Viele Geschäftsführer im Mittelstand haben auf die große Fristverlängerung gehofft. Ende April 2026 sind die Trilog-Verhandlungen zum Digital Omnibus geplatzt – damit bleibt es beim ursprünglichen Zeitplan. Am 2. August 2026 greifen die Transparenzpflichten des EU AI Acts hart und ohne Aufschub. Wer bis dahin kein KI-Register hat, keine Schulungen nachweisen kann und seine Chatbots nicht korrekt kennzeichnet, riskiert Bußgelder bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Das ist kein Regulierungstheater – das ist Chefsache. Dieser Artikel liefert kein juristisches Gutachten. Er liefert ein operatives Playbook: Was ist Pflicht, was ist Kür, und welche fünf Schritte du jetzt in deinem Betrieb anstoßen musst – unabhängig davon, ob du 20 oder 500 Mitarbeiter hast.
Was der EU AI Act wirklich bedeutet – und was nicht
Der EU AI Act ist seit dem 1. August 2024 geltendes EU-Recht. Er gilt wie eine Verordnung direkt – kein nationales Umsetzungsgesetz ist Voraussetzung. Für deutsche Unternehmen bedeutet das: Die Bundesregierung hat zwar mit dem KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) einen Entwurf im parlamentarischen Verfahren, aber die Pflichten des EU AI Acts wirken bereits – unabhängig davon, ob das KI-MIG verabschiedet ist oder nicht.
Der Fehler, den viele Mittelständler machen: Sie denken, der AI Act betreffe nur die großen KI-Anbieter wie OpenAI oder Google. Falsch. Sobald du KI in deine Prozesse einbindest – als Betreiber, nicht als Entwickler – trägst du Verantwortung. Nicht maximal, aber real und nachweispflichtig.
Die vier Risikoklassen – kurz und ohne Juristenlatein
- Verboten: KI-Systeme, die Menschen unbewusst manipulieren, Social Scoring betreiben, biometrische Massenüberwachung in öffentlichen Räumen ermöglichen oder Schwächen vulnerabler Gruppen ausnutzen. Seit Februar 2025 vollständig verboten. Wer sowas betreibt, muss sofort handeln.
- Hochrisiko (Anhang III): KI in HR (Bewerbungsscreening, Leistungsmonitoring), Kredit-Scoring, Bildung, kritischer Infrastruktur. Strengste Anforderungen: Risikomanagement, technische Dokumentation, Konformitätsbewertung. Ursprüngliche Frist 2. August 2026 – nach Trilog-Scheitern bleibt diese Frist bestehen.
- Begrenztes Risiko (Transparenzpflichten): Chatbots, KI-generierte Texte, Bilder, Videos, Deepfakes. Hier gilt: Nutzer müssen wissen, dass sie mit einer KI kommunizieren. Transparenzpflicht nach Artikel 50 greift definitiv am 2. August 2026.
- Minimales Risiko: Spam-Filter, einfache Empfehlungsalgorithmen, KI-gestützte Sortierung. Kaum Pflichten – aber: auch diese Systeme musst du erfassen und klassifizieren können.
Wichtig: Deine Rolle im System
Der AI Act unterscheidet drei Rollen: Anbieter (entwickelt KI unter eigenem Namen), Betreiber (setzt fremde KI-Systeme in eigenen Prozessen ein), Anwender (nutzt KI nur privat oder als Endnutzer ohne Prozessintegration). Für die meisten Mittelständler gilt: Du bist Betreiber. Sobald du ChatGPT in deinen Kundenservice integrierst, ein KI-gestütztes HR-Tool einsetzt oder einen Workflow-Automaten mit LLM-Komponente betreibst, bist du Betreiber – mit echten Pflichten.
Die Fristen im Überblick – Stand Mai 2026
Der Zeitplan hat sich durch den Digital-Omnibus-Vorschlag der EU-Kommission vom November 2025 verändert – aber nicht so, wie viele gehofft hatten. Nach dem Scheitern der Trilog-Verhandlungen Ende April 2026 ist die ursprüngliche Fristverlängerung für Hochrisiko-KI auf Dezember 2027 (Anhang III) noch nicht rechtskräftig. Unternehmen sollten daher mit dem harten Szenario planen:
- Februar 2025 (bereits geltendes Recht): Verbote unzulässiger KI-Praktiken. Keine Ausnahmen.
