Person hält roten Aktenordner vor Laptop mit Diagrammen, daneben Papierstapel auf Bürotisch.
18.05.2026

EU AI Act im Mittelstand: Provider oder Deployer?

8 Min. Lesezeit

Rund um den EU AI Act kursiert im Mittelstand vor allem eine Sorge: Jetzt kommt die große Bürokratiewelle. In der Praxis hängt der Aufwand zuerst an einer Rollenfrage: Entwickelt das Unternehmen ein KI-System selbst und bringt es auf den Markt, oder setzt es ein fertiges System ein? Die Antwort entscheidet, ob Herstellerpflichten greifen oder ob es bei deutlich weniger Pflichten für Anwender bleibt. Wer das früh klärt, vermeidet unnötigen Aufwand und arbeitet an den Punkten, die tatsächlich gelten.

Das Wichtigste in Kürze

  • Provider oder Deployer ist die Kernfrage. Wer KI selbst baut und vermarktet, trägt die schweren Pflichten. Wer ein fertiges System nur einsetzt, muss deutlich weniger abdecken. Die meisten Mittelständler sind Anwender.
  • Die Hochrisiko-Pflichten sind konkret. Risikomanagement, Dokumentation, Protokollierung, menschliche Aufsicht. Für Anwender stehen Aufsicht und Nutzung nach Vorgabe im Vordergrund, nicht die komplette Last eines Herstellers.
  • Erleichterung für KMU ist eingebaut. Kleine Unternehmen dürfen die technische Dokumentation vereinfacht führen. Die Frist für Hochrisiko-Pflichten liegt bei Mitte 2026, eine Verschiebung ist im Gespräch, aber nicht sicher.

Verwandt:Make-or-Buy bei KI  /  Warum KI an der Reihenfolge scheitert

Die Rollenfrage entscheidet über den Aufwand

Was ist der EU AI Act? Der EU AI Act ist die erste umfassende Regulierung für Künstliche Intelligenz in der Europäischen Union. Er teilt KI-Systeme nach ihrem Risiko in Stufen ein, von verboten über hochriskant bis minimal, und knüpft daran abgestufte Pflichten. Die strengsten Anforderungen treffen Hochrisiko-Systeme, etwa in Personalauswahl, Kreditvergabe oder kritischer Infrastruktur.

Bevor ein Mittelständler über Pflichten nachdenkt, muss er seine Rolle klären. Der AI Act unterscheidet scharf zwischen dem Anbieter, der ein KI-System entwickelt und in Verkehr bringt, und dem Betreiber, der ein solches System nur einsetzt. Im Gesetz heißen sie Provider und Deployer. Der Unterschied ist nicht akademisch, er entscheidet über den Umfang der Arbeit.

Die meisten Unternehmen im Mittelstand sind Betreiber. Sie kaufen ein Bewerbungs-Tool, eine Kreditprüfung oder eine Analyse-Software ein und nutzen sie. Damit fallen sie unter die Pflichten für Deployer, nicht unter die volle Last des Herstellers. Wer das verkennt und sich auf die Anbieter-Pflichten vorbereitet, plant Aufwand ein, der gar nicht anfällt. Wer umgekehrt glaubt, als reiner Anwender komplett außen vor zu sein, übersieht die eigenen, leichteren Pflichten.

Bei Hochrisiko-KI greifen vier Kernpflichten

Wird ein System als hochriskant eingestuft, gelten klar benannte Anforderungen. Sie verteilen sich aber unterschiedlich auf Anbieter und Betreiber. Die folgende Übersicht trennt, wer was leisten muss.

Pflicht Anbieter (Provider) Betreiber (Deployer)
Risikomanagement über den Lebenszyklus aufbauen nutzen nach Vorgabe
Technische Dokumentation vollständig erstellen vorhalten, nicht erstellen
Protokollierung automatisches Logging einbauen Logs mindestens sechs Monate aufbewahren
Menschliche Aufsicht ermöglichen tatsächlich ausüben
Registrierung System in EU-Datenbank eintragen entfällt in der Regel

Für den typischen Mittelständler als Betreiber bleiben damit überschaubare Kernaufgaben: das System nur für den vorgesehenen Zweck und nach Anleitung einsetzen, eine echte menschliche Aufsicht sicherstellen, die Protokolle aufbewahren und in bestimmten Fällen eine Folgenabschätzung für Grundrechte durchführen. Das bleibt Arbeit. Es ist aber nicht der Herstelleraufwand, vor dem viele zurückschrecken.

Mitte 2026 entscheidet der Vorbereitungsstand

Drei Eckdaten sollte jede Geschäftsleitung kennen. Das erste ist die Frist. Die Hochrisiko-Pflichten werden Mitte 2026 verbindlich. Eine Verschiebung einzelner Fristen ist auf europäischer Ebene im Gespräch, aber bis sie beschlossen ist, gilt der ursprüngliche Termin. Sich darauf zu verlassen, dass es später wird, ist riskant.

