Künstliche Intelligenz 08.04.2026

EU AI Act: Noch 4 Monate bis zur Hauptdeadline – was der Mittelstand jetzt regeln muss

7 Min. Lesezeit

Am 2. August 2026 treten die Hochrisiko-Regeln des EU AI Acts in Kraft. Wer Künstliche Intelligenz im Recruiting, in der Kreditvergabe oder in der Qualitätskontrolle einsetzt, braucht ab diesem Datum eine technische Dokumentation, ein Risikomanagementsystem und eine menschliche Aufsicht. Strafen bei Verstößen: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Die meisten Mittelständler haben davon noch nichts mitbekommen.

Das Wichtigste in Kürze

Der EU AI Act ist seit August 2024 in Kraft. Die Hochrisiko-Regeln gelten verbindlich ab dem 2. August 2026.
Betroffen sind Unternehmen, die KI in Bereichen wie HR, Kreditbewertung, kritische Infrastruktur oder Sicherheit einsetzen.
Fünf Pflichten: technische Dokumentation, Risikomanagementsystem, Datenqualität, menschliche Aufsicht, Transparenz.
Strafen: bis 35 Millionen Euro oder 7 Prozent des Jahresumsatzes. Auch für KMU.
Deutschland hat die nationale Umsetzung (KI-Marktüberwachungsgesetz) noch nicht abgeschlossen. Der EU Act gilt trotzdem direkt.

Was am 2. August 2026 passiert

Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er trat im August 2024 in Kraft, aber die Anforderungen werden stufenweise scharf geschaltet. Am 2. Februar 2025 traten die Verbote in Kraft – KI-Systeme, die als unakzeptables Risiko gelten, sind seitdem untersagt. Das betrifft etwa Social Scoring oder manipulative Systeme.

Am 2. August 2025 wurden die Transparenzpflichten für General-Purpose-AI-Modelle (wie ChatGPT oder Claude) wirksam. Die Anbieter dieser Modelle müssen seitdem dokumentieren, mit welchen Daten trainiert wurde. Bestimmte Kennzeichnungspflichten gelten ebenfalls.

Jetzt kommt der entscheidende Schritt: Am 2. August 2026 greifen die Regeln für Hochrisiko-KI-Systeme. Das ist die Stufe, die den Mittelstand am härtesten trifft. Denn hier geht es nicht um die Anbieter großer Sprachmodelle, sondern um die Unternehmen, die KI in ihrem Geschäftsbetrieb einsetzen.

Deutschland hat parallel das KI-Marktüberwachungsgesetz (KI-MIG) auf den Weg gebracht, das die nationale Aufsichtsstruktur regeln soll. Die Bundesnetzagentur wird voraussichtlich zur zuständigen Behörde. Aber der Gesetzgebungsprozess ist noch nicht abgeschlossen. Für Unternehmen ändert das nichts: Der AI Act ist eine EU-Verordnung und gilt direkt, mit oder ohne deutsches Begleitgesetz. Wer auf Berlin wartet, verschenkt Zeit.

117 Tage

bis zur Hochrisiko-Deadline des EU AI Acts (Stand: 8. April 2026)

Quelle: EU-Verordnung 2024/1689, Art. 113

Wen es betrifft – und wen nicht

Der AI Act unterscheidet vier Risikostufen: unakzeptabel (verboten), hoch (streng reguliert), begrenzt (Transparenzpflichten) und minimal (keine Pflichten). Die Hochrisiko-Kategorie ist die relevante für den Mittelstand. Und sie ist breiter gefasst, als die meisten erwarten.

Die Einstufung hängt nicht vom Unternehmen ab, sondern vom Einsatzzweck der KI. Ein 50-Mann-Betrieb, der KI zur Bewerbervorsortierung nutzt, unterliegt denselben Pflichten wie ein DAX-Konzern. Die Unternehmensgröße spielt nur bei der Strenge der Dokumentation eine Rolle, nicht bei der Frage, ob die Regeln gelten.

Hochrisiko-KI-Systeme sind unter anderem: KI im Recruiting und der Personalauswahl (Bewerber-Screening, Lebenslauf-Analyse), KI in der Kreditvergabe und Bonitätsbewertung, KI in der Qualitätskontrolle kritischer Produkte, KI in Versicherungs- und Risikobewertungen und KI zur Steuerung kritischer Infrastruktur.

