KI-News
EU AI Act: Was ab 2026 für den Mittelstand gilt
3 Min. LesezeitVon Niclas Hoffmann · HVNH AI
Kurz beantwortet
Der EU AI Act gilt seit August 2024 und greift stufenweise: Verbote und KI-Kompetenzpflichten seit Februar 2025, Regeln für KI-Basismodelle seit August 2025, der Großteil der Pflichten ab dem 2. August 2026. Für den Mittelstand entscheidend: Die meisten betrieblichen KI-Anwendungen fallen in die Klasse mit minimalem oder begrenztem Risiko — dann genügen Transparenz- und Sorgfaltspflichten.
Worum es geht
Mit der Verordnung (EU) 2024/1689 — dem AI Act — hat die EU den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz geschaffen. Die Verordnung ist am 1. August 2024 in Kraft getreten, ihre Pflichten gelten jedoch gestaffelt. Für den Mittelstand wird der 2. August 2026 zum wichtigsten Datum: Dann wird der Großteil der Vorschriften anwendbar. Grund genug für eine sachliche Einordnung — ohne Alarmismus.
Das Grundprinzip: vier Risikoklassen
Der AI Act reguliert nicht „die KI", sondern konkrete Anwendungen — abgestuft nach Risiko:
- Unannehmbares Risiko: verboten, z. B. Social Scoring oder manipulative Systeme (gilt bereits seit Februar 2025)
- Hohes Risiko: streng reguliert, z. B. KI in der Personalauswahl, bei Kreditwürdigkeitsprüfungen oder in kritischer Infrastruktur — mit Pflichten zu Risikomanagement, Datenqualität, Dokumentation und menschlicher Aufsicht
- Begrenztes Risiko: Transparenzpflichten — Chatbots müssen als KI erkennbar sein, KI-generierte Inhalte sind zu kennzeichnen
- Minimales Risiko: keine zusätzlichen Pflichten — hier liegt der Großteil der betrieblichen Anwendungen
Der Zeitplan im Überblick
- Seit 2. Februar 2025: Verbote unannehmbarer Praktiken; zudem müssen Unternehmen für ausreichende KI-Kompetenz der Mitarbeitenden sorgen (Art. 4)
- Seit 2. August 2025: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) sowie Governance- und Sanktionsrahmen
- Ab 2. August 2026: Der Großteil der Verordnung wird anwendbar — insbesondere die Pflichten für Hochrisiko-Systeme nach Anhang III und die Transparenzpflichten
- Ab 2. August 2027: Ende der Übergangsfrist für Hochrisiko-KI, die Bestandteil regulierter Produkte ist (etwa Maschinen oder Medizinprodukte)
Was heißt das konkret für den Mittelstand?
Zunächst die Einordnung: Die meisten KI-Anwendungen im Mittelstand — Textentwürfe, E-Mail-Sortierung, Belegverarbeitung, Auswertungen, interne Assistenten oder KI-Agenten für Büroprozesse — fallen in die Kategorie mit minimalem oder begrenztem Risiko. Sie bleiben erlaubt und benötigen keine Zulassung. Relevant sind vor allem drei Punkte:
- Rolle kennen: Der AI Act unterscheidet Anbieter (entwickeln KI-Systeme) und Betreiber (setzen sie ein). Mittelständler sind fast immer Betreiber — mit deutlich schlankeren Pflichten
- Transparenz sicherstellen: Interagiert ein KI-System mit Kunden, etwa ein Chat-Assistent, muss das erkennbar sein; KI-generierte oder manipulierte Inhalte wie Deepfakes sind zu kennzeichnen
- Hochrisiko-Fälle prüfen: Kritisch wird es vor allem beim KI-Einsatz in der Personalauswahl oder bei der Bewertung von Personen — hier gelten ab August 2026 auch für Betreiber erweiterte Pflichten, etwa menschliche Aufsicht und Information der Beschäftigten
Was Unternehmen jetzt tun sollten
- Bestandsaufnahme: Welche KI-Systeme sind im Einsatz — auch inoffiziell in einzelnen Abteilungen?
- Risikoklasse zuordnen: Für jede Anwendung prüfen, ob Transparenz- oder Hochrisiko-Pflichten greifen
- KI-Kompetenz aufbauen: Die Pflicht nach Art. 4 gilt bereits — kurze, dokumentierte Schulungen genügen in vielen Fällen
- Dokumentation und Protokollierung: Wer nachvollziehen kann, was seine KI-Systeme tun, erfüllt kommende Nachweispflichten deutlich leichter — seriöse Anbieter liefern die Protokollierung des Agenten-Betriebs mit
Einordnung: Pflicht ja, Hürde nein
Der AI Act ist für die allermeisten Mittelständler kein Verbotsgesetz, sondern eine Dokumentations- und Transparenzaufgabe. Wer KI-Agenten für Büro- und Verwaltungsprozesse einsetzt, bewegt sich in der Regel im Bereich minimalen Risikos — und ist mit sauberer Bestandsaufnahme, gekennzeichneten Kundeninteraktionen und protokolliertem Betrieb gut vorbereitet. Verlässliche Details liefern der Verordnungstext und die offiziellen Seiten der EU-Kommission (siehe Quellen).
Häufige Fragen
Gilt der EU AI Act auch für kleine Unternehmen?
Ab wann gelten die Pflichten des AI Act?
Sind KI-Agenten für Büroprozesse Hochrisiko-KI?
Was ist die KI-Kompetenzpflicht nach Art. 4?
Welche Strafen drohen bei Verstößen?
Quellen
Über den Autor

Niclas Hoffmann
Gründer & Geschäftsführer, HVNH AI
Niclas Hoffmann entwickelt mit HVNH AI KI-Agenten und digitale Mitarbeiter, die wiederkehrende Prozesse im Mittelstand übernehmen — von Marketing über Backoffice bis Kundensupport. Mit 19 gründete er zwei Unternehmen; heute ist er fester KI-Speaker der IHK Siegen und beschäftigt sich intensiv mit Automatisierung und Generative Engine Optimization (GEO).
Diesen Prozess automatisieren lassen?
Im kostenlosen Erstgespräch schauen wir uns Ihren konkreten Ablauf an und prüfen, was sich davon mit einem KI-Agenten abbilden lässt — unverbindlich und ohne Fachchinesisch.
Themen
- regulierung
- ki-news
- eu-ai-act
- compliance