- Der EU AI Act bringt ab Februar 2026 die KI-Schulungspflicht für alle Mitarbeitenden — ab August 2026 Transparenz- und Kennzeichnungspflichten.
- Drei Stellschrauben für verantwortungsvolle KI: Bias-Kontrolle, Transparenz und sauberer Datenschutz — alles ohne Innovationsbremse.
- KI-Ethik ist kein „Compliance-Anhang", sondern ein Bestandteil moderner Managed IT und ein echter Wettbewerbsvorteil im Mittelstand.
- Bußgelder bis 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes — KI-Ethik ist Chefsache.
KI-Ethik klingt nach Universitätsseminar. Für Geschäftsführer in Hamburg ist sie inzwischen Pflichtprogramm. Seit Februar 2026 müssen Sie nachweisen, dass Ihre Mitarbeitenden im Umgang mit ChatGPT, Copilot und Co. geschult sind. Ab August 2026 müssen KI-generierte Inhalte gekennzeichnet werden. Wer das ignoriert, riskiert Bußgelder, die nach DSGVO-Maßstab eher harmlos wirken — beim AI Act geht es um bis zu 35 Mio. Euro.
Dieser Artikel zeigt, was Verantwortung beim KI-Einsatz konkret heißt — nicht als Verbotskatalog, sondern als Leitlinie für Entscheider, die Innovation und Sorgfaltspflicht verbinden wollen.
EU AI Act: Die wichtigsten Pflichten für Geschäftsführer 2026
Der EU AI Act ist seit August 2024 in Kraft. Die Anwendung läuft gestaffelt — die meisten Pflichten greifen 2026 und 2027. Hier die Termine, die Sie 2026 wirklich treffen:
| Termin | Pflicht | Wen es betrifft |
|---|---|---|
| 2. Februar 2026 | KI-Schulungspflicht für Mitarbeitende (Art. 4) | Alle Unternehmen, die KI einsetzen |
| 2. Februar 2026 | Verbot bestimmter KI-Praktiken (Social Scoring, Manipulation) | Alle |
| 2. August 2026 | Transparenz- & Kennzeichnungspflicht für KI-Inhalte | Alle Unternehmen mit KI-Output |
| 2. August 2026 | Pflichten für General-Purpose-AI-Modelle | Anbieter wie OpenAI, Microsoft, Google |
| 2. August 2027 | Vollständige Anwendung auf Hochrisiko-KI | HR-, Kredit-, Versicherungs-KI etc. |
Laut Bitkom-Einordnung zum AI Act müssen Unternehmen Hochrisiko-Systeme von unabhängigen Stellen prüfen lassen — das ist neu, das kostet und das braucht Vorlauf.
Was bedeutet das konkret? Für 90 % der Mittelständler heißt es: Schulung organisieren, KI-Inventar führen, Kennzeichnungsprozess aufbauen. Die wenigsten KMU betreiben Hochrisiko-KI — wer aber automatisierte Bewerber-Screenings, KI-gestützte Bonitätsprüfungen oder biometrische Zugangskontrollen einsetzt, fällt in die Hochrisiko-Klasse und muss zusätzlich dokumentieren, auditieren und beim Bundesnetzagentur-Register anmelden.
Die KI-Schulungspflicht gilt seit Februar 2026 — Bußgelder können laut aktueller Einordnung der Pflichten bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes betragen. Ein nachweisbar dokumentierter Schulungsprozess ist die wichtigste Versicherung.
Bias und Diskriminierung: Wo KI heute schon Schaden anrichtet
Bias bedeutet: Die KI bevorzugt oder benachteiligt bestimmte Gruppen — meist unbeabsichtigt, weil die Trainingsdaten unausgewogen waren. Beispiele aus der Praxis: Eine HR-KI sortiert Bewerbungen mit weiblichem Namen schlechter ein, weil sie auf historisch männlich besetzten Stellen trainiert wurde. Eine Bonitätsprüfung lehnt Kunden aus bestimmten Stadtteilen ab, weil Postleitzahl und Zahlungsausfall korrelieren — auch wenn der einzelne Kunde damit nichts zu tun hat.
Drei Fragen, die Geschäftsführer ihrer KI-Lösung stellen müssen:
- Welche Daten wurden zum Training verwendet? Wenn der Anbieter keine Auskunft gibt — Vorsicht. Bei General-Purpose-Modellen wie ChatGPT lässt sich das nie zu 100 % klären, aber bei spezialisierten Branchen-KIs muss es eine Antwort geben.
- Wie überprüfen Sie die Ergebnisse statistisch? Stichprobenkontrolle: 50 zufällige Entscheidungen aus dem letzten Quartal manuell prüfen. Lehnt die KI Frauen häufiger ab? Bevorzugt sie bestimmte Altersgruppen? Das ist messbar.
- Was passiert, wenn eine Entscheidung falsch ist? Es muss einen menschlichen Eskalationsweg geben. Eine vollautomatische Ablehnung ohne Widerspruchsmöglichkeit ist ab August 2026 für Hochrisiko-KI verboten.
