Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
EU AI Act AlltagAI Act MitarbeitendeKI im Unternehmen BeispieleAI Act SzenarienEU AI Act PraxisKI Schulungspflicht Mitarbeiter

15 Alltagsszenarien: Wie Mitarbeitende den EU AI Act berühren — ohne es zu wissen

Vertrieb, HR, Controller, IT-Admin: 15 konkrete Situationen, in denen normale Mitarbeitende mit dem EU AI Act in Berührung kommen — inklusive Risikostufe und Handlungsbedarf.

Veröffentlicht: 24. März 2026Letzte Aktualisierung: 24. März 20268 Min. Lesezeit

Der EU AI Act klingt nach Regulierungstheorie — ist im Arbeitsalltag aber längst Realität. Das Problem: Die meisten Mitarbeitenden wissen nicht, dass sie mit dem Gesetz in Berührung kommen. Vertriebsmitarbeiter, die Angebote mit Copilot schreiben. HR-Managerinnen, die Bewerbungen über ein KI-Tool vorsortieren. Controller, die SAP-Prognosen ungeprüft übernehmen. In all diesen Fällen greifen die Pflichten aus der EU-Verordnung 2024/1689 — auch wenn kein einziger Beteiligter das Wort "KI-System" je in den Mund genommen hat.

Die folgende Liste zeigt 15 konkrete, realistische Szenarien aus deutschen Unternehmen. Jedes Szenario benennt eine Person, eine alltägliche Handlung, den AI-Act-Bezug und die Risikostufe. Wer danach einordnen will, welche Pflichten daraus folgen, findet in der AI-Act-Checkliste für Unternehmen den nächsten sinnvollen Schritt.

Die vier Risikostufen im Überblick

Bevor die Szenarien folgen, kurz zur Einordnung der verwendeten Begriffe:

RisikostufeBedeutung
MinimalKeine nennenswerten Risiken, keine besonderen Pflichten (z. B. Spam-Filter)
BegrenztTransparenzpflichten gelten, z. B. Hinweis auf KI-generierten Content
HochrisikoStrikte Pflichten: Risikomanagementsystem, Dokumentation, menschliche Aufsicht, Schulung
VerbotenEinsatz ist per Gesetz untersagt (z. B. Social Scoring, manipulative Techniken)

Szenario 1: Vertriebsmitarbeiterin nutzt Copilot für Kundenangebote

  • Person: Laura K., Account Managerin im Außendienst, Maschinenbauunternehmen, 400 MA
  • Handlung: Laura tippt jeden Morgen ihre Gesprächsnotizen in Microsoft 365 Copilot und lässt sich daraus Angebotsentwürfe generieren. Die Texte gehen oft nahezu unverändert an Kunden.
  • Warum AI-Act-relevant: Das Unternehmen nutzt ein KI-System beruflich und ist damit Betreiber im Sinne von Art. 3 Nr. 4. Laura als Nutzerin muss gemäß Art. 4 verstehen, wie Copilot funktioniert, wo er halluziniert und welche Informationen sie nicht ungeprüft übernehmen darf.
  • Risikostufe: Begrenzt — Texte an Kunden können Transparenzpflichten auslösen, wenn nicht erkennbar ist, dass KI beteiligt war.

Szenario 2: HR-Managerin lässt Personio Bewerbungen vorsortieren

  • Person: Sandra M., HR-Business-Partnerin, Logistikunternehmen, 800 MA
  • Handlung: Sandra nutzt die KI-gestützte Matching-Funktion in Personio, um aus 180 Bewerbungen für eine Teamleiter-Stelle automatisch eine Shortlist von 20 Kandidatinnen und Kandidaten zu erstellen. Die übrigen 160 erhalten eine Absage ohne nochmalige Sichtung.
  • Warum AI-Act-relevant: KI-gestützte Bewerberauswahl fällt unter Anhang III Nr. 4 der EU-VO 2024/1689 und ist damit ein Hochrisiko-KI-System. Das Unternehmen braucht ein Risikomanagementsystem, muss menschliche Aufsicht sicherstellen und Sandra muss nachweislich geschult sein.
  • Risikostufe: Hochrisiko

Szenario 3: Controller übernimmt SAP-Umsatzprognosen ungeprüft

  • Person: Thomas B., Senior Controller, Handelsunternehmen, 200 MA
  • Handlung: SAP S/4HANA generiert automatisch Umsatzprognosen für das kommende Quartal auf Basis historischer Daten und ML-Modellen. Thomas kopiert die Zahlen in seine Vorstandspräsentation, ohne die Modellannahmen zu prüfen oder eine Sensitivitätsanalyse zu ergänzen.
  • Warum AI-Act-relevant: Wenn SAP ein KI-System im Sinne der Verordnung einsetzt — was bei ML-basierten Prognosetools regelmäßig der Fall ist — muss das Unternehmen als Betreiber sicherstellen, dass Mitarbeitende die Grenzen und Fehlermöglichkeiten des Systems kennen. Thomas fehlt die Kompetenz, die Art. 4 verlangt.
  • Risikostufe: Begrenzt bis Hochrisiko — je nachdem, ob Prognosen für kritische Investitionsentscheidungen genutzt werden.