- Februar 2025 (bereits geltendes Recht): KI-Literacy-Pflicht nach Artikel 4. Jedes Unternehmen muss sicherstellen, dass Mitarbeitende, die KI nutzen, ausreichend kompetent sind.
- August 2025 (bereits geltendes Recht): GPAI-Pflichten für Anbieter von Basismodellen (OpenAI, Anthropic, Mistral). Als Betreiber bist du indirekt betroffen – deine Anbieter müssen diese Pflichten erfüllen, du musst das vertraglich absichern.
- 2. August 2026 (hart, unverändert): Transparenzpflichten nach Artikel 50 für alle. Chatbots, KI-generierte Inhalte, Deepfakes müssen klar gekennzeichnet sein.
- 2. August 2026 (wenn Trilog scheitert, auch das): Hochrisiko-Pflichten für Anhang-III-Systeme. Risikomanagement, technische Dokumentation, Konformitätsbewertung.
Fazit: Plane für den 2. August 2026 als Hard Deadline für alles. Die Fristverlängerung ist politisch unsicher – operativ kannst du dich darauf nicht verlassen.
Das operative Playbook: Fünf Schritte, die du jetzt anstoßen musst
Kein Hexenwerk – aber es muss jemand anfangen. Für ein typisches Mittelstandsunternehmen mit fünf bis zehn KI-Anwendungen ist die Umsetzung in vier bis acht Wochen machbar, wenn Verantwortlichkeiten klar sind und nicht alles an Legal delegiert wird.
Schritt 1: KI-Inventur – was läuft bei euch eigentlich?
Der erste und oft überraschendste Schritt. Die meisten Mittelständler unterschätzen, wie viel KI bereits läuft. Erfasse systematisch über alle Abteilungen hinweg:
- Welche Software-Tools enthalten KI-Komponenten? (ERP-Empfehlungen, Spam-Filter, Chatbots, Dokumentenanalyse)
- Wo werden externe KI-Dienste über APIs angebunden? (ChatGPT, Copilot, Gemini)
- Welche KI-Anwendungen wurden vom Team selbst aufgebaut oder konfiguriert? (n8n-Workflows mit LLM, Make-Automationen)
- Gibt es eingebettete KI in zugekauften Produkten? (HR-Software mit KI-Scoring, CRM mit Predictive-Lead-Scoring)
Dokumentiere jeden Eintrag: Name des Systems, Zweck, Datenkategorien, Anbieter, interne Verantwortliche. Das ist dein KI-Register – und die Basis für alles Weitere.
Schritt 2: Risikoklassifizierung – wer ist betroffen?
Ordne jeden Eintrag aus dem Register einer Risikoklasse zu. Die entscheidende Frage: Wofür wird das System eingesetzt – nicht, welche Technologie dahintersteckt. Ein und dieselbe KI-Software kann je nach Einsatzbereich unterschiedlich klassifiziert werden.
Praktische Heuristik für den Mittelstand:
- Touchiert es Personalentscheidungen? → Hochrisiko-Kandidat (Bewerbungsscreening, Leistungsmonitoring, Gehaltsanalysen)
- Interagiert es mit Kunden ohne Kennzeichnung? → Transparenzpflicht (Chatbots, KI-Assistenten im Service)
- Erzeugt es synthetische Inhalte? → Kennzeichnungspflicht (KI-Texte, Bilder, Videos, Stimmen)
- Läuft es im Hintergrund ohne direkte Personenbezüge? → Minimales Risiko (Spam-Filter, interne Analyse-Tools)
Schritt 3: Governance-Struktur aufbauen – wer ist intern verantwortlich?
Der EU AI Act schreibt keinen eigenen KI-Beauftragten vor – anders als die DSGVO beim Datenschutzbeauftragten. Aber er verlangt klare Verantwortlichkeiten. In der Praxis bedeutet das: Benenne eine interne Rolle für KI-Compliance. Das kann der IT-Leiter sein, der Datenschutzbeauftragte oder ein dedizierter KI-Koordinator. Wichtig ist, dass jemand die Übersicht über das KI-Register hat, Schulungen koordiniert und bei Behördenanfragen auskunftsfähig ist.
