Digital Business & Future 22.03.2026

AI Act ab August 2026: Hochrisiko-KI im Mittelstand

⏱ 7 Min. Lesezeit

Am 2. August 2026 wird es ernst: Ab dann gelten die Pflichten des EU AI Act für Hochrisiko-KI-Systeme vollständig. Das betrifft jedes Unternehmen, das KI für Personalentscheidungen, Kreditwürdigkeitsprüfungen oder Qualitätskontrolle in der Produktion einsetzt. Die Konformitätsbewertung dauert drei bis sechs Monate. Wer bis jetzt nicht angefangen hat, seine KI-Systeme zu inventarisieren, wird die Frist kaum halten. Und auch die Schulungspflicht aus Artikel 4 gilt bereits seit Februar 2025.

Das Wichtigste in Kürze

📅 2. August 2026: Alle Pflichten für Hochrisiko-KI-Systeme treten vollständig in Kraft (EU AI Act, Anhang III).
📋 Artikel 4 (KI-Kompetenz) gilt bereits seit 2. Februar 2025. Unternehmen müssen ausreichende KI-Schulungen sicherstellen.
💰 Bußgelder bis 35 Mio. Euro oder 7 Prozent des Jahresumsatzes bei verbotenen KI-Praktiken (Art. 99 AI Act).
🏭 Das Bundeskabinett hat das KI-MIG (KI-Maßnahmen- und Innovationsgesetz) im Februar 2026 verabschiedet.
⏱ Konformitätsbewertung dauert 3 bis 6 Monate. Start bis spätestens März 2026 empfohlen.

Die Zeitachse: Was wann gilt

Der EU AI Act tritt stufenweise in Kraft. Die ersten Pflichten sind bereits aktiv, die wichtigsten Fristen kommen in den nächsten Monaten. Für Unternehmen ist die Reihenfolge entscheidend, weil jede Stufe auf der vorherigen aufbaut.

Seit dem 2. Februar 2025 gilt Artikel 4: die Pflicht zur Sicherstellung ausreichender KI-Kompetenz bei allen Mitarbeitern, die KI-Systeme einsetzen, entwickeln oder beaufsichtigen. Das betrifft nicht nur IT-Abteilungen, sondern auch HR-Teams, die KI-gestütztes Recruiting nutzen, oder Finanzabteilungen, die mit automatisierten Scoring-Systemen arbeiten.

Wichtig für Unternehmen, die bereits DORA, NIS2 und MiCA auf dem Radar haben: Der AI Act kommt zusätzlich. Die Regulierungen überlappen sich teilweise, etwa bei Risikomanagement-Anforderungen, sind aber nicht identisch. Ein KI-System in der Finanzbranche muss gleichzeitig DORA-konform und AI-Act-konform sein. Wer bereits ein Compliance-Framework für DORA aufgebaut hat, kann Teile davon für den AI Act wiederverwenden, insbesondere bei der Risikodokumentation und den Governance-Strukturen.

Am 2. August 2025 traten die Transparenzpflichten für allgemeine KI-Modelle (General Purpose AI) in Kraft. Am 2. August 2026 folgt die größte Stufe: die vollständige Anwendung der Vorschriften für Hochrisiko-KI-Systeme. Ab diesem Datum müssen Unternehmen, die solche Systeme einsetzen, eine lückenlose Konformitätsbewertung vorweisen können.

Feb 2025

Art. 4: KI-Kompetenz-Pflicht für alle Unternehmen mit KI-Einsatz

Aug 2025

Transparenzpflichten für General Purpose AI (GPT, Claude, Gemini)

Feb 2026

Kabinettsbeschluss KI-MIG: Nationale Marktüberwachung geregelt

Aug 2026

Hochrisiko-KI: Konformitätsbewertung, CE-Kennzeichnung, EU-Datenbank

Hochrisiko-KI: Welche Systeme betroffen sind

Der AI Act definiert in Anhang III acht Bereiche, in denen KI-Systeme als hochriskant eingestuft werden. Für den Mittelstand sind drei Bereiche besonders relevant.