Szenario 4: Marketingleiterin erstellt Kampagnenbilder mit KI ohne Kennzeichnung

  • Person: Julia R., Head of Marketing, Pharmaunternehmen, 150 MA
  • Handlung: Julia nutzt Midjourney, um Bilder für eine LinkedIn-Kampagne und die Unternehmenswebsite zu erstellen. Die Bilder zeigen Menschen im Laborkittel und wirken wie echte Fotos. Eine Kennzeichnung als KI-generiert erfolgt nicht.
  • Warum AI-Act-relevant: Art. 50 der EU-VO 2024/1689 schreibt vor, dass synthetische Bilder, die reale Personen oder Situationen darstellen, als KI-generiert gekennzeichnet sein müssen. Verstöße können als irreführende Geschäftspraktik eingestuft werden.
  • Risikostufe: Begrenzt — Transparenzpflicht verletzt, keine technische Hochrisiko-Einordnung.

Szenario 5: IT-Admin aktiviert KI-Funktionen in Microsoft 365 ohne Policy

  • Person: Marco F., IT-Systemadministrator, Steuerberatungskanzlei, 60 MA
  • Handlung: Marco aktiviert Microsoft 365 Copilot für alle 60 Mitarbeitenden, weil das Unternehmen den neuen Enterprise-Plan gebucht hat. Er richtet technische Berechtigungen ein, erstellt aber keine Nutzungsregeln, keine Datenschutzprüfung und keine Schulungsunterlagen.
  • Warum AI-Act-relevant: Das Unternehmen wird mit Aktivierung zum Betreiber. Ohne Policy, AVV-Prüfung und Schulung fehlen drei Kernelemente der Betreiberpflicht nach Art. 26. Für eine Steuerberatungskanzlei, die Mandantendaten verarbeitet, ist das Risikoprofil besonders hoch.
  • Risikostufe: Begrenzt bis Hochrisiko — abhängig vom konkreten Einsatz mit Mandantendaten.

Szenario 6: Einkäufer gibt Lieferantenverträge in DeepL Write ein

  • Person: Kai S., strategischer Einkäufer, Automobilzulieferer, 1.200 MA
  • Handlung: Kai übersetzt und überarbeitet Lieferantenverträge mit DeepL Write, weil sein Englisch für technische Formulierungen nicht sicher genug ist. Er fügt dabei vollständige Vertragsabschnitte inklusive Preise, Laufzeiten und Bonuszahlungen ein.
  • Warum AI-Act-relevant: Nicht primär ein Hochrisiko-Problem, aber: Vertrauliche Geschäftsdaten verlassen das Unternehmen ohne AVV, ohne Freigabe, ohne Prüfung, ob DeepL die Daten für Modelltraining nutzt. Das Unternehmen verletzt interne Compliance-Pflichten und möglicherweise Art. 32 DSGVO — und Kai handelt ohne das Wissen, das Art. 4 voraussetzt.
  • Risikostufe: Minimal bis begrenzt (AI Act), aber erhöhtes DSGVO-Risiko.

Szenario 7: Kundenservice nutzt KI-Antwortvorschläge in Salesforce ohne Prüfung

  • Person: Mia H., Kundenbetreuerin, E-Commerce-Unternehmen, 90 MA
  • Handlung: Salesforce schlägt Mia automatisch Antworten auf Kundenanfragen vor — auf Basis früherer Konversationen und einem integrierten Sprachmodell. Mia klickt meistens auf "Senden" ohne den Vorschlag zu lesen, weil sie täglich 80+ Tickets bearbeitet.
  • Warum AI-Act-relevant: Das Unternehmen hat als Betreiber sicherzustellen, dass KI-Ausgaben im Kundenkontakt menschlich beaufsichtigt werden. Ohne Schulung und interne Regel, wann Mia prüfen muss, fehlt die Aufsichtspflicht aus Art. 26 Abs. 5. Bei Reklamationen oder rechtlichen Aussagen kann das haften.
  • Risikostufe: Begrenzt — aber bei falschen Rechtsauskünften oder Erstattungszusagen potenziell teuer.