Konkret: Wenn ein mittelständischer Fertiger KI zur Qualitätskontrolle einsetzt, fällt er unter Hochrisiko. Wenn eine Personalberatung ein KI-Tool nutzt, das Bewerbungen vorsortiert, fällt sie unter Hochrisiko. Wenn ein Finanzdienstleister KI zur Kreditprüfung einsetzt, fällt er unter Hochrisiko.

Was nicht unter Hochrisiko fällt: KI-gestützte Textgenerierung für Marketing, Chatbots im Kundenservice (solange keine automatisierten Entscheidungen getroffen werden), KI zur internen Datenanalyse ohne direkte Auswirkung auf Personen. Wer ChatGPT für E-Mails nutzt, muss sich keine Sorgen machen. Wer KI für Personalentscheidungen nutzt, schon.

Es gibt eine Grauzone, die viele Mittelständler betrifft: KI-Funktionen, die in bestehende Software eingebettet sind. Wenn das CRM-System automatisch Leads nach Kaufwahrscheinlichkeit priorisiert, kann das unter begrenzt riskant fallen. Wenn das HR-Tool Bewerber automatisch nach Eignung sortiert, ist es Hochrisiko. Die Unterscheidung liegt nicht im Tool, sondern in der Auswirkung auf Personen. Jedes System, das automatisierte Entscheidungen über natürliche Personen trifft oder maßgeblich beeinflusst, steht unter Verdacht.

Laut der KfW-Studie zur KI-Nutzung setzen bereits 20 Prozent der deutschen KMU Künstliche Intelligenz ein. Knapp 780.000 Unternehmen. Bei größeren Mittelständlern mit mehr als 50 Mitarbeitern liegt die Quote bei 36 Prozent. Die Frage ist nicht, ob der AI Act den Mittelstand betrifft. Die Frage ist, wie viele der 780.000 wissen, dass er sie betrifft.

Hinzu kommt ein strukturelles Problem: Viele Mittelständler nehmen KI als etwas wahr, das sie „vielleicht mal einführen“. In Wirklichkeit nutzen sie längst KI, ohne es zu wissen. Microsoft 365 Copilot, Salesforce Einstein, SAP Business AI, HubSpot Predictive Lead Scoring – all diese Werkzeuge nutzen KI-Modelle im Hintergrund. Die Bestandsaufnahme muss deshalb bei der eingesetzten Software beginnen, nicht bei einem KI-Strategiepapier.

Die 5 Pflichten für Hochrisiko-KI

Wer ein Hochrisiko-KI-System betreibt oder einsetzt, muss ab dem 2. August 2026 fünf Anforderungen erfüllen. Keine davon ist optional.

1. Risikomanagementsystem: Ein dokumentiertes System, das Risiken der KI-Anwendung identifiziert, bewertet und minimiert. Das muss kein 200-Seiten-Dokument sein, aber es muss nachweisbar existieren. Welche Risiken birgt die KI? Für wen? Was passiert, wenn sie falsch entscheidet?

2. Datenqualität: Die Trainingsdaten und Eingabedaten müssen dokumentiert und auf Verzerrungen geprüft werden. Wenn ein Recruiting-Tool mit Daten trainiert wurde, die bestimmte Bevölkerungsgruppen benachteiligen, ist das ein Verstoß. Die Verantwortung liegt beim Betreiber, nicht beim Anbieter des Tools.

3. Technische Dokumentation: Eine Beschreibung des KI-Systems, seiner Funktionsweise, seiner Grenzen und seiner beabsichtigten Nutzung. Inklusive Leistungskennzahlen und bekannter Schwächen. Das ist das, was die meisten Mittelständler von ihren KI-Anbietern einfordern müssen.

4. Menschliche Aufsicht: Jede Hochrisiko-KI muss so gestaltet sein, dass ein Mensch die Entscheidungen überwachen, verstehen und im Zweifel übersteuern kann. Kein vollautomatisches Ablehnen von Bewerbungen. Kein automatisches Sperren von Kreditlinien.

5. Transparenz und Aufzeichnung: Nutzer des KI-Systems müssen informiert werden, dass eine KI-Entscheidung vorliegt. Das System muss Protokolle führen, die eine Nachverfolgung ermöglichen. Jede Entscheidung muss rekonstruierbar sein. Nicht in Echtzeit, aber im Nachhinein, wenn eine Beschwerde oder eine Prüfung kommt.

