AI Act, NIS-2, CRA, DSGVO — was davon betrifft mich als kleinen Betrieb?
·
Mai 2026
·
6 Min. Lesezeit
Kurz beantwortet
Weniger als die Schlagzeilen vermuten lassen. NIS-2 gilt ab 50 Mitarbeitern in definierten Sektoren. Der Cyber Resilience Act richtet sich an Hersteller, der EU AI Act betrifft Sie als Anwender nur bei Hochrisiko-KI — enthält aber seit Februar 2025 eine allgemeine KI-Kompetenzpflicht. Die DSGVO kennen Sie bereits. Was unabhängig von all dem gilt und oft übersehen wird: §1 StaRUG verpflichtet jeden GmbH-Geschäftsführer, Risiken zu erkennen, die den Betrieb gefährden können.
Wenn Sie einen kleinen Betrieb führen — Handwerk, Dienstleistung, Fertigung, Praxis — und in den letzten Monaten Veranstaltungen der IHK oder Handwerkskammer besucht haben, sind Ihnen vermutlich eine Reihe von Abkürzungen begegnet: NIS-2, CRA, AI Act, DSGVO. Dazu kommen Begriffe wie Cybersicherheit, digitale Souveränität und Risikomanagement. Es ist viel auf einmal.
Dieser Artikel sortiert das einmal. Sachlich, ohne Übertreibung. Was gilt für Sie, was gilt für andere, und was sollten Sie kennen, auch wenn es Sie formal noch gar nicht betrifft.
NIS-2: Wahrscheinlich betrifft es Sie noch gar nicht direkt
Die NIS-2-Richtlinie der EU regelt Cybersicherheitsanforderungen für Unternehmen in bestimmten Sektoren — Energie, Gesundheit, Transport, digitale Infrastruktur, Lebensmittel und weitere. In Deutschland wird sie über das NIS-2-Umsetzungsgesetz in nationales Recht überführt.
Die Schwelle: Ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in einem der definierten Sektoren. Wenn Ihr Betrieb kleiner ist, fallen Sie voraussichtlich weder als „wesentliche“ noch als „wichtige“ Einrichtung unter die Registrierungs- und Meldepflichten.
Was Sie dennoch wissen sollten: Wenn Sie Zulieferer oder Dienstleister eines NIS-2-pflichtigen Unternehmens sind, können Anforderungen an Sie weitergereicht werden — über Verträge, Lieferbedingungen oder Sicherheitsnachweise. Das passiert gerade zunehmend.
Cyber Resilience Act: Richtet sich an Hersteller — aber die Frage dahinter betrifft Sie
Der Cyber Resilience Act (CRA) verpflichtet Hersteller digitaler Produkte, ab 2027 Mindestsicherheitsstandards einzuhalten und Schwachstellen zu melden. Als Anwender — also als jemand, der Software einsetzt, statt sie herzustellen — müssen Sie selbst formal wenig tun.
Die ehrliche Einordnung: Das CE-Siegel auf einer Software bestätigt, dass sie zum Zeitpunkt der Markteinführung bestimmte Sicherheitskriterien erfüllt hat. Es sagt Ihnen aber wenig darüber, ob die Software in Ihrem konkreten Betrieb richtig konfiguriert ist, ob Ihre Daten bei einem Ausfall erreichbar bleiben oder ob der Anbieter im Ernstfall schnell genug reagiert. Die Verantwortung für den sicheren Betrieb und dafür, dass Sie wissen, was von welcher Software abhängt, bleibt bei Ihnen.
EU AI Act: Weniger als Sie denken — aber ein Punkt gilt schon jetzt
Der EU AI Act reguliert KI-Systeme nach Risikoklassen. Die strengen Pflichten betreffen vor allem Hochrisiko-Anwendungen — etwa KI, die automatisiert über Personaleinstellungen entscheidet, Kreditwürdigkeiten bewertet oder kritische Infrastruktur steuert. Wenn Sie in Ihrem Betrieb ChatGPT für Textvorlagen oder ein KI-gestütztes Tool für die Terminplanung nutzen, fallen Sie in die Kategorie „minimales Risiko“ mit kaum direkten Auflagen.
Eine Pflicht gilt allerdings bereits seit dem 2. Februar 2025 für alle Unternehmen, die KI einsetzen: die KI-Kompetenzpflicht nach Artikel 4. Sie verlangt, dass Ihre Mitarbeiter, die KI-Systeme bedienen oder deren Ergebnisse nutzen, über ausreichendes Wissen verfügen, um das sachgerecht zu tun. Das klingt abstrakt, meint aber etwas Konkretes: Wer ein KI-Tool einsetzt, muss verstehen, was es kann, wo seine Grenzen liegen und wann eine menschliche Prüfung nötig ist.
Im Mai 2026 hat die EU mit dem Digital Omnibus zudem die Fristen für Hochrisiko-Anwendungen auf Ende 2027 verschoben. Für den kleinen Betrieb ändert das wenig am Alltag — aber es zeigt, dass selbst der Gesetzgeber die Umsetzung als komplex einschätzt.
Eine nüchterne Anmerkung zum Thema KI-Schulungen: Es werden gerade viele Schulungen zum AI Act angeboten, manche für erhebliches Geld. Prüfen Sie genau, ob eine solche Schulung Ihren Mitarbeitern tatsächlich hilft, besser mit KI umzugehen — oder ob sie vor allem einen Haken auf einer Checkliste setzt. Artikel 4 verlangt Kompetenz, kein Zertifikat.
