Immer mehr deutsche Unternehmen setzen generative und klassische Künstliche Intelligenz produktiv ein – Branchenverbände und Marktbeobachter berichten für das laufende Jahr von einer ungefähren Verdopplung der Nutzung gegenüber dem Vorjahr, besonders im Mittelstand.
Treiber sind frei verfügbare Sprachmodelle, sinkende Einstiegskosten und konkrete Anwendungsfälle in Verwaltung, Kundenservice und Softwareentwicklung.
Zugleich wächst die Unsicherheit: Mit dem EU AI Act (Verordnung (EU) 2024/1689) treten ab dem 2.
August 2026 weitere Pflichten in Kraft, und der betriebliche Datenschutz nach der Datenschutz-Grundverordnung (DSGVO) bleibt für viele Betriebe ein ungelöstes Thema.

Was steckt hinter dem Adoptionsschub?

Der Anstieg verteilt sich Marktteilnehmern zufolge breit über Branchen, wird aber stark von kleinen und mittleren Unternehmen getragen, die KI bislang zögerlich genutzt hatten.
Häufig genannte Einsatzfelder sind die Erstellung und Zusammenfassung von Texten, die Auswertung von Geschäftsdaten sowie die Automatisierung wiederkehrender Büroabläufe.
Anders als bei früheren Digitalisierungswellen erfolgt der Einstieg oft niedrigschwellig über bestehende Office- und Cloud-Anwendungen, in die KI-Funktionen integriert sind.
Das senkt die Hemmschwelle, verlagert die Verantwortung aber zugleich auf die Anwenderunternehmen, die den rechtskonformen Einsatz sicherstellen müssen.

Gerade dort sehen Branchenbeobachter eine Lücke zwischen Tempo der Einführung und Reife der internen Prozesse.
Viele Unternehmen verfügten weder über klare Richtlinien zum Umgang mit KI-Werkzeugen noch über ein Verzeichnis der eingesetzten Systeme – beides Voraussetzungen, um sowohl Datenschutz- als auch künftige KI-Pflichten zu erfüllen.

Welche Pflichten bringt der AI Act?

Der EU AI Act folgt einem risikobasierten Ansatz.
Für Modelle mit allgemeinem Verwendungszweck (General Purpose AI) gelten bereits seit dem 2.
August 2025 Transparenz- und Dokumentationspflichten.
Für sogenannte Hochrisiko-KI – etwa Systeme in den Bereichen Personalauswahl, Kreditvergabe oder kritische Infrastruktur – greifen die zentralen Anforderungen ab dem 2.
August 2026.
Dazu zählen Risikomanagement, Datenqualität, technische Dokumentation und menschliche Aufsicht.
Anwenderunternehmen müssen prüfen, ob ihre Systeme unter diese Kategorien fallen, und entsprechende Nachweise vorhalten.

In Deutschland soll die Marktüberwachung wesentlich bei der Bundesnetzagentur (BNetzA) angesiedelt werden; auf europäischer Ebene koordiniert das bei der Europäischen Kommission angesiedelte AI Office.
Für viele Mittelständler bedeutet das zusätzlichen Dokumentations- und Beratungsaufwand zu einem Zeitpunkt, an dem die Technik selbst noch erprobt wird.

Wo bleibt der Datenschutz?

Neben den neuen KI-Regeln bleibt die DSGVO der praktische Engpass.
Werden personenbezogene Daten in KI-Systeme eingespeist, stellen sich Fragen nach Rechtsgrundlage, Zweckbindung und Auftragsverarbeitung – insbesondere bei Diensten, deren Server außerhalb der EU stehen.
Datenschutzaufsichtsbehörden in Bund und Ländern sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) haben wiederholt auf diese Anforderungen hingewiesen.

Marktbeobachter raten Unternehmen, Anwendungsfälle zu inventarisieren, klare Nutzungsregeln festzulegen und früh zu prüfen, welche Systeme als hochriskant gelten könnten.
Wer diese Grundlagen jetzt schaffe, könne den Produktivitätsgewinn der KI nutzen, ohne ab Sommer 2026 in Konflikt mit den neuen Pflichten zu geraten.