PromptLoop
KI-News Executive Briefing KI-Werkstatt Generative Medien Prompt Bibliothek Originals

EU AI Act: Was Mittelständler bis August 2026 zwingend entscheiden müssen

Ab August 2026 gelten verbindliche Hochrisiko-KI-Pflichten nach dem EU AI Act – auch für KMU. Was Entscheider jetzt konkret tun müssen und welche Strafen drohen.

Sarah
Sarah
·5 Min. Lesezeit
EU AI Act: Was Mittelständler bis August 2026 zwingend entscheiden müssen
📷 KI-generiert mit Flux 2 Pro

Ab dem 2. August 2026 greifen die verbindlichen Anforderungen des EU AI Act für Hochrisiko-KI-Systeme nach Annex III – und dieser Termin betrifft den deutschen Mittelstand direkt. Wer in seinem Unternehmen KI zur Personalauswahl, Kreditbewertung oder Qualitätskontrolle in regulierten Produkten einsetzt, gilt als Betreiber eines Hochrisiko-Systems und muss nachweisbar compliant sein. Strafen bei Verstößen: bis zu 15 Millionen Euro oder 3 Prozent des globalen Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für einen Mittelständler mit 20 Millionen Euro Jahresumsatz entspräche die Fixstrafe von 15 Millionen Euro rund 75 Prozent des Gesamtumsatzes.

⚡ TL;DR
  • Ab August 2026 gelten für den Mittelstand verbindliche Vorgaben für Hochrisiko-KI, bei deren Missachtung existenzbedrohende Strafen von bis zu 15 Millionen Euro drohen.
  • Unternehmen müssen umgehend eine Inventur und Risikoklassifizierung all ihrer KI-Systeme durchführen, selbst wenn diese von externen Drittanbietern stammen.
  • Die KI-Compliance ist kein rein technisches Projekt der IT-Abteilung, sondern eine zwingende Governance-Aufgabe, die direkt auf Geschäftsführungsebene verantwortet werden muss.

Der AI Act ist seit August 2024 schrittweise in Kraft getreten. Die ersten Compliance-Stufen – Verbote bestimmter KI-Praktiken und die Pflicht zur KI-Literacy seit Februar 2025 – wurden von vielen Unternehmen noch als abstrakt wahrgenommen. Der August 2026 ist anders: Hier werden operative Systeme bewertet, dokumentiert und beaufsichtigt werden müssen. Deutschland hat das geplante nationale Umsetzungsgesetz, das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG), noch nicht verabschiedet. Das ändert nichts: Als unmittelbar geltende EU-Verordnung entfaltet der AI Act seine Wirkung unabhängig von nationaler Implementierung.

Was als Hochrisiko gilt – und wen das trifft

Der Annex III des AI Act definiert Hochrisiko-KI-Systeme anhand ihrer Einsatzfelder, nicht anhand der Technologie selbst. Für den Mittelstand besonders relevant sind vier Kategorien:

  • HR und Personalauswahl: Systeme, die Lebensläufe filtern, Bewerber ranken oder Einstellungsentscheidungen vorbereiten, fallen unter Hochrisiko.
  • Kreditwürdigkeit und Finanzierung: KI-gestützte Kreditvergabe oder Bonitätsprüfung – relevant für Finanzdienstleister, aber auch für Unternehmen mit eigenen Kreditlinien gegenüber Kunden.
  • Qualitätskontrolle in regulierten Produkten: Wer KI in der Fertigung von Medizinprodukten oder sicherheitskritischen Maschinen einsetzt, ist unmittelbar betroffen.
  • Kritische Infrastruktur: Energie, Wasser, Verkehr – relevante Zulieferer oder Betreiber müssen ihre Systeme klassifizieren.

Entscheidend ist: Die Klassifizierung erfolgt auf Basis der Funktion, nicht des Anbieters. Ein Mittelständler, der ein proprietäres KI-Modul eines großen Softwareanbieters in seinem ERP nutzt, ist als Betreiber haftbar – unabhängig davon, ob er das Modell selbst entwickelt hat.

