Der EU AI Act Mittelstand betrifft dich wahrscheinlich stärker, als du denkst. Denn ab dem 2. August 2026 gelten die zentralen Pflichten der europäischen KI-Verordnung – und zwar nicht nur für Tech-Konzerne oder KI-Entwickler. Auch Unternehmen, die KI lediglich nutzen, müssen handeln.
Viele Geschäftsführer und IT-Leiter im Mittelstand unterschätzen das. Sie denken: „Wir entwickeln ja keine KI, wir nutzen nur ChatGPT oder ein CRM mit KI-Funktionen.“ Genau das reicht aber aus, um unter die Verordnung zu fallen. Die gute Nachricht: Mit der richtigen Vorbereitung ist die Umsetzung machbar. In diesem Artikel erfährst du, welche Pflichten konkret auf dich zukommen und wie du dich jetzt vorbereitest.
Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er ist seit dem 1. August 2024 in Kraft und wird schrittweise bis 2027 umgesetzt. Das Ziel: KI soll sicher, transparent und ethisch eingesetzt werden.
Für dich als Unternehmer ist wichtig zu verstehen: Die Verordnung unterscheidet zwischen Anbietern (die KI entwickeln) und Betreibern (die KI nutzen). Als Betreiber hast du eigene Pflichten – auch wenn du die KI nicht selbst gebaut hast.
Du bist Betreiber, wenn du KI-Systeme in deinem Unternehmen gewerblich einsetzt. Das umfasst:
Die Faustregel: Sobald du KI im geschäftlichen Kontext nutzt, bist du Betreiber. Rein privater Einsatz ist ausgenommen.
Große Konzerne haben Compliance-Abteilungen, die sich um neue Regulierung kümmern. Im Mittelstand fehlen diese Ressourcen oft. Gleichzeitig nutzen immer mehr mittelständische Unternehmen KI – von der automatisierten E-Mail-Beantwortung bis zur Produktionsplanung.
Das Risiko: Wer die Pflichten ignoriert, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für KMU gelten zwar niedrigere Schwellenwerte, aber auch diese können empfindlich treffen.
Der EU AI Act wird stufenweise umgesetzt. Hier die wichtigsten Termine für den Mittelstand:
| Datum | Was tritt in Kraft |
|---|---|
| 2. Februar 2025 | Verbot bestimmter KI-Praktiken (Social Scoring, manipulative KI), Pflicht zur KI-Kompetenz |
| 2. August 2025 | Transparenzpflichten für Anbieter generativer KI |
| 2. August 2026 | Hauptteil der Verordnung, inkl. Kennzeichnungspflicht und Hochrisiko-Regeln |
| 2. August 2027 | Vollständige Anwendung für Hochrisiko-KI nach Artikel 6 Absatz 1 |
Der 2. August 2026 ist der entscheidende Stichtag für die meisten Unternehmen. Ab dann gelten Governance-Pflichten, Transparenzanforderungen und die Kennzeichnungspflicht für KI-generierte Inhalte.
Was musst du als mittelständisches Unternehmen konkret tun? Die Anforderungen hängen davon ab, welche Art von KI du einsetzt und in welche Risikoklasse sie fällt.
Der EU AI Act folgt einem risikobasierten Ansatz. Je höher das Risiko, desto strenger die Anforderungen:
Unannehmbares Risiko (verboten):
Hochrisiko:
Begrenztes Risiko:
Minimales Risiko:
Für die meisten Mittelständler relevant: Begrenztes Risiko (Chatbots, generative KI) und potenziell Hochrisiko (wenn du KI im HR-Bereich einsetzt).
Ab dem 2. August 2026 musst du KI-generierte Inhalte kennzeichnen. Das betrifft Texte, Bilder, Audio und Video, die täuschend echt wirken könnten.
Was du tun musst:
Ausnahme: Wenn du KI-generierte Inhalte redaktionell überarbeitest, sodass sie nicht mehr als KI-Erzeugnis gelten, entfällt die Kennzeichnungspflicht.
Praxisbeispiel: Du nutzt ein KI-Tool für Social-Media-Posts. Wenn du den generierten Text nur minimal anpasst, muss er gekennzeichnet werden. Wenn du ihn komplett umschreibst und nur als Inspiration nutzt, nicht.
Diese Pflicht gilt bereits seit Februar 2025, wird aber oft übersehen: Du musst sicherstellen, dass Mitarbeitende, die mit KI arbeiten, über ausreichende Kompetenz verfügen.
Das bedeutet konkret:
Du brauchst keine zertifizierten KI-Experten. Aber dokumentierte Schulungen solltest du nachweisen können.
Unternehmen, die KI einsetzen, brauchen eine klare Governance-Struktur. Das umfasst:
Für kleine Unternehmen muss das keine eigene Abteilung sein. Oft reicht ein benannter Verantwortlicher, der das Thema koordiniert.
