EU AI Act 2026: Was der Mittelstand jetzt wissen muss

EU AI Act und Mittelstand: Was schon jetzt gilt und worauf Du Dich vorbereiten musst

Viele Mittelständler warten noch. Sie glauben, der EU AI Act ist ein Problem für 2026. Für große Konzerne. Für Tech-Unternehmen. Nicht für den Maschinenbauer aus Remscheid oder den Logistiker aus Münster.

Diese Annahme ist falsch. Der EU AI Act und der Mittelstand sind seit Februar 2025 direkt miteinander verbunden. Artikel 4 ist in Kraft, und er gilt für jedes Unternehmen jeder Größe in der EU, das KI einsetzt. Das schließt Dich ein, wenn Du ChatGPT für E-Mails nutzt, Copilot im Team einsetzt oder Bewerber mit einem KI-Tool sortierst.

Wer das ignoriert, geht ein konkretes rechtliches Risiko ein. Kein abstraktes, regulatorisches Warnlicht. Ein echtes.

Was Artikel 4 seit Februar 2025 von Dir verlangt

Artikel 4 des EU AI Acts fordert KI-Kompetenz. Der englische Begriff ist AI Literacy. Das bedeutet: Jede Person in Deinem Unternehmen, die KI-Systeme einsetzt, entwickelt oder überwacht, muss über ausreichendes Wissen und Verständnis der verwendeten KI-Systeme verfügen.

Was das konkret bedeutet, ist noch im Fluss. Der Grundsatz ist aber klar: Du kannst nicht sagen, Deine Mitarbeitenden hätten keine Ahnung gehabt, wie ein KI-Tool funktioniert oder welche Risiken es mit sich bringt. Das ist keine Entlastung mehr, sondern ein Compliance-Versagen.

In der Praxis heißt das: Schulungen müssen dokumentiert werden. Eingesetzte Systeme müssen erfasst sein. Wer was mit welchem Tool macht, muss für eine Prüfung nachvollziehbar sein.

Der einfachste erste Schritt ist eine Bestandsaufnahme: Welche KI-Tools werden in Deinem Unternehmen gerade eingesetzt? Offiziell und inoffiziell. Denn Schatten-KI ist spätestens seit Februar 2025 kein reines Produktivitätsproblem mehr, sondern ein Compliance-Problem. Wie verbreitet unkontrollierter KI-Einsatz in deutschen Unternehmen ist, beschreibe ich in meinem Artikel zur Schatten-KI im Unternehmen.

Was ab August 2026 auf Dich zukommt

Ab August 2026 greifen die vollständigen Anforderungen für Hochrisiko-KI. Das ist die Kategorie, bei der es teuer wird, wenn Du nicht vorbereitet bist.

Was gilt als Hochrisiko-KI? Die EU hat eine Liste. Die wichtigsten Kategorien für den EU AI Act Mittelstand:

• HR und Recruitment: KI, die Bewerbungen filtert, Mitarbeitende bewertet oder Einstellungsentscheidungen beeinflusst

• Kreditvergabe und Scoring: KI, die bei der Bewertung von Kreditwürdigkeit oder Zahlungsfähigkeit eingesetzt wird

• Kritische Infrastruktur: KI in Bereichen wie Energie, Wasser oder Verkehrssteuerung

• Sicherheitskritische Produktkomponenten: KI in Maschinen, Fahrzeugen oder medizinischen Geräten

Wenn Du in einem dieser Bereiche tätig bist und KI einsetzt, bist Du ab August 2026 in der Hochrisiko-Kategorie. Das bedeutet: Risikoanalyse, technische Dokumentation, menschliche Aufsicht, Transparenz gegenüber Nutzern und Registrierung in der EU-Datenbank.

Wichtig: Viele Mittelständler im produzierenden Gewerbe sind hier betroffen, ohne es zu wissen. Wer KI zur Qualitätskontrolle oder in Sicherheitssystemen einsetzt, muss prüfen, ob diese Systeme unter die Hochrisiko-Kategorie fallen.

Die Sanktionen, die den EU AI Act ernst nehmen lassen

Der EU AI Act hat schärfere Sanktionen als die DSGVO.

Wer gegen die DSGVO verstößt, zahlt bis zu 4% des weltweiten Jahresumsatzes. Wer gegen den EU AI Act verstößt, zahlt bis zu 7%.¹ Bei einem Unternehmen mit 20 Millionen Euro Umsatz ist das der Unterschied zwischen 800.000 Euro und 1,4 Millionen Euro maximaler Geldbuße. Dazu kommt der Reputationsschaden, den keine Versicherung abdeckt.

