EU AI Act: Was der Mittelstand jetzt wissen muss
Der EU AI Act ist in Kraft. Ab August 2026 gelten die Hochrisiko-Anforderungen. Die meisten Mittelständler sind betroffen — aber kaum einer ist vorbereitet. Hier ist Ihr Fahrplan.
Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Seit August 2024 in Kraft, werden die Pflichten stufenweise wirksam: Verbotene Praktiken gelten bereits, Transparenzpflichten ab August 2025, und ab August 2026 greifen die strengen Anforderungen für Hochrisiko-KI-Systeme.
Für den Mittelstand bedeutet das: Wer KI einsetzt — und das tun mittlerweile die meisten, auch wenn es nur ChatGPT im Vertrieb oder ein Scoring-Modell in der Kreditprüfung ist — muss handeln. Nicht irgendwann. Jetzt.
Die gute Nachricht: Die meisten KI-Anwendungen im Mittelstand fallen in die Kategorien „Begrenzt“ oder „Minimal“. Das heißt: Transparenzpflichten ja, aber kein bürokratisches Monster. Und mit einem strukturierten Vorgehen lässt sich die Compliance in wenigen Wochen herstellen.
Warum ignorieren so viele Unternehmen den EU AI Act?
Viele wissen nicht, dass sie KI-Nutzer sind — ChatGPT, Copilot und automatisierte Scoring-Tools zählen auch.
Die Risikoklassen sind komplex und die Zuordnung ohne Expertise schwierig.
Die Fristen wirken weit weg — aber August 2026 ist in weniger als einem Jahr.
Bußgelder bis 35 Mio. EUR oder 7% Umsatz werden unterschätzt — auch KMU sind betroffen.
Welche Risikoklassen gibt es im EU AI Act?
Verboten
Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung im öffentlichen Raum. Für den Mittelstand praktisch nie relevant.
Hochrisiko
Bewerber-Screening, Kreditbewertung, Sicherheitskomponenten, KI in kritischer Infrastruktur. Strenge Anforderungen: Dokumentation, Risikomanagement, menschliche Aufsicht, Datenqualität.
Begrenzt
Chatbots, Deepfake-Generierung, Emotionserkennung. Hauptpflicht: Transparenz — Nutzer müssen wissen, dass sie mit KI interagieren.
Minimal
Spamfilter, KI-gestützte Suche, Empfehlungssysteme, die meisten internen Automatisierungen. Kaum Regulierung, freiwillige Verhaltenskodizes empfohlen.
Vom KI-Inventar zur Audit-Readiness \u2014 systematisch.
Alle KI-Systeme erfassen, klassifizieren, bewerten und dokumentieren \u2014 bevor der Pr\u00fcfer kommt.
Wie wird Ihr Unternehmen EU AI Act-konform? 5 Schritte
KI-Inventar erstellen
Alle KI-Systeme im Unternehmen identifizieren — auch eingekaufte Tools wie ChatGPT, Copilot oder automatisierte Scoring-Modelle. Viele Unternehmen wissen nicht, wie viel KI sie bereits nutzen.
Risikoklassen zuordnen
Jedes System einer Risikoklasse zuordnen: Verboten, Hochrisiko, Begrenzt oder Minimal. Die meisten Mittelstands-Anwendungen fallen in die Kategorien Begrenzt oder Minimal.
Gap-Analyse durchführen
Für Hochrisiko-Systeme: Soll-Anforderungen mit Ist-Zustand abgleichen. Dokumentation, Transparenz, menschliche Aufsicht und Datenqualität prüfen.
Maßnahmen umsetzen
Lücken schließen: Technische Dokumentation erstellen, Risikomanagement aufsetzen, Monitoring einrichten, Mitarbeiter schulen.
Monitoring & Audit-Readiness
Laufende Überwachung: Performance, Bias, Drift. Regelmäßige Reviews und lückenlose Dokumentation — damit Sie jederzeit audit-ready sind.
Wie sieht das in der Praxis aus?
Ein mittelständischer Maschinenbauer nutzt KI an drei Stellen: Ein Chatbot für den Kundenservice (Risikoklasse: Begrenzt), ein Scoring-Modell für die interne Qualitätskontrolle (Minimal) und ein Bewerber-Screening-Tool von einem externen Anbieter (Hochrisiko).
Für den Chatbot reicht ein Hinweis: „Sie sprechen mit einer KI.“ Für die Qualitätskontrolle ist keine Aktion nötig. Das Bewerber-Screening erfordert allerdings Dokumentation, Risikomanagement und die Sicherstellung menschlicher Aufsicht — entweder durch den Anbieter oder durch das Unternehmen selbst.
In der Praxis dauert die Erstanalyse 2–3 Tage. Die Umsetzung der Maßnahmen für ein typisches Mittelstandsunternehmen mit 5–10 KI-Anwendungen: 4–8 Wochen. Kein Hexenwerk — aber es muss jemand anfangen.
EU AI Act in Zahlen
Welche Fristen gelten für den EU AI Act?
Verbotene KI-Praktiken müssen eingestellt werden
Transparenzpflichten für General-Purpose AI (z.B. GPT-4, Gemini)
Hochrisiko-Anforderungen: Dokumentation, Risikomanagement, menschliche Aufsicht
Volle Anwendung aller Bestimmungen inkl. Durchsetzung
Für wen ist dieses Thema besonders relevant?
CIOs und IT-Leiter, die KI-Systeme evaluieren oder bereits einsetzen
Geschäftsführer im Mittelstand, die regulatorische Risiken minimieren wollen
Compliance- und Datenschutzbeauftragte, die den EU AI Act in ihr GRC-System integrieren
Unternehmen, die KI-Systeme für HR, Kreditvergabe oder Sicherheit nutzen (Hochrisiko)
Technologie-Stack
EU AI Act Compliance angehen?
Wir helfen Ihnen, Ihre KI-Systeme zu klassifizieren, L\u00fccken zu identifizieren und einen konkreten Fahrplan umzusetzen \u2014 pragmatisch, nicht b\u00fcrokratisch.
Erstgespr\u00e4ch vereinbaren