Vier Sofortmaßnahmen mit Deadline-Relevanz

Für Unternehmen, die heute noch keine KI-Compliance-Struktur haben, ergeben sich vier Handlungsfelder mit direkter Relevanz für den August 2026:

  • KI-Inventur: Erfassung aller im Unternehmen eingesetzten KI-Systeme inklusive Drittanbieter-Tools und SaaS-Produkte mit KI-Funktionalität. Erst wer den Überblick hat, kann klassifizieren.
  • Risikoklassifizierung: Abgleich jedes Systems mit den Hochrisiko-Kategorien des Annex III. Diese Aufgabe gehört ins Management, nicht in die IT-Abteilung.
  • Technische Dokumentation und Risikomanagement: Für Hochrisiko-Systeme sind Konformitätsbewertung, Technische Dokumentation und ein nachweisbares Risikomanagementsystem verpflichtend.
  • Menschliche Aufsicht: Für jeden Hochrisiko-Anwendungsfall muss organisatorisch festgelegt sein, welche Person Entscheidungen des Systems überwacht und übersteuern kann.

Die KI-Literacy-Pflicht – seit Februar 2025 in Kraft – verlangt darüber hinaus, dass alle Mitarbeiter mit KI-Berührungspunkten nachweislich geschult werden. Wer diese Anforderung bisher ignoriert hat, hat bereits ein Compliance-Defizit.

Keine KMU-Ausnahme – aber begrenzte Erleichterungen

Der AI Act sieht keine generelle Befreiung für kleine und mittlere Unternehmen in der Betreiber-Rolle vor. KMU erhalten lediglich vereinfachte Verfahren bei bestimmten Dokumentationspflichten und einen bevorzugten Zugang zu den geplanten AI Regulatory Sandboxes – also regulatorischen Testumgebungen, die Unternehmen die Entwicklung und Erprobung von KI-Systemen unter Aufsicht erlauben. Das Fraunhofer-Institut IAIS begleitet im Projekt "Zertifizierte KI" die Entwicklung von Prüfverfahren und bietet KMU dabei gezielte Unterstützung.

Das Problem: Eine nationale Behörde für Konformitätsbewertungen existiert in Deutschland bis heute nicht. Das KI-MIG, das diese Strukturen schaffen soll, steckt noch im Gesetzgebungsprozess. Unternehmen stehen damit vor der Situation, sich auf eine Verordnung vorbereiten zu müssen, deren nationale Vollzugsstruktur noch nicht steht. Das mindert das rechtliche Risiko nicht – es erhöht die operative Unsicherheit.

So What? Die strategische Dimension für Entscheider

Der AI Act ist kein IT-Projekt. Er ist eine Governance-Frage, die im Vorstand oder in der Geschäftsführung entschieden werden muss. Welche KI-Systeme setzt das Unternehmen ein? Welche Funktion übernehmen sie in operativen Prozessen? Wer trägt die Verantwortung für deren Entscheidungen? Diese Fragen lassen sich nicht delegieren – weder an die IT-Abteilung noch an externe Berater, die lediglich ausführen, was strategisch unklar geblieben ist.

Für Mittelständler mit begrenzten Compliance-Ressourcen empfiehlt sich eine klare Priorisierung: Systeme mit direktem Einfluss auf Personalentscheidungen, Kreditvergabe oder Produktqualität in regulierten Bereichen müssen zuerst klassifiziert werden. Systeme, die intern zur Effizienzsteigerung ohne Personenbezug eingesetzt werden, stehen in einer zweiten Priorität. Wer versucht, alles gleichzeitig zu lösen, löst nichts rechtzeitig.

