-Aktion, menschliche Freigaben als Standardarchitektur, Transparenz über eingesetzte Sub-Prozessoren.
- Was bei Ihnen bleibt: die Einordnung Ihres konkreten Einsatzes in die Risikoklassen, Ihr internes KI-Register, die Aufklärung Ihrer Kunden, die Rechtsgrundlage Ihrer Verarbeitung.
Wer behauptet, seine Software mache Sie "AI-Act-konform per Klick", verkauft Ihnen dasselbe Placebo wie die Anbieter, die "DSGVO-konform" auf einen EU-Server-Aufkleber reduzieren. Konformität ist ein Zusammenspiel aus Technik und Ihren Prozessen.
Fazit
Für den typischen Mittelständler ist der EU AI Act 2026 kein Grund zur Panik, aber ein Grund zur Ordnung. Führen Sie ein schlankes KI-Register. Achten Sie besonders auf Personalauswahl. Halten Sie den Menschen in der Entscheidungsschleife. Und wählen Sie einen Anbieter, der Audit-Trail, Freigaben und einen echten Auftragsverarbeitungsvertrag mitbringt — dann ist der regulatorische Teil kein Bremsklotz, sondern erledigt sich weitgehend als Nebenprodukt sauberer Architektur.