Szenario 8: Geschäftsführer nutzt KI-Meeting-Tool ohne Betriebsrat-Information

  • Person: Dr. Peter L., Geschäftsführer, Ingenieurbüro, 45 MA
  • Handlung: Dr. L. bucht Fireflies.ai für alle internen Meetings. Das Tool transkribiert Gespräche automatisch, erstellt Zusammenfassungen und speichert alles in der Cloud. Der Betriebsrat wurde nicht informiert, Mitarbeitende nicht gefragt.
  • Warum AI-Act-relevant: KI-gestützte Mitarbeiterüberwachung kann unter Art. 5 Nr. 1 lit. e fallen, wenn Verhaltensmuster ausgewertet werden. Gleichzeitig besteht ein Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG. Ohne Einführungsverfahren und Datenschutzprüfung kann die Nutzung unzulässig sein.
  • Risikostufe: Hochrisiko bis verboten — je nach Auswertungstiefe und ob Mitarbeiterbewertungen daraus abgeleitet werden.

Szenario 9: Werkstattleiter setzt KI-Predictive-Maintenance ein ohne Schulung

  • Person: Bernd K., Leiter Instandhaltung, Produktionsunternehmen, 600 MA
  • Handlung: Das Unternehmen hat ein Predictive-Maintenance-System eingeführt, das auf Basis von Sensordaten Maschinenausfälle vorhersagt und automatisch Wartungsaufträge auslöst. Bernd verlässt sich vollständig auf die Empfehlungen, ohne das Systemverhalten oder seine Fehlerrate zu kennen.
  • Warum AI-Act-relevant: KI-Systeme in der Sicherheitstechnik können je nach Maschine unter Anhang III fallen. Unabhängig davon verlangt Art. 4, dass Bernd die Logik, Grenzen und mögliche Fehlauslösungen des Systems kennt — sonst fehlt die menschliche Aufsicht, die das Gesetz fordert.
  • Risikostufe: Begrenzt bis Hochrisiko — abhängig davon, ob die Maschinen sicherheitskritisch sind.

Szenario 10: Qualitätsmanager nutzt KI-Bilderkennungssoftware in der Produktion

  • Person: Anna W., Qualitätsmanagerin, Elektronikhersteller, 320 MA
  • Handlung: Eine automatische Kamera-KI erkennt Produktionsfehler auf dem Band und sortiert fehlerhafte Teile aus. Anna validiert das System einmalig bei Einführung, überprüft Fehlerquoten danach aber nicht regelmäßig.
  • Warum AI-Act-relevant: KI in der Qualitätskontrolle für sicherheitsrelevante Produkte kann Hochrisiko-Status haben. Als Betreiber muss das Unternehmen laufendes Monitoring, dokumentierte Genauigkeitsprüfungen und klare Eskalationspfade für Fehlfunktionen einrichten — und Anna muss wissen, wie sie das System kritisch beurteilt.
  • Risikostufe: Hochrisiko — wenn die Teile in sicherheitsrelevante Produkte (z. B. Fahrzeuge, Medizingeräte) einfließen.

Szenario 11: Projektleiterin verwendet ChatGPT für Risikoanalysen

  • Person: Yasmin T., Senior Projektleiterin, Beratungsunternehmen, 80 MA
  • Handlung: Yasmin lässt ChatGPT Risikobewertungen für ein Kundenprojekt erstellen. Die Ausgaben werden in den offiziellen Projektbericht übernommen und dem Kunden präsentiert — als eigene Analyse des Beratungshauses.
  • Warum AI-Act-relevant: Das Unternehmen ist Betreiber von ChatGPT im beruflichen Kontext und muss sicherstellen, dass Yasmin die Grenzen des Modells kennt. Gleichzeitig kann das Präsentieren von KI-Analysen als eigene Fachleistung ohne Hinweis gegen Art. 50 verstoßen und vertragliche Haftungsfragen auslösen.
  • Risikostufe: Begrenzt — Transparenz- und Qualitätssicherungspflicht relevant.

Szenario 12: Assistenz der Geschäftsleitung nutzt KI für Protokolle und Vertrauliches

  • Person: Christine B., Assistentin der Geschäftsführung, Familienunternehmen, 110 MA
  • Handlung: Christine tippt Protokolle von Gesellschafterversammlungen, Gehaltslisten und strategische Planungsdokumente in ChatGPT, um sie kürzer und formeller formulieren zu lassen.
  • Warum AI-Act-relevant: Hochsensible Unternehmensdaten verlassen die IT-Infrastruktur ohne Freigabe, ohne AVV, möglicherweise in ein Modell, das die Eingaben für Training nutzt. Das verletzt Art. 32 DSGVO und ggf. § 203 StGB (Berufsgeheimnis), wenn Anwälte oder Steuerberater beteiligt sind. Der AI Act verlangt, dass Christine die Datenweitergabe-Risiken kennt.
  • Risikostufe: Begrenzt (AI Act), aber erhöhtes strafrechtliches und DSGVO-Risiko.