Nicht hochriskant sind dagegen: KI-gestützte Spam-Filter, automatisierte Übersetzungen, Chatbots ohne Entscheidungskompetenz, Empfehlungssysteme im E-Commerce und die meisten Marketing-Automatisierungen. Für diese Systeme gelten nur die allgemeinen Transparenzpflichten und die Schulungsanforderung aus Artikel 4. Das ist wichtig zu wissen, weil viele Mittelständler befürchten, dass jede KI-Nutzung unter die strengen Hochrisiko-Regeln fällt. Das ist nicht der Fall.

Die Grauzone liegt bei KI-Systemen, die keine autonomen Entscheidungen treffen, aber Entscheidungsvorlagen liefern. Ein KI-System, das Kreditanträge automatisch ablehnt, ist eindeutig hochriskant. Ein System, das Anträge nur vorsortiert und einem Menschen zur Entscheidung vorlegt, ist es möglicherweise nicht. In solchen Fällen empfiehlt sich eine rechtliche Einzelfallprüfung.

Beschäftigung und Personalmanagement: KI-Systeme, die Bewerbungen sichten, Kandidaten bewerten, Beförderungsentscheidungen vorbereiten oder Leistungsbeurteilungen automatisieren. Wer ein ATS (Applicant Tracking System) mit KI-basiertem Scoring einsetzt, betreibt mit hoher Wahrscheinlichkeit ein Hochrisiko-System. Gleiches gilt für KI-gestützte Workforce Analytics, die Mitarbeiterproduktivität bewerten.

Kreditwürdigkeit und Scoring: KI-Systeme, die Bonität bewerten, Kreditentscheidungen vorbereiten oder Versicherungsprämien berechnen. FinTech-Unternehmen und Banken sind offensichtlich betroffen, aber auch Industrieunternehmen, die KI für die Lieferantenbewertung oder das Debitorenmanagement einsetzen, können unter diese Kategorie fallen.

Sicherheitskomponenten: KI-Systeme, die als Sicherheitskomponente in Maschinen, Fahrzeugen oder medizinischen Geräten fungieren. Für produzierende Mittelständler mit KI-gestützter Qualitätskontrolle oder prädiktiver Wartung ein relevantes Thema, weil die KI hier direkte Auswirkungen auf Produktsicherheit haben kann.

Auch wer nur ChatGPT, automatisierte Übersetzungstools oder KI-gestützte Recruiting-Software einsetzt, fällt unter die Verordnung.
– Sinngemäß nach IHK Schleswig-Holstein, Leitfaden zum AI Act

Was die Konformitätsbewertung konkret verlangt

Unternehmen, die Hochrisiko-KI-Systeme einsetzen (als sogenannte Deployer), müssen ab August 2026 mehrere Pflichten erfüllen. Der Umfang hängt davon ab, ob ein Unternehmen das System nur nutzt oder selbst entwickelt hat.

Für Deployer gelten diese Kernpflichten: Erstens ein Risikomanagement: Die Risiken des KI-Systems müssen identifiziert, bewertet und dokumentiert sein. Das umfasst Bias-Risiken, Diskriminierungspotenzial und Auswirkungen auf die Rechte betroffener Personen. Zweitens die technische Dokumentation: Anbieter (Provider) müssen diese bereitstellen, Deployer müssen sie verstehen und aufbewahren. Drittens menschliche Aufsicht: Es muss sichergestellt sein, dass Menschen die KI-Entscheidungen überwachen und eingreifen können. Viertens Transparenz gegenüber Betroffenen: Personen, die einer KI-Entscheidung unterliegen, etwa Bewerber im Recruiting, müssen darüber informiert werden.

Entwickler (Provider) von Hochrisiko-KI trifft es härter: Sie müssen eine vollständige Konformitätsbewertung durchführen, die CE-Kennzeichnung anbringen und das System in der EU-Datenbank registrieren. Die Bewertung umfasst Datenqualität, Testprotokolle, Robustheit und Cybersicherheit. Das Verfahren dauert laut Branchenexperten drei bis sechs Monate.

