EU AI Act für den Mittelstand: Was 2026 verpflichtend wird

Der EU AI Act ist im August 2024 in Kraft getreten und entfaltet seine Wirkung in gestaffelten Anwendungsfristen. Für viele mittelständische Unternehmen wird 2026 das Jahr, in dem die Regelung erstmals praktisch spürbar wird — auch wenn sie nicht in den Hochrisiko-Kategorien tätig sind.

Dieser Artikel erklärt, was im Mittelstand 2026 wirklich verpflichtend wird, welche Risikoklassen für die meisten Praxis-Use-Cases relevant sind und welche konkreten Schritte sich jetzt lohnen — ohne in Panik zu verfallen oder die Anforderungen zu unterschätzen.

Was der EU AI Act regelt — und was nicht

Der AI Act ist ein produktbezogenes Regelwerk: Er regelt das Inverkehrbringen und den Betrieb von KI-Systemen in der EU, abhängig von deren Risikopotenzial. Er ergänzt damit die DSGVO, die personenbezogene Daten schützt — und das Produkthaftungsrecht, das die Folgen fehlerhafter Produkte adressiert.

Vier Risikoklassen sind zentral:

1. Verbotene KI-Praktiken — etwa Social Scoring durch Behörden oder bestimmte Formen biometrischer Massenüberwachung. Seit Februar 2025 verboten.
2. Hochrisiko-KI-Systeme — etwa in Personalauswahl, Bonitätsprüfung, kritischer Infrastruktur. Strenge Anforderungen an Datenqualität, Risikomanagement und Konformitätsbewertung.
3. KI-Systeme mit Transparenzpflichten — etwa Chatbots oder Deepfakes. Nutzende müssen erkennen können, dass sie mit einem KI-System interagieren.
4. Minimales Risiko — der überwiegende Teil aller Use Cases im Mittelstand. Hier gelten primär freiwillige Verhaltenskodizes und allgemeine Transparenz.

Für die meisten Service-, Vertriebs- und Reporting-Use-Cases im Mittelstand greift Klasse 3 oder 4 — nicht die Hochrisiko-Klasse. Das ist eine wesentliche Entlastung gegenüber den ersten Lesarten des Gesetzes.

Anwendungsfristen — was 2026 konkret beginnt

Der AI Act wird nicht in einem Schwung wirksam, sondern gestaffelt:

• Februar 2025: Verbotene Praktiken (Art. 5) und Pflicht zur AI-Literacy (Art. 4) — letzteres bedeutet, dass Unternehmen sicherstellen müssen, dass Beschäftigte mit ausreichender KI-Kompetenz mit den Systemen umgehen.
• August 2025: Regeln für General-Purpose-AI-Modelle und Governance-Strukturen.
• August 2026: Hauptteil der Anforderungen, inklusive Hochrisiko-Anforderungen für Anhang-III-Systeme und Transparenzpflichten.
• August 2027: Hochrisiko-Anforderungen für Systeme, die unter die Produktsicherheitsregeln in Anhang I fallen.

Für den Mittelstand wird 2026 damit zum Stichjahr für die Transparenzpflichten — also vor allem für Chatbots, virtuelle Assistenten und KI-generierte Inhalte.

Transparenzpflichten — die konkrete Auswirkung im Mittelstand

Wenn Sie KI-Agenten im Kundenkontakt einsetzen, gilt ab August 2026:

Kennzeichnungspflicht für KI-Interaktion. Nutzende müssen wissen, dass sie mit einem KI-System interagieren — sofern das nicht aus dem Kontext offensichtlich ist. In der Praxis: ein Hinweis in der Chat-Begrüßung, im Mail-Footer oder am Anfang einer automatisch generierten Service-Antwort.

Kennzeichnung KI-generierter Inhalte. Synthetische Inhalte (Texte, Bilder, Audio) müssen als solche erkennbar sein. Für Texte aus Service-Agenten heißt das: ein einmaliger Hinweis pro Konversation oder Antwort genügt in der Regel.

Information bei automatisierter Emotionserkennung. Sofern eingesetzt — was im Mittelstand selten ist — muss die betroffene Person darüber informiert werden.

Diese Pflichten sind mit überschaubarem Aufwand umsetzbar, vor allem wenn man sie früh in die UX-Gestaltung integriert. Wer den Hinweis nachträglich einbauen muss, hat oft mehr Arbeit, als wenn er ihn von Anfang an mitdenkt.

AI-Literacy — die unterschätzte Pflicht ab 2025

Seit Februar 2025 müssen Unternehmen sicherstellen, dass die Personen, die mit KI-Systemen arbeiten oder deren Ergebnisse nutzen, über ausreichende KI-Kompetenz verfügen. Was "ausreichend" konkret heißt, definiert der AI Act nicht abschließend — aber praktisch bedeutet es:

• Grundverständnis der eingesetzten KI-Systeme: Was kann das System, was kann es nicht, wo liegen typische Fehlerquellen.
• Bewusstsein für Bias und Halluzinationen — und die Gewohnheit, KI-Output zu prüfen, statt blind zu übernehmen.
• Wissen um Eskalationswege — wann sollte ein Mensch übernehmen, wer ist der richtige Ansprechpartner.

Für Mittelständler heißt das nicht, dass jeder Mitarbeitende einen mehrtägigen Kurs absolvieren muss. Aber es heißt, dass eine dokumentierte Schulung (intern oder extern) Teil der Roll-out-Vorbereitung sein sollte. Das ist gleichzeitig die beste Risikoprävention gegen Fehlanwendungen.

