Der EU AI Act gilt seit August 2024 und wird stufenweise wirksam: verbotene Praktiken und KI-Kompetenz seit Februar 2025, Pflichten für universelle KI-Modelle seit August 2025, der Großteil der Hochrisiko-Pflichten ab August 2026. Für die meisten mittelständischen Unternehmen entscheidet eine Frage über den Aufwand: Seid ihr Anbieter eines KI-Systems oder nur Betreiber? Die meisten sind Betreiber und haben überschaubare Pflichten: keine verbotenen Praktiken, Transparenz bei Chatbots und KI-Inhalten, und nachweisbare KI-Kompetenz im Team. Hochrisiko-Pflichten treffen nur wenige. Der Beitrag ordnet das ein und ersetzt keine Rechtsberatung.

KI & Strategie · 13. Juni 2026 · 11 Minuten Lesezeit

EU AI Act für den Mittelstand: Was ab 2026 wirklich gilt

Kaum eine Regulierung hat so viele Schlagzeilen produziert wie der EU AI Act, und kaum eine wird im Mittelstand so überschätzt. In Erstgesprächen begegnet uns beides: Unternehmen, die glauben, ein Chatbot auf der Website mache sie zum regulierten KI-Anbieter, und Unternehmen, die das Thema für reine Konzernsache halten. Beide liegen daneben.

Dieser Leitfaden ordnet ein, was der AI Act für ein typisches mittelständisches Unternehmen bedeutet. Er ist bewusst nüchtern gehalten und ersetzt keine Rechtsberatung. Für die verbindliche Bewertung eures konkreten Falls gehört ein Jurist an den Tisch. Aber ihr solltet die Fragen kennen, die ihr ihm stellt.

Der Fahrplan: was wann gilt

Der AI Act (Verordnung EU 2024/1689) ist im August 2024 in Kraft getreten und wird stufenweise wirksam. Die wichtigsten Termine:

AbWas giltWen es vor allem betrifft
Feb 2025Verbotene Praktiken untersagt; Pflicht zu ausreichender KI-Kompetenz im Unternehmen (Art. 4)alle, die KI einsetzen
Aug 2025Pflichten für Anbieter universeller KI-Modelle (GPAI); Governance-Strukturen der BehördenModellanbieter (OpenAI, Google, …), nicht typische Anwender
Aug 2026Großteil der Pflichten für Hochrisiko-KI und Transparenzpflichten greifen vollAnbieter und Betreiber von Hochrisiko-Systemen
Aug 2027Hochrisiko-Pflichten für KI in Produkten unter bestehender Produktsicherheit (z. B. Maschinen, Medizinprodukte)Hersteller regulierter Produkte

Stand heute, Mitte 2026, sind die ersten beiden Stufen also bereits scharf. Die KI-Kompetenz-Pflicht gilt seit über einem Jahr, und sie betrifft auch kleine Unternehmen. Die große Hochrisiko-Stufe steht unmittelbar bevor. Trotzdem ist die erste Frage nicht "Welche Stufe?", sondern "Welche Rolle?".

Die entscheidende Frage: Anbieter oder Betreiber?

Der AI Act unterscheidet vor allem zwei Rollen, und an dieser Unterscheidung hängt fast der gesamte Aufwand.

Anbieter ist, wer ein KI-System entwickelt oder entwickeln lässt und unter eigenem Namen auf den Markt bringt. Anbieter tragen die Hauptlast der Pflichten: Risikomanagement, technische Dokumentation, Konformitätsbewertung.

Betreiber (im Gesetz: "Deployer") ist, wer ein KI-System im Rahmen seiner beruflichen Tätigkeit einsetzt. Wenn ihr ein fertiges Tool nutzt, etwa einen eingekauften Chatbot, eine KI-Texterkennung oder eine Recruiting-Software mit KI, seid ihr Betreiber. Die Betreiberpflichten sind deutlich schlanker.

