EU AI Act Pflichten für den Mittelstand: Was jetzt konkret zu tun ist – Fristen, Risiken, Compliance-Playbook

Die ehrliche Frage zuerst: Nutzt Ihr Unternehmen KI-Tools für Personalentscheidungen, Kreditwürdigkeitsprüfungen, Qualitätskontrolle oder Kundenkommunikation? Dann sind Sie ab August 2026 reguliert – ob Sie es wissen oder nicht. Der EU AI Act ist kein Bürokratieprojekt für Konzerne. Er trifft den Mittelstand direkt, konkret und mit echten Haftungsrisiken für Geschäftsführer.

Dieser Artikel zeigt Ihnen, was bis wann zu tun ist, wo die echten Risiken liegen – und wie Sie Compliance operativ umsetzen, ohne ein Compliance-Department aufzubauen.

Was der EU AI Act tatsächlich regelt – ohne Buzzwords

Der EU AI Act ist seit August 2024 in Kraft. Er klassifiziert KI-Systeme nach Risikostufen und knüpft daran konkrete Pflichten. Die Logik ist einfach: Je stärker ein KI-System in Entscheidungen eingreift, die Grundrechte oder Sicherheit betreffen, desto höher die Anforderungen.

Für den Mittelstand relevant sind drei Kategorien:

  • Verbotene Systeme (ab Februar 2025 wirksam): Social Scoring, manipulative KI, Echtzeit-Biometrie im öffentlichen Raum. Hier besteht Handlungsbedarf, wenn solche Systeme im Einsatz sind.
  • Hochrisiko-KI (ab August 2026 vollständig reguliert): KI in Personalentscheidungen, Kreditvergabe, kritische Infrastruktur, medizinische Geräte, Bildungszugang. Wer hier KI einsetzt, braucht vollständige Dokumentation, Risikomanagement und Konformitätsbewertung.
  • General Purpose AI / Allgemeine KI (GPAI): Systeme wie ChatGPT oder Claude, die Sie als Werkzeug einsetzen. Hier treffen die Pflichten primär die Anbieter – aber als Deployer haben Sie Informationspflichten gegenüber Mitarbeitern und Nutzern.

Die Fristen auf einen Blick – Entscheidungsmatrix für GmbH-Geschäftsführer

KategorieFristHandlungsbedarfVerbote (Social Scoring etc.)Februar 2025Sofortiger Abgleich bestehender SystemeGPAI-Modell-PflichtenAugust 2025Transparenz gegenüber Nutzern dokumentierenHochrisiko-KI vollständigAugust 2026Vollständiges Compliance-Setup erforderlichBestehende Hochrisiko-SystemeAugust 2027Bestandssysteme müssen nachgerüstet werden

Konsequenz für heute: Wer bis Mitte 2026 keine Inventur seiner KI-Systeme gemacht hat, läuft in den Fristenstress. Bußgelder bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes sind möglich. Für eine GmbH mit 20 Mio. Umsatz ist das existenzbedrohend.

Die drei häufigsten Fehler im Mittelstand – und wie Sie sie vermeiden

Fehler 1: „Wir nutzen nur SaaS, das geht uns nichts an"

Falsch. Wenn Sie ein SaaS-Tool einsetzen, das Hochrisiko-KI enthält – etwa ein HR-Tool mit algorithmischer Kandidatenbewertung – sind Sie als Deployer mitverantwortlich. Sie müssen prüfen, ob der Anbieter die Anforderungen erfüllt, und das dokumentieren. Ein Screenshot der AGB reicht nicht.

Fehler 2: Kein KI-Inventar

Die meisten mittelständischen Unternehmen wissen nicht, welche KI-Systeme tatsächlich im Einsatz sind. Marketing nutzt KI-Tools, Operations automatisiert Workflows, der Einkauf setzt Predictive-Pricing ein. Ohne vollständiges Inventar ist Compliance strukturell unmöglich.

Fehler 3: Compliance als Einmalprojekt behandeln

Der EU AI Act verlangt kontinuierliches Risikomanagement, keine einmalige Dokumentation. Wer das als Projekt behandelt, das einmal abgehakt wird, wird beim nächsten Systemupdate oder Toolwechsel wieder von vorne anfangen.

Das operative Compliance-Playbook – 5 Schritte für den Mittelstand

Schritt 1: KI-Inventar erstellen (Woche 1–2)

Listen Sie alle eingesetzten KI-Systeme auf: Tools, Anbieter, Einsatzzweck, betroffene Prozesse, beteiligte Mitarbeiter. Nutzen Sie dafür eine einfache Tabelle. Kein Workshop, keine externe Beratung in diesem Schritt – intern klären, was läuft.

Schritt 2: Risikoklassifizierung (Woche 3)

Ordnen Sie jedes System den drei Kategorien zu: verboten, hochriskant, niedrig/minimal. Entscheidungsfrage: Beeinflusst das System Entscheidungen über Personen in den Bereichen Arbeit, Kredit, Bildung, Gesundheit oder Sicherheit? Wenn ja – Hochrisiko-Kategorie, weitere Prüfung erforderlich.

Schritt 3: Anbieterkommunikation (Woche 4–6)

Für jedes Hochrisiko-System: Anfrage an den Anbieter, ob das System EU-AI-Act-konform ist, welche Dokumentation vorliegt und ob eine Konformitätsbewertung existiert. Antworten dokumentieren. Anbieter, die keine klare Antwort geben, sind ein Risiko.

Schritt 4: Interne Governance aufbauen (Monat 2–3)

Benennen Sie eine verantwortliche Person für KI-Compliance – das muss kein Vollzeit-Job sein. Definieren Sie einen einfachen Freigabeprozess für neue KI-Tools. Erstellen Sie eine interne Nutzungsrichtlinie für KI-Systeme. Schulen Sie betroffene Mitarbeiter in 90 Minuten.