Diese fünf Pflichten klingen abstrakt. In der Praxis bedeuten sie: Wer heute ein Recruiting-Tool mit KI-Funktion einkauft, muss den Anbieter nach Dokumentation, Bias-Tests und Entscheidungslogik fragen. Wer das nicht tut, haftet im Zweifel selbst. Der AI Act legt die Verantwortung bewusst auf den Betreiber, nicht nur auf den Anbieter. Das ist der Punkt, den viele Mittelständler übersehen.

Was der Mittelstand jetzt konkret tun muss

117 Tage sind nicht viel. Aber die gute Nachricht: Für die meisten Mittelständler ist der Aufwand überschaubar, wenn sie jetzt anfangen. Die schlechte Nachricht: Wer bis Juli wartet, hat ein Problem.

Schritt 1: Bestandsaufnahme (1-2 Wochen). Welche KI-Systeme setzt das Unternehmen ein? Nicht nur die offensichtlichen wie ChatGPT, sondern auch eingebettete KI in bestehender Software. Viele ERP-Systeme, CRM-Tools und HR-Plattformen haben mittlerweile KI-Funktionen integriert, ohne dass die Nutzer es bewusst wahrnehmen. Wer bereits einen Managed-Services-Partner hat, kann diese Bestandsaufnahme delegieren.

Schritt 2: Risikoeinstufung (1 Woche). Für jedes identifizierte KI-System: Fällt es unter Hochrisiko? Die EU-Kommission hat eine Datenbank geplant, in der Hochrisiko-Systeme registriert werden. Im Zweifel: Wenn die KI Entscheidungen über Menschen trifft oder beeinflusst, ist sie wahrscheinlich Hochrisiko.

Schritt 3: Dokumentation aufbauen (2-4 Wochen). Für Hochrisiko-Systeme die fünf Pflichten umsetzen. Das beginnt mit den Anbietern: Fordern Sie technische Dokumentation an. Fragen Sie nach Bias-Tests. Verlangen Sie eine Erklärung der Entscheidungslogik. Wenn der Anbieter das nicht liefern kann, ist das ein Warnsignal.

Schritt 4: Menschliche Aufsicht etablieren. Für jedes Hochrisiko-System eine zuständige Person benennen, die KI-Entscheidungen überwacht und im Zweifel eingreift. Das muss kein neuer Vollzeitjob sein. Bei einem 100-Personen-Unternehmen reicht es oft, wenn der Datenschutzbeauftragte diese Rolle zusätzlich übernimmt.

Schritt 5: Prozesse anpassen. Bewerber müssen informiert werden, wenn KI an der Vorauswahl beteiligt ist. Kunden müssen wissen, wenn eine KI ihre Bonität bewertet. Diese Informationspflichten lassen sich in bestehende Prozesse integrieren, erfordern aber eine Anpassung der Kommunikation. Wer bereits DSGVO-konforme Informationsprozesse hat, kann darauf aufbauen. Der AI Act erweitert die Informationspflicht, ersetzt sie nicht.

Schritt 6: Anbieter in die Pflicht nehmen. Die meisten Mittelständler entwickeln ihre KI-Systeme nicht selbst. Sie kaufen oder mieten sie. Der AI Act gibt Betreibern das Recht, vom Anbieter die technische Dokumentation, Bias-Tests und Konformitätserklärungen einzufordern. Wer einen neuen KI-Vertrag abschließt, sollte diese Anforderungen in die Vertragsklauseln aufnehmen. Wer bestehende Verträge hat, sollte prüfen, ob der Anbieter liefern kann. Wenn nicht, ist Handlungsbedarf vor August.

Die NIS2-Umsetzung hat gezeigt, was passiert, wenn Mittelständler Regulatorik unterschätzen: Hektik kurz vor der Deadline, überteuerte Berater und Lücken in der Dokumentation. Beim AI Act gibt es noch Zeit. Aber nicht mehr viel.

