EU AI Act: Zwischenbilanz für den Mittelstand 2026
EU AI Act Bilanz: Was über ein Jahr KI-Verordnung im Mittelstand wirklich gebracht hat, was Hype war und worauf es vor dem 2. August 2026 ankommt.
Inhaltsverzeichnis anzeigen
Als der EU AI Act 2024 verabschiedet wurde, war die Aufregung groß. Beratungshäuser warnten vor Millionenbußen, Fachartikel überschlugen sich, und in jedem zweiten Webinar ging es um die neue KI-Verordnung. Inzwischen sind über anderthalb Jahre vergangen, die ersten Stufen gelten, der nächste große Stichtag steht im August 2026 an. Zeit für eine ehrliche Bilanz zum EU AI Act aus der Perspektive von jemandem, der täglich mit KMU arbeitet, statt aus der eines Beratungs-Whitepapers.
Ich bin seit 2018 Sistrix-Partner und setze in meiner Agenturarbeit selbst jeden Tag KI ein, von der Texterstellung bis zur Prozessautomatisierung mit n8n. Gleichzeitig sehe ich bei meiner Kundschaft aus Vermögensverwaltung, Industriedesign, Handel und Therapie-Praxen, wie unterschiedlich das Thema ankommt. Diese Doppelrolle macht eine Bilanz interessant: Was von der großen Regulierungswelle ist im Mittelstand tatsächlich angekommen, was war heiße Luft, und worauf solltest du dich vor dem 2. August 2026 wirklich vorbereiten?
- Der AI Act gilt in Stufen. In Kraft seit August 2024, die Verbote und die KI-Kompetenzpflicht seit Februar 2025, die Regeln für große KI-Modelle seit August 2025. Der Großteil greift ab dem 2. August 2026.
- Die meisten KMU sind Betreiber, nicht Anbieter. Wer fertige KI-Tools nutzt statt eigene Modelle zu entwickeln, hat ein deutlich niedrigeres Pflichtenniveau als die Schreckensszenarien suggerierten.
- Die relevanteste Pflicht ist die unscheinbarste. Die KI-Kompetenzpflicht betrifft jeden, der KI im Betrieb einsetzt, und wird trotzdem am häufigsten übersehen.
- Vieles war Hype. Die angekündigte Bußgeldwelle gegen den Mittelstand ist ausgeblieben. Die Pflichten sind real, aber für typische KMU-Nutzung gut beherrschbar.
- Die Regeln selbst sind noch in Bewegung. Auf EU-Ebene wird über Vereinfachungen diskutiert. Wer jetzt eine saubere Bestandsaufnahme macht, ist für jede Variante vorbereitet.
Wo wir gerade stehen: die Stufen des EU AI Act
Der EU AI Act ist kein Schalter, der an einem Tag umgelegt wird, sondern ein Stufenplan über mehrere Jahre. Genau das ging in der ersten Aufregung oft unter. Wer die Zeitachse kennt, versteht sofort, warum die große Bußgeldwelle bisher ausgeblieben ist und wo die eigentliche Arbeit erst noch wartet.
Die wichtigste Erkenntnis aus dieser Zeitachse: Bisher gelten vor allem die Verbote besonders gefährlicher KI und die Pflicht, dass Mitarbeitende kompetent mit KI umgehen. Die richtig aufwendigen Anforderungen an Hochrisiko-Systeme greifen erst ab dem 2. August 2026. Wer also das Gefühl hatte, der große Knall sei ausgeblieben, lag nicht falsch. Er war nur noch nicht dran.
Was im Mittelstand wirklich angekommen ist
Wenn ich auf die letzten anderthalb Jahre zurückschaue, ist das ehrlichste Fazit ein gemischtes. Auf der einen Seite ist das Bewusstsein gestiegen. Fast jeder Unternehmer, mit dem ich spreche, hat schon vom EU AI Act gehört. Auf der anderen Seite klafft eine große Lücke zwischen Gehört-haben und Eingeordnet-haben. Die häufigste Frage, die ich bekomme, ist nicht „Wie setze ich das um?", sondern „Betrifft mich das überhaupt?".
