EU AI Act 2026: Was Mittelständler in den nächsten 108 Tagen erledigen müssen
Meta-Beschreibung: Ab dem 2. August 2026 gelten EU AI Act-Pflichten für Hochrisiko-KI. Was Mittelständler jetzt in 108 Tagen konkret erledigen müssen.
Mehr als 70.000 deutsche Mittelständler setzen bereits KI-gestützte Prozesse ein — und für viele von ihnen tickt eine gesetzliche Uhr: Am 2. August 2026 treten die zentralen Pflichten des EU AI Act in Kraft, die Hochrisiko-KI-Systeme betreffen. Bis dahin sind es heute, am 16. April 2026, genau 108 Tage.
Was viele Geschäftsführer noch nicht wissen: Der EU AI Act gilt nicht nur für KI-Anbieter, sondern auch für Unternehmen, die KI-Systeme einsetzen — also für Sie als Betreiber. Wer jetzt nicht handelt, riskiert Bußgelder von bis zu 30 Millionen Euro oder bis zu 6 % des weltweiten Jahresumsatzes.
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz. Er trat am 1. August 2024 in Kraft und führt einen risikobasierten Ansatz ein:
| Risikostufe | Beispiele | Konsequenz |
|---|---|---|
| Inakzeptables Risiko | Social Scoring, biometrische Echtzeitüberwachung | Vollständiges Verbot (seit 2. Feb. 2025) |
| Hochrisiko | KI in HR, Kreditvergabe, Sicherheitstechnik | Strenge Pflichten ab 2. Aug. 2026 |
| Begrenztes Risiko | Chatbots, Deepfakes | Transparenzpflichten |
| Minimales Risiko | Spam-Filter, Empfehlungsalgorithmen | Keine spezifischen Pflichten |
Welche KI-Systeme gelten als Hochrisiko?
Laut Anhang III des EU AI Act gelten folgende KI-Anwendungen als Hochrisiko, die für den Mittelstand besonders relevant sind:
- HR und Recruiting: Automatisierte CV-Screening-Tools, KI-gestützte Bewerberranking-Systeme
- Kreditvergabe und Bonitätsprüfung: KI-Scoring-Modelle in der Finanzierung
- Sicherheitstechnik: KI in sicherheitskritischen Industrieprozessen (Anhang I-Produkten)
- Biometrische Identifikation: KI-basierte Zugangskontrollen mit Gesichtserkennung
- Wesentliche Infrastruktur: KI-Systeme im Bereich Energie, Wasser, Verkehr
Pflichten für Betreiber (Deployer)
Als Unternehmen, das Hochrisiko-KI-Systeme einsetzt (auch wenn Sie sie nicht entwickelt haben), sind Sie „Deployer“ im Sinne des EU AI Act. Folgende Pflichten gelten ab August 2026:
Technische und organisatorische Maßnahmen
- Risikomanagementsystem dokumentieren und implementieren
- Menschliche Aufsicht sicherstellen — keine vollautomatischen Entscheidungen ohne Oversight
- Technische Dokumentation vom KI-Anbieter einfordern und archivieren
- Logs und Aufzeichnungen der KI-Nutzung führen (Nachvollziehbarkeit)
- Betroffene Personen über KI-Einsatz informieren (z. B. bei HR-Entscheidungen)
- Grundlegende Erklärung von KI-Entscheidungen auf Anfrage bereitstellen
- Datenschutz-Folgenabschätzung (DSFA) bei biometrischer KI
- Verarbeitungsverzeichnis um KI-Systeme ergänzen
108-Tage-Aktionsplan für den Mittelstand
| Zeitraum | Maßnahme | Aufwand |
|---|---|---|
| Jetzt (April) | KI-Inventar erstellen: alle eingesetzten KI-Tools listen | 1–2 Tage |
| Jetzt (April) | Risikoklassifizierung durchführen | 0,5 Tage + ggf. Beratung |
| Mai 2026 | Anbieter kontaktieren: technische Dokumentation anfordern | 1–3 Wochen |
| Mai 2026 | Interne Richtlinie „KI-Nutzung“ erstellen | 1 Woche |
| Juni 2026 | Risikomanagementsystem aufsetzen | 2–4 Wochen |
| Juni 2026 | Mitarbeiter-Schulungen durchführen | 1–2 Tage |
| Juli 2026 | Prozesse für menschliche Aufsicht implementieren | 2 Wochen |
| Juli 2026 | Dokumentation und Logs einrichten | 1 Woche |
| 2. Aug. 2026 | Deadline — alle Systeme compliant ✓ | — |
Wichtig: Dieser Aktionsplan ist eine allgemeine Orientierung. Bei rechtlichen Fragen empfehlen wir die Konsultation eines auf IT-Recht spezialisierten Rechtsanwalts.
