EU AI Act 2026: Was Mittelständler jetzt konkret tun müssen

Am 1. August 2024 trat die erste KI-Verordnung der Welt in Kraft — der EU AI Act. Bis August 2026 laufen die entscheidenden Umsetzungsfristen für Unternehmen, die KI-Systeme einsetzen oder entwickeln. Über 80 % der deutschen Mittelständler sind davon betroffen, ohne es zu wissen. Dieser Leitfaden erklärt, welche Pflichten konkret auf Ihr Unternehmen zukommen, welche Fristen Sie nicht verpassen dürfen und wie Sie mit einer strukturierten Checkliste compliant werden.

Inhaltsverzeichnis

1. Was ist der EU AI Act?

2. Wer ist betroffen?

3. Die vier Risikokategorien im Detail

4. Fristen-Übersicht 2024–2027

5. Pflichten für Mittelständler: Praxisübersicht

6. Compliance-Checkliste für KMU

7. Bußgelder und Konsequenzen

8. Erste Umsetzungsschritte

9. FAQ

10. Nächste Schritte

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende KI-Regulierung weltweit. Er gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, einsetzen, importieren oder vertreiben — unabhängig davon, ob der Anbieter aus der EU stammt oder nicht.

Kernprinzip: Risikobasierter Ansatz. Je höher das Risiko einer KI-Anwendung für Menschen, desto strenger die Anforderungen.

Das Gesetz wurde vom Europäischen Parlament verabschiedet, trat am 1. August 2024 in Kraft und wird schrittweise bis 2027 vollständig anwendbar.

Quelle: EUR-Lex – Verordnung (EU) 2024/1689

Wer ist betroffen?

Betroffene Akteure nach EU AI Act:

| Rolle | Definition | Typisches Beispiel im Mittelstand |

|—|—|—|

| Anbieter (Provider) | Entwickelt KI-System und bringt es in Verkehr | Software-Unternehmen, das KI-Lösung vermarktet |

| Betreiber (Deployer) | Setzt KI-System im eigenen Betrieb ein | Unternehmen, das HR-KI für Bewerberauswahl nutzt |

| Importeur | Bringt KI aus Drittland in die EU | Unternehmen, das US-KI-Tool einsetzt |

| Händler (Distributor) | Vertreibt KI-Systeme | Reseller von KI-Lösungen |

Für die meisten Mittelständler gilt: Sie sind primär Betreiber (Deployer) — sie kaufen oder lizenzieren KI-Tools und setzen diese in ihren Geschäftsprozessen ein. Auch als Betreiber entstehen Pflichten, insbesondere bei Hochrisiko-KI.

Ausnahmen: Reine Forschung und Entwicklung, private Nutzung, KI in nationaler Sicherheit.

Die vier Risikokategorien im Detail

1. Verbotene KI-Praktiken (Inakzeptables Risiko)

Diese KI-Anwendungen sind ab Februar 2025 vollständig verboten:

Social Scoring durch Behörden oder Private (Bewertung von Menschen anhand ihres sozialen Verhaltens)
Biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen (mit engen Ausnahmen für Strafverfolgung)
KI zur Ausnutzung von Schwächen oder Vulnerabilitäten
Subliminale Manipulation
Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen (wichtige Ausnahme!)

Praxisrelevanz: Prüfen Sie, ob Ihre KI-Tools Emotionserkennung bei Mitarbeitern einsetzen — dies ist verboten.

2. Hochrisiko-KI (Hohes Risiko)

Dies ist die anspruchsvollste Kategorie für den Mittelstand. Hochrisiko-KI unterliegt strengen Anforderungen bezüglich Dokumentation, Transparenz, menschlicher Aufsicht und technischer Robustheit.

Hochrisiko-Bereiche (Anhang III des AI Act):

| Bereich | Beispiele |

|—|—|

| Biometrische Identifikation | Gesichtserkennung, Fingerabdruck-KI |

| Kritische Infrastruktur | KI in Energie, Wasser, Verkehr |

| Bildung | Bewerbungsauswahl für Schulen/Unis |

| Beschäftigung und Personalmanagement | KI-gestützte Bewerberauswahl, Leistungsüberwachung |

| Wesentliche private und öffentliche Dienste | Kreditscoring, Versicherungsbewertung |

| Strafverfolgung | Kriminalitätsvorhersage |

| Migration und Asyl | Risikobeurteilung |

| Justiz | Rechtliche Entscheidungsunterstützung |

Wichtig für den Mittelstand: Wenn Sie KI zur Bewerberauswahl, Mitarbeiterbewertung oder Kreditvergabe einsetzen, sind Sie im Hochrisiko-Bereich!

