EU AI Act — die zweite Welle der Pflichten trifft 2026 den Mittelstand
EU AI ActComplianceMittelstandDeployer-PflichtenRegulierung

EU AI Act — die zweite Welle der Pflichten trifft 2026 den Mittelstand

T. Krause

Im Februar 2025 sind die ersten Verbote des EU AI Acts in Kraft getreten. Im August 2026 folgen die zentralen Pflichten für High-Risk-Systeme und General-Purpose-AI. Was viele Mittelständler nicht wissen: Auch wer „nur ChatGPT nutzt“, ist davon betroffen — als Deployer.

Die Diskussion um den EU AI Act läuft seit 2023. Viele Mittelständler haben sie als „Konzern-Problem" abgetan — die Pflichten würden nur Anbieter wie OpenAI oder Anthropic treffen. Diese Annahme war 2024 noch defensibel. 2026 nicht mehr. Mit den ab August 2026 wirksamen Pflichten kommen substantielle Anforderungen auch auf jeden Mittelständler zu, der KI-Systeme in seinem Betrieb einsetzt — auch wenn er sie nicht entwickelt hat.

Was sich im August 2026 konkret ändert

Artikel 4 — KI-Kompetenz. Jede Organisation, die KI einsetzt, muss sicherstellen, dass Mitarbeiter ein angemessenes Niveau an KI-Kompetenz haben. Das ist keine optionale Empfehlung — es ist eine Pflicht. Was „angemessen" konkret bedeutet, hängt von der Art der KI-Nutzung ab. Wer Marketing-Texte mit ChatGPT macht, hat geringere Anforderungen als wer in der Personalauswahl KI einsetzt.

General-Purpose-AI-Pflichten ab 2. August 2026. Modelle wie GPT-5.5 und Claude Opus 4.7 unterliegen jetzt expliziten Transparenz- und Dokumentationspflichten. Die Anbieter müssen Trainingsdaten-Zusammenfassungen veröffentlichen, Modell-Capabilities dokumentieren und Risiken offenlegen. Für Sie als Deployer bedeutet das: Sie können sich auf diese Dokumentation berufen — aber Sie müssen sie auch in Ihren eigenen Compliance-Unterlagen referenzieren.

High-Risk-Systeme — verschärfte Pflichten. Wer KI in High-Risk-Kategorien einsetzt (HR/Recruiting, Bildung, Kreditvergabe, Kritische Infrastruktur), unterliegt umfangreichen Pflichten: Risikomanagement-System, Datengovernance, Aufzeichnungspflichten, menschliche Aufsicht, Konformitätsbewertung. Verstöße können bis zu 7 % des weltweiten Jahresumsatzes oder 35 Mio. EUR kosten — und der gilt auch für Mittelständler.

Wer ist als „Deployer" betroffen?

Die Definition ist breiter als die meisten annehmen.

Sie nutzen ChatGPT/Claude/Gemini im Betrieb. Sie sind Deployer eines General-Purpose-AI-Systems. Sie haben Transparenz- und Schulungs-Pflichten.

Sie nutzen Salesforce Einstein, HubSpot AI, SAP Joule. Sie sind Deployer dieser Systeme. Die Pflichten hängen von der konkreten Verwendung ab.

Sie haben einen Voice-Agent in Ihrem Callcenter. Sie sind Deployer und müssen sicherstellen, dass Anrufer informiert werden, dass sie mit KI sprechen (Transparenzpflicht).

Sie nutzen einen KI-gestützten Bewerber-Screen. Sie sind Deployer eines High-Risk-Systems und unterliegen den vollen Pflichten — Risikomanagement, Datengovernance, menschliche Aufsicht.

Sie haben einen Chatbot auf Ihrer Website. Sie sind Deployer. Sie müssen offenlegen, dass es sich um KI handelt.

Was Sie konkret jetzt tun sollten

1. KI-Bestandsaufnahme. Welche KI-Systeme nutzen Sie heute? Inkl. Sub-Systeme in Ihrer Standard-Software (z.B. Microsoft Copilot, Google Workspace AI-Funktionen, HubSpot AI, Salesforce Einstein). Tabellen mit Spalten: System, Anwendungsbereich, Anbieter, Risikoeinstufung, Deployer-Pflichten.

2. Risikoeinstufung pro System. Verwenden Sie die EU-AI-Act-Risikokategorien:

  • Unbearable Risk (verboten) — z.B. Social Scoring. In Mittelständen praktisch nicht vorhanden.
  • High Risk — HR-Screening, Bildung, Kreditvergabe, kritische Infrastruktur, Gesundheitswesen-Einsatz. Volle Pflichten.
  • Limited Risk — Chatbots, Emotion-Recognition. Transparenzpflicht (Benutzer informieren).
  • Minimal Risk — alles andere. Geringe Pflichten, aber Artikel 4 (KI-Kompetenz) gilt trotzdem.

3. KI-Kompetenz-Programm aufsetzen. Mindestens jährliche Schulung für alle KI-nutzenden Mitarbeiter. Dokumentation der Schulungsmaßnahmen. Für High-Risk-Einsatz: spezialisierte Schulung für Aufsichtspersonen.

