von EU-KI-Act: Was Mittelständler bis August 2026 erledigt haben müssen
Am 2. August 2026 wird der EU-KI-Act vollständig verbindlich. Für Unternehmen, die KI einsetzen, ist das kein abstraktes Regulierungsthema — es ist ein Geschäftstermin mit konkreten Konsequenzen.
—
Die Ausgangslage
Der EU-KI-Act gilt seit Februar 2025. Aber die Phase, in der er für die meisten Mittelständler wirklich greift, beginnt erst im August 2026. Bis dahin müssen Unternehmen ihre KI-Systeme klassifiziert, dokumentiert und — falls als Hochrisiko eingestuft — auditiert haben.
Wer das bis dahin nicht tut, riskiert Bußgelder von bis zu 6% des Jahresumsatzes.
Gleichzeitig läuft ein zweites Fenster: Die BAFA-Förderrichtlinie „Förderung unternehmerischen Know-hows“ läuft Ende 2026 aus. Unternehmen, die jetzt noch KI-Beratung beauftragen, können bis zu 50% der Kosten erstatten lassen. Compliance-Investition und Förderung lassen sich kombinieren — aber nur, wenn rechtzeitig gehandelt wird.
—
Was der Gesetzgeber konkret verlangt
Der EU-KI-Act unterscheidet KI-Systeme nach Risikostufen. Für den Mittelstand sind drei Kategorien praxisrelevant.
Verbotene KI-Systeme
Diese Kategorie betrifft die meisten Mittelständler nicht direkt. Es geht um Social Scoring, manipulative KI-Systeme oder biometrische Massenüberwachung. Wer solche Systeme einsetzt, hat grundsätzlichere Probleme als Compliance.
Hochrisiko-KI-Systeme — die kritische Kategorie
Hier wird es für viele Unternehmen überraschend konkret. Hochrisiko-Klassifizierung trifft KI-Systeme in folgenden Bereichen:
- Personalentscheidungen: KI-gestütztes Bewerber-Screening, Performance-Bewertung, Entlassungsentscheidungen
- Kreditvergabe: Automatisierte Bonitätsprüfung, Zahlungsausfallprognosen
- Sicherheitskritische Anlagen: KI in der Produktionssteuerung oder Qualitätskontrolle mit sicherheitsrelevanter Wirkung
- Wesentliche Dienstleistungen: Energie, Wasser, Transport
Wer solche Systeme einsetzt — oft als eingekaufte Software-Lösung, nicht als Eigenentwicklung — ist ab August 2026 verpflichtet:
Generalpflicht KI-Kompetenz — oft übersehen
Das gilt für alle Unternehmen, die KI einsetzen — auch niedrigriskante Chatbots, Textgeneratoren oder Analysetools. Mitarbeiter, die KI-Systeme nutzen oder überwachen, müssen „angemessene KI-Kompetenz“ nachweisen können.
Was das konkret bedeutet, ist regulatorisch noch nicht vollständig ausformuliert. Erste Auslegungen deuten auf Schulungsnachweise hin. Wer jetzt Schulungen dokumentiert, ist auf der sicheren Seite.
—
Was der „Digital Omnibus on AI“ geändert hat
Im November 2025 hat der Gesetzgeber mit dem „Digital Omnibus on AI“ einige Erleichterungen für KMU eingeführt. Die vereinfachte technische Dokumentation entlastet administrativ — sie befreit aber nicht von der inhaltlichen Compliance-Pflicht.
Kurz gesagt: weniger Papierkram, dieselben Anforderungen.
—
Warum viele Mittelständler noch nicht vorbereitet sind
Aktuelle Studien zeigen, dass mehr als die Hälfte der betroffenen Unternehmen noch keine systematische KI-Bestandsaufnahme durchgeführt hat. Die häufigsten Gründe:
„Wir setzen keine KI ein.“ — Stimmt oft nicht. Wer HR-Software mit automatisiertem Screening nutzt, wer Kreditmanagement-Tools einsetzt, wer Produktionsanlagen mit KI-basierter Qualitätskontrolle betreibt: Das zählt alles.
„Das betrifft uns als kleines Unternehmen nicht.“ — Der EU-KI-Act gilt größenunabhängig. Die Vereinfachungen für KMU betreffen die Form der Dokumentation, nicht die Pflicht an sich.
„Wir kaufen Software, entwickeln nicht selbst.“ — Auch als Nutzer (nicht nur als Anbieter) tragen Unternehmen Pflichten, wenn sie Hochrisiko-Systeme in ihren Prozessen einsetzen.
—
Der praktische Fahrplan
Drei Schritte, die jetzt — nicht im Juli 2026 — angegangen werden sollten:
Schritt 1: KI-Bestandsaufnahme
Welche Software-Systeme im Unternehmen nutzen KI? Das schließt eingekaufte Lösungen, Cloud-Dienste und auch einfache Automatisierungen ein. Ziel: eine Liste aller Systeme mit grober Einschätzung, in welche Risikokategorie sie fallen.
Schritt 2: Hochrisiko-Prüfung
Für jedes System prüfen: Fällt es in eine der Hochrisiko-Kategorien? Falls ja, welche Dokumentations- und Governance-Anforderungen greifen? Hier lohnt externe Beratung — auch weil BAFA-Förderung die Kosten halbieren kann.
Schritt 3: KI-Kompetenz aufbauen und dokumentieren
Schulungen organisieren, Nachweise sichern. Das ist der einfachste Teil — und der, der am häufigsten aufgeschoben wird.
—
Compliance als Wettbewerbsvorteil
Wer den EU-KI-Act nur als Regulierungslast sieht, verschenkt eine Chance. Unternehmen, die ihre KI-Systeme sauber dokumentiert, ihre Mitarbeiter geschult und ihre Prozesse auf Transparenz ausgerichtet haben, können das gegenüber Kunden und Partnern kommunizieren — besonders im B2B-Bereich, wo Auditierbarkeit zunehmend in Ausschreibungen gefragt wird.
Die Frage ist nicht: „Muss ich das wirklich?“ Die Frage ist: „Wie nutze ich das?“
—
Das Zeitfenster
- Jetzt bis Ende 2026: BAFA-Förderung für KI-Beratung nutzbar (bis zu 50% Kostenerstattung)
- 2. August 2026: EU-KI-Act vollständig verbindlich, Bußgelder greifen
- Heute: Optimaler Zeitpunkt für KI-Bestandsaufnahme und Compliance-Planung
Wer jetzt anfängt, hat genug Zeit. Wer im Frühjahr 2026 anfängt, ebenfalls — aber knapper. Wer im Juli 2026 anfängt, hat ein Problem.
—
Haben Sie bereits eine Übersicht Ihrer KI-Systeme? Oder stehen Sie noch am Anfang der Bestandsaufnahme? Schreiben Sie es in die Kommentare — oder nehmen Sie direkt Kontakt auf.
—
`#EUKIAct` `#KICompliance` `#Mittelstand` `#DigitalTransformation` `#BAFA`
