Chief AI Officer / Insights / AI Act für den Mittelstand 2026
AI Act 15. Mai 2026 8 Min. Lesezeit

Was der EU AI Act für mittelständische Unternehmen 2026 konkret bedeutet

Die meisten Analysen sind für Konzerne geschrieben. Für einen Mittelständler mit 200 Mitarbeitenden gelten andere Regeln und andere Hebel. Eine pragmatische Übersetzung der vier Risikostufen, der Fristen und der wirklichen Pflichten in Ihre Praxis.

Wenn ein Geschäftsführer eines mittelständischen Unternehmens versucht, sich über den EU AI Act zu informieren, stößt er fast immer auf das gleiche Phänomen. Die Texte sind lang. Sie sind juristisch. Sie sind voller Verweise auf Erwägungsgründe, Artikel, Annexe. Und sie sind, wenn man genau hinsieht, fast immer für Großkonzerne geschrieben. Bosch hat eine Compliance-Abteilung mit fünf Volljuristen, die den AI Act durcharbeitet. Sie haben einen externen IT-Dienstleister, der gerade die Office-Lizenzen erneuert hat.

Dieser Beitrag versucht eine Übersetzung: Was bedeutet der AI Act tatsächlich für ein deutsches Unternehmen mit 50 bis 800 Mitarbeitenden in 2026? Welche Pflichten greifen wann? Welche Risiken sind real, welche Sorgen sind übertrieben? Und vor allem: Was müssen Sie konkret entscheiden, statt nur zu lesen?

Die Grundidee in einem Absatz

Der EU AI Act sortiert KI-Anwendungen nach Risiko. Je höher das Risiko für Bürger, Beschäftigte oder gesellschaftliche Werte, desto strenger die Auflagen. Vier Stufen werden unterschieden: verbotene Praktiken, Hochrisiko-Anwendungen, begrenztes Risiko, minimales Risiko. Für jede Stufe gelten andere Pflichten. Und für jede Stufe gibt es andere Sanktionen bei Verstößen. Wer das Raster einmal versteht, kann seine eigene Lage in 30 Minuten einschätzen.

Die vier Risikostufen für Ihre Praxis

Schauen wir uns die vier Stufen aus Mittelstandsperspektive an. Was bedeutet jede konkret, welche Beispiele sind realistisch, und worauf müssen Sie achten?

01

Verbotene Praktiken

Social Scoring, manipulative KI, unterschwellige Beeinflussung, biometrische Massenüberwachung. Für Mittelständler praktisch nie relevant. Aber gut zu wissen: hier liegen die höchsten Bußgelder.

35 Mio. EUR
oder 7%
02

Hochrisiko-Anwendungen

Bewerberauswahl, Mitarbeiterbewertung, Kreditscoring, Zugangskontrolle, kritische Infrastruktur. Strenge Pflichten: Risikomanagement, Dokumentation, menschliche Aufsicht, Transparenz.

15 Mio. EUR
oder 3%
03

Begrenztes Risiko

Chatbots, KI-generierte Inhalte, Deepfakes. Transparenzpflichten: Nutzer müssen wissen, dass sie mit KI sprechen oder KI-Inhalte sehen. Für viele Mittelständler die häufigste Stufe.

7,5 Mio. EUR
oder 1,5%
04

Minimales Risiko

Spamfilter, Übersetzungstools, Rechtschreibprüfung, einfache Empfehlungen. Keine spezifischen Pflichten aus dem AI Act, aber DSGVO und Artikel 4 gelten trotzdem.

keine direkten
Pflichten

Wo Sie sich als Mittelständler tatsächlich wiederfinden

Die ehrliche Antwort lautet: in den Stufen drei und vier. Die meisten KI-Anwendungen, die mittelständische Unternehmen tatsächlich nutzen, sind „begrenztes Risiko" oder „minimales Risiko". ChatGPT für Texterstellung, Copilot für Office-Aufgaben, Übersetzungsdienste, automatisierte Bilderkennung in der Qualitätssicherung. All das fällt nicht unter die Hochrisiko-Kategorie.

Es gibt aber zwei wichtige Ausnahmen, die im Mittelstand erstaunlich oft übersehen werden:

Erste Ausnahme: HR-Anwendungen. Sobald Sie KI für die Sichtung von Bewerbungen, die Bewertung von Mitarbeitern oder die Entscheidung über Beförderungen einsetzen, fallen Sie in die Hochrisiko-Kategorie. Auch wenn der Mensch am Ende formal entscheidet. Auch wenn die KI nur „unterstützt". Der AI Act ist hier sehr breit gefasst. Wer in der Personalabteilung CV-Parser nutzt, die Bewerbungen automatisch bewerten, hat ein Hochrisiko-System im Einsatz.