15 Millionen Euro
oder 3 Prozent des weltweiten Jahresumsatzes können Verstöße gegen die Hochrisiko-Pflichten kosten, je nachdem, was höher ist.
Quelle: EU AI Act, Sanktionsrahmen

Der zweite Punkt ist der Sanktionsrahmen. Sie zeigt, dass der AI Act kein zahnloses Papier ist. Der dritte Punkt entlastet KMU: Für kleine und mittlere Unternehmen ist Erleichterung eingebaut. Sie dürfen die technische Dokumentation in vereinfachter Form führen, die EU-Kommission stellt dafür ein vereinfachtes Formular bereit. Diese Erleichterung wurde zudem auf kleine Mid-Cap-Unternehmen ausgeweitet. Wer klein ist, muss die Pflichten erfüllen, aber nicht im selben Umfang dokumentieren wie ein Konzern.

Jetzt Rollen klären und Aufsicht regeln

Aus der Lage folgt eine nüchterne Prioritätenliste. Sie trennt das Notwendige vom vermeidbaren Aktionismus.

Was unnötig ist

  • Als reiner Anwender die vollen Hersteller-Pflichten vorbereiten
  • Jedes eingesetzte KI-Tool pauschal als hochriskant behandeln
  • Auf eine Fristverschiebung warten, bevor sie beschlossen ist
  • Ein teures Großprojekt starten, wo ein Inventar reicht

Was zählt

  • Die eigenen KI-Systeme inventarisieren und nach Risiko einstufen
  • Die Rolle je System klären: Anbieter oder Betreiber
  • Für Hochrisiko-Anwendungen Aufsicht und Protokollierung sichern
  • Die KMU-Erleichterung bei der Dokumentation nutzen

Der rote Faden ist Verhältnismäßigkeit. Der AI Act verlangt vom Mittelstand keine Konzern-Compliance, sondern eine ehrliche Einordnung der eigenen Systeme und ein paar verlässliche Routinen für die wenigen wirklich kritischen Anwendungen. Wer mit einem Inventar beginnt und seine Rolle pro System klärt, hat den größten Teil der Unsicherheit bereits aufgelöst. Der Rest ist Pflege, keine Revolution.

Häufige Fragen

Gilt der EU AI Act auch für kleine Unternehmen?

Ja, aber abgestuft. Die Pflichten hängen am Risiko des Systems und an der Rolle des Unternehmens, nicht primär an der Größe. Kleine und mittlere Unternehmen dürfen die technische Dokumentation jedoch vereinfacht führen, und diese Erleichterung wurde auf kleine Mid-Caps ausgeweitet. Klein zu sein befreit nicht, erleichtert aber die Umsetzung.

Was ist der Unterschied zwischen Anbieter und Betreiber?

Ein Anbieter entwickelt ein KI-System und bringt es auf den Markt. Ein Betreiber setzt ein fertiges System nur ein. Die schweren Pflichten wie technische Dokumentation, Konformitätsbewertung und Registrierung treffen den Anbieter. Der Betreiber muss vor allem das System bestimmungsgemäß nutzen, menschliche Aufsicht sicherstellen und Protokolle aufbewahren.

Welche KI-Systeme gelten als hochriskant?

Systeme in sensiblen Bereichen, etwa bei der Auswahl von Bewerbern, der Kreditvergabe, in kritischer Infrastruktur oder bei bestimmten Sicherheitskomponenten. Ein einfacher Textassistent oder ein Übersetzungstool fällt in der Regel nicht darunter. Die Einstufung ergibt sich aus dem Einsatzzweck, nicht aus der Technik allein.

Ab wann gelten die Hochrisiko-Pflichten?

Verbindlich werden sie Mitte 2026. Auf europäischer Ebene wird über eine Verschiebung einzelner Fristen diskutiert, ein Beschluss steht aber aus. Bis dahin gilt der ursprüngliche Termin. Unternehmen sollten ihre Vorbereitung nicht von einer möglichen, aber unsicheren Verschiebung abhängig machen.

Womit fängt man die Vorbereitung am besten an?

Mit einem Inventar. Welche KI-Systeme sind im Einsatz, wofür werden sie genutzt und ist das Unternehmen jeweils Anbieter oder Betreiber. Aus dieser Übersicht ergibt sich, welche Systeme überhaupt als hochriskant gelten und wo Pflichten greifen. Ohne dieses Inventar ist jede weitere Maßnahme ein Schuss ins Blaue.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

Bildquelle: Titelbild KI-generiert (Juni 2026), C2PA-Zertifikat im Bild hinterlegt

Auch verfügbar in

Ein Magazin der evernine media GmbH
Das Entscheider-Magazin für den DACH-Mittelstand