AI CostGuard

Blog

EU AI Act: Was der Mittelstand jetzt tun muss

Von Franz Bauer · 13. Juli 2026 · 5 Min. Lesezeit

Die KI-Verordnung der EU — der EU AI Act — klingt nach einem Thema für Großkonzerne mit eigener Rechtsabteilung. Ist sie aber nicht. Sie gilt risikobasiert für alle, die KI anbieten oder einsetzen — auch für den Mittelstand. Und der erste Schritt ist unabhängig von Ihrer Branche derselbe: zu wissen, welche KI Sie überhaupt einsetzen.

Gilt das überhaupt für uns?

Ja. Der AI Act knüpft nicht an die Unternehmensgröße an, sondern an das Risiko der jeweiligen KI-Anwendung. Ein 80-Personen-Betrieb, der einen KI-Chatbot im Kundenservice oder ein KI-Tool in der Bewerberauswahl nutzt, fällt genauso darunter wie ein Konzern. Für kleine und mittlere Unternehmen gibt es Erleichterungen — etwa bei Gebühren und vereinfachter Dokumentation. Die Pflicht, die eigenen KI-Systeme zu kennen und einzustufen, entfällt dadurch aber nicht.

Die Fristen — und warum „2027" nicht „später" heißt

Die Pflichten greifen gestaffelt. Nach dem Digital Omnibus (Einigung Mai 2026) sind die Fristen für eigenständige Hoch-Risiko-Systeme nach hinten verschoben — die Transparenzpflichten bleiben aber bei August 2026:

FristGilt für
Februar 2025Verbotene KI-Praktiken (untersagt)
August 2025KI-Modelle mit allgemeinem Verwendungszweck (GPAI)
2. August 2026Transparenzpflichten (Art. 50) — Kennzeichnung von Chatbots & KI-Inhalten
2. Dezember 2027Hoch-Risiko-Systeme (Annex III) — nach Digital Omnibus verschoben
2. August 2028Hoch-Risiko in regulierten Produkten (Annex I)

Stand: Juli 2026. Die verschobenen Hoch-Risiko-Fristen stehen unter dem Vorbehalt der formalen Verabschiedung im EU-Amtsblatt.

Klingt nach viel Zeit. Ist es nicht: Wer bis Dezember 2027 ein Hoch-Risiko-System dokumentieren muss, braucht vorher das Inventar, die Einstufung und die technische Dokumentation — und die Standards und Werkzeuge dafür entstehen gerade erst. Vorlauf ist hier kein Luxus, sondern Voraussetzung.

Die vier Risikoklassen in einem Satz

Der erste Schritt ist immer derselbe: ein KI-Inventar

Über die Hälfte der Organisationen hat heute kein KI-Inventar, und rund 40 % der Systeme lassen sich nicht sauber einer Risikoklasse zuordnen. Ohne ein Register aller eingesetzten und geplanten KI-Anwendungen — mit Zweck, Anbieter, Datenfluss und Verantwortlichem — lässt sich weder eine Risikoklasse begründen noch eine Dokumentation erstellen. Genau hier setzt AI-Act-Radar an: Inventar, Klassifizierungs-Vorschlag und ein auditfähiges Dokumentations-Gerüst — zugeschnitten auf 50–2.000-Mitarbeiter-Unternehmen statt auf Konzern-Plattformen.

Die gute Nachricht: Sie haben die halbe Arbeit vielleicht schon

Wer seine KI-Kosten ernsthaft analysiert, erfasst dabei ohnehin jede Anwendung mit Zweck, Anbieter und Datenfluss — das ist der Großteil eines AI-Act-Inventars. Dieselbe Bestandsaufnahme beantwortet zwei Fragen auf einmal: Rechnet sich unsere KI? und Ist unsere KI regelkonform dokumentiert? Ein Termin, eine Grundlage, zwei Ergebnisse.

Einen schnellen Überblick, wo Sie stehen, gibt der kostenlose AI-Act-Readiness-Check — zehn Fragen, sofortiges Ergebnis mit Ihren größten Lücken.

Was jetzt zu tun ist

Dieser Beitrag ist eine allgemeine Orientierung und keine Rechtsberatung. Die rechtsverbindliche Einstufung Ihrer KI-Systeme erfolgt durch Ihre Rechtsberatung bzw. eine benannte Stelle. Stand: Juli 2026.

Wie viel steckt bei Ihnen drin?

Der kostenlose Rechner zeigt die Größenordnung in zwei Minuten — komplett im Browser, keine Daten an uns.

Kostenlos berechnenAudit anfragen