Das ist kein akademisches Worst-Case-Szenario. Das ist der Rahmen, den die EU für Hochrisiko-KI gesetzt hat. Die Erfahrung mit der DSGVO zeigt: Zuerst kommen Verwarnungen, dann kommen Bußgelder, und zwar bei Unternehmen jeder Größe.

Was der "Digital Omnibus" für Dich bedeutet

Die EU-Kommission hat erkannt, dass der EU AI Act für kleinere Unternehmen unverhältnismäßig aufwendig sein kann. Der "Digital Omnibus" ist ein laufendes Gesetzgebungsvorhaben, das Anforderungen für KMU in bestimmten Bereichen vereinfachen soll.

Was wahrscheinlich vereinfacht wird: Dokumentationspflichten für bestimmte niedrigriskante Systeme, Registeranforderungen für kleinere Hochrisiko-KI-Anwendungen, Übergangsfristen für bereits im Einsatz befindliche Systeme.

Was nicht vereinfacht wird: die grundlegenden Anforderungen an KI-Kompetenz aus Artikel 4, die Verbote für bestimmte KI-Praktiken (Social Scoring, manipulative Systeme) und die Grundprinzipien von Transparenz und menschlicher Kontrolle.

Der Digital Omnibus ist kein Freifahrtschein. Er ist eine Erleichterung bei bürokratischen Prozessen, nicht bei den inhaltlichen Anforderungen.

EU AI Act Mittelstand: Die drei Schritte, die jetzt zählen

Vorbereitung auf den EU AI Act muss kein Jahresprojekt sein. Drei Schritte, die Du jetzt angehen kannst:

Schritt 1: KI-Inventar erstellen Welche KI-Tools werden in Deinem Unternehmen eingesetzt? Von wem? Für welche Zwecke? Das schließt offiziell beschaffte Tools und Schatten-KI ein. Ohne diese Bestandsaufnahme ist jede weitere Compliance-Maßnahme auf Sand gebaut. Dieser Schritt kostet wenig Zeit und gibt Dir ein klares Bild darüber, wo Du stehst.

Schritt 2: Risikokategorisierung durchführen Welche Tools fallen unter welche Risikokategorie? ChatGPT für interne Zusammenfassungen ist niedrig einzustufen. Ein CV-Screening-Tool für Bewerbungen ist potenziell Hochrisiko. Ein KI-gestütztes Qualitätskontrollsystem in der Produktion auch. Diese Einordnung brauchst Du, um zu wissen, welche Pflichten konkret auf Dich zukommen.

Schritt 3: Schulungen dokumentieren Artikel 4 verlangt KI-Kompetenz. Dokumentiere, wer welche Schulung wann erhalten hat. Dieser Nachweis ist der Unterschied zwischen "wir haben uns gekümmert" und einem Compliance-Versagen, das sich schwer erklären lässt.

Wie Du KI strukturiert einführst und dabei Compliance von Anfang an mitdenkst statt nachzurüsten, erkläre ich in meinem Artikel zur KI-Strategie für den Mittelstand.

Warum Abwarten dieses Mal teurer ist

Die DSGVO hat 2018 viele Unternehmen überrascht. Trotz zweijähriger Übergangsfrist war ein großer Teil der deutschen Unternehmen im Mai 2018 noch nicht vorbereitet. Nachträgliche Anpassungen kosteten ein Vielfaches dessen, was frühzeitige Vorbereitung gekostet hätte.

Mit dem EU AI Act liegt der Unterschied auf dem Tisch. Wer die Grundlagen jetzt legt, KI-Inventar, Risikobewertung, dokumentierte Schulungen, investiert wenige Arbeitstage. Wer bis Sommer 2026 wartet, riskiert denselben Fehler wie 2018. Nur mit höheren Bußgeldern.

Der erste Schritt kostet wenig. Eine ehrliche Bestandsaufnahme: Welche KI-Systeme sind im Einsatz, und welche fallen unter welche Kategorie? Danach weißt Du, wo Du stehst.

Dein nächster Schritt

Du willst wissen, wo Dein Unternehmen beim EU AI Act steht und was konkret zu tun ist? Schreib mir. Ich helfe Dir, die richtigen Fragen zu stellen und einen Rahmen aufzubauen, bevor August 2026 kommt.

Quellen

¹ Verordnung (EU) 2024/1689 (EU AI Act), Artikel 4 (KI-Kompetenzen) und Artikel 99 (Sanktionen bis 7% des weltweiten Jahresumsatzes); Verordnung (EU) 2016/679 (DSGVO), Artikel 83 (Sanktionen bis 4% des weltweiten Jahresumsatzes), eur-lex.europa.eu