KI-News
EU AI Act: Was ab 2026 für den Mittelstand gilt
04. Juli 2026 · HVNH AI
Kurz beantwortet
Der EU AI Act gilt seit August 2024 und greift stufenweise: Verbote und KI-Kompetenzpflichten seit Februar 2025, Regeln für KI-Basismodelle seit August 2025, der Großteil der Pflichten ab dem 2. August 2026. Für den Mittelstand entscheidend: Die meisten betrieblichen KI-Anwendungen fallen in die Klasse mit minimalem oder begrenztem Risiko — dann genügen Transparenz- und Sorgfaltspflichten.
Worum es geht
Mit der Verordnung (EU) 2024/1689 — dem AI Act — hat die EU den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz geschaffen. Die Verordnung ist am 1. August 2024 in Kraft getreten, ihre Pflichten gelten jedoch gestaffelt. Für den Mittelstand wird der 2. August 2026 zum wichtigsten Datum: Dann wird der Großteil der Vorschriften anwendbar. Grund genug für eine sachliche Einordnung — ohne Alarmismus.
Das Grundprinzip: vier Risikoklassen
Der AI Act reguliert nicht „die KI", sondern konkrete Anwendungen — abgestuft nach Risiko:
- Unannehmbares Risiko: verboten, z. B. Social Scoring oder manipulative Systeme (gilt bereits seit Februar 2025)
- Hohes Risiko: streng reguliert, z. B. KI in der Personalauswahl, bei Kreditwürdigkeitsprüfungen oder in kritischer Infrastruktur — mit Pflichten zu Risikomanagement, Datenqualität, Dokumentation und menschlicher Aufsicht
- Begrenztes Risiko: Transparenzpflichten — Chatbots müssen als KI erkennbar sein, KI-generierte Inhalte sind zu kennzeichnen
- Minimales Risiko: keine zusätzlichen Pflichten — hier liegt der Großteil der betrieblichen Anwendungen
Der Zeitplan im Überblick
- Seit 2. Februar 2025: Verbote unannehmbarer Praktiken; zudem müssen Unternehmen für ausreichende KI-Kompetenz der Mitarbeitenden sorgen (Art. 4)
- Seit 2. August 2025: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) sowie Governance- und Sanktionsrahmen
- Ab 2. August 2026: Der Großteil der Verordnung wird anwendbar — insbesondere die Pflichten für Hochrisiko-Systeme nach Anhang III und die Transparenzpflichten
- Ab 2. August 2027: Ende der Übergangsfrist für Hochrisiko-KI, die Bestandteil regulierter Produkte ist (etwa Maschinen oder Medizinprodukte)
Was heißt das konkret für den Mittelstand?
Zunächst die Einordnung: Die meisten KI-Anwendungen im Mittelstand — Textentwürfe, E-Mail-Sortierung, Belegverarbeitung, Auswertungen, interne Assistenten oder KI-Agenten für Büroprozesse — fallen in die Kategorie mit minimalem oder begrenztem Risiko. Sie bleiben erlaubt und benötigen keine Zulassung. Relevant sind vor allem drei Punkte:
- Rolle kennen: Der AI Act unterscheidet Anbieter (entwickeln KI-Systeme) und Betreiber (setzen sie ein). Mittelständler sind fast immer Betreiber — mit deutlich schlankeren Pflichten
- Transparenz sicherstellen: Interagiert ein KI-System mit Kunden, etwa ein Chat-Assistent, muss das erkennbar sein; KI-generierte oder manipulierte Inhalte wie Deepfakes sind zu kennzeichnen
- Hochrisiko-Fälle prüfen: Kritisch wird es vor allem beim KI-Einsatz in der Personalauswahl oder bei der Bewertung von Personen — hier gelten ab August 2026 auch für Betreiber erweiterte Pflichten, etwa menschliche Aufsicht und Information der Beschäftigten
Was Unternehmen jetzt tun sollten
- Bestandsaufnahme: Welche KI-Systeme sind im Einsatz — auch inoffiziell in einzelnen Abteilungen?
- Risikoklasse zuordnen: Für jede Anwendung prüfen, ob Transparenz- oder Hochrisiko-Pflichten greifen
- KI-Kompetenz aufbauen: Die Pflicht nach Art. 4 gilt bereits — kurze, dokumentierte Schulungen genügen in vielen Fällen
- Dokumentation und Protokollierung: Wer nachvollziehen kann, was seine KI-Systeme tun, erfüllt kommende Nachweispflichten deutlich leichter — seriöse Anbieter liefern die Protokollierung des Agenten-Betriebs mit
Einordnung: Pflicht ja, Hürde nein
Der AI Act ist für die allermeisten Mittelständler kein Verbotsgesetz, sondern eine Dokumentations- und Transparenzaufgabe. Wer KI-Agenten für Büro- und Verwaltungsprozesse einsetzt, bewegt sich in der Regel im Bereich minimalen Risikos — und ist mit sauberer Bestandsaufnahme, gekennzeichneten Kundeninteraktionen und protokolliertem Betrieb gut vorbereitet. Verlässliche Details liefern der Verordnungstext und die offiziellen Seiten der EU-Kommission (siehe Quellen).
Häufige Fragen
- Gilt der EU AI Act auch für kleine Unternehmen?
- Ja, der AI Act kennt keine generelle Ausnahme für kleine Unternehmen. Die Pflichten hängen aber von der Risikoklasse und der Rolle ab: Wer KI nur als Betreiber für Büroprozesse einsetzt, hat deutlich weniger Pflichten als Entwickler von Hochrisiko-Systemen. Für KMU sind zudem erleichterte Sanktionsregeln vorgesehen.
- Ab wann gelten die Pflichten des AI Act?
- Gestaffelt: Verbote und KI-Kompetenzpflicht seit dem 2. Februar 2025, Regeln für KI-Basismodelle seit dem 2. August 2025, der Großteil der Verordnung ab dem 2. August 2026. Für Hochrisiko-KI in regulierten Produkten läuft die Übergangsfrist bis zum 2. August 2027.
- Sind KI-Agenten für Büroprozesse Hochrisiko-KI?
- In aller Regel nein. Belegverarbeitung, E-Mail-Sortierung oder Angebotsentwürfe fallen typischerweise unter minimales Risiko. Hochrisiko wird es vor allem bei KI-Einsatz in der Personalauswahl, bei Kreditentscheidungen oder in kritischer Infrastruktur — dann gelten erweiterte Pflichten.
- Was ist die KI-Kompetenzpflicht nach Art. 4?
- Unternehmen, die KI-Systeme einsetzen, müssen seit Februar 2025 sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen. In der Praxis genügen dafür meist dokumentierte Schulungen, die auf die tatsächlich eingesetzten Systeme und Aufgaben zugeschnitten sind.
- Welche Strafen drohen bei Verstößen?
- Die Bußgelder sind gestaffelt: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei verbotenen Praktiken, bei anderen Verstößen weniger. Für KMU gilt jeweils der niedrigere der beiden Beträge. Wer seine Anwendungen sauber einordnet und dokumentiert, minimiert das Risiko erheblich.