⚖️ EU AI Act · Stand Februar 2026 · DACH-Mittelstand

EU AI Act: Was DACH-Mittelständler
jetzt wissen und tun müssen.

Kein Gesetzestext. Keine Berater-Prosa. Eine strukturierte Übersicht: Wer ist betroffen, welche Fristen gelten, wo entstehen reale Risiken – und welche Schritte sind konkret notwendig.

Kostenloses Erstgespräch (30 Min.) Zu den Fristen
⚠️
Art. 4 Kompetenzpflicht gilt seit Februar 2025. Nächste Hauptdeadline: August 2026 (High-Risk KI).
Compliance Check ansehen →

Was ist der EU AI Act – und warum betrifft er den Mittelstand?

Der EU AI Act (Verordnung 2024/1689) ist die erste verbindliche KI-Regulierung weltweit. Er gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen, entwickeln oder bereitstellen – unabhängig davon, ob sie den Algorithmus selbst gebaut haben oder ein fertiges Tool wie ChatGPT, Copilot oder einen KI-Chatbot nutzen.

Der häufigste Irrtum im Mittelstand: „Wir nutzen nur ChatGPT – das ist nicht unser System.“ Falsch. Wer KI produktiv in Geschäftsprozessen einsetzt, ist Betreiber im Sinne des Gesetzes – mit allen Pflichten, die daran hängen.

🌍
Gilt für alle EU-Betreiber
Auch wenn das Modell von OpenAI, Microsoft oder Google stammt. Der Betreiber trägt die Verantwortung.
📋
Risikobasierter Ansatz
Nicht jede KI-Nutzung ist gleich reguliert. Entscheidend ist die Risikokategorie – von verboten bis minimal.
Stufenweise in Kraft
Die Pflichten treten nicht auf einmal in Kraft. Es gibt klare Deadlines – mit Art. 4 als erster bereits aktiver Pflicht.

Die Fristen im Überblick

Der EU AI Act gilt seit August 2024 – aber die Pflichten werden schrittweise wirksam.

Feb. 2025
AKTIV
Art. 4 – KI-Kompetenzpflicht
Alle Unternehmen, die KI einsetzen, müssen sicherstellen, dass Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das Unternehmen muss dies dokumentiert nachweisen können – Schulungen, Richtlinien, Nachweisdokumentation.
Aug. 2025
AKTIV
Verbotene KI-Praktiken
Bestimmte KI-Anwendungen sind seit August 2025 verboten: Social Scoring, manipulative Systeme, biometrische Kategorisierung nach sensiblen Merkmalen. Betrifft primär spezifische Use-Cases – aber Unternehmen müssen prüfen, ob ihre Systeme betroffen sind.
Aug. 2026
⚠ KRITISCH
High-Risk KI – vollständige Pflichten
Für High-Risk-Anwendungen (HR, Kredit, Kundenkommunikation, Sicherheitssysteme) gelten ab dann vollständige Anforderungen: Risikomanagementsystem, technische Dokumentation, Konformitätsbewertung, Registrierungspflicht. Das ist die Deadline, die für die meisten Mittelständler relevant ist.
Aug. 2027
GEPLANT
GPAI-Modelle & vollständige Enforcement
General Purpose AI Models (GPAIs) unterliegen dann vollständigen Anforderungen. Vollständige Marktüberwachung und Enforcement durch nationale Behörden tritt in Kraft.

Die vier Risikokategorien

Welche Pflichten auf Ihr Unternehmen zutreffen, hängt davon ab, in welche Kategorie Ihre KI-Systeme fallen.

VERBOTEN
Unzulässige KI-Praktiken

Social Scoring, manipulative Systeme, biometrische Echtzeit-Überwachung im öffentlichen Raum, Ausnutzung von Schwächen vulnerabler Gruppen. Für die meisten Mittelständler kein relevantes Szenario – aber eine Prüfung lohnt sich trotzdem.

