Skip to main content

#ai

Die Frist des EU AI Act ist der 2. August 2026. Das müssen mittelständische DACH-Unternehmen wirklich tun — nicht die 100-Seiten-Version.

Der EU AI Act gilt ab dem 2. August 2026, mit Strafen bis zu 7 % des Weltumsatzes. Fünf praktische Schritte für den DACH-Mittelstand.

Von
Juri Saloid
Veröffentlicht
2026-04-17
Aktualisiert
2026-04-28
Lesezeit
8 Min.

Kernaussagen

  1. Der EU AI Act gilt ab dem 2. August 2026 — er betrifft fast jedes DACH-Unternehmen, das KI nutzt, nicht nur KI-Anbieter.
  2. Die meisten mittelständischen Unternehmen fallen unter „begrenztes Risiko“ — beherrschbar mit fünf konkreten Schritten.
  3. Strafen bis zu 35 Mio. € oder 7 % des Weltumsatzes bei Verstößen.
  4. Standardtools (ChatGPT, Copilot, Salesforce Einstein) befreien Sie nicht — Sie bleiben der Betreiber.

Der EU AI Act (Verordnung 2024/1689) ist die weltweit erste umfassende KI-Regulierung. Sie verpflichtet Unternehmen, die KI-Systeme in der EU einsetzen, bis zum 2. August 2026 Risiken zu klassifizieren, Systeme zu dokumentieren und Aufsichtskontrollen zu implementieren.

Wenn Sie ein mittelständisches Unternehmen in der DACH-Region sind und sich fragen, was Sie tatsächlich tun müssen: Sie müssen jedes KI-System inventarisieren, das Sie nutzen oder betreiben, jedes einzelne nach Risikostufe klassifizieren, die erforderliche Dokumentation erstellen, Mechanismen für menschliche Aufsicht gestalten und ein laufendes Monitoring einrichten. Das ist alles. Fünf Dinge. Die Verordnung ist lang, aber die praktische Arbeit ist überschaubar und beherrschbar — besonders, wenn Sie jetzt beginnen.

Ich habe das vergangene Jahr damit verbracht, die EU-AI-Act-Compliance mit mittelständischen Kunden in Deutschland, Österreich und der Schweiz umzusetzen. Was folgt, ist das, was wir darüber gelernt haben: was zählt, was nicht, und wo Unternehmen Zeit verschwenden.

Für wen das gilt

Der häufigste Irrtum, den ich höre: „Wir bauen keine KI, also betrifft uns das nicht.“

Doch. Der EU AI Act unterscheidet zwischen Anbietern (Unternehmen, die KI-Systeme entwickeln) und Betreibern (Unternehmen, die KI-Systeme in ihrem Betrieb einsetzen). Wenn Ihr Vertriebsteam ein KI-gestütztes Lead-Scoring-Tool nutzt, wenn Ihre Personalabteilung Lebensläufe mit einem KI-Plug-in vorsortiert, wenn Ihr Finanzteam Prognosen durch ein Machine-Learning-Modell laufen lässt — dann sind Sie ein Betreiber. Die Verordnung gilt für Sie.

Laut dem AI Index Report 2024 von Stanford HAI haben 67 % der Organisationen weltweit mindestens ein KI-Tool in ihrem Geschäftsbetrieb eingeführt. Im DACH-Mittelstand liegt diese Zahl nach unseren Beobachtungen aus der Praxis ähnlich. Die meisten dieser Unternehmen sehen sich nicht als „KI-Unternehmen“, doch dem EU AI Act ist Ihr Selbstbild gleichgültig. Ihm kommt es darauf an, welche Systeme Sie betreiben.

Hier ist, wer konkret aufpassen muss:

  • Jedes Unternehmen, das KI-Tools in Geschäftsprozessen nutzt — ChatGPT, GitHub Copilot, KI-gestützte CRM-Funktionen, automatisierte Dokumentenverarbeitung, Chatbots auf Ihrer Website.
  • Jedes Unternehmen, das KI einsetzt, die Menschen betrifft — Recruiting-Tools, Bonitätsbewertung, Automatisierung im Kundenservice, Versicherungsprüfung.
  • Jedes Unternehmen, das in den EU-Markt verkauft — selbst mit Hauptsitz außerhalb der EU gilt der Act, sobald Ihr KI-System von EU-Bürgern genutzt wird.
  • Jedes Unternehmen in einer regulierten Branche — Finanzen, Gesundheit, Versicherung, Recht. Diese Sektoren weisen die höchste Konzentration an Hochrisiko-KI-Systemen auf.

