Unternehmensführung

AI Act und KI-Mandate: Menschliche Aufsicht in der Praxis

Der EU AI Act verpflichtet Unternehmen, KI-Systeme unter menschlicher Aufsicht zu betreiben – mit klaren Regeln, nachvollziehbaren Entscheidungen und definierten Eskalationspfaden. Ein KI-Mandat ist kein rechtliches Dokument, aber es setzt genau das um, was der AI Act auf operativer Ebene fordert.

Zuletzt aktualisiert am 19.05.2026

Hinweis: Dieser Artikel gibt eine praxisorientierte Einordnung und ersetzt keine Rechtsberatung. Für verbindliche Compliance-Fragen empfehlen wir die Konsultation eines spezialisierten Anwalts oder Compliance-Beraters.

Was der EU AI Act von Unternehmen fordert

Der EU AI Act ist seit dem 1. August 2024 formal in Kraft. Die Pflichten greifen gestaffelt:

  • Seit Februar 2025: Verbot bestimmter KI-Praktiken (z. B. Social Scoring, manipulative Systeme)
  • Seit August 2025: Anforderungen für General Purpose AI (GPAI) – große Sprachmodelle wie GPT oder Claude
  • Ab August 2026: Vollständige Pflichten für Hochrisiko-KI-Systeme (z. B. KI im Recruiting, in der Kreditvergabe, in kritischer Infrastruktur)
  • Ab August 2027: Vollständige Anwendung auf bereits bestehende Systeme

Für die meisten Selbstständigen und KMU, die KI-Tools wie ChatGPT, Claude oder Copilot für Alltagsaufgaben nutzen, gelten vor allem die Anforderungen als Deployer – also als Betreiber eines bereits entwickelten KI-Systems im eigenen Kontext.

Deployer haben konkrete Pflichten: Sie müssen sicherstellen, dass das System bestimmungsgemäß eingesetzt wird, die menschliche Aufsicht gewährleisten und Nutzer transparent informieren.

Die entscheidende Frage für den Alltag lautet also nicht: „Betrifft mich der AI Act?" – sondern: „Wie stelle ich menschliche Aufsicht über meine KI-Nutzung sicher?"

Was bedeutet „menschliche Aufsicht“ konkret?

Der Begriff klingt technisch, meint aber etwas sehr Praktisches: Ein Mensch muss jederzeit verstehen können, was die KI tut – und eingreifen können, wenn sie falsch liegt oder eine Grenze überschreitet.
Menschliche Aufsicht bedeutet: Endkontrolle oder Eskalationsmechanismen bei Unsicherheiten.

Das umfasst konkret:

  • Transparenz: Wer hat der KI welchen Auftrag gegeben? Was darf sie entscheiden, was nicht?
  • Nachvollziehbarkeit: Kann ich im Nachhinein erklären, warum ein KI-Ergebnis so ausgefallen ist?
  • Eingriffsfähigkeit: Gibt es definierte Situationen, in denen ein Mensch übernimmt, bevor die KI handelt?
  • Dokumentation: Ist der Handlungsrahmen der KI schriftlich festgehalten?

Genau diese vier Anforderungen – Transparenz, Nachvollziehbarkeit, Eingriffsfähigkeit und Dokumentation – bilden den Kern eines gut formulierten KI-Mandats.

Warum ein KI-Mandat die operative Antwort auf den AI Act ist

Ein KI-Mandat ist kein Rechts- und kein Compliance-Dokument. Aber es ist die praktische Umsetzung dessen, was der AI Act auf operativer Ebene erwartet.
Betrachte die fünf Elemente eines Mandats durch die Linse des AI Act:

Mandat-Element AI-Act-Anforderung
Ziel Bestimmungsgemäßer Einsatz – die KI tut, wofür sie eingesetzt wurde
Rahmen Transparenz über Datennutzung und Entscheidungsgrenzen
Werte Dokumentierte Verhaltensrichtlinien für das KI-System
Eskalation Menschliche Aufsicht – definierte Eingriffspunkte
Kontrolle Aufzeichnungs- und Prüfpflichten

Wenn du ein vollständiges KI-Mandat für jeden Einsatzbereich führst, hast du damit eine nachvollziehbare Dokumentation, wie und unter welchen Bedingungen KI in deinem Unternehmen arbeitet. Das ist keine Garantie für Compliance – aber es ist die Grundlage dafür.