Zweite Ausnahme: KI in Produkten oder Sicherheitssystemen. Wenn Ihr Unternehmen Produkte herstellt, die KI enthalten, oder Sicherheitskomponenten in Produkten verbaut sind, gelten erweiterte Anforderungen. Das betrifft typischerweise Maschinenbauer, Medizintechnik, Automobilzulieferer.

Wichtiger Reflex
Bevor Sie sich mit der Stufe drei oder vier befassen, prüfen Sie, ob Sie irgendwo in der HR oder im Produktbereich tatsächlich in der Stufe zwei landen. Hier liegen die meisten unerkannten Hochrisiko-Anwendungen im Mittelstand.

Die Fristen: Was wann gilt

Der AI Act ist nicht auf einen Schlag in Kraft getreten. Die einzelnen Bestimmungen greifen gestaffelt zwischen 2024 und 2027. Für Sie sind diese fünf Stichtage relevant:

Zeitplan EU AI Act für Betreiber
02 / 02 / 2025
Artikel 4 in Kraft. Pflicht zur KI-Kompetenz für alle Mitarbeitenden, die mit KI arbeiten. Verbotene Praktiken werden untersagt.
02 / 08 / 2025
Governance und Sanktionen treten in Kraft. Die Bußgeldvorschriften werden anwendbar. Mitgliedstaaten benennen ihre Aufsichtsbehörden.
02 / 08 / 2026
Hochrisiko-Pflichten für Standardanwendungen. Alle Hochrisiko-Systeme nach Annex III (HR, Bildung, Strafverfolgung, Migration, Justiz, etc.) müssen die vollen AI-Act-Anforderungen erfüllen.
02 / 08 / 2027
Hochrisiko-Pflichten für Produktintegration. Hochrisiko-Systeme, die als Sicherheitskomponenten in Produkten verbaut sind, müssen die Anforderungen erfüllen.
31 / 12 / 2030
Bestandssysteme-Übergangsfrist endet. Bereits vor Inkrafttreten genutzte KI-Systeme der öffentlichen Hand müssen vollständig konform sein.

Die Pflichten, die für Sie tatsächlich greifen

Statt aller Pflichten aller Risikostufen einzeln durchzugehen, hier die fünf, die in den meisten mittelständischen Unternehmen 2026 wirklich relevant sind:

1. KI-Kompetenz der Mitarbeitenden (Artikel 4)

Schon ausführlich behandelt: Sie müssen sicherstellen und dokumentieren, dass Ihre Mitarbeitenden die KI, die sie nutzen, auch verstehen. Gilt seit Februar 2025. Betrifft praktisch jedes Unternehmen.

2. Transparenz bei KI-Inhalten

Wenn Sie KI-generierte Texte, Bilder oder Audio veröffentlichen, müssen Sie das kenntlich machen. Das betrifft Marketingabteilungen, die mit Bildgenerierung arbeiten, Vertriebler, die KI-erstellte E-Mails versenden, oder Pressestellen, die KI für Pressemitteilungen nutzen. Die Kennzeichnung muss eindeutig sein, nicht nur in den AGB versteckt.

3. Transparenz bei Chatbots

Wenn Kunden mit einem Chatbot interagieren, müssen sie eindeutig wissen, dass es kein Mensch ist. Klingt banal, wird aber in der Praxis oft so umgesetzt, dass es nicht eindeutig genug ist. „Sarah hilft Ihnen weiter" als Chatbot-Eröffnung reicht nicht. „Ich bin ein KI-Assistent" reicht.

4. HR-Anwendungen als Hochrisiko

Falls Sie KI in der Personalauswahl oder Mitarbeiterbewertung einsetzen: Sie haben ein Hochrisiko-System. Sie brauchen ein Risikomanagement, Sie brauchen technische Dokumentation, Sie brauchen menschliche Aufsicht, Sie brauchen Protokollierung. Ab August 2026 ist das nicht mehr aufschiebbar.

5. Dokumentationspflichten allgemein

Auch außerhalb der Hochrisiko-Stufe lohnt sich eine schriftliche KI-Position des Hauses. Welche Tools werden genutzt, welche nicht, warum. Welche Datenflüsse bestehen. Wer hat die Verantwortung. Diese Dokumentation ist nicht überall explizit vorgeschrieben, schützt Sie aber im Streitfall.

Die fünf Mythen über den AI Act im Mittelstand

Im Gespräch mit Geschäftsführern hören wir immer wieder die gleichen Aussagen, die so nicht zutreffen. Drei besonders wichtige zum Aufklären:

Mythos 1: „Der AI Act gilt nur für KI-Entwickler." Falsch. Er gilt explizit auch für Betreiber, also für jedes Unternehmen, das KI einsetzt. Das ist die häufigste Fehlannahme.