Für die allermeisten mittelständischen Unternehmen lautet die Antwort: Betreiber. Ihr baut keine KI-Systeme, ihr setzt welche ein. Das ist die gute Nachricht, denn es verschiebt die schwersten Pflichten zu euren Lieferanten. Vorsicht ist nur an einer Stelle geboten: Wer ein eingekauftes System wesentlich verändert oder unter eigenem Namen weitervertreibt, kann rechtlich zum Anbieter werden. Diese Grenze solltet ihr im Zweifel juristisch klären.

Die vier Risikoklassen und was sie für euch bedeuten

Der AI Act stuft KI-Anwendungen nach Risiko ein, nicht nach Technologie. Dieselbe Technik kann je nach Einsatz in unterschiedliche Klassen fallen.

KlasseBeispieleWas für Betreiber gilt
VerbotenSocial Scoring, manipulatives Verhalten, biometrische MassenüberwachungFinger weg, ausnahmslos untersagt
HochrisikoKI in Personalauswahl, Kreditvergabe, kritischer Infrastruktur, bestimmten Produktenerhöhte Pflichten: menschliche Aufsicht, Protokollierung, Eignungsprüfung
Begrenztes RisikoChatbots, KI-generierte Texte und Bilder, DeepfakesTransparenzpflicht: Einsatz von KI offenlegen
Minimales RisikoSpamfilter, KI in Standardsoftware, Produktempfehlungenkeine spezifischen Pflichten aus dem AI Act

Die meisten KI-Anwendungen im Mittelstand fallen in die unteren beiden Klassen. Ein KI-Chatbot auf der Website oder ein KI-Assistent, der Angebotsentwürfe schreibt, ist in aller Regel "begrenztes Risiko". Heikel wird es bei Personalentscheidungen: KI-gestützte Vorauswahl von Bewerbern gilt als Hochrisiko. Wenn ihr so ein Tool einsetzt oder einsetzen wollt, ist das der Bereich, den ihr zuerst rechtlich prüfen lassen solltet.

Was ihr als Betreiber konkret tun müsst

Für ein typisches Unternehmen, das KI einsetzt aber nicht baut, bleiben drei greifbare Pflichten:

1. KI-Kompetenz sicherstellen (gilt seit Februar 2025). Eure Mitarbeitenden, die mit KI arbeiten, müssen über ausreichendes Wissen verfügen, um die Systeme verantwortungsvoll zu bedienen und ihre Grenzen einzuschätzen. Das verlangt keine Zertifizierung, aber einen Nachweis, dass ihr das Thema strukturiert angeht, etwa durch Schulungen und interne Richtlinien. Diese Pflicht wird im Mittelstand am häufigsten übersehen.

2. Verbotene Praktiken vermeiden. In der Praxis selten ein Problem, weil die verbotenen Anwendungen weit von normalem Geschäftsbetrieb entfernt sind. Trotzdem gehört die Liste einmal gelesen, bevor ein ambitioniertes KI-Projekt startet.

3. Transparenz herstellen. Nutzer müssen erkennen, dass sie mit einer KI interagieren, etwa bei einem Chatbot. KI-generierte Inhalte, die Menschen täuschen könnten, müssen gekennzeichnet werden. Diese Pflicht deckt sich mit unserer eigenen Haltung aus dem Leitprinzip: KI-Einsatz offenlegen, nicht verstecken.

Setzt ihr Hochrisiko-Systeme ein, kommen Betreiberpflichten dazu: menschliche Aufsicht sicherstellen, die Gebrauchsanweisung des Anbieters befolgen, relevante Protokolle aufbewahren und die Eignung der Eingangsdaten prüfen. Auch hier liegt die Hauptlast beim Anbieter, aber ihr tragt Mitverantwortung im Betrieb.