Diese Unsicherheit hat einen nachvollziehbaren Grund. Die laute Berichterstattung drehte sich um Hochrisiko-Systeme, biometrische Überwachung und KI-Modelle mit Milliardenparametern. Das hat mit der Realität eines typischen Mittelständlers wenig zu tun, der ChatGPT für Produktbeschreibungen nutzt, einen Chatbot auf der Website hat oder Bewerbungen KI-gestützt vorsortiert. Genau diese alltägliche Nutzung fiel in der Debatte oft unter den Tisch, obwohl sie für die allermeisten Betriebe der eigentlich relevante Teil ist. Wer den vollständigen Pflichtenkatalog sucht, findet ihn in meinem ausführlichen Leitfaden zum EU AI Act für Unternehmen.
Mein Eindruck aus der Praxis: Die Betriebe, die KI ernsthaft einsetzen, haben sich pragmatisch eingerichtet. Sie haben grob verstanden, dass sie meist in der Rolle des Betreibers sind und nicht des Entwicklers, und dass ihre Hauptaufgaben Transparenz und Kompetenz heißen. Die Betriebe, die KI bisher nur zaghaft nutzen, haben das Thema eher aufgeschoben. Beides ist menschlich, aber nur eine der beiden Haltungen wird vor dem August 2026 noch komfortabel.
Was Hype war und was Substanz blieb
Eine Bilanz wäre wertlos, wenn sie nicht auch benennt, was übertrieben war. Drei Punkte fallen mir besonders auf, wenn ich die Versprechen von 2024 mit der Realität von 2026 vergleiche.
Hype war die Bußgeldpanik. Es wurde mit Strafen von bis zu 35 Millionen Euro geworben, als stünde sie jedem KMU ins Haus. Tatsächlich gilt dieser Höchstsatz für den Einsatz verbotener KI-Praktiken, etwa Social Scoring oder manipulative Systeme. Für einen normalen Betrieb, der KI für Marketing oder Verwaltung nutzt, ist dieses Szenario praktisch irrelevant. Die Bußgelddrohung war ein guter Aufmerksamkeitsfänger und ein schlechter Realitätsindikator.
Substanz blieb die Transparenzlogik. Was bleibt und ab 2026 schärfer wird, ist die Pflicht, KI sichtbar zu machen. Ein Chatbot muss als KI erkennbar sein, KI-generierte Inhalte und insbesondere Deepfakes müssen gekennzeichnet werden. Das ist keine Schikane, sondern deckt sich mit dem, was ich Kunden ohnehin rate. Wer offen damit umgeht, KI zu nutzen, baut Vertrauen auf, statt es zu riskieren.
Hype war die Vorstellung, man brauche sofort eine Spezialsoftware. Rund um den AI Act entstand ein Markt aus Compliance-Tools und Zertifikaten, die suggerierten, ohne sie gehe es nicht. Für die typische KMU-Nutzung ist das überzogen. Eine saubere Bestandsaufnahme der eingesetzten Systeme, klare interne Regeln und dokumentierte Schulung bringen mehr als ein teures Tool, das ein Problem löst, das die meisten Betriebe gar nicht in dieser Größe haben.
Die Pflicht, die fast jeden betrifft
Wenn ich aus der ganzen Verordnung einen einzigen Punkt herausgreifen müsste, der für den Mittelstand zählt, dann ist es die KI-Kompetenzpflicht. Sie gilt bereits seit Februar 2025 und verlangt im Kern, dass Menschen, die in einem Betrieb mit KI arbeiten, ein angemessenes Verständnis davon haben, was sie da tun. Keine Zertifikate, keine Prüfungen, aber ein nachweisbares Mindestmaß an Schulung.
Das Spannende daran: Diese Pflicht ist die mit Abstand am häufigsten übersehene. Sie klingt unspektakulär, betrifft aber jeden Betrieb, der KI einsetzt, unabhängig von Branche oder Größe. Und sie überschneidet sich stark mit dem Datenschutz, denn wer KI mit Kundendaten füttert, muss beides zusammen denken. Wie eng KI und DSGVO verzahnt sind, habe ich in meinem Beitrag zu KI und Datenschutz ausführlich beschrieben.
| Stufe | Seit / ab wann | Was gilt | Relevanz für typische KMU |
|---|---|---|---|
| Verbote | Februar 2025 | Verbot von KI mit unannehmbarem Risiko | Gering, betrifft Sonderfälle |
| KI-Kompetenz | Februar 2025 | Mitarbeitende müssen KI kompetent nutzen | Hoch, betrifft fast alle |
| KI-Modelle | August 2025 | Pflichten für Anbieter großer Modelle | Gering, meist nur als Nutzer betroffen |
| Transparenz | 2. August 2026 | Chatbots und KI-Inhalte kennzeichnen | Hoch, betrifft Website und Marketing |
| Hochrisiko | August 2026 / 2027 | Strenge Auflagen für Hochrisiko-Systeme | Mittel, z. B. bei KI in der Personalauswahl |
Der Blick auf die rechte Spalte zeigt die eigentliche Bilanz in einem Bild: Für den durchschnittlichen Mittelständler sind nicht die spektakulären Hochrisiko-Regeln entscheidend, sondern Kompetenz und Transparenz. Genau die Punkte, die in der lauten Debatte am wenigsten Platz bekamen.
Was der 2. August 2026 bringt
Der nächste Stichtag ist keine Kleinigkeit, denn dann wird der Großteil der Verordnung anwendbar. Zwei Dinge werden für den Mittelstand konkret. Erstens die Transparenzpflichten: Ein KI-Chatbot muss klar als KI erkennbar sein, und KI-generierte Bilder oder Texte, die als echt durchgehen könnten, müssen gekennzeichnet werden. Zweitens werden bestimmte Anwendungen als Hochrisiko eingestuft, etwa KI, die über Bewerbungen oder Kreditwürdigkeit mitentscheidet. Wer solche Systeme einsetzt, bekommt deutlich strengere Auflagen.
Ein wichtiger Vorbehalt gehört in jede seriöse Bilanz: Auf EU-Ebene wird derzeit über Vereinfachungen der Verordnung diskutiert, gerade mit Blick auf den bürokratischen Aufwand für kleinere Unternehmen. Ob und wie sich einzelne Fristen oder Pflichten dadurch noch verschieben, ist zum jetzigen Zeitpunkt nicht abschließend geklärt. Den jeweils aktuellen Stand findest du direkt bei der EU-Kommission zum KI-Regelwerk. Genau deshalb rate ich nicht zu hektischem Aktionismus, sondern zu einer soliden Grundlage, die in jedem Szenario trägt.
Was jetzt sinnvoll ist
Die ehrlichste Handlungsempfehlung nach anderthalb Jahren ist unspektakulär, und das ist eine gute Nachricht. Du brauchst keine Compliance-Abteilung, sondern Überblick. Drei Schritte reichen für die allermeisten Betriebe als solides Fundament.
- Bestandsaufnahme machen. Schreibe auf, welche KI-Werkzeuge im Betrieb tatsächlich im Einsatz sind, vom Chatbot über KI-Texte bis zu HR-Tools. Erst wenn du die Liste hast, kannst du einschätzen, was davon überhaupt relevant ist. Diese Inventur ist der Schritt, den fast alle überspringen.
- Kompetenz dokumentieren. Sorge dafür, dass die Menschen, die KI nutzen, eine kurze, nachvollziehbare Einweisung bekommen, und halte das fest. Das erfüllt die KI-Kompetenzpflicht und ist gleichzeitig einfach sinnvoll, damit niemand versehentlich Kundendaten in ein offenes Tool kippt.
- Transparenz vorbereiten. Prüfe vor August 2026, wo auf deiner Website und in deinem Marketing KI sichtbar gemacht werden muss. Ein als KI gekennzeichneter Chatbot und ein Hinweis bei KI-generierten Inhalten sind schnell umgesetzt und nehmen dem Stichtag den Schrecken.
Wer diese Basis legt, kann der weiteren Entwicklung gelassen entgegensehen. Und nebenbei entsteht dabei genau die Klarheit über die eigene KI-Nutzung, die ohnehin die Grundlage jeder sinnvollen KI-Strategie im Mittelstand ist. Compliance und Strategie sind hier zwei Seiten derselben Medaille.
