Am 2. August 2026 tritt der EU AI Act vollständig in Kraft. Für viele mittelständische Unternehmen im DACH-Raum bedeutet das: weniger als fünf Monate, um Klarheit zu schaffen — darüber, welche KI-Systeme sie einsetzen, welche Risikokategorie diese haben und welche Pflichten daraus folgen. Dieser Artikel erklärt, was der EU AI Act für den Mittelstand konkret bedeutet. Ohne Rechtsjargon. Mit einer pragmatischen Checkliste für die verbleibende Zeit.

Der EU AI Act ist die weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz. Er gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, einsetzen oder in Verkehr bringen — unabhängig davon, ob das Unternehmen seinen Sitz in Europa hat. Als Mittelständler, der ChatGPT, Microsoft Copilot oder andere KI-Lösungen in seinem Unternehmen einsetzt, ist er vom EU AI Act betroffen. Nicht als Entwickler dieser Systeme — sondern als Anwender. Zeitplan: August 2026 als entscheidende Deadline Der EU AI Act trat im August 2024 in Kraft. Die Umsetzung erfolgt in Phasen: - Februar 2025: Verbotene KI-Praktiken sind untersagt - August 2025: Anforderungen für KI-Allgemeinzwecksysteme gelten - August 2026: Vollständige Anwendbarkeit — alle Anforderungen für Hochrisiko-KI-Systeme treten in Kraft Für mittelständische Unternehmen, die noch keine Vorbereitung getroffen haben, sind die verbleibenden Monate entscheidend. Wer ist betroffen — auch als Anwender, nicht nur Anbieter Ein weit verbreitetes Missverständnis: "Wir bauen keine KI, also betrifft uns der AI Act nicht." Falsch. Der EU AI Act unterscheidet zwischen Anbietern (Unternehmen, die KI-Systeme entwickeln) und Betreibern (Unternehmen, die KI-Systeme im eigenen Kontext einsetzen). Als Mittelständler, der KI-Tools nutzt, sind Sie in der Regel Betreiber — mit konkreten Pflichten, abhängig von der Risikoklasse der eingesetzten Systeme.

Verbotene KI-Systeme Bestimmte Anwendungen sind seit Februar 2025 vollständig verboten, darunter KI-Systeme zur sozialen Bewertung von Personen durch Behörden und Echtzeit-Biometrische Fernidentifikation in öffentlichen Räumen. Für die meisten mittelständischen Industrieunternehmen spielen verbotene Systeme keine Rolle.

Hochrisiko-KI: Pflichten, die Sie kennen müssen Relevant für den Mittelstand sind insbesondere Systeme in folgenden Bereichen: - Personalwesen: KI-gestützte Bewerberauswahl, Leistungsbewertung, Kündigung - Kritische Infrastruktur: Steuerung von Energie-, Wasser- oder Verkehrssystemen - Sicherheitskomponenten: KI in Maschinen oder Produkten mit Sicherheitsrelevanz Wer Hochrisiko-KI einsetzt, muss technische Dokumentation führen, ein Risikomanagementsystem betreiben und menschliche Aufsicht sicherstellen. Verstöße können mit Bußgeldern bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden. Minimales Risiko: Die meisten Mittelständler fallen hier Die überwiegende Mehrheit der KI-Anwendungen, die mittelständische Unternehmen heute nutzen — Textzusammenfassungen, E-Mail-Entwürfe, Meeting-Protokolle, interne Chatbots — fällt in die Kategorie minimales Risiko. Hier gibt es keine zwingenden Pflichten aus dem EU AI Act. Allerdings bleibt die DSGVO in vollem Umfang anwendbar.