Transparenz: Was Kunden und Mitarbeitende wissen müssen
Ab August 2026 gilt für KI-generierte Inhalte eine Kennzeichnungspflicht — Texte, Bilder, Videos. Chatbots müssen sich als KI zu erkennen geben. Deepfakes brauchen einen Warnhinweis. Das ist kein Bürokratie-Akt, sondern hat handfeste Auswirkungen auf Ihre Außenkommunikation.
KI klingt immer so komplex, aber eigentlich ist das nicht so kompliziert. Man kann echt vieles machen mit wenig Aufwand und wenig Geld — solange man früh sagt, was läuft und wer mitschneidet.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Praktisch heißt das: Ihre Website-Texte aus ChatGPT bekommen einen Hinweis. Ihr Service-Chatbot bekommt im Begrüßungssatz „Sie chatten mit einem KI-Assistenten”. Ihre Bewerbungsantworten, die ein KI-Modell vorformuliert hat, müssen nicht zwingend gekennzeichnet werden — wenn ein Mensch sie freigibt und verantwortet. Die Grenzen sind fließend, ein guter IT-Dienstleister in Hamburg hilft bei der Klassifizierung.
Datenschutz und KI: Was Sie der Maschine niemals geben dürfen
Hier wird es konkret. Wenn Ihr Mitarbeiter ein vertrauliches Angebot in ChatGPT pastet, um es „aufzuhübschen”, verlässt diese Information Ihr Unternehmen — und landet potenziell in den Trainingsdaten für die nächste Modellversion. Das ist DSGVO-relevant, geheimnisverletzungsrelevant und meist gegen den Arbeitsvertrag.
Der Bitkom-Leitfaden zu Trustworthy AI liefert einen guten Strukturrahmen. Wir setzen das bei unseren Hamburger Kunden so um, dass die Richtlinie auf zwei Seiten passt — alles darüber liest niemand.
Aus der Praxis: Wie ein Hamburger Mittelständler KI-Governance umgesetzt hat
Ein Kunde aus dem Logistikumfeld — 65 Mitarbeitende, Hamburg-Hammerbrook — kam Anfang 2026 mit der Frage: „Wir nutzen ChatGPT für Angebotsentwürfe, der Lagerleiter probiert Copilot für Tourenplanung, die HR-Abteilung will Bewerbungs-Screening. Was müssen wir jetzt tun?”
Unser Vorgehen: 1 Tag Bestandsaufnahme, in der wir jeden KI-Touchpoint dokumentiert haben. Anschließend Risikoklassifizierung — drei der sieben Anwendungen waren grenzwertig (HR-Screening = Hochrisiko, Tourenplanung mit Personenbezug = relevant). Daraus eine zweiseitige KI-Richtlinie, eine 90-Minuten-Pflichtschulung über Teams, ein Lenkungskreis mit GF, IT-Leiter und externer Datenschutzbeauftragten. Quartalsweise Review. Aufwand für den ersten Aufbau: ca. 6.000 Euro plus 1 Tag intern pro Bereich. Das ist günstiger als der erste Bußgeld-Bescheid.
Wir wollten nicht zur Abteilung „KI verboten" werden, aber wir mussten wissen, was wir verantworten. Die Richtlinie passt auf zwei Seiten, alle haben unterschrieben — und jetzt nutzen wir KI mit besserem Gefühl als vorher.
Verantwortungsvolle KI als Wettbewerbsvorteil
Wer KI-Governance jetzt aufsetzt, hat in zwei Jahren einen Vorteil — gegenüber Wettbewerbern, die hektisch nachziehen müssen, und gegenüber Kunden, die im Pitch nach AI-Compliance fragen. Großkunden und öffentliche Auftraggeber haben das schon im Lastenheft. Mittelständische Lieferanten ohne KI-Richtlinie fliegen reihenweise aus B2B-Ausschreibungen.
Praktisch unterstützen wir bei der KI-Strategie im Rahmen unserer KI & Automatisierung-Beratung. Wer Compliance gleich mitdenkt, spart später teure Korrekturschleifen — und gewinnt Vertrauen bei Kunden und Aufsicht. Wie konkrete Anwendungen aussehen, beschreibt der Artikel Microsoft Copilot für Geschäftsführer; für den Blick auf strukturelle Automatisierung lohnt der Beitrag zu Routineaufgaben sinnvoll automatisieren.
Weiterführende Quellen
- Bitkom: AI Act kommt nach Deutschland
- Bitkom-Studie: Künstliche Intelligenz in Deutschland 2026
- Bitkom-Leitfaden: Trustworthy & Responsible AI
- Übersicht AI-Act-Pflichten 2026 (meinbuero.de)
Ihr nächster Schritt: KI-Governance in 30 Minuten besprechen
Sie nutzen KI und wissen nicht, ob Ihre aktuelle Praxis ab Februar/August 2026 sauber ist? Wir nehmen uns 30 Minuten, schauen mit Ihnen auf Ihre KI-Touchpoints und priorisieren konkrete nächste Schritte. Kein Vertriebsgespräch, kein Verkauf — einfach eine ehrliche Einschätzung aus 200+ Mittelstands-Beratungen.
KI-Governance besprechen?
15 Minuten. Kostenlos. Ihre KI-Praxis — sauber bewertet.
Erstgespräch buchen →