Was der AI Act für Selbstständige und KMU bedeutet

Mit dem 2. August 2025 ist der AI Act in seiner praktischen Umsetzung in vielen zentralen Bereichen bei den Unternehmen angekommen. Unternehmen müssen ihre KI-Systeme auf Transparenz, Governance und Compliance ausrichten.

Für kleine Betriebe und Selbstständige bedeutet das nicht zwingend einen großen Compliance-Apparat. Es bedeutet vor allem: Wer KI nutzt, sollte wissen und dokumentieren können, wie er sie nutzt.

Drei Fragen solltest du dir stellen:

  1. Habe ich für jede wiederkehrende KI-Nutzung einen schriftlichen Auftrag?
    Wenn die KI regelmäßig Kundenkommunikation, Dokumentation oder Entscheidungsvorbereitung übernimmt, sollte das in einem Mandat festgehalten sein – mit klaren Grenzen.
  2. Gibt es Situationen, in denen meine KI eigenständig etwas nach außen kommuniziert? 
    Automatisch versendete E-Mails, Posts oder Angebote sind besonders sensibel. Hier ist ein explizites Eskalations-Element im Mandat besonders wichtig.
  3. Kann ich bei einer Prüfung erklären, wie und warum ein KI-Ergebnis entstanden ist?
    Ein KI-Mandat ist ein Schritt in Richtung Nachvollziehbarkeit – nicht als juristischer Beweis, aber als nachvollziehbare interne Governance-Struktur.

Hochrisiko-KI: Wo besondere Sorgfalt gilt

Für die meisten Alltagsanwendungen in kleinen Betrieben – Texte schreiben, Angebote vorbereiten, Social Media – gelten keine Hochrisiko-Anforderungen. Die Lage ändert sich, wenn KI in sensiblen Bereichen eingesetzt wird.

Zu den Hochrisiko-Anforderungen zählen:

  • Technische Dokumentation
  • Risikomanagement-System
  • Daten-Governance,
  • Aufzeichnungspflichten (Logs),
  • Transparenzinformationen für Nutzer
  • Maßnahmen zur menschlichen Aufsicht
  • Qualitätsmanagementsystem

Beispiele für Einsatzbereiche, die auch für KMU relevant sein können:

  • KI im Recruiting (Vorauswahl von Bewerbungen, automatisierte Absagen)
  • KI in der Kreditvergabe (Bonitätsbewertung, Zahlungskonditionen)
  • KI in Empfehlungssystemen mit erheblicher Auswirkung auf Kundenentscheidungen

Wer KI in diesen Bereichen einsetzt, sollte über ein KI-Mandat hinaus eine fachkundige Rechts- oder Compliance-Beratung in Anspruch nehmen.

Ein praktisches Beispiel: Zahlungserinnerung mit KI-Mandat

Um zu zeigen, wie ein Mandat menschliche Aufsicht operationalisiert, dient dieses konkrete Beispiel:

Szenario: Eine selbstständige Unternehmensberaterin nutzt KI für automatisierte Zahlungserinnerungen an säumige Kunden.