Artikel 4: Die Schulungspflicht, die viele übersehen

Während die Hochrisiko-Pflichten im August 2026 beginnen, gilt Artikel 4 bereits seit Februar 2025. Er verpflichtet alle Anbieter und Betreiber von KI-Systemen dazu, „ausreichende KI-Kompetenz“ bei ihrem Personal sicherzustellen. Das klingt vage, hat aber konkrete Konsequenzen.

Artikel 4 schreibt kein festes Curriculum vor. Er verlangt aber, dass die Schulung angemessen ist in Bezug auf den Kontext des KI-Einsatzes und die Rolle der betroffenen Person. Ein HR-Manager, der ein KI-gestütztes Bewerbertool nutzt, braucht ein anderes Verständnis als ein Sachbearbeiter, der ChatGPT für E-Mail-Vorlagen einsetzt.

Ein direktes Bußgeld für fehlende KI-Kompetenz gibt es aktuell nicht. Das Haftungsrisiko ist trotzdem real: Wenn ein Unternehmen nachweislich keine Schulungen durchgeführt hat und ein KI-System Schaden verursacht, weil ein Mitarbeiter es falsch eingesetzt hat, entsteht ein zivilrechtlicher Anspruch. Die fehlende Schulung wird zum Beweis mangelnder Sorgfalt.

Pragmatische Umsetzung: Unternehmen sollten dokumentieren, welche KI-Systeme im Einsatz sind, wer damit arbeitet und welche Schulungen durchgeführt wurden. Ein internes KI-Register und ein Schulungsnachweis reichen für den Anfang. Die Haufe-Akademie und die IHK bieten bereits zertifizierte Schulungsformate an, die speziell auf Artikel 4 zugeschnitten sind.

KI-MIG: Was Deutschlands Umsetzungsgesetz regelt

Das Bundeskabinett hat im Februar 2026 das KI-Maßnahmen- und Innovationsgesetz (KI-MIG) als nationales Durchführungsgesetz zum AI Act beschlossen. Das Gesetz regelt die Marktüberwachung und definiert die zuständigen Behörden.

Für den Mittelstand enthält das KI-MIG eine wichtige Erleichterung: KMU und Startups sollen von vereinfachten Formen der technischen Dokumentation profitieren können. Ziel ist, den Verwaltungsaufwand handhabbar zu halten, ohne die Sicherheitsstandards zu senken. Die genaue Ausgestaltung dieser Erleichterungen wird von der zuständigen Marktüberwachungsbehörde konkretisiert.

Die Erleichterungen betreffen unter anderem den Umfang der technischen Dokumentation und die Testanforderungen. KMU müssen dieselben Sicherheitsstandards einhalten, dürfen aber auf weniger aufwändige Nachweisverfahren zurückgreifen.

Die Marktüberwachung beginnt offiziell am 2. August 2026. Ab diesem Zeitpunkt sind die nationalen Behörden befugt, Kontrollen durchzuführen und Sanktionen zu verhängen. In der Praxis wird die Behörde in den ersten Monaten voraussichtlich beratend auftreten, bevor sie zu Bußgeldern greift. Darauf verlassen sollte sich allerdings niemand.

Bußgelder: Was wirklich droht

Der AI Act arbeitet mit einem dreistufigen Sanktionsregime. Das Maximum von 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes gilt für den Einsatz verbotener KI-Praktiken, etwa Social Scoring oder manipulative KI-Systeme. Für Verstöße gegen die Hochrisiko-Pflichten drohen bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes. Für fehlerhafte oder irreführende Informationen gegenüber Behörden bis zu 7,5 Millionen Euro oder 1 Prozent.

35 Mio. €

Verbotene KI-Praktiken

15 Mio. €

Hochrisiko-Verstöße

7,5 Mio. €

Falsche Angaben

Quelle: EU AI Act, Artikel 99

Für KMU sieht der AI Act eine proportionale Anwendung vor. Die Bußgelder orientieren sich an Umsatz und Schwere des Verstoßes. Ein Mittelständler mit 20 Millionen Euro Umsatz riskiert bei Hochrisiko-Verstößen also bis zu 600.000 Euro. Das ist kein existenzbedrohender, aber ein schmerzhafter Betrag.

