AI Act + NIS2 für Autohaus & Werkstatt:
Was Inhaber 2026 wissen müssen.

Warum das Thema gerade jetzt

Bis vor wenigen Monaten war der EU AI Act eine abstrakte Verordnung aus Brüssel, die vor allem Tech-Konzerne betraf. Das hat sich geändert. Mit der Kennzeichnungs-Stufe ab 2. August 2026 erreichen die Pflichten jedes Autohaus und jede Werkstatt, die digital mit Kunden kommuniziert, also praktisch jeden Betrieb.

NIS2 wirkt parallel auf der IT-Sicherheits-Seite. Die EU-Richtlinie ist seit 17. Oktober 2024 geltendes Recht. In Deutschland ist die Umsetzung über das NIS2-Umsetzungsgesetz im Endspurt. Wer jetzt nichts tut, hat in der zweiten Jahreshälfte 2026 ein Dokumentations-Problem.

Was der EU AI Act konkret verlangt

Der AI Act unterscheidet vier Risiko-Stufen. Für die KFZ-Branche relevant ist die Stufe „Transparenz-Pflichten" (Artikel 50). Sie greift, sobald KI-Systeme mit natürlichen Personen interagieren oder Inhalte generieren, die an Kunden gehen.

Konkrete Pflichten in der Werkstatt:

• Automatisch generierte Antwortmails müssen erkennbar als KI-gestützt gekennzeichnet sein.
• Chatbots auf der Website müssen sich beim ersten Kontakt als KI zu erkennen geben.
• Synthetisch erzeugte Bilder oder Texte (z. B. KI-erzeugte Werkstatt-Berichte) müssen markiert sein.
• Vorabdiagnosen, die KI vorschlägt, dürfen nicht als finales Werkstatt-Urteil ausgegeben werden.

Eine kurze Hinweis-Zeile in jeder automatisierten Mail an Kunden ist in der Praxis die einfachste Lösung. Wichtig: die Verantwortung bleibt beim Inhaber. Wer den Text durch eine Freigabe noch persönlich verantwortet, hat die Aufsicht erfüllt.

Was NIS2 verlangt

NIS2 ist die EU-Richtlinie zur Netz- und Informationssicherheit. Sie weitet den Geltungsbereich gegenüber NIS1 erheblich aus. Direkt erfasst sind sogenannte „wichtige" und „wesentliche" Einrichtungen. Für die KFZ-Branche heißt das in der Praxis: alle Betriebe ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz.

Kleinere Werkstätten und Autohäuser sind in der Regel nicht direkt erfasst. Sie können aber als Lieferant oder Datenpartner eines größeren Betriebs (Hersteller, Werkstatt-Kette, IT-Dienstleister) indirekt in die Compliance gezogen werden, weil diese ihre Dienstleister-Kette absichern müssen.

Kernpflichten unter NIS2:

• Risikomanagement-Konzept mit jährlichem Review.
• Meldung erheblicher Sicherheitsvorfälle binnen 24 Stunden ans BSI.
• Vollständige Bewertung des Vorfalls binnen 72 Stunden.
• Persönliche Haftung der Geschäftsführung bei Aufsichtspflichtverletzung.
• Schulungspflicht für Geschäftsführer zu IT-Sicherheit.

Fünf praktische Schritte für die nächsten 90 Tage

1. Software-Audit machen. Welche Tools im Betrieb haben KI-Funktionen? DMS, Werkstatt-Software, Chatbot, Mail-Auto-Antworten, Termin-Tools.
2. Kennzeichnung in Kunden-Mails einbauen. Eine Zeile genügt: „Diese Antwort wurde KI-gestützt erstellt und vom Werkstatt-Team freigegeben."
3. Server-Standort klären. Beim Software-Anbieter nachfragen, wo Daten liegen und ob ein Audit-Log geführt wird. Antworten ohne EU-Server sind ein Risiko.
4. Notfall-Plan schreiben. Wer informiert wen, wenn die DMS-Datenbank ausfällt oder ein Phishing-Vorfall auftritt? Eine A4-Seite mit Telefonnummern reicht.
5. Geschäftsführer-Schulung dokumentieren. Eine 30-minütige Session zu IT-Sicherheit, einmal jährlich, schriftlich festgehalten. Erfüllt formal die NIS2-Schulungspflicht.

Was passiert bei Verstößen

Die Bußgelder sind keine theoretische Größe. Der AI Act sieht bei vorsätzlichen Verstößen bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist. NIS2-Verstöße kosten bis zu 10 Mio. EUR oder 2 % des Umsatzes. In der Praxis sind die ersten Bußgelder gegen kleinere Betriebe deutlich darunter, das Risiko bleibt aber real.

Hinzu kommen die persönliche Haftung der Geschäftsführung unter NIS2 und mögliche Schadensersatz-Forderungen geschädigter Kunden bei einem IT-Vorfall.

Wie ein KI-Werkzeug compliant gebaut sein sollte

Wenn Sie eine Software für die Werkstatt einsetzen, die KI nutzt, sollten Sie auf sechs Punkte achten:

• Server in der EU.
• Audit-Log über alle KI-Antworten an Kunden.
• KI-Kennzeichnung in jeder ausgehenden Mail standardmäßig aktiviert.
• Möglichkeit, dass der Inhaber jede Antwort vor Versand freigibt.
• Dokumentation der eingesetzten KI-Modelle und Datenquellen.
• DSGVO-konforme Auftragsverarbeitungsvereinbarung verfügbar.

Häufige Fragen

Ab wann gilt der EU AI Act für Autohäuser und Werkstätten?

Der EU AI Act tritt in mehreren Stufen in Kraft. Die zentrale Stufe für die KFZ-Branche ist der 2. August 2026. Ab diesem Datum müssen KI-generierte Inhalte für Endkunden eindeutig gekennzeichnet sein.

Wer ist von NIS2 in der KFZ-Branche betroffen?

Direkt erfasst sind Betriebe ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz. Kleinere Werkstätten sind nicht direkt verpflichtet, können aber als Lieferanten oder Datenpartner größerer Konzerne indirekt zur Compliance kommen.

Muss ich als Inhaber jede automatische E-Mail kennzeichnen?

Ja, sobald KI-generierte oder KI-modifizierte Inhalte an den Kunden gehen. Eine kurze Hinweis-Zeile am Ende der Mail genügt in der Praxis.

Was passiert bei einem IT-Vorfall?

Falls Ihr Betrieb von NIS2 erfasst ist, gilt eine 24-Stunden-Meldepflicht an das BSI für erhebliche Sicherheitsvorfälle. Innerhalb von 72 Stunden ist eine vollständige Bewertung nachzureichen.

Wie kann eine kleine Werkstatt das praktisch umsetzen?

Drei konkrete Schritte: Dokumentieren Sie welche Software KI nutzt. Sorgen Sie für eine Kennzeichnung in Kunden-Mails. Klären Sie mit Ihrem Software-Anbieter Server-Standort und Audit-Log.

Was kostet die Compliance konkret?

Für eine inhabergeführte Werkstatt ohne eigene IT-Abteilung 0 bis 500 EUR pro Jahr, wenn die eingesetzte Software bereits konform ist. Anpassungs-Kosten kommen einmalig hinzu, wenn nicht.

Hinweis: Dieser Artikel ist eine praxisorientierte Einführung, kein Ersatz für eine anwaltliche Beratung im Einzelfall. Bei konkreten Compliance-Fragen wenden Sie sich an einen Fachanwalt für IT-Recht oder Ihre IHK.