4. Lieferanten-Dokumentation einholen. Jeder Ihrer KI-Anbieter muss Ihnen die Dokumentation zur Verfügung stellen, die Sie als Deployer für Ihre Compliance brauchen. Modell-Card, Capabilities, Trainingsdaten-Zusammenfassung, bekannte Risiken. Bei den großen Anbietern (OpenAI, Anthropic, Google) sind diese Dokumente seit Mai 2026 standardisiert verfügbar.

5. Transparenz-Hinweise in Ihren Touchpoints. Chatbots, Voice-Agents, automatisierte E-Mails — überall, wo Kunden mit KI interagieren, muss die KI-Nutzung offengelegt werden. Ein Hinweis im Chat-Header oder eine Sprachansage am Anfang des Anrufs reicht — aber ohne diesen Hinweis sind Sie nicht compliant.

Was bei High-Risk-Einsatz zusätzlich nötig ist

Wenn Sie in High-Risk-Kategorien einsetzen, kommen substantielle Pflichten dazu:

Risikomanagement-System. Dokumentierter Prozess zur Identifikation, Bewertung und Minimierung von KI-Risiken. Mindestens jährlich aktualisiert.

Datengovernance. Trainings- und Eingabedaten-Qualität muss dokumentiert sein. Bei In-Domain-Anpassung (z.B. eigenes Fine-Tuning): vollständige Datengovernance-Dokumentation.

Menschliche Aufsicht. Nachweis, wie ein Mensch die KI-Entscheidung überwachen oder überstimmen kann. Bei Bewerber-Screening: jeder relevante KI-Output muss von einem Menschen vor finaler Entscheidung gesichtet sein.

Aufzeichnungspflichten. KI-Aktionen werden protokolliert. Logs müssen mindestens 6 Monate (in vielen Fällen länger) aufbewahrt werden. Auditfähig bedeutet: in einer Form, die einer Behörde übergeben werden könnte.

Konformitätsbewertung. Vor Inbetriebnahme oder substantieller Änderung des Systems: dokumentierte Prüfung der Konformität gegen den AI Act. Bei einigen High-Risk-Kategorien: externe Konformitätsbewertung durch Benannte Stelle.

Wo Mittelständler am häufigsten unterschätzen

HR und Recruiting. Wer ein Bewerber-Screening-Tool nutzt — auch ein einfaches —, ist im High-Risk-Bereich. Standard-Tools wie LinkedIn Recruiter mit KI-Filter, HR-Software mit „Best-Match"-Algorithmus, KI-gestützte Lebenslaufanalyse: alles im Geltungsbereich.

Kundenservice mit Voice-Agents. Limited Risk plus Transparenzpflicht. Viele Mittelständler haben den Voice-Agent installiert, aber die Transparenz-Ansage fehlt oder ist unklar formuliert.

Marketing-Automatisierung. Wenn ein KI-System E-Mail-Inhalte personalisiert, Bilder generiert oder Empfehlungen ausspielt — Limited Risk. Transparenz-Hinweise erforderlich.

Bonitäts- und Kreditprüfung. Auch im B2B (Lieferantenscoring, Kundenbonität) — High Risk wenn KI-basiert.

Strafen sind keine Theorie

Die EU-Kommission hat 2026 begonnen, Marktüberwachung zu intensivieren. Mitgliedstaaten benennen ihre Aufsichtsbehörden. Erste Bußgeldverfahren werden im zweiten Halbjahr 2026 erwartet. Mittelständler, die sich auf „uns kontrolliert keiner" verlassen, werden in 12 Monaten überrascht sein.

Eine pragmatische Compliance-Investition für einen Mittelständler mit 30-100 Mitarbeitern liegt im niedrigen fünfstelligen Bereich (Bestandsaufnahme, Schulungsprogramm, Dokumentation, Transparenz-Anpassungen). Eine nicht-compliante Lage führt im Worst Case zu Bußgeldern, die das gesamte Jahresergebnis verschlingen. Die Asymmetrie macht die Compliance-Frage zu einer der wenigen, die nicht aufschiebbar sind.

Wer im August 2026 nicht compliant ist, läuft nicht ins Risiko, ein bisschen Geld zu verlieren. Er läuft ins Risiko, das Unternehmen substantiell zu beschädigen. Das ist nicht Panikmache — das ist die Logik der gestaffelten Bußgelder im AI Act, kombiniert mit der Tatsache, dass ein Mittelständler diese Größenordnung im Gegensatz zu einem Konzern nicht verkraftet.

Cookie-Einstellungen

Wir nutzen technisch notwendige Cookies, um diese Seite stabil bereitzustellen. Optional helfen anonymisierte Analyse-Cookies dabei, die Seite zu verbessern.

Mehr in der Datenschutzerklärung

Cookie-Einstellungen

Wir nutzen technisch notwendige Cookies, um diese Seite stabil bereitzustellen. Optional helfen anonymisierte Analyse-Cookies dabei, die Seite zu verbessern.

Mehr in der Datenschutzerklärung