3. Begrenzte Risiko-KI (Transparenzpflichten)

Diese Kategorie betrifft die meisten Standard-KI-Tools:

Chatbots: Nutzer müssen wissen, dass sie mit KI kommunizieren
Deep Fakes: Generierte Inhalte müssen als KI-generiert gekennzeichnet werden
Emotionserkennung (außer verbotene Fälle): Transparenzpflicht gegenüber Betroffenen

Praxiskonsequenz: Wenn Ihr Unternehmen einen KI-Chatbot auf der Website einsetzt, muss klar kommuniziert werden, dass es sich um KI handelt.

4. Minimales Risiko (Keine zusätzlichen Pflichten)

Die Mehrheit der KI-Anwendungen:

KI-gestützte Spam-Filter
KI in Videospielen
Standard-KI-basierte Produktionsoptimierung ohne Personenbezug

Für minimales Risiko empfiehlt der EU AI Act freiwillige Verhaltenskodizes — aber keine Pflichten.

Fristen-Übersicht 2024–2027

| Datum | Was gilt? | Relevant für |

|—|—|—|

| 1. Aug. 2024 | AI Act in Kraft getreten | Alle |

| 2. Feb. 2025 | Verbotene KI-Praktiken gelten | Alle Unternehmen |

| 2. Aug. 2025 | GPAI-Modell-Regeln (Allzweck-KI) | KI-Anbieter |

| 2. Aug. 2026 | Hochrisiko-KI-Regeln (Anhang III) | Betreiber von Hochrisiko-KI |

| 2. Aug. 2027 | Hochrisiko-KI (eingebettete Systeme) | Spezifische Sektoren |

Kritisches Datum: 2. August 2026 — Wenn Ihr Unternehmen Hochrisiko-KI einsetzt (z. B. KI-gestützte HR-Software), müssen Sie bis zu diesem Datum compliant sein.

Pflichten für Mittelständler: Praxisübersicht

Als Betreiber (Deployer) von Hochrisiko-KI

1. Grundrechte-Folgenabschätzung vor Einsatz der KI

2. Menschliche Aufsicht sicherstellen — jemand muss KI-Entscheidungen überwachen und eingreifen können

3. Eingabedaten überwachen auf Qualität und Relevanz

4. Vorfallsprotokollierung — relevante Ereignisse dokumentieren

5. Mitarbeiter schulen, die mit der KI arbeiten

6. Information der Betroffenen, wenn ihre Daten in Hochrisiko-KI verarbeitet werden

7. Registereinträge in EU-Datenbank (für bestimmte Hochrisiko-KI)

Als Betreiber von KI mit Transparenzpflichten

1. Nutzer informieren, wenn KI-System im Einsatz

2. Chatbots als KI kennzeichnen

3. KI-generierte Inhalte (Texte, Bilder, Audio) kennzeichnen

Als Anbieter eines KI-Systems

Wenn Ihr Unternehmen selbst KI-Software entwickelt und vermarktet, gelten deutlich umfangreichere Pflichten (Konformitätsbewertung, CE-Kennzeichnung, technische Dokumentation). Dies übersteigt den Rahmen dieses Artikels — konsultieren Sie hier einen auf KI-Recht spezialisierten Anwalt.

Compliance-Checkliste für KMU

Phase 1: Bestandsaufnahme (bis Ende Q2 2026)

[ ] Alle KI-Systeme im Unternehmen inventarisieren (inkl. eingekaufte Software mit KI-Komponenten)
[ ] Für jedes System: Risikoklasse bestimmen (verboten / hoch / begrenzt / minimal)
[ ] Hochrisiko-Anwendungen identifizieren (v. a. HR, Kreditvergabe, Sicherheit)
[ ] Verbotene Praktiken sofort identifizieren und abschalten
[ ] Datenschutzbeauftragten einbinden

Phase 2: Risikobewertung (Q2–Q3 2026)

[ ] Grundrechte-Folgenabschätzung für Hochrisiko-KI durchführen
[ ] Lieferanten/Anbieter von KI-Systemen nach EU AI Act-Compliance befragen
[ ] DPAs und Verträge auf AI-Act-Konformität prüfen
[ ] Prozesse für menschliche Aufsicht definieren

Phase 3: Umsetzung (bis Aug. 2026)

[ ] Transparenzhinweise für Chatbots und KI-generierte Inhalte implementieren
[ ] Mitarbeiterschulungen zu KI-Compliance durchführen
[ ] Logging und Monitoring für Hochrisiko-KI einrichten
[ ] Interne KI-Richtlinie / „KI-Policy“ verabschieden
[ ] Verantwortlichkeiten für KI-Compliance im Unternehmen festlegen

Phase 4: Dokumentation und Monitoring (fortlaufend)

[ ] AI-Register (Übersicht aller genutzten KI-Systeme) pflegen
[ ] Regelmäßige Reviews der KI-Systeme und deren Klassifizierung
[ ] Bei neuen KI-Tools: Compliance-Check vor Einführung

Bußgelder und Konsequenzen

Der EU AI Act sieht empfindliche Bußgelder vor:

| Verstoß | Maximales Bußgeld |

|—|—|

| Einsatz verbotener KI-Praktiken | 35 Mio. € oder 7 % des weltweiten Jahresumsatzes |

| Verstoß gegen Hochrisiko-Pflichten | 15 Mio. € oder 3 % des weltweiten Jahresumsatzes |

| Falsche Informationen gegenüber Behörden | 7,5 Mio. € oder 1,5 % des weltweiten Jahresumsatzes |

Für KMU gilt: Das Bußgeld ist auf den Prozentsatz des Jahresumsatzes gedeckelt — aber bei einem Unternehmen mit 10 Mio. € Umsatz können 7 % = 700.000 € immer noch existenzbedrohend sein.