KI-Inventar erstellen: Welche Systeme nutzt Ihr Unternehmen? In der Praxis erleben wir regelmäßig: Mitarbeitende nutzen KI-Tools, die weder von der IT genehmigt noch von der Geschäftsführung bekannt sind. Kundendaten wandern in öffentliche Sprachmodelle. Verträge werden von KI-Tools verarbeitet, die keine Datenschutzgarantien bieten. Ein vollständiges KI-Inventar erfasst alle genutzten KI-Tools (auch kostenlose und private), den jeweiligen Anbieter und Serverstandort, die verarbeiteten Datentypen sowie den Einsatzbereich im Unternehmen. Risikoklassifizierung durchführen Sobald das Inventar steht, folgt die Klassifizierung: Welche der genutzten Systeme fallen in welche Risikoklasse? Für die meisten mittelständischen Unternehmen fällt die Mehrzahl der Tools in die minimale Risikokategorie. Diese Klassifizierung sollte dokumentiert und regelmäßig aktualisiert werden. Governance-Struktur aufbauen Der EU AI Act verlangt keine vollständige Bürokratisierung. Er verlangt Kontrolle und Transparenz. Konkret bedeutet das: eine verantwortliche Person für KI-Compliance benennen, interne Richtlinien definieren und Mitarbeitende schulen. Ein pragmatisches, gelebtes Regelwerk schützt besser als ein dickes Handbuch, das niemand kennt. DSGVO und AI Act: Zusammenspiel verstehen Der EU AI Act ergänzt die DSGVO — er ersetzt sie nicht. Jede KI-basierte Verarbeitung personenbezogener Daten braucht weiterhin eine rechtsgültige Grundlage nach DSGVO. Wer bereits DSGVO-konform arbeitet, hat eine gute Ausgangsbasis.

8 Schritte bis August 2026 1. KI-Inventar erstellen — alle genutzten KI-Tools erfassen, auch nicht genehmigte 2. Risikoklassen bestimmen — jeden Tool-Einsatz einer Risikoklasse zuordnen 3. Datenschutz-Check durchführen — DSGVO-Konformität aller KI-Anwendungen prüfen 4. KI-Verantwortlichen benennen — eine Person mit klarem Mandat, kein Komitee 5. Interne KI-Richtlinie erstellen — klar, verständlich, gelebt 6. Mitarbeitende schulen — alle KI-Nutzer informieren und dokumentieren 7. Hochrisiko-Maßnahmen umsetzen — falls Hochrisiko-Systeme im Einsatz 8. Governance regelmäßig aktualisieren — mindestens einmal pro Jahr prüfen

Ja. Der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen — unabhängig von der Unternehmensgröße. Für KMU gibt es Erleichterungen bei bestimmten Dokumentationspflichten.

Was passiert bei Verstößen gegen den EU AI Act? Für Betreiber von Hochrisiko-KI-Systemen drohen Bußgelder bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes. Bei verbotenen KI-Praktiken bis zu 35 Millionen Euro oder 7 Prozent. Müssen wir ChatGPT oder Copilot abschalten? Nein — in der Regel nicht. Die meisten Standard-Anwendungen fallen in die minimale Risikokategorie. Entscheidend ist, wie sie eingesetzt werden und ob die DSGVO eingehalten wird. Was ist der Unterschied zwischen EU AI Act und DSGVO? Die DSGVO regelt den Schutz personenbezogener Daten. Der EU AI Act regelt den Einsatz von KI-Systemen. Beide Gesetze gelten parallel und müssen zusammen beachtet werden. Wie lange dauert die Vorbereitung auf den EU AI Act? Ein KI-Inventar und erste Risikoklassifizierung lassen sich in wenigen Wochen erstellen. Der Aufbau einer vollständigen Governance-Struktur dauert drei bis sechs Monate. Wer jetzt beginnt, ist bis August 2026 gut aufgestellt.

Der EU AI Act ist kein bürokratisches Hindernis. Er ist eine Chance für Unternehmen, die KI strukturiert, transparent und verantwortungsvoll einsetzen wollen. Die drei wichtigsten Fakten: Erstens gilt er für alle, die KI einsetzen — nicht nur für Entwickler. Zweitens sind die meisten Standard-Anwendungen minimal riskant. Drittens ist der Aufbau einer pragmatischen Governance der entscheidende Schritt. Blümlein AI unterstützt mittelständische Industrieunternehmen dabei, KI-Governance pragmatisch, rechtssicher und mit vertretbarem Aufwand aufzubauen.