Die Leitlinien der Europäischen Kommission selbst stellen das ausdrücklich klar: Die Pflichten folgen dem KI-System, nicht dem Kerngeschäft des Unternehmens. Ein Logistikunternehmen, das KI zur Routenoptimierung einsetzt, hat für dieses System dieselben Compliance-Pflichten wie ein KI-Start-up.

Risikoklassifizierung einfach erklärt

Das gesamte Rahmenwerk des EU AI Act baut auf der Risikoklassifizierung auf. Jedes KI-System, das Sie betreiben, fällt in eine von vier Kategorien, und Ihre Pflichten skalieren mit der Risikostufe. Wenn die Klassifizierung stimmt, ergibt sich alles Weitere logisch.

EU AI Act risk tiers

Every AI system you operate falls into exactly one category. Your obligations scale with the tier.

Unacceptable risk

Prohibited since Feb 2025

Examples: social scoring, subliminal manipulation, real-time biometric ID in public spaces, emotion recognition in workplaces.

→ Obligation: banned outright. Operating one is a regulatory violation.

High-risk

Most compliance effort lives here

Examples: CV screening, credit scoring, insurance risk assessment, automated grading, critical infrastructure management.

→ Obligation: conformity assessment, technical documentation, data governance, human oversight, EU database registration.

Limited risk

Transparency obligations

Examples: chatbots, AI-generated content (text, image, audio, video), non-banned emotion recognition.

→ Obligation: users must be told they're interacting with AI; generated content must be labeled.

Minimal risk

Document the classification itself

Examples: spam filters, recommendation engines for non-critical apps, AI-powered internal search, analytics dashboards.

→ Obligation: no specific requirements — but you still need to record why the system is minimal risk.

The four-tier classification from Regulation (EU) 2024/1689. Most mid-market AI systems fall into limited or minimal risk; the dangerous ones are high-risk HR and finance tools that companies don't yet recognize as high-risk.

Für mittelständische Unternehmen liegen die wahrscheinlichsten Hochrisiko-Systeme im Personal- und Finanzbereich: ein KI-gestütztes Bewerbermanagementsystem, das Bonitätsmodell für B2B-Kunden, die KI-Funktion in Ihrem ERP, die Auffälligkeiten bei der Mitarbeiterleistung markiert. Begrenztes Risiko bedeutet in der Regel die Kennzeichnung von Chatbots und die Offenlegung KI-generierter Marketinginhalte. Die meisten anderen internen Tools fallen unter minimales Risiko — doch Sie müssen trotzdem festhalten, warum die Klassifizierung gilt.

Die fünf Dinge, die Sie vor August 2026 erledigen müssen

Ich werde konkret. Nicht „ein KI-Governance-Rahmenwerk entwickeln“ — sondern tatsächliche Aufgaben mit konkreten Ergebnissen.

  1. 01

    KI-System-Inventar

    Erfassen Sie jedes KI-System, das Sie nutzen, bauen oder einsetzen — kommerzielle Tools (ChatGPT Enterprise, Copilot, Salesforce Einstein), eigenentwickelte Modelle, in bestehende Software eingebettetes ML und Drittanbieter-APIs (OpenAI, Vertex AI). Halten Sie fest, was jedes System tut, welche Daten es verarbeitet, wen es betrifft und welcher Anbieter oder welches Team es verantwortet. Die meisten mittelständischen Unternehmen finden 5–15 Systeme, wenn sie genau hinschauen.

    ⏱ 1–2 Wochen

  2. 02

    Risikoklassifizierung

    Bestimmen Sie für jedes System die Risikostufe anhand der vier oben genannten Kategorien. Prüfen Sie Anhang III auf Hochrisiko-Bereiche, bewerten Sie, ob das System Entscheidungen über Menschen wesentlich beeinflusst, und dokumentieren Sie Ihre Begründung. Im Zweifel klassifizieren Sie höher — eine spätere Herabstufung ist einfacher, als einen Grenzfall vor einer Behörde zu verteidigen.