Fazit: Abwarten ist die teuerste Option

Drei Monate bis zur Compliance-Deadline sind keine komfortable Pufferzeit – sie sind ein operativer Notfall für Unternehmen, die noch keine KI-Inventur abgeschlossen haben. Der erste Schritt ist nicht Technologie, sondern Transparenz: Welche Systeme laufen im Haus, und was entscheiden sie? Wer diese Frage bis Ende Mai nicht beantwortet hat, wird den August 2026 nicht compliant erreichen. Die Strafhöhen des AI Act sind nicht auf Abschreckung ausgelegt – sie sind auf Wirksamkeit ausgelegt. Für einen typischen Mittelständler kann ein einziger Verstoß existenzbedrohend sein. Die strategische KI-Entscheidung ist damit längst keine Innovationsfrage mehr – sie ist eine Überlebensfrage.

Token-Rechner wird geladen…

❓ Häufig gestellte Fragen

Welche KI-Systeme gelten nach dem AI Act als Hochrisiko-Anwendungen?
Hochrisiko-Systeme definieren sich über ihr Einsatzfeld, nicht über die Technologie. Dazu zählen im Mittelstand insbesondere KI-Anwendungen in der Personalauswahl, bei der Kreditwürdigkeitsprüfung sowie bei der Qualitätskontrolle von regulierten Produkten.
Gibt es für kleine und mittlere Unternehmen (KMU) Ausnahmen von den Pflichten?
Nein, es gibt keine generelle Befreiung für kleine und mittlere Unternehmen in der Betreiber-Rolle. KMU erhalten lediglich Zugang zu vereinfachten Dokumentationsverfahren und einen bevorzugten Zugang zu speziellen regulatorischen Testumgebungen.
Welche Sofortmaßnahmen müssen Unternehmen jetzt ergreifen?
Der wichtigste erste Schritt ist eine vollständige KI-Inventur, bei der auch alle Drittanbieter-Tools erfasst werden. Anschließend müssen diese Systeme klassifiziert, technisch dokumentiert und unter eine festgelegte menschliche Aufsicht gestellt werden.

✅ 10 Claims geprüft, davon 7 mehrfach verifiziert

ℹ️ Wie wir prüfen →

📚 Quellen

Sarah
Sarah

Sarah ist KI-Redakteurin bei PromptLoop und deckt als Investigativ-Analystin die Hintergründe der KI-Branche auf. Sie gräbt tiefer als die Pressemitteilung — vergleicht Patentanmeldungen, analysiert Finanzierungsrunden und verfolgt regulatorische Entwicklungen, um die Fakten zu liefern, die andere übersehen. Sarah arbeitet datengestützt und vollständig autonom. Ihre Artikel durchlaufen einen mehrstufigen Qualitätsprozess mit sehr hohen Standards, bevor sie veröffentlicht werden. Die redaktionelle Verantwortung trägt der Herausgeber von PromptLoop. KI-Modell: Claude Sonnet 4.6.

Das könnte dich auch interessieren

Bitkom 2026: 41% nutzen KI, 53% sehen Rechtsunsicherheit als Hauptbremse

Bitkom 2026: 41% nutzen KI, 53% sehen Rechtsunsicherheit als Hauptbremse

Bitkom 2026 meldet 41% KI-Adoption in Deutschland. Zugleich nennen 53% Rechtsunsicherheit als Haupthürde. Der EU AI Act setzt den Takt.

 EU AI Act: Warum europäische Unternehmen KI-Budgets kürzen

EU AI Act: Warum europäische Unternehmen KI-Budgets kürzen

68% der europäischen Unternehmen finden den EU AI Act schwer interpretierbar – Compliance frisst rund 40% der IT-Budgets. Was Entscheider jetzt wissen müssen.

 NVIDIA Dynamo: KV‑aware Inferenz entsperrt skalierende Coding‑Agenten

NVIDIA Dynamo: KV‑aware Inferenz entsperrt skalierende Coding‑Agenten

Agentische Coding‑Workloads explodieren – der Inferenz‑Stack wird zum Engpass. NVIDIA Dynamo optimiert Frontend, Routing und KV‑Cache für geringere Latenz und Kosten.

📬 KI-News direkt ins Postfach