EU AI Act im Mittelstand: Dein Fahrplan für 2026
Inhaltsverzeichnis
- Das Wichtigste in Kürze
- Erst mal sortieren: Was ist hier eigentlich passiert?
- Schritt 1: Bist du überhaupt betroffen? Und wie stark?
- Schritt 2: Was du jetzt sofort tun musst
- Schritt 3: Was bis August 2026 und danach auf dich zukommt
- Gute Nachricht für den Mittelstand: die Small-Mid-Caps-Regel
- So gehen wir das in der Praxis an
- Fazit: Durchatmen ja, Einschlafen nein
- Häufige Fragen zum EU AI Act im Mittelstand
Das Wichtigste in Kürze
Wenn du KI im Unternehmen einsetzt, bist du vom EU AI Act betroffen, dem europäischen Gesetz für künstliche Intelligenz. Die gute Nachricht: Mit dem sogenannten Digital Omnibus, einem Anpassungspaket der EU vom Frühjahr 2026, bekommst du für die aufwendigen Pflichten deutlich mehr Zeit, oft bis Ende 2027 oder 2028. Die weniger gute Nachricht: Zwei Dinge gelten trotzdem schon heute. Du darfst bestimmte KI-Anwendungen gar nicht einsetzen, und dein Team muss im Umgang mit KI geschult sein.
Dieser Artikel zeigt dir in drei Schritten, was das für dich konkret bedeutet: ob du betroffen bist, was sofort zu tun ist und was bis 2027 Zeit hat. Am Ende hast du eine einfache Selbsteinschätzung, mit der du Montagmorgen starten kannst.
Erst mal sortieren: Was ist hier eigentlich passiert?
Du hast vielleicht in den letzten Wochen widersprüchliche Schlagzeilen gelesen. Mal heißt es, die KI-Regeln werden verschärft, mal, sie werden verschoben. Beides stimmt. Damit du das einordnen kannst, hier die beiden Begriffe, um die es geht.
Der EU AI Act ist die KI-Verordnung der EU. Sie ist seit August 2024 in Kraft und regelt, welche KI-Anwendungen erlaubt sind und welche Pflichten Unternehmen beim Einsatz von KI haben. Sie gilt für alle, die KI nutzen, nicht nur für Tech-Konzerne. Ein Handwerksbetrieb mit einem KI-Chatbot auf der Website fällt genauso darunter wie ein Industrieunternehmen.
Der Digital Omnibus ist ein Korrekturpaket, mit dem die EU diese Verordnung praxistauglicher macht. Der Hintergrund ist simpel: Die EU hat gemerkt, dass ihr eigener Zeitplan zu sportlich war. Es fehlen noch die technischen Standards, an denen Unternehmen sich orientieren könnten. Der Omnibus schiebt deshalb die kompliziertesten Fristen nach hinten und entlastet kleinere Unternehmen gezielt.
Wichtig für deine Planung: Die EU-Kommission hat den Omnibus im November 2025 vorgelegt, die politische Einigung kam Anfang Mai 2026. Formell rechtskräftig wird er aber erst mit der Veröffentlichung im Amtsblatt, voraussichtlich im Juli 2026. Bis dahin gilt rechtlich noch der ursprüngliche Zeitplan. Die Verschiebungen sind also politisch beschlossen, aber noch nicht endgültig in Kraft. Wer ganz auf Nummer sicher gehen will, plant vorerst weiter mit den alten Fristen.
Schritt 1: Bist du überhaupt betroffen? Und wie stark?
Bevor du dich in Fristen verlierst, klär die wichtigste Frage zuerst: Wie intensiv betrifft dich das Thema? Das hängt davon ab, wofür du KI einsetzt. Der AI Act unterscheidet drei Stufen, und für die allermeisten Mittelständler ist nur die unterste oder mittlere relevant.
Stufe 1 Verbotene Anwendungen
Eine kleine Gruppe von KI-Einsätzen ist schlicht illegal, zum Beispiel Social Scoring oder KI, die Menschen gezielt manipuliert. Das betrifft im normalen Mittelstand so gut wie niemanden. Trotzdem solltest du es einmal aktiv ausschließen, dazu unten mehr.