    ⏱ 1 Woche

  3. 03

    Technische Dokumentation

    Stellen Sie für Hochrisiko-Systeme Unterlagen zu Zweck, Daten-Governance, Architektur, Leistungskennzahlen und Risikomanagement zusammen. Für begrenztes Risiko: Systembeschreibung, Transparenzmaßnahmen, Begründung der Klassifizierung. Für minimales Risiko: nur die Entscheidung festhalten. Fordern Sie für Anbietersysteme jetzt deren EU-AI-Act-Compliance-Pakete an — manche haben sie bereit, andere haben gar nichts.

    ⏱ 2–4 Wochen

  4. 04

    Gestaltung der menschlichen Aufsicht

    Entwerfen Sie Abläufe, in denen KI-Empfehlungen einen Menschen erreichen, der über genügend Kontext verfügt, um das System zu bewerten, zu übersteuern oder zu stoppen. Die Tiefe der Aufsicht richtet sich nach dem Risiko: Ein Chatbot, der Produktinfos liefert, braucht weniger als ein Modell für Kreditentscheidungen. Bei der HR-Vorauswahl prüft der Mensch die Rankings mit Zugriff auf die Begründung der KI, bevor jemand abgelehnt wird.

    ⏱ 1–2 Wochen

  5. 05

    Laufendes Monitoring und Audit-Trails

    Richten Sie automatisiertes Logging, Leistungs- und Drift-Monitoring, Vorfallmeldungen an Behörden sowie eine regelmäßige Neuklassifizierung ein. Compliance ist kein einmaliges Projekt — Audit-taugliche Logs nach der Frist nachzurüsten ist mühsam und teuer. Die meisten modernen KI-Plattformen erzeugen Logs; die Arbeit besteht darin, sie an ein System zu leiten, das sie aufbewahrt, durchsuchbar macht und mit Ihrer Compliance-Dokumentation verknüpft.

    ⏱ Laufend; Einrichtung 1–2 Wochen

Wie Compliance in der Praxis tatsächlich aussieht

Ich möchte klarstellen, wovon wir nicht sprechen. Wir sprechen nicht von einem 200-seitigen Compliance-Handbuch, das in einem SharePoint-Ordner liegt und einmal im Jahr durchgesehen wird. Dieser Ansatz scheitert.

Was bei mittelständischen Unternehmen funktioniert:

In bestehende Abläufe integrieren. Wenn Sie bereits ISO-27001- oder SOC-2-Prozesse haben, fügt sich Ihre KI-Dokumentation in diese Strukturen ein. Risikobewertungen, Lieferantenmanagement, Incident Response — Varianten davon machen Sie bereits. Ergänzen Sie die KI-spezifischen Elemente im Bestehenden, statt parallele Systeme aufzubauen.

Vorlagen nutzen, keine leeren Seiten. Die Europäische Kommission hat Leitfäden und Vorlagen veröffentlicht. Wir haben eigene Dokumentationsvorlagen speziell für mittelständische Betreiber entwickelt, die sich direkt auf die Anforderungen der Verordnung abbilden lassen. Das Ziel ist es, Details einzutragen, nicht ein Format zu erfinden.

Audit-Trails automatisieren. Die meisten modernen KI-Plattformen erzeugen Logs. Die Arbeit besteht darin, diese Logs an ein System zu leiten, das sie aufbewahrt, durchsuchbar macht und mit Ihrer Compliance-Dokumentation verknüpft. Oleks baut die technischen Kontrollen, ich verantworte das Compliance-Rahmenwerk — gemeinsam decken wir beide Seiten ab: die Governance-Unterlagen und die eigentliche Infrastruktur, die sie durchsetzbar macht.