Szenario 13: Auszubildender setzt KI-Tools ein ohne Wissen der Ausbilder

  • Person: Leon P., Auszubildender Kaufmann für Büromanagement, 2. Lehrjahr, Spedition, 70 MA
  • Handlung: Leon erledigt Routineaufgaben — Angebotsvergleiche, E-Mails, Protokolle — täglich mit ChatGPT, weil es schneller geht. Seine Ausbilder wissen nichts davon und kontrollieren die Ergebnisse nicht inhaltlich.
  • Warum AI-Act-relevant: Leons fehlende KI-Kompetenz ist kein persönliches Problem, sondern ein strukturelles: Das Unternehmen hat als Betreiber keine Schulung und keine Regeln für Auszubildende eingeführt. Wenn KI-Ausgaben in echte Geschäftsprozesse einfließen, entsteht die Betreiberhaftung — unabhängig vom Alter oder Status der nutzenden Person.
  • Risikostufe: Begrenzt — Schulungspflicht nach Art. 4 nicht erfüllt.

Szenario 14: Betriebsrat erhält keine Information über neues KI-Bewertungssystem

  • Person: Renate G., Betriebsratsvorsitzende, Einzelhandelsunternehmen, 250 MA
  • Handlung: Das Unternehmen führt ein KI-gestütztes Schichtplanungs- und Leistungsbewertungssystem ein. Renate erfährt davon durch eine Mitarbeiter-Beschwerde — drei Monate nach dem Go-live.
  • Warum AI-Act-relevant: KI-Systeme zur Bewertung von Mitarbeitenden fallen unter Anhang III Nr. 4 und sind Hochrisiko. Der Betriebsrat hat Mitbestimmungsrechte (§ 87 BetrVG) und muss vorab informiert werden. Das Unternehmen hat sowohl AI-Act-Pflichten als auch Betriebsverfassungsgesetz verletzt.
  • Risikostufe: Hochrisiko

Szenario 15: Unternehmen setzt KI-gestütztes Scoring für Kreditentscheidungen ein

  • Person: Frank D., Leiter Finanzabteilung, mittelständisches Handelsunternehmen, 180 MA
  • Handlung: Das Unternehmen nutzt ein KI-Modul seines Warenwirtschaftssystems, das automatisch berechnet, welchen Kunden Zahlungsziel oder Skonto gewährt wird — auf Basis von Kreditscoring-Daten und Kaufhistorie. Frank weiß nicht genau, welche Daten das Modell verwendet.
  • Warum AI-Act-relevant: KI-gestützte Kreditwürdigkeitsbewertung ist explizit in Anhang III Nr. 5 lit. b als Hochrisiko-Anwendung gelistet. Das Unternehmen muss als Betreiber sicherstellen, dass Frank das System versteht, Fehler erkennen kann und Betroffene eine Erklärung erhalten können. Vollautomatische Ablehnungen ohne Erklärung können zusätzlich gegen Art. 22 DSGVO verstoßen.
  • Risikostufe: Hochrisiko

Was diese Szenarien verbindet

Keiner der 15 Beteiligten hat absichtlich gegen ein Gesetz verstoßen. Sie alle nutzen Tools, die das Unternehmen bereitgestellt hat oder die sie aus eigenem Antrieb verwenden — weil es schneller, effizienter oder einfach bequemer ist. Genau das ist die Herausforderung des EU AI Acts für Unternehmen: Die Pflichten entstehen nicht im Rechtsbereich, sondern im Alltag der Fachabteilungen.

Die Konsequenz ist eindeutig: Schulung kann nicht nur für IT oder Compliance relevant sein. Jede Person, die beruflich mit einem KI-System in Berührung kommt, braucht ein Grundverständnis — proportional zu ihrer Rolle und dem Risikoniveau des eingesetzten Systems. Genau das ist der Kern von Art. 4 der EU-VO 2024/1689.

Wer jetzt einschätzen will, welche dieser Szenarien im eigenen Unternehmen relevant sind, kann mit der AI-Act-Checkliste für Unternehmen starten oder direkt den Schulungsnachweis als Haftungsschutz als nächsten konkreten Schritt lesen.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →