von Am 2. August 2026 wird es ernst. Dann treten zentrale Vorschriften des EU AI Act in Kraft, und Unternehmen, die Hochrisiko-KI-Systeme einsetzen, müssen compliant sein. Kein Aufschub, keine Übergangsfrist mehr. Wer bis dahin nicht vorbereitet ist, riskiert Bußgelder von bis zu sechs Prozent des Jahresumsatzes.
Für viele Mittelständler klingt das noch abstrakt. Ist es aber nicht. Denn die Definition von „Hochrisiko“ ist breiter, als die meisten vermuten.
Wen betrifft der EU AI Act?
Kurz gesagt: fast jeden, der KI nicht nur als Spielerei einsetzt. Der EU AI Act klassifiziert KI-Systeme in Risikokategorien. Die kritischste für den Mittelstand ist die Hochrisiko-Kategorie. Darunter fallen unter anderem:
- Recruiting und HR-Systeme, die Bewerbungen filtern, ranken oder vorselektieren
- Credit-Scoring und Bonitätsprüfungen, die automatisiert Entscheidungen über Kreditvergabe beeinflussen
- Automatisierte Entscheidungssysteme in Bereichen wie Versicherung, Bildung oder öffentliche Verwaltung
- Biometrische Identifikation und Überwachungssysteme
Wer solche Systeme entwickelt, vertreibt oder auch nur einsetzt, fällt unter die Regulierung. Und „einsetzen“ meint hier nicht nur Eigenentwicklungen — auch eingekaufte SaaS-Lösungen mit KI-Komponenten können betroffen sein.
Was genau wird verlangt?
Die Anforderungen an Hochrisiko-KI-Systeme sind substanziell. Vier Kernbereiche stechen hervor:
1. Risk Assessment
Jedes Hochrisiko-System braucht eine dokumentierte Risikobewertung. Welche Risiken bestehen für betroffene Personen? Wie werden diese Risiken mitigiert? Das ist kein einmaliger Akt, sondern ein fortlaufender Prozess.
2. Audittrails und Dokumentation
Entscheidungen des KI-Systems müssen nachvollziehbar sein. Das bedeutet: Logging, Versionierung der Modelle, Dokumentation der Trainingsdaten und der Entscheidungslogik. Für viele bestehende Systeme ist das eine erhebliche Nachrüstung.
3. Transparenzmitteilungen
Betroffene Personen müssen darüber informiert werden, dass eine KI-gestützte Entscheidung über sie getroffen wird. Und zwar verständlich, nicht in juristischem Kleingedrucktem.
4. Performance-Monitoring
Systeme müssen kontinuierlich überwacht werden. Degradiert die Modellqualität? Entstehen neue Bias-Muster? Unternehmen brauchen Monitoring-Prozesse, die Abweichungen erkennen und dokumentieren.
Die unbequeme Wahrheit: Die meisten sind nicht vorbereitet
Gespräche mit Branchenverbänden und Beratern zeichnen ein einheitliches Bild: Der Großteil der mittelständischen Unternehmen hat noch keine systematische Vorbereitung begonnen. Die Gründe sind nachvollziehbar — das Tagesgeschäft dominiert, die Regulierung wirkte lange abstrakt, und die Zuständigkeit ist oft unklar.
Aber die Deadline rückt näher. Seit dem 14. April 2026 sind es noch rund 110 Tage bis zum Stichtag. Das klingt nach viel, ist es aber nicht — besonders wenn man bedenkt, dass ein vernünftiges Compliance-Projekt mehrere Abteilungen involviert, externe Expertise erfordern kann und Dokumentationsarbeit Zeit braucht.
Was jetzt konkret zu tun ist
Die gute Nachricht: Mit einem strukturierten Vorgehen ist Compliance auch in vier Monaten noch erreichbar. Der folgende Fahrplan hat sich bewährt:
Schritt 1: KI-Inventar erstellen
Klingt banal, ist aber der wichtigste Schritt. Viele Unternehmen wissen gar nicht genau, wo überall KI-Komponenten im Einsatz sind. Das betrifft nicht nur offensichtliche Systeme wie Chatbots, sondern auch KI-Features in eingekaufter Software — vom CRM über die Buchhaltung bis zum Bewerbermanagement.
Erstellen Sie eine vollständige Liste aller Systeme, die KI oder Machine Learning nutzen. Für jedes System dokumentieren: Was tut es? Welche Daten verarbeitet es? Wer ist betroffen?
Schritt 2: Risikokategorisierung durchführen
Ordnen Sie jedes System einer Risikokategorie des EU AI Act zu. Die Europäische Kommission stellt dafür Leitlinien bereit. Fachverbände wie BITKOM und ZDH haben ebenfalls praxistaugliche Compliance-Guides veröffentlicht, die speziell auf den Mittelstand zugeschnitten sind.
Fokussieren Sie sich auf die Hochrisiko-Systeme. Systeme mit minimalem oder begrenztem Risiko haben geringere Anforderungen und können nachgelagert bearbeitet werden.
Schritt 3: Gap-Analyse je Hochrisiko-System
Für jedes identifizierte Hochrisiko-System: Wo stehen Sie heute, und wo müssen Sie am 2. August sein? Typische Lücken:
- Fehlende oder unzureichende Dokumentation der Entscheidungslogik
- Kein systematisches Logging oder Audittrail
- Keine Transparenzhinweise an betroffene Personen
- Kein Performance-Monitoring implementiert
- Keine dokumentierte Risikobewertung
Schritt 4: Compliance-Roadmap mit klaren Verantwortlichkeiten
Auf Basis der Gap-Analyse entsteht ein priorisierter Maßnahmenplan. Wichtig: Compliance ist kein reines IT-Thema. Beteiligt werden müssen mindestens Geschäftsführung, IT, Recht und die jeweiligen Fachabteilungen.
Definieren Sie pro Maßnahme einen Verantwortlichen, ein Zieldatum und die nötigen Ressourcen. Und starten Sie mit den Systemen, die das höchste Risiko und die größten Lücken haben.
Die Chance hinter der Regulierung
Compliance-Projekte werden oft als reine Pflichtübung wahrgenommen. Das greift zu kurz. Der EU AI Act zwingt Unternehmen dazu, etwas zu tun, was ohnehin sinnvoll wäre: den eigenen KI-Einsatz zu verstehen, zu dokumentieren und zu steuern.
Wer diesen Prozess jetzt sauber durchläuft, gewinnt nicht nur Rechtssicherheit. Er gewinnt auch ein deutlich besseres Verständnis der eigenen KI-Landschaft, kann fundierter über Investitionen entscheiden und wird zum verlässlicheren Partner für Kunden und Geschäftspartner, die selbst unter Compliance-Druck stehen.
Fazit: Es ist nicht zu spät — aber fast
Der EU AI Act ist keine Empfehlung und kein Branchenstandard. Er ist geltendes Recht mit empfindlichen Sanktionen. Vier Monate Vorbereitungszeit sind knapp, aber machbar — wenn Sie jetzt anfangen.
Der erste Schritt ist simpel: Machen Sie eine Liste aller KI-Systeme in Ihrem Unternehmen. Heute noch. Alles Weitere ergibt sich daraus.
—
Weiterführende Quellen: Die [Europäische Kommission](https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai) stellt den vollständigen Gesetzestext und Leitlinien bereit. Praxisorientierte Compliance-Guides finden sich bei BITKOM und dem Zentralverband des Deutschen Handwerks (ZDH).