Fördermittel für EU AI Act-Compliance
Die gute Nachricht: Teile Ihrer Compliance-Investitionen können typischerweise durch Förderprogramme unterstützt werden.
Forschungszulage (FZulG)
Wenn Sie im Zuge der KI-Compliance eigene Forschungs- und Entwicklungsarbeiten durchführen (z. B. Entwicklung eines internen KI-Monitoring-Systems), können diese Aufwendungen typischerweise bis zu 35 % (KMU) als Forschungszulage erstattet werden.
Digital Jetzt
Das Programm „Digital Jetzt“ fördert Investitionen in digitale Technologien, darunter KI-Compliance-Maßnahmen. Typischerweise werden bis zu 50 % der förderfähigen Ausgaben bezuschusst, abhängig von Unternehmensgröße und Projektart.
Häufige Fehler und wie Sie sie vermeiden
Fehler 1: „Das betrifft uns nicht.“ — Jedes Unternehmen, das Hochrisiko-KI einsetzt, ist betroffen — unabhängig von Branche oder Größe.
Fehler 2: „Wir kaufen die KI nur ein.“ — Als Deployer tragen Sie Mitverantwortung. Sie müssen sicherstellen, dass die eingesetzten KI-Systeme compliant sind.
Fehler 3: „Wir warten bis zur letzten Minute.“ — Technische Dokumentation, Audits und Systemanpassungen brauchen Zeit. 108 Tage sind für größere Unternehmen knapp bemessen.
FAQ
Wann tritt der EU AI Act für Hochrisiko-KI-Systeme in Kraft?
Die zentralen Pflichten für Hochrisiko-KI-Systeme gelten ab dem 2. August 2026. Verbote für KI mit inakzeptablem Risiko (z. B. Social Scoring) gelten bereits seit dem 2. Februar 2025.
Betrifft der EU AI Act auch kleine Mittelständler mit unter 50 Mitarbeitern?
Ja, der EU AI Act gilt grundsätzlich für alle Unternehmen, die KI-Systeme in der EU einsetzen — unabhängig von der Unternehmensgröße. Kleinstunternehmen können von einigen vereinfachten Pflichten profitieren.
Wie hoch sind die Bußgelder bei Verstößen gegen den EU AI Act?
Bußgelder können typischerweise bis zu 30 Millionen Euro oder bis zu 6 % des weltweiten Jahresumsatzes betragen — je nachdem, welcher Betrag höher ist. Die genaue Höhe liegt im Ermessen der Aufsichtsbehörde.
Welche Stelle ist in Deutschland für die Durchsetzung des EU AI Act zuständig?
Deutschland befindet sich noch im Aufbau der nationalen KI-Aufsichtsbehörde. Aktuell sind Bundesnetzagentur und der Bundesbeauftragte für Datenschutz beteiligt. Auf EU-Ebene ist das European AI Office zuständig.
Kann ich Fördermittel für EU AI Act-Compliance beantragen?
Ja, abhängig von Ihrer konkreten Situation können Teile der Compliance-Kosten durch Programme wie die Forschungszulage (FZulG), Digital Jetzt oder BAFA-Unternehmensberatung unterstützt werden. Nutzen Sie unseren Förder-Rechner für eine erste Einschätzung.
Was ist eine KI-Risikoklassifizierung und wie führe ich sie durch?
Eine KI-Risikoklassifizierung prüft jeden KI-Einsatz anhand der vier Risikostufen des EU AI Act. Zunächst erstellen Sie ein KI-Inventar, dann ordnen Sie jeden Einsatz anhand von Anhang III und Anhang I der Verordnung zu. Bei Unsicherheit empfehlen wir rechtliche Beratung.
Quellen: Europäisches Parlament und Rat der EU: Verordnung (EU) 2024/1689 (EU AI Act), Official Journal of the EU, 12. Juli 2024 | European AI Office | Bundesministerium für Wirtschaft und Klimaschutz
Haftungsausschluss: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Bei konkreten Rechtsfragen wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.
INNOVA-IQ NEWSLETTER
Förder-Updates direkt ins Postfach
Erhalten Sie exklusive Förder-News, bevor sie auf der Website erscheinen.
Double Opt-In — Sie erhalten eine Bestätigungs-E-Mail. Kein Spam, jederzeit abbestellbar.