Zurück zum Blog
Compliance

EU AI Act für den Mittelstand: Was Sie jetzt wissen und tun müssen

Stand: März 2026 · Lesezeit: ca. 8 Minuten

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Seit August 2024 in Kraft, wird es schrittweise wirksam. Für mittelständische Unternehmen in Deutschland wird es ab August 2026 konkret — dann greifen die Pflichten für Hochrisiko-KI-Systeme.

Worum geht es beim EU AI Act?

Die Verordnung reguliert die Entwicklung, den Vertrieb und den Einsatz von KI-Systemen in der EU. Der Kernansatz ist risikobasiert: Je höher das Risiko eines KI-Systems für Grundrechte, Sicherheit oder Gesundheit, desto strenger die Auflagen.

Die vier Risikokategorien

Der EU AI Act teilt KI-Systeme in vier Stufen ein:

  1. Unannehmbares Risiko (verboten): Social Scoring, manipulative KI, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum. Diese Systeme sind seit Februar 2025 verboten.
  2. Hohes Risiko: KI in Personalauswahl, Kreditwürdigkeitsprüfung, Bildung, kritischer Infrastruktur, Strafverfolgung. Hier gelten ab August 2026 umfassende Dokumentations-, Überwachungs- und Transparenzpflichten.
  3. Begrenztes Risiko: Chatbots, Deepfakes, emotionserkennende Systeme. Hier gelten primär Transparenzpflichten — Nutzer müssen wissen, dass sie mit KI interagieren.
  4. Minimales Risiko: Spamfilter, KI-gestützte Suchfunktionen, Prozessautomatisierung. Keine besonderen Auflagen, aber freiwillige Verhaltenskodizes werden empfohlen.

Was bedeutet das konkret für den Mittelstand?

Die meisten KI-Anwendungen im Mittelstand — etwa Dokumentenverarbeitung, E-Mail-Triage oder Chatbots — fallen in die Kategorien 3 oder 4 (begrenztes oder minimales Risiko). Hier besteht kein akuter Handlungsdruck, aber Transparenzpflichten müssen erfüllt werden.

Kritisch wird es, wenn Sie KI einsetzen für:

  • Bewerbungsvorauswahl oder Leistungsbewertung von Mitarbeitern
  • Kreditwürdigkeitsprüfung oder Risikobewertung
  • Qualitätskontrolle in sicherheitsrelevanten Bereichen
  • Zugangskontrollen oder biometrische Verfahren

In diesen Fällen handelt es sich um Hochrisiko-KI, und ab August 2026 gelten strenge Pflichten: Risikomanagementsystem, Datenqualitätsanforderungen, technische Dokumentation, Transparenz gegenüber Nutzern, menschliche Aufsicht und Genauigkeitsanforderungen.

Die wichtigsten Fristen

  • Februar 2025: Verbotene KI-Praktiken gelten
  • August 2025: Pflichten für Anbieter von KI-Modellen für allgemeine Zwecke (GPAI)
  • August 2026: Pflichten für Hochrisiko-KI-Systeme — der relevanteste Termin für den Mittelstand
  • August 2027: Vollständige Anwendung aller Bestimmungen

Was droht bei Nicht-Compliance?

Die Bußgelder sind empfindlich und orientieren sich am EU-Modell:

  • Bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes für verbotene KI-Praktiken
  • Bis zu 15 Mio. Euro oder 3% des Umsatzes für Verstöße gegen Hochrisiko-Pflichten
  • Bis zu 7,5 Mio. Euro oder 1,5% für falsche Angaben gegenüber Behörden

Für KMU und Startups gelten verhältnismäßige Obergrenzen — aber auch diese können existenzbedrohend sein.

5 Schritte, die Sie jetzt unternehmen sollten

  1. Bestandsaufnahme: Welche KI-Systeme setzen Sie ein oder planen Sie? Erstellen Sie ein KI-Register.
  2. Risikoklassifizierung: Ordnen Sie jedes System einer der vier Kategorien zu. Im Zweifel lieber konservativ einschätzen.
  3. Gap-Analyse: Welche Dokumentations- und Überwachungspflichten gelten für Ihre Hochrisiko-Systeme? Was fehlt?
  4. Maßnahmenplan: Definieren Sie konkrete Schritte zur Compliance — Risikomanagementsystem, Dokumentation, Schulungen.
  5. Externe Unterstützung: Ziehen Sie Experten hinzu, die sowohl KI-Technik als auch regulatorische Anforderungen verstehen.

Wie autenta Sie unterstützt

Bei autenta verbinden wir KI-Integration mit IT-Sicherheit und Compliance aus einer Hand. Unser zertifizierter IT-Sicherheitsauditor prüft Ihre KI-Systeme anhand eines BSI-konformen Prüfkatalogs mit 124 Prüfpunkten. Wir helfen Ihnen bei der Klassifizierung Ihrer KI-Anwendungen, der Gap-Analyse und der Umsetzung der notwendigen Maßnahmen.

Strategische KI-Beratung kann zudem über das BAFA-Programm mit bis zu 50% gefördert werden — Ihr Eigenanteil reduziert sich auf maximal 1.750 Euro pro Beratung.

Kostenlose Erstberatung

Lassen Sie uns gemeinsam prüfen, welche Ihrer KI-Systeme vom EU AI Act betroffen sind und welche Schritte bis August 2026 nötig sind.

Erstgespräch vereinbaren