Viele mittelständische Unternehmen denken beim EU AI Act an etwas, das nur große KI-Anbieter betrifft. Das ist ein Trugschluss: Die Verordnung nimmt ausdrücklich auch Betreiber in die Pflicht – also jedes Unternehmen, das KI-Systeme einsetzt. Und ein Teil der Regeln gilt bereits heute.
Der Zeitplan in Kürze
Der AI Act ist am 1. August 2024 in Kraft getreten und wird gestaffelt anwendbar. Die wichtigsten Stationen:
- Seit 2. Februar 2025: Verbotene KI-Praktiken sind untersagt – und die KI-Kompetenzpflicht (Art. 4) gilt. Mitarbeitende, die mit KI arbeiten, müssen über ausreichendes Grundwissen verfügen.
- Seit 2. August 2025: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) sowie Governance- und Sanktionsregeln.
- Ab 2. August 2026: grundsätzliche volle Anwendbarkeit weiterer Teile der Verordnung.
- Hochrisiko-Systeme: Die EU hat mit dem „Digital Omnibus" eine Verschiebung dieser Pflichten vorgeschlagen (Annex-III-Anwendungsfälle voraussichtlich auf Dezember 2027). Die Verschiebung ist politisch geeinigt, aber Stand Mai 2026 noch nicht final verabschiedet – darauf verlassen sollte man sich nicht.
Was bedeutet das für ein Unternehmen, das KI nur nutzt?
Die gute Nachricht: Die meisten KI-Anwendungen im Mittelstand – Textassistenten, Chatbots, Auswertungen – fallen in die Kategorien minimales oder begrenztes Risiko. Die schlechte: Die KI-Kompetenzpflicht aus Art. 4 trifft alle Betreiber, unabhängig von der Risikoklasse. Für KMU gilt zwar ein Verhältnismäßigkeitsmaßstab, eine Befreiung gibt es aber nicht.
Konkret: Wer im Team ChatGPT, Microsoft Copilot oder einen eigenen KI-Agenten nutzt, sollte nachweisen können, dass die betreffenden Personen verstehen, was das Werkzeug kann, wo seine Grenzen liegen und welche Daten hineingegeben werden dürfen.
Fünf Schritte, die jetzt zählen
- KI-Inventar erstellen: Welche Tools sind im Einsatz, für welche Zwecke, mit welchen Daten?
- Anwendungsfälle einstufen: jeden Use Case grob einer Risikoklasse zuordnen – das zeigt, wo überhaupt Handlungsbedarf besteht.
- KI-Schulung dokumentieren: rollenspezifische, angemessene Schulungen durchführen und festhalten. Das ist seit Februar 2025 verpflichtend.
- Anbieter prüfen: bei eingekauften KI-Diensten nach Konformitäts- bzw. GPAI-Dokumentation fragen.
- Transparenz herstellen: kennzeichnen, wo KI im Spiel ist – etwa bei Chatbots oder KI-generierten Inhalten.
Warum sich das über die Pflicht hinaus lohnt
Bußgelder bei verbotenen Praktiken reichen bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes, bei Hochrisiko-Verstößen bis zu 15 Mio. € oder 3 %. Für die meisten Mittelständler ist das eigentliche Risiko aber weniger das Bußgeld als der unkontrollierte KI-Einsatz: unklare Datenflüsse, fehlende Verantwortlichkeiten, Wildwuchs an Tools. Ein sauberes KI-Inventar und ein kurzes Schulungskonzept lösen beides – Compliance und Betriebssicherheit – in einem Aufwasch.
Wer KI strukturiert einführt, erfüllt die AI-Act-Pflichten fast nebenbei – und nutzt die Technologie zugleich sicherer und wirksamer.Simplic8
Der AI Act ist kein Grund, KI auszubremsen. Er ist ein guter Anlass, die KI-Nutzung im Unternehmen einmal bewusst zu ordnen.
Quellen
Stand: 28. Mai 2026. Dieser Beitrag ersetzt keine Rechtsberatung. Die Verschiebung der Hochrisiko-Pflichten („Digital Omnibus") war zum Redaktionsschluss noch nicht endgültig verabschiedet.
