AI Act: Compliance-Check für Mittelstand vor EU-Regeln
5 Min. Lesezeit
Am 2. August 2026 tritt der Großteil des EU AI Act in Kraft. Hochrisiko-KI-Systeme müssen dann Transparenzpflichten, Konformitätsbewertungen und Dokumentationsanforderungen erfüllen. Das betrifft nicht nur KI-Anbieter, sondern auch Unternehmen die KI einsetzen – im Recruiting, in der Kreditvergabe, in der Qualitätskontrolle. Deutschland hat die Umsetzungsfrist bereits verpasst. Der Gesetzentwurf zum KI-Marktüberwachungsgesetz liegt noch im Gesetzgebungsverfahren. Für den Mittelstand heißt das: vier Monate bis zur Frist, kein nationales Gesetz, trotzdem Handlungsbedarf.
Das Wichtigste in Kürze
- Am 2. August 2026 treten die Kernregeln des EU AI Act in Kraft: Pflichten für Hochrisiko-KI-Systeme, Transparenzregeln und Durchsetzungsmechanismen.
- Deutschland hat die Frist zur nationalen Umsetzung verpasst. Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) befindet sich noch im Gesetzgebungsprozess.
- Betroffen sind nicht nur KI-Anbieter, sondern alle Unternehmen die KI in Hochrisiko-Bereichen einsetzen: HR, Kreditvergabe, Sicherheitskomponenten.
Was am 2. August passiert
Der EU AI Act ist seit August 2024 in Kraft und wird schrittweise umgesetzt. Die erste Stufe – KI-Kompetenzpflicht und das Verbot bestimmter KI-Praktiken – gilt seit Februar 2025. Die zweite Stufe trat im August 2025 in Kraft und betrifft Anbieter von General-Purpose-AI-Modellen. Am 2. August 2026 folgt die dritte und umfangreichste Stufe: Die Regeln für Hochrisiko-KI-Systeme nach Annex III werden anwendbar.
Konkret bedeutet das: KI-Systeme die in Bereichen wie Personalauswahl, Kreditwürdigkeitsbewertung, Strafverfolgung oder kritischer Infrastruktur eingesetzt werden, müssen ab August 2026 eine Konformitätsbewertung durchlaufen. Sie brauchen eine technische Dokumentation, ein Risikomanagementsystem, menschliche Aufsicht und Transparenz gegenüber den Betroffenen.
Wen es im Mittelstand betrifft
Der AI Act unterscheidet zwischen Anbietern, Betreibern und Händlern von KI-Systemen. Für den Mittelstand ist die Betreiber-Rolle („deployer“) entscheidend: Jedes Unternehmen, das ein Hochrisiko-KI-System einsetzt, hat Pflichten. Die häufigsten Anwendungsfälle im Mittelstand:
Recruiting: KI-gestütztes CV-Screening oder automatisierte Vorauswahl fallen unter Annex III. Wer Tools wie HireVue, Personio AI oder ähnliche Lösungen einsetzt, muss prüfen ob diese Systeme als Hochrisiko eingestuft sind. Die Datenqualität der Trainingsdaten wird zur Compliance-Frage.
Kreditvergabe: KI-basierte Bonitätsbewertung oder automatisierte Kreditentscheidungen erfordern Transparenz gegenüber Betroffenen und dokumentierte menschliche Aufsicht.
Qualitätskontrolle: KI-Systeme die als Sicherheitskomponente in regulierten Produkten (Medizinprodukte, Maschinen, Spielzeug) fungieren, unterliegen ab August 2027 zusätzlichen Anforderungen.
Deutschland: Umsetzung verzögert
Deutschland hat die Frist zur nationalen Umsetzung nicht eingehalten. Der Gesetzentwurf des Bundesministeriums für Digitales, das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG), datiert vom September 2025 und befindet sich nach der Anhörung mit Ländern und Verbänden im Gesetzgebungsprozess. Die Bundesnetzagentur (BNetzA) ist als zentrale Marktüberwachungsbehörde vorgesehen.
Für den Mittelstand bedeutet die Verzögerung praktisch: Es gibt noch keine nationale Behörde, die Konformitätsbewertungen durchführt oder Sandboxes betreibt. Gleichzeitig gilt der EU AI Act als Verordnung unmittelbar – die Pflichten bestehen ab August 2026 unabhängig davon, ob Deutschland das nationale Gesetz verabschiedet hat.
„Der AI Act gilt als EU-Verordnung direkt – unabhängig davon, ob Deutschland sein nationales Gesetz rechtzeitig verabschiedet. Abwarten ist keine Option. Wer im August 2026 Hochrisiko-KI betreibt, muss compliant sein.“
– mybusinessfuture Redaktionsbewertung
Was jetzt zu tun ist
Vier Schritte in den nächsten vier Monaten. Erstens: KI-Inventar erstellen. Welche KI-Systeme sind im Einsatz? Welche davon fallen unter Annex III (Hochrisiko)? Oft wissen Fachabteilungen nicht, dass ihre Tools KI-basiert sind – ein Screening-Tool im HR oder ein Predictive-Analytics-Modul im ERP können betroffen sein.
Zweitens: Anbieter kontaktieren. Die Konformitätsbewertung liegt primär beim Anbieter, nicht beim Betreiber. Aber der Betreiber muss sicherstellen, dass der Anbieter seine Pflichten erfüllt. Konkret: Gibt es eine CE-Kennzeichnung? Gibt es eine technische Dokumentation? Gibt es Informationen zur Funktionsweise des Systems?
Drittens: Menschliche Aufsicht implementieren. Für jeden Hochrisiko-Anwendungsfall muss definiert sein, wer die KI-Entscheidungen überwacht und bei Bedarf übersteuert. Das ist keine technische, sondern eine organisatorische Aufgabe.
Viertens: KI-Kompetenz aufbauen. Die Pflicht zur „AI Literacy“ gilt bereits seit Februar 2025. Jedes Unternehmen muss sicherstellen, dass Mitarbeiter die mit KI-Systemen arbeiten, ausreichend geschult sind.
Häufige Fragen
Betrifft der AI Act auch kleine Unternehmen?
Ja. Der AI Act kennt keine Unternehmensgrößen-Befreiung für Betreiber. Jedes Unternehmen das ein Hochrisiko-KI-System einsetzt, hat Betreiber-Pflichten. KMU profitieren allerdings von vereinfachten Verfahren und sollen bevorzugten Zugang zu den geplanten AI Regulatory Sandboxes erhalten.
Was passiert bei Verstössen?
Die Bußgelder sind gestaffelt. Verstösse gegen verbotene KI-Praktiken: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Verstösse gegen Hochrisiko-Anforderungen: bis zu 15 Millionen Euro oder 3 Prozent. Falsche Angaben gegenüber Behörden: bis zu 7,5 Millionen Euro oder 1,5 Prozent. Für KMU gelten niedrigere Obergrenzen.
Muss ich mein KI-Tool abschalten wenn ich nicht rechtzeitig compliant bin?
Nicht automatisch. Aber ab August 2026 können Marktüberwachungsbehörden den Einsatz nicht-konformer KI-Systeme untersagen. Die pragmatische Empfehlung: Mit der Bestandsaufnahme jetzt beginnen, Anbieter in die Pflicht nehmen und die Dokumentation aufbauen. Wer den Prozess gestartet hat, steht bei einer Prüfung deutlich besser da als wer nichts getan hat.
Lesetipps der Redaktion
Quelle Titelbild: Pexels / RDNE Stock project (px:7821937)