Das Mandat – mit explizitem Fokus auf AI-Act-relevante Elemente:

  1. Ziel: Überwache offene Rechnungen und erstelle stufenweise Zahlungserinnerungen (freundlich nach 7 Tagen, förmlich nach 14 Tagen).
  2. Rahmen: Basis sind die Rechnungen, die ich dir übergebe. Keine eigenständige Kommunikation ohne meine Freigabe. Format: E-Mail, max. 150 Wörter.
  3. Werte: Professionell, lösungsorientiert, keine Drohungen. Langjährige Kunden (3+ Jahre) immer vorab zu mir.
  4. Eskalation: Beträge über 3.000 Euro: nie automatisch senden. Kunden mit laufendem Disput: nicht kontaktieren. Rechtlich relevante Formulierungen: immer zur Prüfung vorlegen.
  5. Kontrolle: Jede Erinnerung vor dem Versand bestätigen. Monatlich: Welche Erinnerungen wurden versendet, welche ignoriert?

Was dieses Mandat leistet:

  • Bestimmungsgemäßer Einsatz: Die KI tut nur, was explizit definiert ist.
  • Menschliche Aufsicht: Jede Nachricht wird vor dem Versand freigegeben.
  • Eskalationspfade: Sensible Fälle landen immer beim Menschen.
  • Nachvollziehbarkeit: Der Handlungsrahmen ist schriftlich dokumentiert.

Die KI-Kompetenzpflicht: Unterschätzter Teil des AI Act

Die KI-Kompetenzpflicht ist die am häufigsten unterschätzte Anforderung des EU AI Act.

Seit August 2025 müssen Unternehmen sicherstellen, dass Mitarbeitende, die KI nutzen, über ausreichende Kompetenz im Umgang damit verfügen. Das bedeutet nicht zwingend eine Zertifizierung – aber es bedeutet, dass der Einsatz von KI nicht mehr vollständig ungeregelt stattfinden darf.

Ein KI-Mandat ist auch hier ein praktischer Beitrag: Es macht explizit, wer die KI wie einsetzt – und schafft damit eine dokumentierte Grundlage für interne Schulungen und Governance-Strukturen.

Häufige Fragen

Bin ich als Selbstständiger überhaupt vom AI Act betroffen?

 

Ja – sobald du ein KI-System im unternehmerischen Kontext nutzt, bist du vom AI Act erfasst. Für die meisten Standardanwendungen (Texte schreiben, E-Mails beantworten, Dokumentation) gelten keine Hochrisiko-Anforderungen. Die allgemeinen Pflichten – bestimmungsgemäßer Einsatz, menschliche Aufsicht, Transparenz – gelten aber grundsätzlich.

Macht ein KI-Mandat mein Unternehmen AI-Act-compliant?

 

Nein – ein KI-Mandat ist kein Rechtsdokument und ersetzt keine Compliance-Prüfung. Es ist aber ein wichtiger operativer Schritt, der Transparenz und menschliche Aufsicht dokumentiert und damit eine gute Grundlage für weitergehende Compliance-Maßnahmen schafft.

Welche Strafen drohen bei Verstößen gegen den AI Act?

 

Verstöße können mit Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden – bei verbotenen Praktiken. Für andere Verstöße gelten niedrigere Schwellen. Für KMU sind die Beträge proportional geringer, aber das Prinzip bleibt.

Muss ich meine KI-Mandate irgendwo einreichen oder registrieren?

 

Für die meisten Alltagsanwendungen in kleinen Betrieben ist das nicht erforderlich. Bei Hochrisiko-KI-Systemen gibt es jedoch Dokumentations- und Registrierungspflichten, die über ein Mandat hinausgehen. Hier ist Rechtsberatung empfohlen.

Fazit: Mandate als erster Schritt zur KI-Governance

Der EU AI Act ist kein Bürokratiemonster für Großkonzerne – er betrifft jeden, der KI im Unternehmenskontext einsetzt. Für Selbstständige und KMU ist die wichtigste Anforderung in der Praxis die menschliche Aufsicht: Wer steuert die KI, wer überprüft sie, wer greift ein?

Ein KI-Mandat beantwortet genau diese Fragen – nicht als juristisches Compliance-Instrument, sondern als operative Grundlage für einen verantwortungsvollen, nachvollziehbaren KI-Einsatz. Es ist kein Ersatz für Rechtsberatung, aber es ist der erste und wichtigste praktische Schritt.