EU AI Act: die Checkliste für den Mittelstand.
Was seit wann gilt und was jetzt konkret zu tun ist, ohne Juristendeutsch. Zehn Punkte, alle Termine, mit Links auf die Originaltexte.
Worum es geht.
Der EU AI Act (Verordnung 2024/1689) ist das KI-Gesetz der Europäischen Union. Er gilt unmittelbar in jedem Mitgliedstaat und stuft KI-Systeme nach Risiko ein: Verbotenes ist verboten, Hochrisiko wird streng reguliert, für den großen Rest gelten vor allem Kompetenz- und Transparenzpflichten. Die Pflichten treten gestaffelt in Kraft, und zwei davon gelten bereits.
Was gilt seit wann.
| Datum | Was gilt |
|---|---|
| 2. Februar 2025 | Verbotene KI-Praktiken (Artikel 5) und die Pflicht zu nachweisbarer KI-Kompetenz der Mitarbeitenden (Artikel 4). Beides gilt bereits. |
| 2. August 2025 | Regeln für Allzweck-KI-Modelle. Betrifft primär die Anbieter der Modelle, nicht die Unternehmen, die sie nutzen. |
| 2. August 2026 | Transparenzpflichten (Artikel 50): KI-Kontakt erkennbar machen, KI-erzeugte Inhalte in bestimmten Fällen kennzeichnen. |
| 2. August 2027 | Pflichten für Hochrisiko-Systeme in regulierten Produkten (Anhang I). |
| 2. Dezember 2027 | Pflichten für Hochrisiko-Systeme nach Anhang III, etwa in Personalauswahl oder Kreditvergabe. Ursprünglich früher geplant, per Änderungspaket vom Juni 2026 verschoben. |
Zehn Punkte, in dieser Reihenfolge.
- Bestandsaufnahme machen. Alle KI-Systeme im Haus erfassen, auch die inoffiziellen: Welche Werkzeuge nutzen Mitarbeitende tatsächlich, mit welchen Daten?
- Rolle klären. Anbieter oder Betreiber? Die meisten Mittelständler betreiben fremde KI-Systeme, statt eigene anzubieten. Daran hängen die Pflichten.
- Jedes System einstufen. Verboten, Hochrisiko, begrenztes oder minimales Risiko. Für die meisten Alltagswerkzeuge ist das schnell erledigt, aber es muss einmal sauber passieren.
- Verbote ausschließen. Seit Februar 2025 verboten sind unter anderem Social Scoring und Emotionserkennung am Arbeitsplatz (mit engen Ausnahmen). Klingt fern, steckt aber schneller in zugekaufter Software, als man denkt.
- KI-Kompetenz nachweisen. Artikel 4 verlangt seit Februar 2025 Schulung, passend zu Rolle und System, und dokumentiert. Ein Rundschreiben genügt nicht.
- Transparenz vorbereiten. Bis zum 2. August 2026: Chatbots als KI erkennbar machen, Kennzeichnung von KI-Inhalten klären, wo Artikel 50 sie verlangt.
- DSGVO parallel prüfen. Die DSGVO gilt neben dem AI Act: Auftragsverarbeitungsverträge, Datenflüsse, möglichst EU-Hosting.
- Hochrisiko-Fälle identifizieren. Nutzt das Unternehmen KI in Personalauswahl, Bewertung oder Kreditentscheidungen? Dann die gestaffelten Pflichten bis Ende 2027 jetzt einplanen, nicht 2027.
- Verantwortung benennen. Der AI Act schreibt keinen KI-Beauftragten vor, aber jemand muss die Punkte 1 bis 8 tragen und nachweisen können. Intern oder als externer KI-Manager.
- Dokumentation aufbauen. Register der Systeme, Einstufungen, Schulungsnachweise, Verträge. So, dass eine Prüfung kein Projekt auslöst, sondern einen Ordner öffnet.
Was diese Checkliste ist und was nicht.
Diese Checkliste ordnet und priorisiert, sie ersetzt keine Rechtsberatung im Einzelfall. Wir arbeiten auf Basis der verlinkten Originaltexte und ziehen bei rechtlichen Detailfragen Ihre Kanzlei hinzu. Die Termine entsprechen dem Stand Juli 2026, inklusive der im Juni 2026 beschlossenen Verschiebungen bei Hochrisiko-Systemen. Ändert sich die Rechtslage, aktualisieren wir diese Seite.
Wie die Punkte in der Praxis aussehen, zeigt die Dimension Governance und Recht. Und wer die Umsetzung nicht neben dem Tagesgeschäft stemmen will, findet die Rolle dafür beim externen KI-Manager.
Was Unternehmen zum EU AI Act fragen.
Für wen gilt der EU AI Act?
Für alle Unternehmen, die KI-Systeme in der EU anbieten oder einsetzen, unabhängig von der Größe. Die Pflichten sind risikobasiert abgestuft: Wer nur Alltagswerkzeuge wie Text-KI nutzt, trägt deutlich weniger Pflichten als der Betreiber eines Hochrisiko-Systems, etwa bei der Personalauswahl. Die meisten Mittelständler sind Betreiber, nicht Anbieter, und genau davon hängen die Pflichten ab.
Was gilt ab dem 2. August 2026?
Ab dem 2. August 2026 greifen die Transparenzpflichten des Artikel 50: Wer einen Chatbot einsetzt, muss erkennbar machen, dass Nutzer mit einer KI sprechen. KI-erzeugte Inhalte müssen in bestimmten Fällen als solche gekennzeichnet werden, insbesondere Deepfakes. Die Verbote und die Pflicht zu KI-Kompetenz der Mitarbeitenden gelten bereits seit Februar 2025.
Welche Strafen drohen bei Verstößen?
Der EU AI Act sieht abgestufte Bußgelder vor. Am oberen Ende, bei verbotenen KI-Praktiken, bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist. Für die meisten Mittelständler ist aber nicht die Maximalstrafe der relevante Punkt, sondern die Nachweispflicht: dokumentieren zu können, dass die eigenen KI-Systeme erfasst, eingestuft und die Mitarbeitenden geschult sind.
Gilt der EU AI Act auch für kleine Unternehmen?
Ja, es gibt keine generelle Ausnahme für kleine und mittlere Unternehmen. Der risikobasierte Ansatz sorgt aber dafür, dass der Aufwand für die meisten überschaubar bleibt: Wer keine Hochrisiko-Systeme betreibt, muss vor allem seine KI-Nutzung kennen, die Verbote ausschließen, Mitarbeitende nachweisbar schulen und ab August 2026 die Transparenzregeln einhalten.
Wo steht Ihr Unternehmen bei den zehn Punkten?
Im Reifegrad-Check gehen wir die Liste gemeinsam durch, gegen Ihre echte KI-Nutzung. Ehrliche Einordnung, kein Pitch.
Gespräch vereinbaren