Zuständige Aufsichtsbehörde in Deutschland ist voraussichtlich eine noch zu bestimmende nationale Behörde (Diskussion läuft; Stand April 2026 zuständige Behörde noch nicht final bestimmt).

Erste Umsetzungsschritte

Schritt 1: KI-Inventur (Sofortmaßnahme)

Erstellen Sie innerhalb der nächsten 4 Wochen eine Liste aller KI-Systeme in Ihrem Unternehmen. Denken Sie auch an:

Automatisierte Bewerbungsscreening-Tools in HR
KI-Chatbots auf Website oder im Kundenservice
Prognose- oder Scoring-Modelle im Vertrieb/Marketing
KI in der Buchhaltungs- oder ERP-Software

Schritt 2: Risikoklassifizierung

Ordnen Sie jeden KI-Einsatz einer Risikokategorie zu. Im Zweifel: konservativ klassifizieren und juristischen Rat einholen.

Schritt 3: Sofortmaßnahmen für verbotene KI

Überprüfen Sie insbesondere: Emotionserkennung bei Mitarbeitern. Falls vorhanden — sofort abschalten oder anpassen.

Schritt 4: Externe Beratung für Hochrisiko-KI

Für den Einsatz von Hochrisiko-KI — besonders im HR-Bereich — empfehlen wir die Einschaltung eines auf KI-Recht spezialisierten Anwalts. Die Pflichten sind komplex, und Fehler können teuer werden.

FAQ

„`html

„`

Häufig gestellte Fragen

Gilt der EU AI Act auch für kleine Unternehmen unter 50 Mitarbeitern?

Grundsätzlich ja. Verbote gelten ohne Ausnahme. Für Dokumentationspflichten gibt es Erleichterungen für KMU.

Ist ChatGPT eine Hochrisiko-KI?

Nicht per se. ChatGPT wird als GPAI eingestuft. Hochrisiko entsteht durch den Einsatzkontext, z. B. automatisierte Bewerberauswahl.

Was ist eine Grundrechte-Folgenabschätzung?

Eine strukturierte Analyse der Auswirkungen von Hochrisiko-KI auf die Grundrechte Betroffener — Pflicht vor dem Einsatz.

Ab wann gilt der EU AI Act für HR-KI?

Ab 2. August 2026 für Hochrisiko-KI nach Anhang III, inkl. Bewerberauswahl und Mitarbeiterbewertung.

Muss ich meinen Website-Chatbot kennzeichnen?

Ja — Nutzer müssen wissen, dass sie mit KI interagieren.

Wo finde ich offizielle Informationen?

EUR-Lex für die Verordnung, EU Digital Strategy Website der Kommission, BMDV für nationale Umsetzung.

Ihre nächsten Schritte

Prüfen Sie mit unserem kostenlosen Tool, welche KI-Compliance-Maßnahmen für Ihr Unternehmen prioritär sind:

Zum kostenlosen KI-Compliance-Check →

Bleiben Sie über neue Entwicklungen zum EU AI Act und relevante Förderoptimierungen informiert:

KI-Briefing Newsletter abonnieren →

Weiterführende Artikel

Innovationszulage 2026: Vollständiger Leitfaden für KMU — Fördermöglichkeiten für Ihre KI-Projekte optimal nutzen
Automatisierung im Mittelstand: Wo KI sofort Kosten spart — KI-Einsatz konform mit EU AI Act umsetzen

→ Kostenlose Erstberatung anfragen — Innova-IQ begleitet Sie bei der EU AI Act Compliance

Quellen: Verordnung (EU) 2024/1689 (EUR-Lex), EU-Kommission Digital Strategy, Bundesministerium für Digitales und Verkehr, European AI Office. Stand: April 2026.

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine individuelle rechtliche Einschätzung wenden Sie sich bitte an einen auf KI-Recht spezialisierten Rechtsanwalt.

INNOVA-IQ NEWSLETTER

Förder-Updates direkt ins Postfach

Erhalten Sie exklusive Förder-News, bevor sie auf der Website erscheinen.

Double Opt-In — Sie erhalten eine Bestätigungs-E-Mail. Kein Spam, jederzeit abbestellbar.