Schritt 5: Dokumentation und Review-Rhythmus (laufend)

Halten Sie Inventar und Klassifizierung aktuell. Quartalsweise Review: Neue Tools? Systemupdates? Neue Use Cases? Der EU AI Act ist kein statisches Dokument – Ihre Compliance-Struktur darf es auch nicht sein.

Wenn Sie Unterstützung bei der operativen Umsetzung brauchen, arbeiten wir bei V1 Capital direkt im Unternehmen – nicht als externe Berater, die Berichte schreiben, sondern als Operator, die Strukturen aufbauen.

Was kostet Nicht-Compliance wirklich?

Nicht nur Bußgelder. Die unterschätzten Risiken: Haftung des Geschäftsführers bei vorsätzlicher Nichtbefassung, Reputationsschäden bei öffentlich gewordenen Verstößen, Ausschluss aus Ausschreibungen mit EU-Förderkomponenten, und – in Restrukturierungssituationen – erschwerter Zugang zu Kapital, wenn Compliance-Lücken im Due-Diligence-Prozess auftauchen.

Gerade wenn Sie Ihre Automatisierungsstrategie weiterentwickeln, lohnt ein Blick in unseren Konfigurator für KI-Implementierungsprojekte – dort können Sie Ihren konkreten Bedarf einordnen und erste Maßnahmen priorisieren.

FAQ: EU AI Act im Mittelstand

Gilt der EU AI Act auch für kleine GmbHs unter 50 Mitarbeitern?

Grundsätzlich ja. Es gibt leichte Erleichterungen bei Konformitätsbewertungspflichten für Kleinstunternehmen, aber keine vollständige Ausnahme. Die Verbote und Transparenzpflichten gelten uneingeschränkt. Die Risikoklassifizierung ist maßgeblich, nicht die Unternehmensgröße.

Was ist, wenn unser Anbieter kein EU-Unternehmen ist?

Der EU AI Act gilt für alle Systeme, die auf dem EU-Markt eingesetzt werden – unabhängig vom Sitz des Anbieters. Wenn Sie ein US-amerikanisches oder asiatisches Tool einsetzen, tragen Sie als Deployer in der EU die Verantwortung dafür, dass die Anforderungen erfüllt sind. Vertraglich absichern.

Brauche ich externe Rechtshilfe für die Compliance?

Für die Inventur und Klassifizierung nicht zwingend. Für Vertragsgestaltung mit Anbietern und bei konkreten Hochrisiko-Systemen: ja. Ein pragmatischer Ansatz ist, intern die Struktur aufzubauen und rechtliche Prüfung gezielt für Hochrisiko-Cases einzukaufen – nicht als Generalprojekt.

Was passiert bei einem Verstoß konkret?

Die Marktüberwachungsbehörden der Mitgliedsstaaten sind zuständig. In Deutschland wird die Zuständigkeit noch abschließend geregelt. Bußgelder, Nutzungsverbote für KI-Systeme und im Extremfall strafrechtliche Relevanz bei grober Fahrlässigkeit sind möglich. Wichtiger für die Praxis: Bei M&A-Transaktionen und Restrukturierungen wird Compliance-Status zunehmend geprüft.

Weitere Hintergründe, Checklisten und operative Vorlagen zu KI-Implementierung und Regulierung finden Sie im V1 Capital Knowledge Hub.

", "excerpt": "Der EU AI Act ist kein Konzernthema. Er trifft Mittelständler, die KI in HR, Kredit, Qualitätskontrolle oder Kundenprozessen einsetzen – mit konkreten Fristen ab August 2025 und Bußgeldern bis 7 % des Umsatzes. Hier ist das operative Compliance-Playbook: Inventar, Risikoklassifizierung, Governance – Schritt für Schritt.", "content_type": "wissen", "content_track": "evergreen_ai_automation", "business_situation": "Mittelständische Unternehmen mit laufenden KI-Implementierungen oder SaaS-Einsatz, die regulatorische Pflichten aus dem EU AI Act noch nicht systematisch adressiert haben und konkrete Handlungsanleitung für operative Umsetzung benötigen.", "target_audience": "GmbH-Geschäftsführer, COOs, IT-Leiter und Betriebsleiter in mittelständischen Unternehmen (20–500 Mitarbeiter), die KI-Tools im operativen Einsatz haben oder planen und Compliance-Risiken realistisch einschätzen wollen.", "editorial_angle": "Operativer Pflichtenkatalog mit klarer Fristen-Matrix, Fehleranalyse aus der Praxis und 5-Schritte-Playbook – keine Rechtsprosa, sondern Entscheidungsgrundlage für Führungskräfte, die KI nutzen und haften.", "source_urls": [], "source_notes": "Stand: 2026-06-29. Grundlage: EU AI Act (Verordnung (EU) 2024/1689), offiziell in Kraft seit August 2024. Fristen gemäß Artikel 113 der Verordnung. Keine Rechtsberatung – operative Einschätzung für Praktiker.", "risk_level": "high", "primary_keyword": "EU AI Act Pflichten Mittelstand", "secondary_keywords": [ "EU AI Act Fristen 2026", "KI Compliance Mittelstand", "EU AI Act Hochrisiko-KI", "AI Act Pflichten GmbH", "KI Regulierung Mittelstand", "EU AI Act Compliance-Playbook", "AI Act Deployer Pflichten", "KI Governance Mittelstand" ], "search_intent": "informational + transactional – Nutzer suchen konkrete Handlungsanleitung zur EU AI Act Compliance und wollen verstehen, was für ihr Unternehmen konkret zu tun ist.

Weiterführende V1-Themen