Compliance
EU AI Act für den Mittelstand: Was 2026 Pflicht wird
Ab August 2026 gilt der EU AI Act vollständig. Das klingt nach großer Regulierung für große Konzerne. Es betrifft aber jeden, der KI im Unternehmen einsetzt, also auch den Mittelstand.
Die gute Nachricht: Die meisten Mittelständler fallen in die niedrigsten Risikoklassen. Der Aufwand ist überschaubar, wenn man früh anfängt.
Was der EU AI Act ist
Der EU AI Act ist die erste umfassende KI-Regulierung der Welt. Er klassifiziert KI-Anwendungen nach Risiko und schreibt je nach Klasse unterschiedliche Pflichten vor.
Die ersten Teile gelten schon seit Februar 2025: Verbote für die gefährlichsten Anwendungen. Der Rest tritt schrittweise in Kraft, mit dem vollständigen Geltungsbeginn im August 2026.
Wer bis dahin nicht vorbereitet ist, riskiert Bußgelder. Die sind nicht trivial: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für schwere Verstöße.
Die vier Risikoklassen
Verboten (keine Ausnahmen): Soziale Scoring-Systeme wie in China, unbegrenzte biometrische Massenüberwachung im öffentlichen Raum, Manipulation von Menschen ohne deren Wissen. Das betrifft die wenigsten Mittelständler.
Hochrisiko: KI in kritischen Bereichen wie Personalentscheidungen, Kreditvergabe, medizinische Diagnosen, Infrastruktursteuerung. Hier gelten strenge Anforderungen: Risikomanagement, umfangreiche Dokumentation, menschliche Aufsicht, Registrierung in einer EU-Datenbank.
Begrenzt: Chatbots, Empfehlungssysteme, KI-generierte Inhalte. Hier greift hauptsächlich die Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren.
Minimal: Spamfilter, einfache Suchfunktionen, KI-Features in Spielen. Kaum reguliert.
Was die meisten Mittelständler betrifft
Ehrlich gesagt: die meisten fallen unter "begrenzt" oder "minimal".
Ein Chatbot auf der Website? Begrenztes Risiko. Ein Empfehlungssystem für Produkte? Begrenztes Risiko. KI, die intern Dokumente zusammenfasst oder E-Mails klassifiziert? Minimal.
Hochrisiko wäre es zum Beispiel, wenn KI automatisch Bewerbungen ablehnt ohne menschliche Prüfung, oder wenn KI Kreditentscheidungen trifft. Das macht der typische Mittelständler selten.
Das bedeutet: Die meisten müssen vor allem zwei Dinge umsetzen.
Erstens die Transparenzpflicht. Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren. Für Chatbots bedeutet das: klar kennzeichnen, dass es sich um einen Chatbot handelt. Nicht verstecken, nicht vage formulieren. Ein einfacher Hinweis reicht.
Zweitens ein Basis-Inventar. Welche KI-Systeme nutzt das Unternehmen? Wo kommen sie zum Einsatz? Was verarbeiten sie? Das muss dokumentiert sein.
Dokumentation: Was konkret aufgeschrieben werden muss
Für begrenzte Risikoklassen ist die Anforderung überschaubar. Ich empfehle eine einfache Liste mit:
- Name und Zweck jedes KI-Systems
- Welche Daten verarbeitet werden
- Ob personenbezogene Daten betroffen sind
- Wer intern verantwortlich ist
- Datum der letzten Überprüfung
Das ist kein 50-Seiten-Dokument. Eine gepflegte Tabelle reicht für die meisten Anwendungsfälle.
Für Hochrisiko-Systeme sieht es anders aus: Da kommt umfangreiches Risikomanagement, technische Dokumentation, Konformitätsbewertung und EU-Registrierung dazu. Wer in diesem Bereich arbeitet, braucht externe Beratung.
DSGVO und EU AI Act zusammen denken
Ein häufiges Missverständnis: DSGVO und EU AI Act widersprechen sich oder verdoppeln den Aufwand. Das stimmt nicht.
Wer DSGVO-konform arbeitet, hat viele Grundlagen schon gelegt. Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzung, Löschkonzepte: Das alles braucht man für beide Regelwerke.
Der EU AI Act ergänzt die DSGVO. Er fragt zusätzlich: Nicht nur wie werden Daten verarbeitet, sondern was entscheidet die KI damit? Ist die Entscheidung fair, nachvollziehbar, dokumentiert?
Meine Empfehlung: Wer gerade DSGVO-Dokumentation aufbaut oder aktualisiert, sollte den EU AI Act direkt mitdenken. Es ist kein separates Projekt, sondern eine Erweiterung.
Drei konkrete erste Schritte
1. KI-Inventar anlegen. In einem Nachmittag erledigt. Welche Tools nutzt das Unternehmen, bei denen KI im Spiel ist? ChatGPT für Texte, Copilot für Code, ein Chatbot auf der Website, KI-Features in der CRM-Software? Alles aufschreiben.
2. Risikoklasse bestimmen. Für jedes System: Welche Klasse? In 90 Prozent der Fälle ist das "begrenzt" oder "minimal". Falls ein System in Hochrisiko fällt, sofort prüfen, was das bedeutet.
3. Transparenz sicherstellen. Alle kundenseitigen KI-Systeme prüfen: Ist klar erkennbar, dass KI im Spiel ist? Wenn nicht, jetzt anpassen. Das ist die einfachste und wichtigste Maßnahme vor August 2026.
Das dauert insgesamt wenige Stunden. Wer damit wartet, hat nach August 2026 deutlich mehr Stress.
Was ich aus eigener Erfahrung sagen kann
Ich habe für meine eigenen Projekte von Anfang an auf Compliance ausgelegt: lokale Sprachmodelle auf deutschen Servern, Datenanonymisierung vor der Verarbeitung, Dokumentation als Teil der Architektur. Nicht weil es Pflicht war, sondern weil es die ehrlichere Lösung ist.
Das Ergebnis: Wenn jetzt ein Kunde oder Auditor fragt, was mit seinen Daten passiert, kann ich es genau erklären. Dieses Vertrauen ist mehr wert als jede Bußgeld-Vermeidung.
Der EU AI Act zwingt Unternehmen dazu, diese Fragen systematisch zu beantworten. Das ist kein Bürokratie-Monster, das ist eine Chance, KI-Einsatz ernsthaft aufzusetzen.
Wer jetzt anfängt, hat August 2026 entspannt hinter sich.