Wann wird Hochrisiko relevant — und wann nicht

Hochrisiko-KI-Systeme sind in Anhang III gelistet. Für den Mittelstand sind drei Bereiche besonders relevant:

• Beschäftigung und Personalwesen: KI-gestützte Vorauswahl von Bewerbungen, automatisierte Bewertung von Mitarbeitenden, Empfehlungen für Versetzungen oder Kündigungen.
• Bonitätsbeurteilung: KI-Systeme, die über Kreditwürdigkeit von Privatpersonen entscheiden.
• Kritische Infrastruktur: Steuerung von Wasser-, Strom-, Gas-Netzen oder Verkehrsinfrastruktur.

Für die meisten Service-, Vertriebs- und Reporting-Use-Cases trifft das nicht zu. Wichtige Abgrenzung: Ein Lead-Qualifizierungs-Agent, der eingehende B2B-Anfragen sortiert, ist in der Regel kein Hochrisiko-System — anders als ein Bewerbungs-Sortierer für Stellenbesetzungen.

Wer dennoch in einer Hochrisiko-Kategorie tätig ist, kommt um eine Konformitätsbewertung, ein Risikomanagement, Datenqualitäts-Anforderungen, Logging und CE-Kennzeichnung nicht herum. Das ist substantielle Arbeit, sollte aber nicht durch generelle Vorsicht in den Mittelstand getragen werden, der sie nicht braucht.

General-Purpose-AI und der Effekt auf die Lieferkette

Anbieter von General-Purpose-AI-Modellen (LLMs) haben eigene Pflichten — etwa zur Dokumentation der Trainingsdaten, zum Urheberrechts-Compliance und zur Bereitstellung technischer Dokumentation für Downstream-Nutzer. Für Sie als Mittelständler heißt das:

• Die Anbieter Ihrer LLM-API (Anthropic, OpenAI, Google etc.) tragen einen wesentlichen Teil der Compliance-Last.
• Sie können sich auf die Compliance-Erklärungen der Anbieter stützen, müssen sie aber dokumentiert nachvollziehen.
• Bei der Anbieterwahl wird AI-Act-Konformität zum Auswahlkriterium — vor allem in regulierten Branchen.

Konkret: Anthropic veröffentlicht Acceptable-Use-Policies und Compliance-Statements; nutzen Sie das im Anbieter-Onboarding und legen Sie es zu Ihrer Dokumentation.

Praxis-To-Dos für 2026

Was sollte ein mittelständisches Unternehmen, das KI-Agenten einsetzt oder einführen will, in den nächsten Monaten konkret tun?

1. Use-Case-Inventar erstellen. Welche KI-Systeme werden eingesetzt, in welchen Bereichen, mit welchem Datenkontakt? Ohne dieses Inventar ist keine Risikoklassifizierung möglich.

2. Risikoklasse pro Use Case bestimmen. In den meisten Fällen wird das Ergebnis "minimales Risiko" oder "Transparenzpflicht" sein. Dokumentieren.

3. Transparenz-Hinweise umsetzen. Wo Nutzende mit KI-Agenten interagieren, klare Kennzeichnung. Lieber einmal zu deutlich als zu subtil.

4. AI-Literacy-Programm aufsetzen. Eine kurze, dokumentierte Schulung für alle Mitarbeitenden, die mit KI-Systemen arbeiten — ein eigenes Format oder ein Add-On in bestehenden Trainings.

5. Anbieter-Compliance dokumentieren. Compliance-Erklärungen Ihrer LLM- und Plattform-Anbieter sammeln und mit dem eigenen Compliance-Register verknüpfen.

6. Governance-Verantwortliche benennen. Eine Person, idealerweise aus IT oder Compliance, die für AI-Governance ansprechbar ist und die Kommunikation mit Aufsichtsbehörden übernimmt.

Häufige Missverständnisse

Drei Fehlannahmen sehen wir besonders oft:

"Der AI Act betrifft uns als Mittelständler kaum." Falsch — die Transparenzpflichten greifen branchenunabhängig, sobald KI-Agenten im Kundenkontakt eingesetzt werden. Das ist im Mittelstand inzwischen Standard.

"Wir warten ab, bis es Detailregeln gibt." Auch nicht ideal — die AI-Literacy-Pflicht gilt seit Februar 2025, und die meisten Maßnahmen sind ohnehin gute Hygiene, die später an Wert nicht verliert.

"Hochrisiko bedeutet Verbot." Falsch — Hochrisiko bedeutet strenge Anforderungen, aber kein Verbot. Wer es seriös aufsetzt, kann auch Hochrisiko-Systeme rechtssicher betreiben.

Wie es weitergeht

Der AI Act wird in den nächsten Jahren durch Leitlinien, Standards und Aufsichtspraxis konkretisiert werden. Wir aktualisieren diesen Artikel, sobald sich für den Mittelstand wesentliche Änderungen ergeben. Wenn Sie an einer konkreten Bewertung Ihrer Use Cases interessiert sind, sprechen Sie uns an.

Verwandt:

• KI-Agenten DSGVO-konform einsetzen — Praxis-Leitfaden zur DSGVO
• DSGVO im Wissens-Hub — kompakte Definition
• KI-Agenten für den Mittelstand — Vorgehen und Voraussetzungen