Carolli GmbHAnfragen
← Blog

14. April 2026

EU AI Act: Was Mittelstandsbetriebe 2026 konkret tun müssen

EU AI Act Pflichten für KMU 2026: Schulungspflicht, KI-Inventar, Nutzungsrichtlinie. Was gilt ab wann, und was Mittelstandsbetriebe jetzt tun müssen.

Seit August 2024 ist der EU AI Act in Kraft. Die meisten Mittelstandsbetriebe haben das registriert, aber nicht gehandelt. Das ändert sich 2026.

Zwei Fristen sind bereits verstrichen oder stehen unmittelbar bevor. Wer jetzt nichts tut, riskiert nicht nur Bußgelder, sondern auch eine interne Situation, die deutlich teurer wird als eine strukturierte Vorbereitung.

Dieser Artikel erklärt, welche Pflichten konkret gelten, für wen, und was in welcher Reihenfolge zu tun ist.

Gilt der EU AI Act für unseren Betrieb?

Ja, wenn Sie eines dieser Tools einsetzen:

  • ChatGPT oder ähnliche Sprachmodelle
  • Microsoft Copilot (in Word, Outlook, Teams)
  • KI-gestützte Kalkulationssoftware
  • Automatisierte Entscheidungssysteme (z. B. in der Produktionsplanung)
  • Bilderkennungs- oder Qualitätsprüfsysteme

Der EU AI Act gilt nicht nur für KI-Hersteller, sondern für jeden Betrieb, der KI-Systeme einsetzt. Der Begriff "Betreiber" umfasst im deutschen Mittelstand praktisch jeden, der entsprechende Software lizenziert und nutzt.

Die wichtigsten Fristen im Überblick

Seit August 2024 in Kraft: Der EU AI Act gilt grundsätzlich für alle Unternehmen im EU-Raum.

Seit Februar 2025 Pflicht: KI-Grundkompetenz für alle Mitarbeiter, die KI-Systeme nutzen. Das ist keine Empfehlung. Es ist eine Rechtspflicht, die Dokumentation erfordert.

Ab August 2026: Vollständige Anforderungen für Hochrisiko-KI-Systeme. Für die meisten Mittelstandsbetriebe sind das keine direkten Anforderungen, aber die Grundlagenarbeit muss bis dahin abgeschlossen sein.

Was konkret zu tun ist

1. KI-Inventar erstellen

Der erste Schritt ist eine vollständige Liste aller KI-Systeme im Betrieb. Das klingt einfach, ist es aber nicht immer. In der Praxis nutzen Mitarbeiter Tools, die die IT-Abteilung nicht kennt. Ein Einkäufer, der ChatGPT für Lieferantenanfragen nutzt. Eine Assistentin, die Copilot für Protokolle verwendet. Beide fallen unter den EU AI Act.

Das Inventar erfasst: welches System, wer nutzt es, wofür, seit wann.

2. Risikoklassifizierung

Jedes System im Inventar wird klassifiziert. Der EU AI Act unterscheidet vier Kategorien:

  • Minimales Risiko: ChatGPT für interne Kommunikation, Copilot für Dokumente. Keine besonderen Anforderungen, aber Dokumentation empfehlenswert.
  • Begrenztes Risiko: Chatbots mit Kundenkontakt. Transparenzpflicht (Nutzer müssen wissen, dass sie mit einer KI kommunizieren).
  • Hohes Risiko: KI in kritischen Entscheidungen, z. B. Kreditvergabe, Personalauswahl. Strenge Anforderungen, häufig nicht relevant für typische Mittelstandsanwendungen.
  • Inakzeptables Risiko: Verboten. Social Scoring, biometrische Überwachung. Für normale Geschäftsprozesse nicht relevant.

Die gute Nachricht: Die meisten Mittelstandsanwendungen fallen in die Kategorie "Minimales Risiko". Das bedeutet wenig Aufwand, aber nicht keinen Aufwand.

3. Nutzungsrichtlinie

Eine interne Richtlinie, die regelt:

  • Welche KI-Tools sind im Betrieb erlaubt?
  • Wer darf sie wofür nutzen?
  • Was ist verboten? (z. B. keine Kundendaten in öffentliche Modelle eingeben)
  • Was passiert bei Verstößen?

Diese Richtlinie muss schriftlich vorliegen, kommuniziert und dokumentiert werden. Ein einseitiges Dokument reicht für die meisten Betriebe.

4. Schulungsnachweis

Seit Februar 2025 gilt die Pflicht zur KI-Grundkompetenz. Gemeint ist kein mehrtägiges Seminar, sondern eine nachweisbare Grundunterweisung: Was ist KI, welche Systeme nutzen wir, was sind die Risiken, welche Richtlinien gelten.