Dieser Artikel ist eine praxisorientierte Einordnung und ersetzt keine individuelle Rechtsberatung. Der EU AI Act befindet sich teils noch in der Umsetzung, einzelne Regelungen können sich ändern. Bei konkreten rechtlichen Fragen zur KI-Nutzung in deinem Unternehmen wende dich bitte an einen Fachanwalt für IT-Recht oder eine Datenschutzberatung. inventivo unterstützt dich bei der technischen und organisatorischen Umsetzung, nicht bei der rechtlichen Bewertung.
Häufige Fragen zur EU-AI-Act-Bilanz
Ist der EU AI Act schon in Kraft?
Ja. Die Verordnung ist seit August 2024 in Kraft und gilt in Stufen. Seit Februar 2025 greifen die Verbote besonders riskanter KI sowie die KI-Kompetenzpflicht, seit August 2025 die Regeln für große KI-Modelle. Der Großteil der Pflichten wird ab dem 2. August 2026 anwendbar.
Was hat der EU AI Act dem Mittelstand bisher gebracht?
Vor allem mehr Bewusstsein für den eigenen KI-Einsatz. Die befürchtete Bußgeldwelle gegen typische KMU ist ausgeblieben, weil die schärfsten Strafen für verbotene Praktiken gelten, die im normalen Betrieb kaum vorkommen. Real geblieben sind die Pflicht zur KI-Kompetenz und die Transparenzanforderungen, die ab 2026 schärfer werden.
Was war am EU AI Act übertrieben?
Die Bußgeldpanik und die Vorstellung, jeder Betrieb brauche sofort spezielle Compliance-Software. Für die typische KMU-Nutzung reichen eine Bestandsaufnahme der KI-Werkzeuge, dokumentierte Schulung und klare interne Regeln. Die Höchstbußen von bis zu 35 Millionen Euro betreffen verbotene KI-Praktiken, nicht den alltäglichen Einsatz von KI im Marketing oder in der Verwaltung.
Was ändert sich am 2. August 2026?
An diesem Datum wird der Großteil der Verordnung anwendbar. Für den Mittelstand werden vor allem die Transparenzpflichten konkret: Chatbots müssen als KI erkennbar und KI-generierte Inhalte gekennzeichnet sein. Zusätzlich gelten für Hochrisiko-Anwendungen wie KI in der Personalauswahl strengere Auflagen.
Muss ich als kleines Unternehmen jetzt aktiv werden?
Ja, aber ohne Hektik. Die sinnvollste Vorbereitung ist eine Bestandsaufnahme der eingesetzten KI-Werkzeuge, eine dokumentierte Einweisung der Mitarbeitenden und die Prüfung, wo KI auf Website und im Marketing gekennzeichnet werden muss. Diese Basis trägt unabhängig davon, wie sich einzelne Regelungen noch entwickeln.
Können sich die Regeln noch ändern?
Das ist möglich. Auf EU-Ebene wird über Vereinfachungen diskutiert, besonders im Hinblick auf den Aufwand für kleinere Unternehmen. Ob sich dadurch Fristen oder einzelne Pflichten verschieben, ist noch nicht abschließend entschieden. Eine solide Bestandsaufnahme ist deshalb die beste Strategie, weil sie in jedem Szenario nützlich bleibt.
Weitergedacht
Wenn ich die Bilanz nach anderthalb Jahren auf einen Satz bringe: Der EU AI Act war weniger Erdbeben und mehr Hintergrundrauschen, das langsam lauter wird. Die ganz große Welle ist ausgeblieben, aber die Pflichten sind real und wachsen mit jedem Stichtag. Wer das Thema bisher ignoriert hat, kommt damit nicht mehr lange durch, vor allem nicht über den August 2026 hinaus.
Das eigentlich Bemerkenswerte ist für mich, dass die sinnvolle Reaktion auf die Regulierung sich kaum von guter Praxis unterscheidet. Wissen, welche KI man einsetzt. Die Leute schulen, die damit arbeiten. Offen sein, wo KI im Spiel ist. Das ist kein Bürokratie-Programm, das ist schlicht ein professioneller Umgang mit einer Technologie, die ohnehin bleibt. Die Betriebe, die das verinnerlicht haben, werden den nächsten Stichtag kaum spüren. Und die nächste Regulierungswelle, die mit Sicherheit kommt, auch nicht.