Ein Hinweis zu den Kosten: Die EU-Kommission schätzt den initialen Compliance-Aufwand für KMU auf 6.000 bis 7.000 Euro pro Hochrisiko-KI-System. Das klingt überschaubar. Im Vergleich zu den möglichen Strafen ist es das auch. Aber es setzt voraus, dass die Bestandsaufnahme zeigt, welche Systeme betroffen sind. Ohne diesen ersten Schritt lassen sich weder Aufwand noch Kosten realistisch einschätzen. Die meisten Mittelständler scheitern nicht am Budget, sondern an der fehlenden Übersicht über ihre eigene KI-Landschaft. Wer die Bestandsaufnahme erledigt hat, wird in vielen Fällen feststellen, dass nur ein oder zwei Systeme tatsächlich unter Hochrisiko fallen. Der Aufwand ist dann beherrschbar. Die Unsicherheit entsteht durch Unwissen, nicht durch die Regulierung selbst. Der AI Act bestraft nicht den Einsatz von KI. Er bestraft den unkontrollierten Einsatz von KI in Bereichen, in denen Menschen betroffen sind. Das ist ein wichtiger Unterschied, den der Gesetzgeber bewusst gewählt hat.

„KMU profitieren von vereinfachten Compliance-Regeln. Die Pflichten gelten trotzdem – nur die Dokumentation darf schlanker ausfallen.“
– EU AI Act, Erwägungsgrund 145 (Erleichterungen für KMU)

Häufige Fragen

Gilt der AI Act auch für kleine Unternehmen?

Ja. Der AI Act gilt unabhängig von der Unternehmensgröße, wenn ein Hochrisiko-KI-System eingesetzt wird. KMU erhalten vereinfachte Dokumentationspflichten und Zugang zu regulatorischen Sandboxes, aber die Kernpflichten (Risikomanagement, menschliche Aufsicht, Transparenz) gelten vollumfänglich.

Mein Unternehmen nutzt nur ChatGPT. Bin ich betroffen?

In der Regel nein. Die Nutzung allgemeiner KI-Tools für Textgenerierung, Zusammenfassungen oder Recherche fällt nicht unter die Hochrisiko-Kategorie. Betroffen sind Sie erst, wenn KI-Systeme Entscheidungen über Menschen treffen oder maßgeblich beeinflussen, etwa bei Bewerbungen, Kreditprüfungen oder Sicherheitsüberwachung.

Was kostet die Compliance für einen Mittelständler?

Die EU-Kommission schätzt die Compliance-Kosten für KMU auf 6.000 bis 7.000 Euro pro Hochrisiko-System für die erstmalige Einrichtung. Laufende Kosten für Monitoring und Dokumentation kommen hinzu. Zum Vergleich: Die Strafe bei Verstößen beträgt bis zu 35 Millionen Euro.

Muss ich mein KI-System registrieren?

Anbieter von Hochrisiko-KI-Systemen müssen ihre Systeme in einer EU-Datenbank registrieren, bevor sie auf den Markt gebracht werden. Betreiber (also Unternehmen, die das System einsetzen) müssen dies nicht selbst tun, aber sicherstellen, dass der Anbieter registriert ist. Die Datenbank wird voraussichtlich ab August 2026 öffentlich zugänglich sein.

Was passiert, wenn Deutschland die nationale Umsetzung nicht rechtzeitig schafft?

Der EU AI Act ist eine Verordnung, kein Richtlinie. Das bedeutet, er gilt direkt in allen EU-Mitgliedstaaten, unabhängig von der nationalen Umsetzung. Auch wenn das deutsche KI-Marktüberwachungsgesetz (KI-MIG) noch nicht verabschiedet ist, gelten die Pflichten des AI Acts ab dem 2. August 2026 für alle deutschen Unternehmen.

Quelle Titelbild: Pexels / Cytonn Photography (px:955394)

Auch verfügbar in

Français Español English

Evernine Media GmbH

Tobias Massow ist Geschäftsführer der Evernine Media GmbH und Herausgeber von MyBusinessFuture. Er verantwortet die strategische Ausrichtung des Magazins und des gesamten MBF Media Netzwerks mit vier B2B-Fachmagazinen für IT-Entscheider im deutschsprachigen Raum.

Davos: Nachhaltigkeit durch Digitalisierung

Das 50. Jubiläum des Weltwirtschaftsforum in Davos Ende Januar 2020 soll ganz im Zeichen von Nachhaltigkeit ... »

Engineering & Industry 23.09.2020

PwC: E-Auto-Kosten für Hersteller vs. Verbrenner-Vergleich

E-Autos sind neu, voller Technik und zukunftsweisend, jedoch immer noch sehr teuer. Das liegt unter ... »

Unsere Experten & Partner