Wichtig ist der Nachweis. Eine Teilnehmerliste, eine Bestätigung per E-Mail, ein kurzes Online-Quiz. Ohne Dokumentation kein Nachweis.

5. Anbieter-Check

Ihre KI-Anbieter müssen bestimmte Dokumentationen bereitstellen. Microsoft, OpenAI und die großen Anbieter sind vorbereitet. Kleinere oder spezialisierte Softwareanbieter oft nicht. Prüfen Sie, ob Ihre Anbieter die notwendigen Konformitätserklärungen und technischen Dokumentationen liefern können.

Ein Beispiel aus der Praxis

Ein Maschinenbauer mit 80 Mitarbeitern nutzt ChatGPT für interne Kommunikation, Copilot für Dokumentenerstellung und eine KI-gestützte Kalkulationssoftware vom Fachdienstleister.

Nach einer strukturierten Analyse: Alle drei Systeme fallen in die Kategorie "Minimales Risiko". Die Kalkulationssoftware erfordert eine Rückfrage beim Anbieter. Die notwendigen Maßnahmen: KI-Inventar dokumentieren, Nutzungsrichtlinie verabschieden, zwei Stunden Schulung für alle Mitarbeiter mit Protokoll.

Zeitaufwand intern: ein halber Tag. Externes Audit inklusive Dokumentation: vier Wochen.

Kosten der Nichteinhaltung: deutlich höher.

Was Betriebe jetzt prüfen sollten

Bevor August 2026 als nächste Frist relevant wird, sollten diese Fragen beantwortet sein:

1. Welche KI-Systeme nutzen wir tatsächlich? 2. Haben wir eine schriftliche Nutzungsrichtlinie? 3. Können wir belegen, dass Mitarbeiter unterwiesen wurden? 4. Liefern unsere Anbieter die notwendige Dokumentation?

Wer diese vier Fragen mit "Ja" beantworten kann, ist für 2026 gut aufgestellt.

Interne Links für den nächsten Schritt

Die vollständige Checkliste für alle fünf Compliance-Bausteine findet sich im Artikel zur [EU AI Act Checkliste für Unternehmen](/blog/eu-ai-act-checkliste-unternehmen).

Wer eine KI-Nutzungsrichtlinie erstellen will: die [KI-Nutzungsrichtlinie Vorlage](/blog/ki-nutzungsrichtlinie-vorlage) liefert ein fertiges Grundgerüst zum Anpassen.

Was die Schulungspflicht seit Februar 2025 konkret bedeutet, erklärt der Artikel zur [EU AI Act Schulungspflicht für Mitarbeiter](/blog/eu-ai-act-schulungspflicht-mitarbeiter).

Wer alle fünf Bausteine professionell begleitet abarbeiten will: der [KI Compliance Check](/ki-compliance-check) ist dafür ausgelegt.

Häufige Fragen

Müssen kleine Betriebe den EU AI Act wirklich ernst nehmen? Ja. Der EU AI Act unterscheidet nicht nach Betriebsgröße für Betreiber-Pflichten. Wer KI-Systeme nutzt, fällt unter die Anforderungen. Kleinere Betriebe haben in der Regel weniger Systeme zu dokumentieren, aber die Grundpflichten gelten.

Was kostet eine Nutzungsrichtlinie? Intern erstellt: wenige Stunden Arbeit. Extern professionell ausgearbeitet: ein bis zwei Tage. Die Richtlinie selbst ist kein großer Aufwand. Der Aufwand liegt in der vorausgehenden Inventarisierung.

Reicht es, wenn wir nur ChatGPT nutzen? Auch dann gilt: KI-Inventar (auch wenn nur ein System), Nutzungsrichtlinie, Schulungsnachweis. Der Aufwand ist überschaubar.

Was droht bei Verstößen? Der EU AI Act sieht Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes vor. Für minimale Verstöße werden diese Maximalstrafen nicht verhängt, aber die Aufsichtsbehörden werden aktiv.

Wo fange ich an? Mit dem KI-Inventar. Eine Liste aller genutzten Systeme. Das dauert in den meisten Betrieben ein bis zwei Stunden und ist die Grundlage für alles weitere.

Weiterführend

KI Compliance Check für den MittelstandKostenfreier KI WorkshopKI Sprint: Implementierung in 4 Wochen

Jetzt KI-Compliance prüfen

In 3 Minuten wissen Sie, ob und wie der EU AI Act für Ihren Betrieb gilt.

Zum Compliance-Check

Wenn der Workshop Ihnen keine 3 konkreten Hebel mit ROI-Schätzung liefert, schicke ich Ihnen eine Flasche guten Weins als Entschuldigung.