Nutzt du KI bei der Personalauswahl, Leistungsbewertung oder Kreditprüfung? Dann gelten strengere Regeln.
Typische Hochrisiko-Anwendungen im Mittelstand:
Wenn du Hochrisiko-KI betreibst, musst du:
Praxistipp: Viele HR-Tools bieten KI-Funktionen. Prüfe genau, welche du nutzt und ob sie unter Hochrisiko fallen. Im Zweifel: menschliche Freigabe einbauen.
Aus unserer Beratungspraxis kennen wir typische Stolperfallen, die du vermeiden solltest.
Auch wenn du KI-Tools von Drittanbietern nutzt, bist du als Betreiber verantwortlich. Du kannst dich nicht darauf verlassen, dass der Anbieter alles regelt.
Lösung: Prüfe bei jedem Tool, welche Pflichten bei dir liegen. Fordere vom Anbieter Informationen zur Compliance an.
Viele Unternehmen wissen gar nicht genau, wo überall KI im Einsatz ist. Marketing nutzt ChatGPT, HR ein Bewerbertool, der Vertrieb ein CRM mit KI-Funktionen.
Lösung: Erstelle ein KI-Verzeichnis. Liste alle Tools mit KI-Funktionen auf, klassifiziere sie nach Risiko und dokumentiere den Einsatzzweck.
Ohne Dokumentation kein Audit-Erfolg. Viele Unternehmen setzen KI ein, dokumentieren aber nicht, warum, wie und mit welchen Daten.
Lösung: Starte jetzt mit einer einfachen Dokumentation. Welche KI, welcher Zweck, welche Daten, welche Risiken?
Die Kompetenzpflicht gilt bereits. Trotzdem schulen viele Unternehmen ihre Mitarbeitenden nicht.
Lösung: Plane interne Workshops oder externe Schulungen. Dokumentiere, wer wann geschult wurde.
Hier eine praktische Checkliste für die Vorbereitung auf den EU AI Act:
Sofort erledigen (bereits Pflicht):
Bis Ende 2025:
Bis Mitte 2026:
Laufend:
Der EU AI Act ist nicht nur Bürokratie. Er bietet auch Chancen für Unternehmen, die früh handeln.
Kunden und Partner achten zunehmend darauf, wie Unternehmen mit KI umgehen. Wer nachweislich compliant ist, baut Vertrauen auf.
Die geforderte Dokumentation und Governance führen oft zu besseren Prozessen. Du verstehst genauer, wo KI wirklich Mehrwert bringt – und wo nicht.
Der EU AI Act ist erst der Anfang. Weitere Regeln zu Haftung, Ethik und Umweltverträglichkeit werden folgen. Wer jetzt Strukturen aufbaut, ist auch für künftige Anforderungen gewappnet.
Die EU schreibt vor, dass jeder Mitgliedsstaat mindestens eine KI-Sandbox einrichten muss. Diese geschützten Testumgebungen ermöglichen es, neue KI-Systeme zu erproben, ohne sofort alle Vorgaben erfüllen zu müssen. Für den Mittelstand eine interessante Option für Innovation.
Du musst das nicht alleine stemmen. Es gibt Anlaufstellen und Ressourcen:
Behördliche Unterstützung:
Branchenverbände:
Förderprogramme:
Der EU AI Act Mittelstand ist keine ferne Zukunftsmusik. Die Fristen laufen, und August 2026 kommt schneller als gedacht. Die gute Nachricht: Mit strukturierter Vorbereitung ist die Umsetzung machbar.
Die wichtigsten Schritte zusammengefasst:
Wer früh startet, senkt Haftungsrisiken und verschafft sich einen Wettbewerbsvorteil. Wer abwartet, riskiert teure Nacharbeit – oder Bußgelder.
Bei neura7 begleiten wir mittelständische Unternehmen bei der praktischen Umsetzung des EU AI Act. Das bedeutet: keine theoretischen Compliance-Papiere, sondern konkrete Schritte, die zu deinen Prozessen und Systemen passen.
Wir helfen dir dabei, ein KI-Verzeichnis zu erstellen, Risiken zu bewerten und KI-Strategien zu entwickeln, die von Anfang an compliant sind. Ob du bereits KI-Agenten im Einsatz hast oder erst mit KI starten willst – wir sorgen dafür, dass du auf der sicheren Seite bist.
Wenn du wissen möchtest, wie dein Unternehmen beim EU AI Act aufgestellt ist, lass uns in einem kurzen Gespräch deine aktuelle Situation analysieren. Gemeinsam identifizieren wir Handlungsbedarf und entwickeln einen pragmatischen Fahrplan.