Der Compliance-Aufwand ist ebenfalls relevant: Branchenexperten schätzen die Kosten für die Konformität von Hochrisiko-KI auf 10 bis 20 Prozent der KI-Investitionen. In der Praxis bedeutet das jährliche Zusatzkosten im mittleren fünfstelligen Bereich, vor allem durch Dokumentation, Risikobewertung und Governance-Strukturen.

Fünf Schritte bis August 2026

Die verbleibende Zeit ist knapp, aber ausreichend, wenn Unternehmen jetzt starten. Fünf Schritte, die die Basis für AI-Act-Compliance legen.

1. KI-Inventar erstellen. Welche KI-Systeme sind im Unternehmen im Einsatz? Dazu gehören nicht nur selbst entwickelte Modelle, sondern auch eingekaufte Lösungen: ATS-Systeme mit KI-Scoring, Chatbots im Kundenservice, prädiktive Wartung in der Produktion, automatisierte Rechnungsprüfung. Viele Unternehmen unterschätzen die Anzahl ihrer KI-Berührungspunkte.

Ein Beispiel: Ein Maschinenbauunternehmen mit 200 Mitarbeitern setzt drei KI-Anwendungen ein. Erstens ein Chatbot im Kundenservice auf Basis von ChatGPT. Das ist kein Hochrisiko-System, erfordert aber eine Artikel-4-Schulung für das Support-Team. Zweitens ein prädiktives Wartungssystem, das Ausfallwahrscheinlichkeiten von Maschinenkomponenten berechnet. Das könnte als Sicherheitskomponente unter Hochrisiko fallen und braucht eine detaillierte Prüfung. Drittens ein KI-gestütztes Bewerbermanagement-Tool, das Lebensläufe vorsortiert. Klarer Hochrisiko-Fall, vollständige Konformitätsbewertung erforderlich.

2. Risikoeinstufung durchführen. Für jedes System im Inventar prüfen: Fällt es unter eine der acht Hochrisiko-Kategorien aus Anhang III? Die meisten KI-Anwendungen im Mittelstand sind nicht hochriskant. Aber die, die es sind, brauchen erheblichen Dokumentationsaufwand.

3. Artikel-4-Schulung nachholen. Wenn noch keine dokumentierten KI-Schulungen stattgefunden haben: jetzt nachholen. Ein halbtägiger Workshop für die betroffenen Teams reicht als Einstieg. Wichtig ist die Dokumentation: wer wurde wann zu welchen KI-Systemen geschult.

4. Provider-Anforderungen klären. Für Hochrisiko-Systeme, die von externen Anbietern bezogen werden: Vom Provider die technische Dokumentation, die Konformitätserklärung und die CE-Kennzeichnung einfordern. Wenn der Anbieter diese nicht liefern kann, ist das ein Warnsignal.

5. Verantwortlichkeiten definieren. Wer ist im Unternehmen für KI-Compliance zuständig? In größeren Mittelständlern kann das ein dedizierter KI-Beauftragter sein, in kleineren Unternehmen der Datenschutzbeauftragte oder die Rechtsabteilung. Entscheidend ist, dass eine Person den Hut aufhat.

Parallel dazu: Den AI Act nicht als isoliertes Compliance-Projekt betrachten, sondern als Teil einer umfassenderen KI-Governance. Unternehmen, die jetzt eine saubere KI-Governance aufbauen, profitieren nicht nur von Rechtskonformität, sondern auch von besserem Risikomanagement und höherem Vertrauen bei Kunden und Geschäftspartnern. Der Aufwand amortisiert sich, wenn die KI-Nutzung im Unternehmen wächst, was sie bei den meisten Mittelständlern tut.

Fazit

Der EU AI Act ist die erste umfassende KI-Regulierung weltweit. Für den Mittelstand ist er kein Grund zur Panik, aber ein klarer Handlungsauftrag. Die Schulungspflicht nach Artikel 4 gilt bereits. Die Hochrisiko-Pflichten kommen in fünf Monaten. Wer seine KI-Systeme noch nicht inventarisiert hat, sollte jetzt damit anfangen.