Drei erste Schritte, ohne Panik

Ihr müsst nicht alles auf einmal lösen. Diese Reihenfolge hat sich bewährt:

1. Inventur. Listet, welche KI-Systeme bei euch im Einsatz sind, auch die versteckten in Standardsoftware. Für jedes: Sind wir Anbieter oder Betreiber, und in welche Risikoklasse fällt der Einsatz? 2. KI-Kompetenz angehen. Eine kurze, dokumentierte Schulung für alle, die mit KI arbeiten, plus eine einfache interne Richtlinie. Das schließt die am häufigsten übersehene Lücke und ist schnell erledigt. 3. Transparenz nachrüsten. Prüft Chatbots und KI-generierte Inhalte auf die nötige Kennzeichnung. Meist sind das kleine Anpassungen an Texten und Hinweisen.

Erst wenn die Inventur ein Hochrisiko-System zutage fördert, wird es aufwändiger, und dann gehört der Fall ohnehin zum Anwalt.

Macht ein Chatbot auf unserer Website uns zum regulierten KI-Anbieter?

In aller Regel nicht. Wenn ihr einen fertigen Chatbot einsetzt, seid ihr Betreiber, nicht Anbieter. Es gilt die Transparenzpflicht: Nutzer müssen erkennen, dass sie mit einer KI sprechen. Anbieter wäre der Hersteller des Chatbots. Anders kann es liegen, wenn ihr ein System wesentlich umbaut oder unter eigenem Namen weiterverkauft; das gehört dann in die rechtliche Prüfung.

Drohen wirklich Bußgelder, und in welcher Höhe?

Der AI Act sieht gestaffelte Bußgelder vor, bei verbotenen Praktiken bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes, bei anderen Verstößen niedriger. Diese Höchstwerte zielen auf große Anbieter und gravierende Verstöße. Für einen Betreiber mit Standard-Tools und erfüllten Transparenz- und Kompetenzpflichten ist das Risiko gering. Die genaue Durchsetzung über die nationalen Behörden steht noch am Anfang. Eine belastbare Einschätzung für euren Fall liefert nur eine Rechtsberatung.

Was hat der AI Act mit der DSGVO zu tun?

Beide gelten parallel und ergänzen sich. Der AI Act regelt das KI-System als solches, die DSGVO regelt die Verarbeitung personenbezogener Daten darin. Eine KI-Recruiting-Lösung kann beide Regelwerke gleichzeitig auslösen. In der Praxis prüfen wir solche Projekte deshalb immer in beiden Dimensionen.

Sollten wir mit KI-Projekten warten, bis alles geklärt ist?

Nein. Die Pflichten für typische Betreiber sind beherrschbar, und Abwarten kostet Wettbewerbsfähigkeit. Sinnvoller ist, KI-Projekte von Anfang an mit der Rollen- und Risikofrage zu starten, statt sie hinterher aufzusetzen. Wie ein strukturierter Einstieg aussieht, beschreibt unser Beitrag zur KI-Strategie im Mittelstand.

Euer nächster Schritt

Beginnt mit der Inventur aus Schritt 1. Sie kostet einen halben Tag und beantwortet die wichtigste Frage von selbst: ob der AI Act für euch ein überschaubares Compliance-Thema ist oder ein größeres Projekt. In den allermeisten mittelständischen Fällen ist es Ersteres.

Wenn ihr die Einordnung eurer KI-Systeme nicht allein machen wollt, bringen wir sie in den Zukunfts-Check mit, gemeinsam mit der technischen Bewertung. Die verbindliche rechtliche Prüfung übernimmt dann euer Anwalt, auf einer Grundlage, die wir vorbereitet haben.

Zum Vertiefen im Wissensbereich

Ihr wollt wissen, was diese Themen für euer Unternehmen bedeuten? Der Zukunfts-Check zeigt in 2–4 Wochen, wo die größten Hebel liegen.

Zukunfts-Check anfragen Direkt Kontakt aufnehmen

Das könnte euch auch interessieren

KI & Strategie KI-Strategie im Mittelstand: Von Piloten zur Umsetzung KI & Strategie Make or Buy bei KI-Lösungen: Eine Entscheidungshilfe für den Mittelstand KI & Strategie KI-Begriffe für Entscheider: Was ihr 2026 kennen müsst
100 %