EU AI Act für den Mittelstand: Fristen, Kosten und was Sie jetzt tun müssen
Die KI-Verordnung ist da — und der Mittelstand ist betroffen
Seit August 2024 ist der EU AI Act in Kraft. Die Umsetzungsfristen laufen. Und 56 % der deutschen Unternehmen glauben, dass die Verordnung mehr Nachteile als Vorteile bringt. 93 % der betroffenen Unternehmen erwarten hohe Compliance-Kosten (Bitkom KI-Studie 2026).
Doch Panik ist fehl am Platz. Das Digital-Omnibus-Paket hat wichtige Fristen verlängert, und viele Mittelständler sind weniger betroffen, als sie denken. Dieser Artikel klärt: Was gilt wann? Was kostet es? Und was müssen Sie jetzt tun?
Die Fristen: Was gilt wann?
Bereits in Kraft (seit Februar 2025)
- Verbotene KI-Praktiken — Social Scoring, manipulative KI, biometrische Kategorisierung in bestimmten Kontexten
- KI-Kompetenzpflicht (Art. 4) — Alle Mitarbeiter, die mit KI-Systemen arbeiten, müssen über angemessene Kenntnisse verfügen
August 2026
- Allgemeine Pflichten für KI-Anbieter und -Betreiber — Transparenzpflichten, Risikomanagement, technische Dokumentation
- General Purpose AI (GPAI) — Pflichten für Anbieter von Basismodellen
Verschoben durch das Digital-Omnibus-Paket
Das Digital-Omnibus-Paket verschiebt die Fristen für Hochrisiko-KI-Systeme:
| Kategorie | Ursprüngliche Frist | Neue Frist |
|---|---|---|
| Hochrisiko-KI nach Anhang III (eigenständige Systeme) | August 2026 | Dezember 2027 |
| Hochrisiko-KI nach Anhang I (in Produkten integriert) | August 2026 | August 2028 |
Warum die Verschiebung? Die technischen Standards und Leitlinien, die Unternehmen für die Compliance benötigen, sind noch nicht fertiggestellt. Die EU-Kommission, nationale Behörden und Normungsgremien brauchen mehr Zeit (Deloitte Digital Omnibus Analyse).
Wichtig: Die Verschiebung ändert nichts an den inhaltlichen Anforderungen — nur am Zeitplan.
Risikoklassen: Wo steht Ihr Unternehmen?
Der EU AI Act stuft KI-Systeme in vier Risikokategorien ein:
Unannehmbares Risiko (verboten)
- Social Scoring
- Manipulative KI, die Schwächen ausnutzt
- Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit Ausnahmen)
Hohes Risiko (strenge Pflichten)
- KI in der Personalauswahl und -bewertung
- Kreditwürdigkeitsprüfung
- KI in kritischer Infrastruktur (Energie, Wasser, Transport)
- KI in Bildung (Prüfungsbewertung, Zugangsentscheidungen)
- KI in der Strafverfolgung
- KI als Sicherheitskomponente regulierter Produkte (Medizinprodukte, Maschinen)
Begrenztes Risiko (Transparenzpflichten)
- Chatbots — müssen als KI gekennzeichnet werden
- KI-generierte Inhalte — müssen als solche erkennbar sein
- Emotionserkennung — Nutzer müssen informiert werden
Minimales Risiko (keine besonderen Pflichten)
- Spamfilter
- KI in Videospielen
- Empfehlungsalgorithmen
Für die meisten Mittelständler gilt: Wenn Sie KI für Dokumentenverarbeitung, interne Wissenssuche, Prozessautomatisierung oder Kundenservice einsetzen, fallen Sie in die Kategorien begrenztes oder minimales Risiko. Die strengen Hochrisiko-Pflichten treffen vor allem regulierte Branchen.
Was es kostet
Branchenexperten rechnen für mittelständische Unternehmen mit folgenden Compliance-Kosten (ing-ism.de, EU AI Act für KMU):
| Kostenkategorie | Einmalig | Laufend (jährlich) |
|---|---|---|
| KI-Inventarisierung & Risikoklassifizierung | 10.000-30.000 € | — |
| Risikobewertung & Dokumentation | 20.000-80.000 € | 5.000-15.000 € |
| Konformitätsbewertung (Hochrisiko) | 20.000-90.000 € | 10.000-30.000 € |
| Gesamt (Hochrisiko) | 50.000-200.000 € | 15.000-45.000 € |
Zum Vergleich: Etwa 30 % der gesamten KI-Projektkosten entfallen auf Compliance (Netzökonom, 2025). Allerdings: Ein integrierter Aufbau von KI-Governance zusammen mit bestehenden ISMS-Strukturen spart 20-40 % des Aufwands gegenüber isolierten Einzelprojekten.
Was passiert bei Verstößen?
| Verstoß | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken | 35 Mio. € oder 7 % des weltweiten Jahresumsatzes |
| Hochrisiko-Pflichten | 15 Mio. € oder 3 % des Umsatzes |
| Falsche Angaben | 7,5 Mio. € oder 1 % des Umsatzes |
KMU und Startups erhalten reduzierte Bußgelder — der niedrigere der beiden Werte (Absolutbetrag vs. Umsatzanteil) wird angewendet.
Was Sie jetzt tun müssen — unabhängig von der Risikostufe
Sofort: KI-Kompetenzpflicht erfüllen (Art. 4)
Seit Februar 2025 müssen alle Mitarbeiter, die KI-Systeme nutzen oder überwachen, über ausreichende Kompetenzen verfügen. Das betrifft praktisch jedes Unternehmen, das ChatGPT, Copilot oder ähnliche Tools einsetzt.
Maßnahmen:
- Schulungsprogramm für KI-Nutzer aufsetzen
- Grundkenntnisse über Funktionsweise, Grenzen und Risiken von KI vermitteln
- Dokumentation der Schulungsmaßnahmen
Bis Mitte 2026: Transparenzpflichten umsetzen
Wenn Sie Chatbots, KI-generierte Inhalte oder Emotionserkennung einsetzen:
- KI-Systeme als solche kennzeichnen
- Nutzer über den Einsatz von KI informieren
- KI-generierte Texte, Bilder oder Videos als solche markieren
Bis 2027/2028: Hochrisiko-Compliance (falls zutreffend)
- Risikomanagementsystem aufbauen
- Technische Dokumentation erstellen
- Automatisiertes Monitoring implementieren
- Menschliche Aufsicht sicherstellen
- Konformitätsbewertung durchführen
Die unterschätzte Chance
53 % der Unternehmen nennen Rechtsunsicherheit als größtes Hindernis für KI-Einführung (Bitkom KI-Studie 2026). Der EU AI Act schafft genau diese Rechtssicherheit. Wer sich jetzt mit den Anforderungen beschäftigt, hat einen Vorsprung:
- Vertrauen bei Kunden und Partnern — dokumentierte KI-Governance ist ein Verkaufsargument
- Vorbereitung auf strengere Standards — die Anforderungen werden nur wachsen, nicht schrumpfen
- Strukturierte KI-Einführung — Risikobewertung und Dokumentation zwingen zu durchdachtem Vorgehen
Sie wollen wissen, welche Pflichten der EU AI Act für Ihr Unternehmen konkret bedeutet? Wir helfen Ihnen bei der Risikoklassifizierung und Compliance-Planung — pragmatisch, ohne Panik.