Die gute Nachricht: Die meisten KI-Anwendungen im Mittelstand fallen nicht unter die Hochrisiko-Kategorie. ChatGPT im Marketing, Übersetzungstools oder einfache Automatisierungen sind in der Regel unkritisch. Aber wer KI für Personalentscheidungen, Scoring oder sicherheitsrelevante Prozesse einsetzt, muss handeln. Fünf Monate klingen nach viel, aber drei bis sechs Monate für eine Konformitätsbewertung sind knapp kalkuliert.

Häufige Fragen

Gilt der AI Act auch für kleine Unternehmen?

Ja. Der AI Act gilt unabhängig von der Unternehmensgröße für alle Organisationen, die KI-Systeme entwickeln, anbieten oder einsetzen. Für KMU sieht das Gesetz allerdings vereinfachte Dokumentationspflichten und proportionale Bußgelder vor.

Ist ChatGPT ein Hochrisiko-KI-System?

ChatGPT selbst ist kein Hochrisiko-System, sondern ein General Purpose AI Model. Es wird hochriskant, wenn es als Komponente in einem Hochrisiko-Anwendungsfall eingesetzt wird, zum Beispiel als Basis für automatisierte Bewerbersichtung im Recruiting.

Was kostet die AI-Act-Compliance für den Mittelstand?

Branchenexperten schätzen die Compliance-Kosten für Hochrisiko-KI auf 10 bis 20 Prozent der KI-Investitionen. In der Praxis bedeutet das jährliche Zusatzkosten im mittleren fünfstelligen Bereich, hauptsächlich für Dokumentation, Risikobewertung und Governance.

Was passiert, wenn ich die Artikel-4-Schulungspflicht nicht erfülle?

Ein direktes Bußgeld für fehlende KI-Kompetenz-Schulungen gibt es aktuell nicht. Es bestehen jedoch zivilrechtliche Haftungsrisiken: Wenn mangelnde Schulung zu Schäden durch fehlerhafte KI-Nutzung führt, kann das Unternehmen für mangelnde Sorgfalt haften.

Wie finde ich heraus, ob mein KI-System hochriskant ist?

Prüfen Sie Anhang III des AI Act: Er listet acht Bereiche auf, darunter Personalmanagement, Kreditwürdigkeit, Strafverfolgung und kritische Infrastruktur. Wenn Ihr KI-System in einem dieser Bereiche eingesetzt wird und wesentliche Entscheidungen beeinflusst, ist es wahrscheinlich hochriskant. Die IHK bietet kostenlose Erstberatungen an.

Was ist das KI-MIG?

Das KI-Maßnahmen- und Innovationsgesetz ist Deutschlands nationales Umsetzungsgesetz zum EU AI Act. Es wurde im Februar 2026 vom Bundeskabinett beschlossen und regelt die Marktüberwachung, benennt zuständige Behörden und konkretisiert Sanktionen für den deutschen Markt.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

cloudmagazin – Cloud, SaaS und IT-Infrastruktur für Entscheider
Digital Chiefs – Leadership, Transformation und C-Level-Perspektiven
SecurityToday – Cybersecurity, Compliance und Datenschutz

Quelle Titelbild: Adam B. / Pexels

MyBusinessFuture / Evernine Media GmbH

Benedikt Langer befasst sich als Redakteur für MyBusinessFuture vor allem mit zukunftsweisenden Business- und Tech-Themen – von Künstlicher Intelligenz über Cybersecurity bis hin zu Mobilität, Energie- und Verkehrsinfrastruktur sowie resilienten Industrie-Ökosystemen.

Das digitale Angebot der Krankenkassen

Die deutschen Krankenkassen haben bereits digitale Angebote. Die Mehrheit der Mitglieder wissen jedoch ... »

Digital Business & Future 03.10.2020

Davos: Nachhaltigkeit durch Digitalisierung

Das 50. Jubiläum des Weltwirtschaftsforum in Davos Ende Januar 2020 soll ganz im Zeichen von Nachhaltigkeit ... »

Unsere Experten & Partner