Mythos 2: „Bis 2027 muss ich nichts tun." Falsch. Einige Pflichten gelten seit Februar 2025. Hochrisiko-Anwendungen müssen ab August 2026 konform sein. Wer wartet, gerät in Zeitdruck.

Mythos 3: „Das ist nur für Großunternehmen." Falsch. Es gibt keine Größenschwelle. Auch ein Unternehmen mit 50 Mitarbeitenden, das ChatGPT für Bewerbungssichtung nutzt, muss die Pflichten erfüllen. Die Anforderungen sind verhältnismäßig, aber sie gelten.

Mythos 4: „Wir können warten, bis die Behörden klare Vorgaben machen." Falsch. Der Gesetzestext und die delegierten Rechtsakte sind die Vorgabe. Wer auf weitere Konkretisierung wartet, riskiert, im Schadensfall ohne Dokumentation dazustehen.

Mythos 5: „Wir haben einen Datenschutzbeauftragten, das reicht." Falsch. Der Datenschutzbeauftragte ist für DSGVO zuständig. Der AI Act ist eine separate Regulierung mit eigenen Pflichten. In der Praxis braucht es eine Person oder Funktion, die für AI-Act-Konformität verantwortlich ist. Bei vielen mittelständischen Unternehmen ist genau das die Lücke, die ein externer Chief AI Officer schließt.

Was Sie in den nächsten 30 Tagen tun sollten

Wenn Sie heute mit dem Thema starten, empfehlen wir folgenden Pragmatismus. Vier Schritte, jeder konkret, jeder machbar:

Schritt 1: Bestandsaufnahme

Listen Sie auf, welche KI-Anwendungen in Ihrem Unternehmen tatsächlich genutzt werden. Inklusive Schatten-KI, also der Tools, die Mitarbeitende auf eigene Faust nutzen. Das ist meist die größere Liste.

Schritt 2: Risikoklassifizierung

Sortieren Sie jede Anwendung in eine der vier Stufen ein. Achten Sie besonders auf HR, Produktintegration und Kundeninteraktion (Chatbots, generierte Inhalte). Hier liegen die häufig übersehenen Hochrisiko-Anwendungen.

Schritt 3: Lücken-Analyse

Welche der oben genannten fünf Pflichten erfüllen Sie nicht oder nicht ausreichend? Wo fehlt Dokumentation, wo fehlt Schulung, wo fehlt Transparenz?

Schritt 4: Verantwortung benennen

Wer in Ihrem Unternehmen ist für die AI-Act-Konformität verantwortlich? Wenn die Antwort „niemand" oder „der Datenschutzbeauftragte nebenher" lautet, haben Sie eine strukturelle Lücke. Diese Lücke schließen Sie entweder durch eine interne Rolle oder durch einen externen Chief AI Officer.

!
Frist im Auge behalten. Ab dem 2. August 2026 müssen alle Hochrisiko-Anwendungen (insbesondere HR) konform sein. Wenn Sie heute noch keine Klarheit haben, ob Ihre Bewerbungssichtung oder Mitarbeiterbewertung darunter fällt, lohnt sich jetzt eine erste schnelle Einschätzung.

Was bleibt

Der EU AI Act ist nicht das Schreckgespenst, als das er oft dargestellt wird. Für die meisten mittelständischen Unternehmen ist er eine handhabbare Verpflichtung, die mit ein paar gezielten Maßnahmen erfüllt werden kann. Was er aber tut: Er macht das informelle, ungeklärte KI-Wachstum in Unternehmen unmöglich, das in den letzten drei Jahren überall geherrscht hat. Wer KI ernsthaft nutzen will, muss sie strukturell verankern.

Das ist auch ohne Gesetz eine gute Idee. Mit Gesetz ist sie unausweichlich.

Wo stehen Sie beim AI Act?

Eine erste Standortbestimmung Ihrer KI-Anwendungen und Compliance-Lücken erstellen wir im Rahmen eines Erstgesprächs. Unverbindlich.

Erstgespräch vereinbaren
CAO
Veröffentlicht von
Chief AI Officer
Strategische KI-Führung für den Mittelstand · Münster
Weiterlesen

Verwandte Beiträge

AI Act 10 Min. Lesezeit

Artikel 4 AI Act: Warum Ihre Mitarbeiter seit Februar 2025 KI-Kompetenz nachweisen müssen

Eine Verpflichtung, die seit Februar 2025 gilt und die kaum ein Mittelständler auf dem Schirm hat.
AI Act 6 Min. Lesezeit

Bußgelder im AI Act: 35 Millionen Euro und was sie für Sie konkret bedeuten

Die maximalen Bußgelder klingen abstrakt. Eine konkrete Aufschlüsselung der Staffelung und der praktischen Risiken.