EU AI Act im Mittelstand: Pflichten, Fristen, was Sie jetzt tun sollten

Wenn Sie diese Woche Mails zum EU AI Act bekommen haben, vermutlich von Anwaltskanzleien oder Beratungen mit dringender Tonalität, geht es Ihnen wie vielen Geschäftsführern in unseren Erstgesprächen. Die Verordnung ist seit August 2024 in Kraft, die ersten Pflichten greifen seit Februar 2025, weitere folgen in Wellen bis 2027. Das klingt nach Drama. In der Praxis ist es weniger Drama und mehr Hausaufgaben. Wir sortieren in diesem Beitrag, was wirklich auf Sie zukommt, und welche Themen Sie ruhig auf Q3 und Q4 schieben können.

Wer ist überhaupt betroffen

Der AI Act gilt für alle Unternehmen, die KI-Systeme in der EU bereitstellen oder nutzen, unabhängig davon, ob das System in Europa entwickelt wurde. Wenn Sie ChatGPT in der Hotline einsetzen, ein Lead-Scoring auf Hubspot mit KI-Modul aktiv haben oder einen Bewerber-Filter auf Personio nutzen, fallen Sie unter den Anwendungsbereich. Es gibt keine Mittelstandsklausel im klassischen Sinn. Allerdings unterscheidet die Verordnung sehr genau, ob Sie das System nur einsetzen oder ob Sie es selbst entwickeln und vermarkten. Wer einsetzt, hat deutlich weniger Pflichten als wer baut.

In der Sprache des AI Acts heißen Sie als Mittelständler in den meisten Fällen “Betreiber” oder “Deployer”. Anbieter sind die Großen wie OpenAI, Anthropic, Google. Damit liegt die Hauptlast der technischen Dokumentation bei diesen Anbietern. Ihre Aufgabe ist es, sauber zu wissen, welches System Sie wofür nutzen, und bei höher klassifizierten Anwendungen Risikobetrachtungen durchzuführen.

Die Risikoklassen, kurz und ehrlich

Der AI Act teilt KI-Systeme in vier Klassen ein. Die gute Nachricht: 90 Prozent dessen, was Sie im Mittelstand einsetzen, fällt in die unteren beiden Klassen.

Verboten sind Systeme zur sozialen Bewertung von Personen, manipulative Verhaltensbeeinflussung sowie biometrische Echtzeit-Überwachung im öffentlichen Raum. Wenn Sie nicht gerade am Aufbau einer Überwachungsstaat-Lösung arbeiten, können Sie diesen Block überspringen.

Hochrisiko ist das Feld, das den Mittelstand am ehesten trifft. Dazu zählen unter anderem KI-gestützte Bewerber-Bewertungen, Kreditwürdigkeitsprüfungen, KI in kritischer Infrastruktur und KI in der Medizinprodukte-Entwicklung. Wenn Sie eines dieser Felder bedienen, brauchen Sie ein Risikomanagement-System, eine technische Dokumentation, eine menschliche Aufsicht (“Human in the Loop”) und ein Verfahren für Vorfallmeldungen. Das ist Aufwand, aber kein Hexenwerk.

Begrenztes Risiko umfasst Chatbots, Bild- und Videogeneratoren, Sprachmodelle im Customer Service. Hier reicht in der Regel eine klare Transparenz-Pflicht: Der Nutzer muss erkennen können, dass er mit einer Maschine spricht oder dass ein Bild künstlich erzeugt wurde.

Minimales Risiko ist der Standardfall. Spam-Filter, Empfehlungs-Algorithmen, einfache Klassifizierungen. Hier sind keine spezifischen Pflichten aus dem AI Act zu erfüllen.

Die wichtigsten Fristen ohne Panik

Seit dem 2. Februar 2025 gelten die Verbote für nicht zulässige Praktiken sowie eine Pflicht zur “AI Literacy”. Letztere bedeutet schlicht: Mitarbeitende, die KI-Systeme einsetzen, müssen ein Mindestmaß an Verständnis haben. Eine 60-minütige Schulung, dokumentiert in Ihrem internen Schulungssystem, reicht in den meisten Fällen aus.

Ab dem 2. August 2025 greifen Pflichten für Anbieter von General-Purpose-AI-Modellen. Das sind Sie als Mittelständler in fast keinem Fall. Sie können diesen Termin entspannt überspringen.

Ab dem 2. August 2026 wird es ernster. Dann gelten die Pflichten für Hochrisiko-Systeme aus Anhang III, also genau die Felder Bewerber-Bewertung, Kreditprüfung und Co. Wer hier aktiv ist, sollte spätestens Anfang 2026 mit der Dokumentation begonnen haben.

Ab dem 2. August 2027 greifen die letzten Pflichten für regulierte Hochrisiko-Produkte wie Medizinprodukte und Maschinen. Falls Sie in diesen Branchen tätig sind, kennen Sie die Spielregeln vermutlich besser als jeder Berater.

Was Sie diese Woche tun können

Erstens: Eine Liste aller KI-Systeme im Unternehmen erstellen. Eine simple Tabelle mit Spalten “System”, “Anbieter”, “Zweck”, “Datenquellen”, “Verantwortlicher”. Wir nennen das im Erstgespräch gern KI-Inventar. Es ist die Grundlage für alles Weitere und in zwei bis vier Stunden machbar.

Zweitens: Pro System die Risikoklasse einschätzen. Bei Unsicherheit lieber eine Klasse höher ansetzen. Wenn Sie sich nicht sicher sind, ob Ihre Bewerber-Vorauswahl unter Hochrisiko fällt, behandeln Sie sie so. Im Zweifel gewinnt Compliance.

Drittens: Für Systeme mit begrenztem Risiko die Transparenz-Hinweise prüfen. Steht im Chatbot der Hinweis “Sie chatten mit einer KI”? Wird in generierten Bildern erkennbar, dass sie nicht echt sind? Das sind Texte, die ein Vormittag erledigt.

Viertens: AI-Literacy-Schulung organisieren. Es gibt brauchbare Fertig-Inhalte vom TÜV, von der IHK und von einigen spezialisierten Anbietern. Wer es selbst machen will, kommt mit einer 45-Minuten-Präsentation und einer kurzen Lernerfolgskontrolle gut über die Hürde.

Wo der AI Act überschätzt wird

Der AI Act ersetzt nicht die DSGVO, sondern ergänzt sie. Wer DSGVO sauber umgesetzt hat, erfüllt schon einen Großteil der dokumentarischen Anforderungen aus dem AI Act. Verzeichnis von Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen, Datenschutzfolgenabschätzung. All das wird im AI Act vorausgesetzt und teilweise nur ergänzt.

Auch die viel zitierten Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes treffen primär die Anbieter großer KI-Modelle. Für klassische Mittelständler bewegen sich realistische Bußgeld-Risiken in einem ähnlichen Rahmen wie bei DSGVO-Verstößen. Schmerzhaft, aber nicht existenzbedrohend bei sauberer Vorbereitung.

Wo der AI Act unterschätzt wird

Was viele übersehen: Die AI-Literacy-Pflicht gilt seit Februar 2025 und betrifft jeden, der KI nutzt. Nicht nur die Hochrisiko-Anwender. Wer also ChatGPT in der Vertriebs-Mailbox laufen lässt, ist davon erfasst. Eine dokumentierte Grundschulung für alle KI-Anwender ist unsere Mindestempfehlung.

Zweiter Punkt: Die Beweislast bei Vorfällen. Wenn ein Bewerber gegen eine KI-gestützte Ablehnung klagt, müssen Sie zeigen können, wie das System funktioniert hat und welche Daten einflossen. Ohne KI-Inventar und Prozessdoku stehen Sie hier schnell in der Bringschuld.

Pragmatischer Schluss

Der EU AI Act ist nicht das Ende der KI-Nutzung im Mittelstand. Er ist eine Ordnungs-Ebene auf dem, was Sie ohnehin tun sollten: Wissen, welche Systeme welche Daten verarbeiten, mit welchem Zweck, unter welcher Verantwortung. Wer die DSGVO ernst genommen hat, ist hier zu 70 Prozent durch. Der Rest sind Hausaufgaben über mehrere Quartale verteilt.

Wenn Sie unsicher sind, in welcher Klasse Ihre Systeme liegen oder wie ein KI-Inventar konkret aussieht, sprechen wir 30 Minuten. Wir sortieren ehrlich, was Sie tun müssen, was warten kann und was Sie sich sparen können. Keine Panik-Beratung, keine Ablass-Briefe. Erreichbar unter unserem Kontaktformular oder telefonisch über die Standardwege auf der Startseite.