Stufe 2 Hochrisiko-Anwendungen
Hier wird es aufwendig. Gemeint ist KI, die über Menschen entscheidet, etwa eine KI, die Bewerbungen vorsortiert, Kreditwürdigkeit prüft oder Mitarbeitende bewertet. Wenn du so etwas einsetzt, kommen umfangreiche Dokumentations- und Prüfpflichten auf dich zu. Genau für diese Pflichten hat der Omnibus aber die Fristen verschoben, du hast also Zeit.
Stufe 3 Alltags-KI mit geringem Risiko
Das ist der Fall für die große Mehrheit. Du nutzt ChatGPT für Recherche, einen KI-Assistenten im Office-Paket, ein KI-Übersetzungstool oder einen Chatbot im Kundenservice. Hier sind die Pflichten überschaubar: Du musst transparent machen, wo KI im Spiel ist, und dein Team muss geschult sein.
Die meisten Unternehmen sind erleichtert, wenn sie merken, dass sie in der dritten Kategorie liegen. Wichtig ist nur, dass du diese Einordnung einmal bewusst und dokumentiert vornimmst, statt sie nur zu vermuten.
Schritt 2: Was du jetzt sofort tun musst
Zwei Pflichten gelten unabhängig vom Omnibus bereits heute. Das sind deine Hausaufgaben, und sie sind machbar.
Verbotene Praktiken ausschließen
KI für Social Scoring, für manipulative Verhaltensbeeinflussung oder für biometrische Echtzeit-Überwachung im öffentlichen Raum ist verboten. Verstöße sind teuer, bis zu 7 Prozent des weltweiten Jahresumsatzes. Für dich heißt das konkret: einmal die eingesetzten KI-Tools durchgehen und aktiv bestätigen, dass nichts davon in diese Kategorie fällt. Bei klassischen Mittelstands-Anwendungen ist das schnell erledigt, aber dokumentiere es, damit du es im Zweifel belegen kannst.
Dein Team KI-fit machen
Der AI Act verlangt, dass Mitarbeitende, die mit KI arbeiten, verstehen, was das Tool tut, wo seine Grenzen liegen und welche Risiken es gibt. Das nennt sich KI-Kompetenz oder AI Literacy.
Hier gibt es eine juristische Feinheit, die du kennen solltest. Bisher war das eine verbindliche Pflicht. Der Digital Omnibus stuft sie auf eine Empfehlung herab. Das klingt nach Entwarnung, ist aber keine. Wenn durch einen unbedachten KI-Einsatz ein Schaden entsteht, etwa weil jemand vertrauliche Daten in ein öffentliches KI-Tool eingibt, dann wird eine fehlende Schulung als Sorgfaltspflichtverletzung gewertet. Du haftest also unter Umständen, auch ohne dass ein direktes Bußgeld droht.
Für dich heißt das konkret: Schulung ist nicht optional. Wer sein Team schult und das dokumentiert, schützt sich vor Haftungsrisiken und macht die KI-Nutzung im Unternehmen gleichzeitig produktiver. Das ist die Maßnahme mit dem besten Verhältnis von Aufwand zu Wirkung.
Schritt 3: Was bis August 2026 und danach auf dich zukommt
Hier kommen die Fristen, die in der Zukunft liegen. Du musst sie kennen, aber nicht heute abarbeiten.
Ab August 2026: Transparenz nach außen
Wenn deine Kundschaft mit einer KI interagiert, muss sie das erkennen können. Ein Chatbot muss sich also als KI zu erkennen geben. Und wenn du täuschend echte KI-Inhalte veröffentlichst, sogenannte Deepfakes, musst du das offenlegen. Die zusätzliche technische Anforderung, KI-Inhalte maschinenlesbar zu markieren, kommt voraussichtlich erst Ende 2026 oder Anfang 2027. Verstöße gegen die Transparenzpflichten kosten bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Umsatzes.