HIGH RISK
Hochrisiko-KI – strenge Anforderungen

Betrifft viele Mittelständler. Typische Anwendungen:

👥 HR & Recruiting
💳 Kreditwürdigkeitsprüfung
🏥 Medizin & Gesundheit
🎓 Bildung & Bewerbungen
🔒 Kritische Infrastruktur
⚖️ Strafverfolgung
BEGRENZT
Begrenzte Risiken – Transparenzpflichten

Chatbots, virtuelle Assistenten, KI-generierte Inhalte. Hier greift primär die Transparenzpflicht: Nutzer müssen wissen, dass sie mit einer KI interagieren oder KI-generierten Content konsumieren.

MINIMAL
Minimales Risiko – keine spezifischen Pflichten

Spam-Filter, KI-gestützte Produktempfehlungen ohne Entscheidungsrelevanz, einfache Automatisierungen. Hier gelten keine spezifischen EU AI Act-Pflichten – Art. 4 (Kompetenzpflicht) bleibt aber trotzdem aktiv.

Was Sie jetzt konkret tun müssen

Unabhängig davon, wie viel KI Sie einsetzen – diese vier Schritte gelten für jeden Mittelständler.

1
KI-Inventar erstellen
Alle KI-Systeme im Unternehmen erfassen – nicht nur selbst entwickelte, sondern auch zugekaufte Tools (ChatGPT, Copilot, KI-Chatbots, automatisierte Entscheidungssysteme). Ohne vollständiges Inventar ist keine Risikoklassifizierung möglich.
2
Risikoklassifizierung durchführen
Für jedes System prüfen: In welche Kategorie fällt es? Welche Pflichten entstehen daraus? Besondere Aufmerksamkeit bei HR, Kundenkommunikation, Kreditprozessen und automatisierten Entscheidungen mit Außenwirkung.
3
Art. 4 Kompetenzpflicht dokumentieren
Bereits aktiv und prüfbar. Nachweisdokumentation für KI-Kompetenz der relevanten Mitarbeiter aufbauen: Schulungen, Richtlinien, verantwortliche Rollen. Das ist heute Pflicht – kein Opt-out.
4
Governance-Struktur aufbauen
Verantwortlichkeiten klären: Wer ist für welches KI-System zuständig? Wo gibt es Human-Override-Punkte? Welche Outputs werden geprüft, bevor sie nach außen gehen? Für High-Risk-Systeme bis August 2026 zwingend erforderlich.

Die vier teuersten Irrtümer

Was wir in fast jedem Erstgespräch mit Mittelständlern hören – und warum es gefährlich ist.

„Wir nutzen nur ChatGPT – das ist Microsofts Problem.“
Wer KI in Geschäftsprozessen einsetzt, ist Betreiber – unabhängig davon, wer das Modell entwickelt hat. Die Nutzungsbedingungen von OpenAI oder Microsoft ändern daran rechtlich nichts.
„Wir sind zu klein – das Gesetz zielt auf große Konzerne.“
Der EU AI Act unterscheidet nicht nach Unternehmensgröße für den Anwendungsbereich. Es gibt Erleichterungen bei bestimmten Nachweispflichten für KMUs – aber keine grundsätzliche Ausnahme.
„August 2026 ist noch weit – wir fangen nächstes Jahr an.“
Ein Risikomanagementsystem, Governance-Dokumentation und Konformitätsbewertung aufzubauen braucht Zeit. Wer im Frühjahr 2026 anfängt, wird die Deadline nicht halten.
„DSGVO-Compliance reicht – das deckt KI automatisch ab.“
DSGVO und EU AI Act überschneiden sich teilweise, aber sind getrennte Regelwerke mit unterschiedlichen Anforderungen. DSGVO-Compliance schützt nicht vor EU AI Act-Verstößen.
⚖️ Nächster Schritt

Wo steht Ihr Unternehmen – und was ist jetzt zu tun?

In 30 Minuten bekommen Sie eine erste Einschätzung Ihrer Risikokategorie, welche Fristen für Sie relevant sind – und welcher konkrete nächste Schritt Sinn ergibt. Kein Verkaufsdruck. Keine allgemeinen Folien.

Kostenloses Erstgespräch buchen EU AI Act Compliance Check ansehen
Keine Tool-Sales. Keine Buzzwords. Klare Einschätzung in 30 Minuten.
Nach oben scrollen