DSGVO: Gilt weiterhin, kennen Sie bereits
Die Datenschutz-Grundverordnung gilt seit 2018 für jedes Unternehmen, das personenbezogene Daten verarbeitet. Daran hat sich formal wenig geändert. In der Praxis verschärft sich allerdings die Durchsetzung: Bußgelder werden häufiger verhängt, auch gegen kleine Betriebe, und Datenschutzbehörden schauen genauer hin, wenn Kundendaten in Cloud-Diensten außerhalb der EU verarbeitet werden.
Wenn Sie wissen möchten, wo Ihre Kundendaten tatsächlich liegen und welche Ihrer Programme Daten an welche Anbieter übertragen, ist das bereits ein sinnvoller erster Schritt — unabhängig von der DSGVO.
Und dann ist da noch §1 StaRUG — das, was wirklich für Sie gilt
In den Schlagzeilen über EU-Regulierung geht eine Pflicht unter, die seit 2021 für jede GmbH in Deutschland gilt, unabhängig von Größe und Branche: §1 StaRUG. Er verpflichtet den Geschäftsführer, fortlaufend über Entwicklungen zu wachen, die den Fortbestand des Unternehmens gefährden können.
Seit November 2025 gibt es mit dem IDW S 16 erstmals einen konkreten Standard, der beschreibt, wie so ein Frühwarnsystem aussehen soll. Dazu gehört ein Risikoinventar, das über finanzielle Kennzahlen hinausgeht. Digitale Abhängigkeiten — welche Software welchen Geschäftsprozess stützt, wo Daten liegen, wer sich mit den Systemen auskennt — gehören zu diesen betrieblichen Risiken.
Der Unterschied zu den EU-Verordnungen: §1 StaRUG verlangt kein Zertifikat, keine Meldung, keinen Audit. Er verlangt, dass Sie Ihre Risiken kennen und dokumentieren. Das klingt einfacher — ist aber genau das, was im Haftungsfall zählt. Wer seine Risiken kennt und eine begründete Entscheidung getroffen hat, steht anders da als jemand, der sich nie damit befasst hat. Die Kanzlei Noerr erläutert die Geschäftsleiterpflichten nach §1 StaRUG im Detail.
Was heißt das jetzt für meinen Betrieb?
Sie müssen wegen NIS-2 oder dem Cyber Resilience Act voraussichtlich wenig tun. Der AI Act betrifft Sie im Alltag minimal — mit der Ausnahme, dass Ihre Mitarbeiter verstehen sollten, was KI kann und was eben auch nicht. Die DSGVO läuft weiter wie bisher.
Was Sie wirklich angeht, hat wenig mit Brüssel zu tun und viel mit Ihrem eigenen Betrieb: Wissen Sie, welche Software Ihre wichtigsten Abläufe stützt? Haben Sie einen Plan, wenn davon etwas ausfällt? Ist dokumentiert, wer sich mit welchem System auskennt?
Das ist kein EU-Regulierungsthema. Das ist gesunder Menschenverstand — der seit 2021 auch gesetzlich verankert ist.
Auf einen Blick
| Regelung | Betrifft mich? | Was ich wissen sollte |
|---|---|---|
| NIS-2 | Unter 50 MA: in der Regel nein | Kann über Zulieferverträge durchschlagen |
| CRA | Als Anwender: kaum direkt | CE-Siegel sagt wenig über Ihren konkreten Betrieb |
| EU AI Act | Hochrisiko: ja. Sonst minimal | KI-Kompetenzpflicht (Art. 4) gilt seit Feb. 2025 für alle |
| DSGVO | Ja, wie bisher | Durchsetzung wird strenger, auch bei KMU |
| §1 StaRUG | Ja — jede GmbH, jede UG | Krisenfrüherkennung als Dauerpflicht seit 2021 |
Häufige Fragen
Muss ich als kleiner Betrieb den EU AI Act beachten, wenn ich nur ChatGPT nutze?
Für die reine Nutzung als Arbeitshilfe gibt es kaum direkte Pflichten, solange Sie damit keine automatisierten Entscheidungen über Personen treffen. Allerdings gilt seit Februar 2025 die KI-Kompetenzpflicht nach Artikel 4: Wer KI einsetzt, muss verstehen, was das Werkzeug kann und wo seine Grenzen liegen. Das heißt Kompetenz aufbauen, kein Zertifikat kaufen.
Was ist die wichtigste Pflicht für GmbH-Geschäftsführer, die oft übersehen wird?
§1 StaRUG — die Pflicht zur Krisenfrüherkennung, die seit 2021 für jede GmbH und UG gilt. Mit dem IDW S 16 (November 2025) gibt es erstmals einen konkreten Maßstab. Er verlangt ein Risikoinventar, zu dem auch digitale Abhängigkeiten gehören. Anders als die EU-Regulierungen verlangt §1 StaRUG keine Meldung und keinen Audit — dafür dokumentierte Sorgfalt.
Kann mich NIS-2 betreffen, obwohl mein Betrieb weniger als 50 Mitarbeiter hat?
Direkt in der Regel nur dann, wenn Sie in einem der definierten Sektoren tätig sind und die Schwellenwerte erreichen. Indirekt aber schon: Wenn Sie Zulieferer oder Dienstleister eines NIS-2-pflichtigen Unternehmens sind, können Sicherheitsanforderungen über Verträge oder Lieferbedingungen an Sie weitergegeben werden.
Dieser Artikel dient der allgemeinen Orientierung und stellt keine rechtliche Beratung dar. Die genannten Regelungen können sich ändern. Für die rechtliche Einordnung Ihrer konkreten Situation wenden Sie sich an eine Rechtsanwältin oder einen Rechtsanwalt.
Fragen zu Ihrem Betrieb?
Wir helfen Ihnen herauszufinden, welche digitalen Abhängigkeiten in Ihrem Betrieb bestehen — und wie Sie sich pragmatisch darauf vorbereiten können.