Ende 2027 und 2028: Die Hochrisiko-Pflichten
Falls du KI einsetzt, die über Menschen entscheidet, greifen die aufwändigen Dokumentations- und Prüfpflichten. Für die meisten Anwendungen ist der neue Zieltermin Dezember 2027, für KI in sicherheitskritischen Produkten August 2028. Solltest du betroffen sein, hast du jetzt also Vorbereitungszeit, kein Grund zur Eile, aber auch kein Grund, es zu vergessen.
Gute Nachricht für den Mittelstand: die Small-Mid-Caps-Regel
Eine Neuerung im Digital Omnibus ist speziell für dich gemacht. Bisher gab es Erleichterungen nur für kleine und mittlere Unternehmen im engeren Sinne. Der Omnibus weitet sie auf eine neue, größere Gruppe aus: die Small Mid-Caps. Damit sind Unternehmen mit bis zu 750 Mitarbeitenden oder bis zu 150 Millionen Euro Umsatz gemeint. Das deckt einen Großteil des klassischen deutschen Mittelstands ab. Wenn dein Unternehmen in diese Größenordnung fällt, profitierst du von drei konkreten Erleichterungen:
Erstens weniger Bürokratie, weil die Dokumentationspflichten vereinfacht sind. Zweitens niedrigere Bußgelder, denn für kleinere Unternehmen sind die Strafen gedeckelt, kleine und mittlere Unternehmen zahlen im Ernstfall bis zur Hälfte weniger. Drittens bessere Unterstützung, etwa durch erleichterten Zugang zu staatlichen Testumgebungen, in denen du KI-Anwendungen ausprobieren kannst, bevor alle Regeln vollständig greifen.
Unterm Strich: Wenn du Mittelständler bist, ist der Omnibus für dich eher Entlastung als Belastung. Du solltest nur wissen, dass du diese Erleichterungen in Anspruch nehmen kannst.
Übrigens schärft die EU an einer Stelle auch nach. Ein Verbot von sogenannten Nudification-Apps, also KI, die nicht-einvernehmliche intime Bilder erzeugt, sowie von KI für Finanzbetrug tritt voraussichtlich ab Dezember 2026 in Kraft. Für den normalen Mittelstand hat das keine praktische Bedeutung, zeigt aber: Die EU verschiebt Fristen, weicht den Schutz aber nicht auf.
So gehen wir das in der Praxis an
In unseren Lunch & Learn Sessions für den Mittelstand erleben wir oft dasselbe Muster. Unternehmen glauben, KI-Compliance sei ein riesiges Rechtsthema, und schieben es deshalb auf. Daniel Claessen, unser Senior Manager AI Solutions bei OPEN, dreht das im Gespräch meist um. Der erste Schritt ist selten ein juristischer, sondern ein praktischer: eine ehrliche Bestandsaufnahme, welche KI-Tools im Haus überhaupt im Einsatz sind, gefolgt von einer einfachen internen Leitlinie und einer Schulung.
Aus dieser Bestandsaufnahme ergibt sich fast von selbst, in welche der drei Kategorien ein Unternehmen fällt und was wirklich zu tun ist. Was nach einem Berg aus Paragrafen aussah, wird so zu einer Handvoll konkreter, bearbeitbarer Schritte. Genau an diesem Punkt wird aus Compliance-Pflicht ein echter Vorteil, weil ein Unternehmen, das seine KI-Nutzung im Griff hat, schneller und sicherer mit KI arbeitet als eines, das das Thema meidet.
Unsere aktuellen Lunch & Learn Angebote findest du hier
Gerade keins dabei? Schau gern mal wieder rein. Da tut sich immer was.
Fazit: Durchatmen ja, Einschlafen nein
Der Digital Omnibus verschafft dem Mittelstand spürbar Luft bei den komplizierten Hochrisiko-Themen, und die Small-Mid-Caps-Regel ist eine echte Entlastung. Was er dir nicht abnimmt, sind die beiden Hausaufgaben, die heute schon gelten: verbotene Anwendungen ausschließen und dein Team KI-fit machen.
Die ehrliche Zusammenfassung lautet: Wer jetzt eine schlichte interne Leitlinie aufsetzt, sein Team schult und einmal die drei Fragen aus diesem Artikel durchgeht, hat den größten Teil seiner Pflichten erfüllt. Der Rest ist Vorbereitung für 2027, und dafür ist Zeit.