Zusätzlich brauchst du Prozesse für:
- Aufnahme neuer KI-Tools (Freigabe-Checkliste vor dem Go-live)
- Wesentliche Änderungen an bestehenden Systemen (Re-Klassifizierung auslösen)
- Protokollaufbewahrung für Hochrisiko-Systeme (mindestens 6 Monate Logs)
- Menschliche Aufsicht über automatisierte KI-Entscheidungen
Schritt 4: Schulungspflicht nach Artikel 4 – kein optionales Nice-to-have
Die KI-Literacy-Pflicht gilt seit Februar 2025 – für alle Unternehmen, die KI einsetzen, unabhängig von der Risikokategorie. Jeder Mitarbeitende, der KI-Systeme bedient oder deren Ergebnisse nutzt, muss ausreichend kompetent sein. Das klingt abstrakt, ist aber konkret umsetzbar:
- Erfasse, wer im Betrieb welche KI-Tools nutzt
- Führe kurze, dokumentierte Schulungen durch – 60-Minuten-Session mit Quiz reicht als Nachweis
- Dokumentiere Teilnehmer, Datum, Inhalt
- Wiederhole bei wesentlichen neuen Tools oder Änderungen
Der Nachweis zählt – nicht die Schulung selbst. Im Prüfungsfall musst du belegen, dass du die Pflicht ernst genommen hast.
Schritt 5: Transparenzpflichten umsetzen – die 2. August 2026-Deadline
Dieser Schritt ist für den Großteil des Mittelstands der unmittelbarste. Artikel 50 des EU AI Acts verlangt:
- Chatbot-Kennzeichnung: Nutzer müssen wissen, dass sie mit einer KI kommunizieren. Ein kurzer Hinweis reicht: "Dieser Chat wird von einer KI bereitgestellt." Das gilt für jeden Kunden-Chatbot, jede KI-Hotline, jeden virtuellen Assistenten.
- Synthetische Inhalte: KI-generierte Texte, Bilder, Audios und Videos müssen maschinenlesbar als solche gekennzeichnet sein. Für den Mittelstand reicht in der Praxis ein sichtbarer Hinweis am Content plus ein Vermerk in der Datenschutzerklärung.
- Deepfakes: Täuschend echte Darstellungen realer Personen brauchen eine gut sichtbare Kennzeichnung. Ohne Ausnahme.
Ein einfaches KI-Register plus korrekte Transparenz-Hinweise deckt laut Schätzungen rund 80 Prozent der Compliance-Anforderungen für den typischen Mittelstand ab.
Was es kostet – und was die Alternative ist
Compliance-Kosten für Hochrisiko-KI liegen je nach Anwendung bei etwa 10 bis 20 Prozent der KI-Investitionen. Für einen Mittelständler mit überwiegend Standard-KI-Anwendungen (Chatbot, KI-gestützte Textgenerierung, CRM-Analyse) ist der Aufwand deutlich geringer: Ein strukturiertes KI-Inventur-Projekt, zwei bis drei interne Schulungen, angepasste Datenschutzerklärung und Transparenz-Hinweise – das schafft ein Team in wenigen Wochen.
Die Alternative: Bußgelder bis 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für verbotene Praktiken, bis zu 15 Millionen oder 3 Prozent für Hochrisiko- und Transparenzverstöße. Marktüberwachungsbehörden können ab August 2026 die Nutzung nicht-compliant-er KI-Systeme untersagen. Das ist kein theoretisches Risiko mehr.
Synergien nutzen: DSGVO und NIS-2 als Grundlage
Wer bereits an DSGVO-Compliance gearbeitet hat, ist näher an EU AI Act-Compliance als er denkt. Risikomanagement, Dokumentationspflichten, Prozesse für Datenschutz-Folgenabschätzungen (DSGVO Art. 35) – vieles davon ist übertragbar und erweiterbar. Ebenso bei NIS-2: Governance-Strukturen, Meldewege und Incident-Response-Prozesse, die für NIS-2 aufgebaut wurden, sind direkt wiederverwendbar für KI-Governance. Eine kombinierte Strategie ist effizienter – und deutlich günstiger als drei separate Compliance-Projekte.
