EU AI Act für den Mittelstand: was ab wann gilt.
Der EU AI Act betrifft nicht nur Konzerne, die eigene Modelle bauen. Auch wer KI-Tools im Alltag einsetzt, hat schon heute Pflichten. Ein nüchterner Überblick, Stand Sommer 2026.
Der EU AI Act ist am 1. August 2024 in Kraft getreten, gilt aber nicht auf einen Schlag. Die Verordnung wird stufenweise scharfgeschaltet, gestaffelt nach Risikoklasse der jeweiligen KI-Anwendung. Das macht es unübersichtlich, wenn man nicht ohnehin schon täglich damit zu tun hat. Deshalb hier der Stand, wie er sich aktuell darstellt, ohne Juristendeutsch.
Die Grundidee: Risiko statt Pauschale
Der AI Act unterscheidet nicht nach Unternehmensgröße, sondern nach dem Risiko einer KI-Anwendung. Ein Chatbot für den Kundenservice fällt in eine andere Kategorie als ein System, das über Kreditvergabe oder Bewerberauswahl mitentscheidet. Je höher das Risiko für Betroffene, desto mehr Pflichten für Anbieter und Betreiber. Die meisten typischen Mittelstandsanwendungen, also Texterstellung, Datenanalyse, ein Telefon-Assistent, fallen dabei nicht automatisch in die strengste Kategorie.
Was schon gilt
Seit dem 2. Februar 2025 sind zwei Dinge verbindlich: bestimmte KI-Praktiken sind komplett verboten (etwa Social Scoring oder manipulative Systeme), und es gilt eine KI-Kompetenzpflicht nach Artikel 4. Diese Pflicht betrifft ausdrücklich jedes Unternehmen, das KI-Systeme einsetzt, unabhängig von Größe oder Branche: Mitarbeitende müssen so geschult sein, dass sie die eingesetzten Systeme sachgerecht nutzen können. Seit dem 2. August 2025 gelten zusätzlich die Regeln für sogenannte General-Purpose-AI-Modelle (die großen Sprachmodelle im Hintergrund) sowie die Zuständigkeiten der Aufsichtsbehörden und der Bußgeldrahmen.
Was 2026 dazukommt
Ab August 2026 treten die Transparenzpflichten nach Artikel 50 in Kraft. Das betrifft vor allem Kennzeichnungspflichten: Nutzer müssen erkennen können, wenn sie mit einem Chatbot statt einem Menschen sprechen, und KI-generierte Inhalte sowie Deepfakes müssen als solche markiert werden. Für ein Unternehmen, das zum Beispiel einen KI-Telefon-Assistenten einsetzt, heißt das konkret: Der Anrufer muss wissen, dass er mit einer KI spricht.
Was verschoben wurde
Im Mai 2026 hat die EU mit dem sogenannten Digital Omnibus nachjustiert: Die vollen Pflichten für Hochrisiko-Systeme wurden verschoben, für die in Anhang III gelisteten Anwendungen (etwa im Personalwesen oder bei kritischer Infrastruktur) auf den 2. Dezember 2027, für Hochrisiko-Produkte nach Anhang I auf den 2. August 2028. Wer also an einem waschechten Hochrisiko-System baut, hat mehr Zeit bekommen als ursprünglich geplant. Die Grundpflichten (Verbote, KI-Kompetenz, GPAI-Regeln, Transparenz) bleiben davon unberührt.
Was das konkret für Sie heißt
Die Bußgelder sind kein Kleingeld: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei den schwersten Verstößen. Für die allermeisten Mittelstandsbetriebe ist trotzdem nicht der Bußgeldrahmen das eigentliche Thema, sondern die Kompetenzpflicht: Wer KI-Tools nutzt, muss dafür sorgen, dass die Mitarbeitenden sie verstehen und richtig einordnen können. Das ist keine große Bürokratie, aber auch keine Formalie, die man ignorieren sollte. Bei jeder KI-Einführung, die wir begleiten, ist die Einordnung nach dem AI Act deshalb von Anfang an Teil des Gesprächs, nicht ein nachträglicher Compliance-Check.