Vom Überblick zum ersten Schritt: das KI Playbook für den Mittelstand
Du weißt jetzt, in welche Kategorie dein Unternehmen fällt und was die Pflichten sind. Die nächste Frage lautet meistens: Und wie fange ich konkret an, KI sinnvoll zu nutzen?
Genau dafür haben wir das KI Playbook für den Mittelstand gemacht. Statt grauer Theorie bekommst du sieben konkrete Moves, mit denen du KI ins Unternehmen holst, dazu echte Cases aus der Praxis und konkrete Ansatzpunkte für deinen ersten Use Case. Das Playbook ist kostenlos und ohne Hürde zugänglich, du kannst direkt loslegen.
Das könnte dich auch interessieren:
Häufige Fragen zum EU AI Act im Mittelstand FAQ
Der EU AI Act ist das KI-Gesetz der Europäischen Union. Es regelt seit August 2024, welche KI-Anwendungen erlaubt sind und welche Pflichten Unternehmen beim Einsatz von KI erfüllen müssen. Es gilt für jedes Unternehmen, das KI nutzt, nicht nur für Technologiekonzerne.
Der Digital Omnibus ist ein Korrekturpaket der EU. Er verschiebt vor allem die Fristen für komplexe Hochrisiko-KI-Systeme nach hinten, auf Ende 2027 beziehungsweise 2028, weil die EU noch an den technischen Standards arbeitet. Gleichzeitig führt er Erleichterungen für mittelständische Unternehmen ein. Die politische Einigung fiel im Mai 2026, formell rechtskräftig wird der Omnibus voraussichtlich im Juli 2026.
Ja, der AI Act gilt für jeden, der KI einsetzt. Wie stark er dich betrifft, hängt davon ab, wofür du KI nutzt. Für die meisten Mittelständler, die KI im Alltag einsetzen, etwa ChatGPT oder einen Chatbot, sind die Pflichten überschaubar. Wer KI für Entscheidungen über Menschen einsetzt, etwa in der Bewerberauswahl, hat mehr zu tun.
Small Mid-Caps sind Unternehmen mit bis zu 750 Mitarbeitenden oder bis zu 150 Millionen Euro Umsatz. Der Digital Omnibus dehnt die Erleichterungen, die bisher nur für kleinere Unternehmen galten, auf diese Gruppe aus. Konkret bedeutet das vereinfachte Dokumentationspflichten, gedeckelte Bußgelder und besseren Zugang zu staatlichen KI-Testumgebungen.
Ab dem 2. August 2026 greifen die Transparenzpflichten. Chatbots müssen sich als KI zu erkennen geben, und Deepfakes müssen offengelegt werden. Die zusätzliche technische Kennzeichnung von KI-Inhalten folgt etwas später. Wer die Offenlegungspflichten ignoriert, riskiert Bußgelder bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Umsatzes.
Der Digital Omnibus wandelt die ursprüngliche Schulungspflicht in eine Empfehlung um. Trotzdem ist Schulung dringend ratsam. Wenn durch unsachgemäße KI-Nutzung ein Schaden entsteht, kann eine fehlende Schulung als Sorgfaltspflichtverletzung gewertet werden. Du haftest dann möglicherweise, auch ohne direktes Bußgeld.
Die Strafen sind gestaffelt. Bei verbotenen KI-Praktiken drohen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Bei Verstößen gegen die Transparenzpflichten sind es bis zu 15 Millionen Euro oder 3 Prozent. Für kleine und mittlere Unternehmen sind diese Bußgelder reduziert.
Geh die drei Fragen aus diesem Artikel durch: Setzt du KI ein, die über Menschen entscheidet? Interagiert deine KI sichtbar mit Kundschaft? Nutzt du Alltags-KI? Aus den Antworten ergibt sich deine Prioritätenliste. Für die meisten Unternehmen sind die ersten Schritte eine interne KI-Leitlinie und die Schulung des Teams.
Mit einem Klick auf Social Media teilen
Kontakt. Auf Augenhöhe.
Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen