Das Gesetz gilt für alle: Ein Brief an den Mittelstand
Es gibt einen Satz, den ich in den letzter Zeit häufiger gehört habe, als mir lieb ist:
„Der EU AI Act, das ist doch eher was für die Großen."
Er kommt von Geschäftsführern, die nicht naiv sind und ihren Betrieb gut kennen. Die DSGVO irgendwie gemeistert haben und KI-Regulierung für die nächste Variante desselben Spiels halten. Viel Aufwand, wenig Konsequenz, am Ende regelt es sich.
Diesmal ist es anders. Und wer das im Sommer 2026 noch nicht ernst nimmt, hat ein Problem, kein theoretisches, sondern ein juristisch durchsetzbares.
Was gerade gilt, und was viele nicht wissen
Der EU AI Act ist seit August 2024 in Kraft. Er wirkt nicht als Gesamtpaket ab einem Stichtag, sondern in Wellen.
Seit dem 2. Februar 2025 gelten bereits die KI-Kompetenz-Pflicht (Artikel 4) sowie das Verbot bestimmter KI-Praktiken (Artikel 5).
Seit August 2025 sind die Regeln für General-Purpose-AI-Modelle in Kraft. Das bedeutet, wer bislang nichts dokumentiert hat, ist möglicherweise schon heute in der Pflichtverletzung, nicht erst nach dem nächsten Stichtag.
Am 2. August 2026 endet die 24-monatige Übergangsphase für die meisten Bestimmungen. Für Hochrisiko-KI-Systeme in sensiblen Bereichen, die ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte darstellen können, gelten ab diesem Datum strenge Pflichten zu Governance und Transparenz.
Hinweis für alle, die gerade aufgeatmet haben: Der Digital Omnibus - ein EU-Gesetzgebungspaket von Anfang 2026 - verschiebt einzelne Fristen für bestimmte Hochrisiko-Systeme um 12 bis 16 Monate nach hinten. Das ist jedoch kein Freifahrtschein. Die Verschiebung betrifft die Pflichten für Hochrisiko-Systeme, nicht den gesamten AI Act. Wer keine Hochrisiko-KI betreibt, war von der August-Frist 2026 ohnehin kaum betroffen. Und drei Pflichten gelten unabhängig davon bereits heute: die Kompetenzpflicht, das Verbot manipulativer KI-Praktiken und die Transparenzpflicht.
Vier KI-Risikostufen.
Der AI Act unterscheidet nicht pauschal zwischen erlaubt und verboten. Er klassifiziert nach Risiko. Vier Kategorien sind relevant:
- inakzeptables Risiko (verboten),
- Hochrisiko (streng reguliert),
- begrenztes Risiko und
- minimales Risiko.
Die entscheidende Frage ist nicht: „Nutzen wir überhaupt KI?" Die Frage lautet: In welche Kategorie fällt das, was wir tun?
Was verboten ist?
Verboten sind KI-Praktiken wie Social Scoring, unbewusstes Manipulieren von Menschen gegen ihre eigenen Interessen, biometrische Echtzeit-Fernüberwachung im öffentlichen Raum sowie Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen. Diese Verbote gelten seit Februar 2025. Keine Übergangsfrist, keine Größenausnahme!
Was als Hochrisiko gilt und wen das betrifft
Als Hochrisiko eingestuft werden KI-Systeme in Personalrecruiting (CV-Screening), Kreditvergabe, Versicherungs-Underwriting, kritischer Infrastruktur, Medizinprodukten, Bildung, Strafverfolgung, Migration und Justiz.
Das klingt nach Großkonzernen und Behörden. Ist es aber nicht zwingend. Anbei ein paar Beispiele:
Ein mittelständisches Unternehmen, das ein HR-Tool zur Vorauswahl von Bewerbungen nutzt: Hochrisiko.
Eine Regionalbank, die KI-gestütztes Kreditscoring einsetzt: Hochrisiko.
Ein Versicherungsmakler mit automatisiertem Underwriting: Hochrisiko.
Ein Online-Händler, der Kunden auf Basis automatisierter Bewertungen kategorisiert: zu prüfen.
Und finden sie sich wieder? Wer glaubt, das betreffe nur andere, sollte zunächst ein ehrliches Inventar seiner KI-Systeme erstellen.
Was für fast alle gilt
Auch wer keine Hochrisiko-Anwendung betreibt, ist nicht aus dem Schneider. Ein Chatbot auf der eigenen Website muss als KI erkennbar sein, KI-generierte Marketinginhalte müssen entsprechend gekennzeichnet werden. Das sind keine fernen Hochrisiko-Szenarien, sondern Anforderungen, die praktisch jedes Unternehmen mit KI-Einsatz betreffen, und für die es keine verschobene Frist gibt.
Und dann ist da noch Artikel 4, die am häufigsten unterschätzte Pflicht des gesamten Gesetzes: Die KI-Kompetenz-Pflicht gilt für alle Personen, die KI-Systeme im Auftrag eines Anbieters oder Betreibers bedienen also auch Mitarbeitende in Marketing, HR oder Vertrieb, wenn sie Tools wie ChatGPT, Copilot oder dedizierte KI-Anwendungen nutzen. Seit Februar 2025. Dokumentiert. Nachweisbar.
Was bei Verstößen droht
Für verbotene KI-Praktiken sind Bußgelder bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes möglich. Für Hochrisiko-Verstöße bis zu 15 Millionen Euro oder 3 Prozent. Für KMU gelten jeweils die niedrigeren Beträge als Obergrenze.
Zur Einordnung: 3 Prozent des Umsatzes können für ein mittelständisches Unternehmen existenzbedrohend sein. Und das BSI, die zuständige nationale Aufsichtsbehörde in Deutschland, hat angekündigt, ab August 2026 aktiv zu prüfen. Es kann Bußgelder verhängen, den Betrieb des KI-Systems untersagen oder einen Rückruf anordnen. Das finanzielle Risiko ist real. Aber das Reputationsrisiko ist es noch mehr. In einer Zeit, in der Kunden und Geschäftspartner zunehmend fragen, wie Unternehmen mit Daten und Automatisierung umgehen, ist ein Verstoß gegen den EU AI Act keine interne Compliance-Panne. Es ist ein öffentlich kommunizierbares Versagen. Das Vertrauen, das man verliert, ist schwerer zurückzugewinnen als jede Geldstrafe zu bezahlen.
Was fehlt: die Übersicht aller KI-Lösungen
Das ist der erste und wichtigste Schritt, und er klingt trivialer, als er ist. Denn in der Praxis nutzen ihre Mitarbeiter Tools, die die IT-Abteilung nicht kennt: ein Einkäufer, der ChatGPT für Lieferantenanfragen nutzt; eine Assistentin, die Copilot für Protokolle verwendet. Beide fallen unter den EU AI Act. Das Inventar erfasst welches System wird genutzt, von wem, für welchen Zweck, seit wann. Erst da. Dach lässt sich die Risikoklasse seriös bestimmen. Und erst danach weiß man, welche Pflichten konkret gelten.
Was konkret zu tun ist
Wer strukturiert vorgeht, ist nicht überfordert. Die meisten KMU betreiben keine Hochrisiko-Systeme im strengen Sinne. Die meisten Mittelstandsanwendungen fallen in die Kategorie minimales Risiko. Das bedeutet wenig Aufwand, aber nicht keinen Aufwand.
Das sollten ihre nächsten Schritte sein:
- KI-Inventar erstellen. Alle KI-Systeme im Unternehmen erfassen, auch die Tools, die niemand offiziell eingeführt hat. Werkzeuge, die Mitarbeitende privat für Arbeitszwecke nutzen, zählen.
- Risikoklasse bestimmen. Für jedes System prüfen, ob es unter die Hochrisiko-Kategorie fällt. Bei Unsicherheit: professionelle Einschätzung einholen, denn die Einordnung ist haftungsrelevant.
- KI-Kompetenz nachweisen. Gemeint ist kein mehrtägiges Seminar, sondern eine nachweisbare Grundunterweisung: Was ist KI, welche Systeme nutzen wir, was sind die Risiken, welche Richtlinien gelten. Schulungsplan dokumentieren, Teilnahme nachweisen.
- Transparenzhinweise einführen. Chatbots und KI-generierte Inhalte kennzeichnen, auf der Website, in E-Mails, in Kundenkommunikation.
- KI-Nutzungsrichtlinie erstellen. Diese muss schriftlich vorliegen, kommuniziert und dokumentiert werden. Ein einseitiges Dokument reicht für die meisten Betriebe.
- Für Hochrisiko-Systeme zusätzlich: Risikomanagement-System aufbauen, technische Dokumentation erstellen, menschliche Aufsicht definieren, Anbieter auf Konformität prüfen.
Compliance ist keine Bremse — sie ist ihr Vertrauenskapital
Es ist verlockend, Regulierung als Kostenfaktor zu betrachten. Aufwand ohne direkten Nutzen. Bürokratie, die hemmt.
Ich sehe es anders. Unternehmen, die jetzt Governance-Strukturen für KI aufbauen, tun mehr als Pflichten erfüllen. Sie machen ihren KI-Einsatz erklärbar, gegenüber Kunden, Partnern, Investoren, Mitarbeitenden und Aufsichtsgremien.
Sie schaffen eine Grundlage für skalierbare KI-Nutzung, die nicht bei jeder Systemänderung neu bewertet werden muss. Und sie positionieren sich in einem Markt, in dem Vertrauen zunehmend ein Wettbewerbsmerkmal wird. Der EU AI Act ist kein Hemmnis für den Mittelstand. Er ist eine Einladung, KI-Nutzung so zu strukturieren, dass sie dauerhaft trägt. Starten sie am besten noch heute den wer wartet, wird irgendwann erklären müssen, warum er nicht gehandelt hat.
Wie kimaco dabei hilft
Mein Framework Control / Integrate / Enable beginnt mit einem Grund: Unternehmen brauchen Klarheit darüber, was sie tun dürfen, was sie tun müssen und was sie besser lassen sollten. Genau das ist die Basis für jeden sinnvollen nächsten Schritt.
Für den Einstieg in die EU-AI-Act-Compliance biete ich strukturierte Begleitung an: vom KI-Inventar über die Risikoklassifizierung bis zur Governance-Dokumentation und Mitarbeiterschulung. Kein Überrollen mit Standards, die für Konzerne gemacht wurden. Sondern ein handhabbarer, ehrlicher Fahrplan für ihr Unternehmen.
Ich bin Gründerin von kimaco.de und berate kleine und mittelständische Unternehmen bei der strukturierten Einführung von KI. Ich verbindet technisches Verständnis mit unternehmerischem Pragmatismus und dem Blick auf Governance, den Aufsichtsgremien heute brauchen.