FAQ: EU AI Act im Mittelstand
Bin ich als kleines Unternehmen wirklich betroffen?
Ja. Der EU AI Act unterscheidet nicht nach Unternehmensgröße, sondern nach Rolle und Risikokategorie der eingesetzten KI-Systeme. Jedes Unternehmen, das KI-Systeme im geschäftlichen Kontext betreibt, ist Betreiber im Sinne des Gesetzes – und damit pflichtenpflichtig. KMU profitieren jedoch von vereinfachten Verfahren und sollen bevorzugten Zugang zu den geplanten KI-Regulierungs-Sandboxes erhalten.
Muss ich alle KI-Tools abschalten, wenn ich bis August 2026 nicht compliant bin?
Nicht automatisch. Marktüberwachungsbehörden haben ab August 2026 jedoch die Möglichkeit, die Nutzung nicht-compliant-er KI-Systeme zu untersagen. Das Risiko einer Abmahnung oder Untersagung ist real – besonders für sichtbare Systeme wie Kunden-Chatbots oder HR-Tools mit KI-Scoring.
Was genau ist die KI-Literacy-Pflicht und wie weise ich sie nach?
Artikel 4 des EU AI Acts verpflichtet Unternehmen sicherzustellen, dass Mitarbeitende, die KI nutzen, ausreichend kompetent sind. Es gibt keine vorgeschriebene Form – eine dokumentierte interne Schulung mit Teilnehmerliste und Inhaltsbeschreibung reicht als Nachweis. Wichtig: Die Schulung muss vor dem Einsatz des Systems stattgefunden haben, nicht danach.
Was passiert mit dem Hochrisiko-Zeitplan nach dem Trilog-Scheitern?
Nach dem Scheitern der Trilog-Verhandlungen Ende April 2026 bleibt es beim ursprünglichen Zeitplan: Hochrisiko-Pflichten für Anhang-III-Systeme greifen am 2. August 2026. Die Fristverlängerung auf Dezember 2027, die der Digital-Omnibus-Vorschlag vorsah, ist damit zunächst vom Tisch. Unternehmen sollten auf die harte Deadline planen.
Reicht es, wenn mein KI-Anbieter compliant ist – muss ich selbst auch handeln?
Nein, das reicht nicht. Wenn du ein KI-System als Betreiber in deine Prozesse integrierst, trägst du eigene Pflichten: Risikomanagement, Protokollaufbewahrung, menschliche Aufsicht und Transparenz gegenüber Nutzern. Die Compliance deines Anbieters (z.B. OpenAI für GPAI-Pflichten) entbindet dich nicht von deinen Betreiber-Pflichten. Sicherung über Vertragsklauseln ist Pflicht, aber kein Ersatz für eigene Maßnahmen.
Fazit: Jetzt anfangen – nicht auf die nächste Verschiebung warten
Der EU AI Act ist keine abstrakte Regulierung aus Brüssel. Er ist geltendes Recht – und seit dem Scheitern der Fristverlängerung steht der 2. August 2026 als harte Deadline fest. Wer jetzt mit der KI-Inventur beginnt, Verantwortlichkeiten klärt und die Schulungspflicht ernst nimmt, braucht keine Anwalt-Paralysis und kein großes Compliance-Projekt. Es geht um operative Klarheit: Was nutzen wir, für was, mit welchen Daten – und wer ist dafür verantwortlich.
Das ist kein Bürokratieprojekt. Es ist die Grundlage, auf der du KI im Betrieb vertrauenswürdig skalieren kannst – gegenüber Kunden, Partnern und Behörden.
Du willst wissen, wo dein Unternehmen steht? V1 Capital macht mit mittelständischen Unternehmen kompakte KI-Compliance-Checks: Inventar, Risikoklassifizierung, Gap-Analyse, Maßnahmenplan. Meist in einer Woche umsetzbar. Jetzt Erstgespräch vereinbaren →