Es zur Aufgabe einer Person machen. Die Verordnung verlangt von mittelständischen Unternehmen nicht, einen eigenen „KI-Beauftragten“ einzustellen, doch jemand muss die Verantwortung übernehmen. In den meisten Fällen ist das, wer heute Datenschutz oder IT-Compliance verantwortet. Geben Sie dieser Person das Mandat, die Schulung und die nötige Zeit.

Mit Ihren Systemen mit dem höchsten Risiko beginnen. Wenn Sie 10 KI-Systeme haben und zwei davon hochriskant sind, machen Sie diese beiden zuerst compliant. Die Systeme mit minimalem Risiko brauchen nur eine grundlegende Dokumentation. Lassen Sie das Perfekte nicht zum Feind des Erledigten werden. Wenn Sie zugleich noch versuchen, Modelle vom Pilot in die Produktion zu bringen, ordnet das 90-Tage-Produktions-Framework die Risikoklassifizierung in Phase 1 ein — günstiger, als sie später nachzurüsten.

Häufige Missverständnisse

Nicht sicher, ob Ihre KI-Nutzung hochriskant ist?

Machen Sie unsere 5-minütige EU-AI-Act-Selbsteinschätzung. Keine E-Mail erforderlich.

Selbsteinschätzung starten → 30-minütigen Compliance-Check buchen

// QUELLEN

  1. Regulation (EU) 2024/1689 — full text and guidance — European Commission, 2024
  2. AI Act Explorer — topic-indexed reference — Future of Life Institute, 2024
  3. AI Index Report 2024 — Stanford HAI, 2024

Häufige Fragen

  • Wann tritt der EU AI Act in Kraft?
    Der EU AI Act (Verordnung 2024/1689) ist im August 2024 mit einem gestaffelten Zeitplan in Kraft getreten. Die wesentlichen Compliance-Pflichten — darunter Risikoklassifizierung, Dokumentation und menschliche Aufsicht — gelten ab dem 2. August 2026. Verbotene KI-Praktiken sind bereits seit Februar 2025 untersagt.
  • Gilt der EU AI Act auch für Unternehmen, die nur ChatGPT oder andere Standard-KI-Tools nutzen?
    Ja. Der EU AI Act gilt für „Betreiber“ — Unternehmen, die KI-Systeme in ihrem Betrieb einsetzen — nicht nur für Entwickler. Wenn Sie GPT-4, Copilot oder ein anderes KI-Tool in Geschäftsprozessen nutzen, haben Sie Compliance-Pflichten, darunter Transparenz, menschliche Aufsicht und Dokumentation.
  • Was ist eine KI-Risikoklassifizierung nach dem EU AI Act?
    Der EU AI Act stuft KI-Systeme in vier Risikostufen ein: inakzeptabel (verboten), hohes Risiko (strenge Anforderungen), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (keine spezifischen Anforderungen). Die meisten Unternehmens-KI fällt je nach Anwendungsbereich und Auswirkung auf Menschen in die Kategorie begrenztes oder hohes Risiko.
  • Wie viel kostet die EU-AI-Act-Compliance für ein mittelständisches Unternehmen?
    Für ein typisches mittelständisches Unternehmen mit 3–10 KI-Systemen umfasst die anfängliche Compliance-Arbeit — Inventarisierung, Klassifizierung, Dokumentation und Gestaltung der Aufsicht — 8–16 Wochen Beratungsaufwand. Die laufende Compliance besteht weitgehend in der Pflege von Dokumentation und Audit-Trails, die sich in bestehende Abläufe integrieren lassen.
  • Was passiert, wenn wir den EU AI Act bis August 2026 nicht einhalten?
    Die Strafen bei Verstößen reichen je nach Schwere von 7,5 Mio. € bis 35 Mio. € oder 1–7 % des weltweiten Jahresumsatzes. Das größere Risiko für mittelständische Unternehmen liegt jedoch im Einkauf: Großkunden und öffentliche Auftraggeber fordern AI-Act-Compliance bereits in Ausschreibungen.

Weiterlesen

Was this helpful?

// share

linkedin email

Verwandte Beiträge

diesen Beitrag im Postfach?

Eine kurze Notiz pro Monat — nur wenn es etwas zu lesen gibt.

 per-rss-abonnieren

// oder schreib uns: hello@saloid.com · gräfelfing · de