EU AI Act ab August 2026 — Was Sie als Mittelständler in den nächsten 90 Tagen wirklich tun müssen
Am 2. August 2026 bekommt die EU AI Office erstmals echte Sanktionsbefugnisse — bis zu 15 Mio. € oder 3 % des Konzernumsatzes. Wer als deutscher Mittelständler glaubt, der AI Act betreffe nur Hyperscaler, übersieht die eigentliche Pflichtfalle: Sie nutzen GPAI-Modelle, Sie sind Deployer.
Geschäftsführer eines Maschinenbauers mit 80 Mitarbeitern. Seit Anfang 2025 nutzt sein Vertriebsteam GPT, sein Service-Center einen Voice Agent, das Einkauf-Tool zieht Lieferantendaten aus einem Claude-Workflow. Funktioniert gut. Und genau hier liegt das Problem: Mit dem 2. August 2026 wird aus „funktioniert gut" zu „bitte zeigen Sie uns Ihre technische Dokumentation".
Die Übergangszeit des EU AI Act endet — und damit beginnt die Phase, in der die EU AI Office Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Konzernumsatzes verhängen kann. Die meisten Berichte fokussieren sich auf die OpenAIs, Anthropics und Googles dieser Welt. Was dabei untergeht: Auch Sie als Anwender — der „Deployer" im Wortlaut der Verordnung — haben handfeste Pflichten. Und die Uhr tickt seit dem ersten Tag des Inkrafttretens.
Wer ist „Deployer" und warum betrifft Sie das?
Der AI Act unterscheidet drei Rollen: Provider (entwickelt das KI-System), Deployer (setzt es im eigenen Verantwortungsbereich ein) und Importer/Distributor. Sobald Sie ein KI-System in Ihrem Unternehmen einsetzen — auch ein externes — sind Sie Deployer. Auch dann, wenn Sie „nur" einen Chatbot, einen Voice Agent oder einen automatisierten Lead-Scoring-Prozess betreiben.
Hochrisiko-Anwendungen. Personalauswahl, Bonitätsprüfung, kritische Infrastruktur, biometrische Identifikation: Diese Anwendungen sind ab dem 2. August 2026 voll reguliert. Wer ein KI-System zur Bewerberauswahl einsetzt, muss Risikobewertung, Logging, menschliche Aufsicht und Transparenz nachweisen. Punkt.
Transparenzpflichten. Selbst bei Nicht-Hochrisiko-Systemen müssen Sie Nutzer informieren, wenn sie mit einer KI interagieren. Ihr Voice Agent muss zu Beginn klar sagen, dass er eine KI ist. Chatbots brauchen einen Hinweis. Synthetisch erzeugte Inhalte sind kennzeichnungspflichtig.
GPAI-spezifische Sorgfalt. Wenn Sie ein General-Purpose-AI-Modell (GPT, Claude, Gemini, Mistral) in Ihrem Workflow einsetzen, müssen Sie vom Anbieter die technische Dokumentation einsehen können — und Sie müssen prüfen, ob Ihr konkreter Anwendungsfall durch deren Risikobewertung gedeckt ist.
Die drei häufigsten Compliance-Lücken
Wenn wir in Erstgesprächen mit Mittelständlern die KI-Landschaft kartieren, tauchen immer dieselben Lücken auf — unabhängig von Branche und Größe.
Schatten-KI ohne Inventar. Die Vertriebsabteilung nutzt ChatGPT, das Marketing arbeitet mit Midjourney, die Geschäftsführung mit Claude Pro. Niemand führt eine zentrale Liste, welches Modell mit welchen Daten in welchem Prozess läuft. Ohne dieses Inventar ist eine AI-Act-Bewertung nicht möglich — und die Bußgelder beginnen, wenn die Behörde fragt und Sie keine Antwort liefern können.
Datenflüsse, die das Modell mittrainieren. Viele Unternehmen nutzen die kostenlosen Endpunkte großer Anbieter. Die trainieren je nach Vertrag mit Ihren Eingaben weiter. Sie geben damit nicht nur Geschäftsgeheimnisse preis, sondern verletzen unter Umständen auch Geheimhaltungsklauseln und DSGVO gleichzeitig — der AI Act überlagert sich hier nahtlos mit DSGVO-Artikel 28.
Fehlende menschliche Aufsicht bei Hochrisiko-Workflows. Automatisierte Entscheidungssysteme — Bonitätsprüfung beim Lieferanten, Bewerber-Scoring, Versicherungsannahme — müssen einen dokumentierten Human-in-the-Loop haben. Wenn die Software „nein" sagt und niemand das mehr prüft, sind Sie ab August 2026 nicht mehr nur DSGVO-pflichtig, sondern AI-Act-pflichtig.
Wie das in konkreten Branchen aussieht
Handwerk und Bau. Ein 5-stufiger Anfrage-Wizard mit automatischer Preiskalkulation ist kein Hochrisiko-System. Wenn er aber Bonitätssignale aus Drittquellen zieht und Kunden ohne menschliche Prüfung ablehnt, wird er es. Die Lösung ist meist trivial: Schwellenwert plus Mensch.
Praxen und Kanzleien. Ein Voice Agent, der Termine bucht, ist kein Hochrisiko-System — aber er muss Anrufer zu Beginn als KI offenlegen und Gesundheitsdaten dürfen nicht an Modelle außerhalb der EU geleitet werden. Wer hier einen US-Anbieter ohne EU-Endpunkt einsetzt, hat ein DSGVO- und ein AI-Act-Problem.
B2B-Vertrieb. Lead-Scoring mit KI? Erlaubt. KI-gestützte Preisdiskriminierung gegenüber Endkunden? Hochrisiko-nah. Auch hier gilt: Wer dokumentiert, ist klar. Wer nicht dokumentiert, hat Erklärungsbedarf.
Was Sie in den nächsten 90 Tagen konkret tun sollten
Stand 19. Mai 2026 sind es noch 75 Tage bis zur Vollwirksamkeit. Diese fünf Schritte schließen 80 % des Risikos.
KI-Inventar erstellen. Listen Sie jedes KI-System im Einsatz auf: Anbieter, Modell, Verarbeitungszweck, Datentypen, Verantwortlicher. Ein Spreadsheet reicht — wichtig ist, dass es existiert.
Anbieter-Verträge prüfen. Verlangen Sie von jedem GPAI-Anbieter die technische Dokumentation und ein Statement zum „No-Training-on-Customer-Data". Wer das nicht liefern kann, fliegt aus dem Stack.
EU-Endpunkte verpflichtend machen. OpenAI hat EU-Endpunkte, Anthropic hat EU-Endpunkte, Google Cloud hat EU-Endpunkte. Wer wegen 5 % Latenz auf US-Server geht, riskiert sechsstellige Bußgelder. Die Mathematik ist eindeutig.
Transparenzhinweise einbauen. Jeder Chatbot, jeder Voice Agent, jede automatisierte Empfehlung braucht einen sichtbaren Hinweis: „Sie interagieren mit einem KI-System." Eine Zeile Code, ein Satz im Skript — und damit erfüllt.
Human-in-the-Loop dokumentieren. Bei jedem automatisierten Entscheidungspfad gehört ein expliziter menschlicher Freigabeschritt — oder ein expliziter Vermerk, warum keiner notwendig ist. Das ist keine Schikane, sondern Ihr wichtigster Haftungsschutz.
Was passiert, wenn Sie das ignorieren
Die ersten 12 Monate nach Inkrafttreten werden vermutlich nicht das große Bußgeld-Massaker. Die AI Office baut gerade ihre Strukturen auf. Aber: Die Vorlagepflicht bei behördlicher Anfrage gilt vom ersten Tag. Wer also bei einer DSGVO-Beschwerde oder einer Routineprüfung auch nach AI-Act-Konformität gefragt wird und nichts vorzeigen kann, gerät schnell ins Visier — und der erste echte Präzedenzfall wird publikumswirksam ausgespielt werden.
Wichtiger als das Bußgeldrisiko ist allerdings das Reputationsrisiko. B2B-Kunden — gerade die größeren — beginnen, AI-Act-Konformität als Lieferantenkriterium aufzunehmen. Wer im Vendor-Assessment nicht antworten kann, fliegt raus, lange bevor irgendeine Behörde auch nur eine Mail schickt.
Die nächsten 90 Tage entscheiden, ob Sie den AI Act als kosmetisches Compliance-Pflichtprogramm abhaken — oder ob Sie ihn als Hebel nutzen, Ihre KI-Architektur ein Mal sauber durchzustrukturieren. Was Sie in dieser Zeit dokumentieren, gehört Ihnen. Was Sie nicht dokumentieren, gehört der nächsten Anfrage.