Der EU AI Act wurde mit Big Tech im Sinn entworfen — den Unternehmen, die Foundation Models trainieren, Gesichtserkennung im Großmaßstab betreiben und Social-Media-Algorithmen auf Milliarden Menschen loslassen. Aber die Verordnung gilt für jeden, der KI-Systeme in der EU entwickelt oder einsetzt. Auch für den Industriezulieferer mit 50 Mio. Euro Umsatz, den Versicherungsmakler mit 100 Mio. und den E-Commerce-Händler mit 200 Mio.
Die Frage ist nicht „Gilt der AI Act für uns?" — das tut er. Die Frage ist: „Was verlangt er konkret von uns, angesichts dessen, was wir tatsächlich bauen?" Für die überwiegende Mehrheit der DACH-Mittelständler ist die Antwort deutlich weniger, als die Schlagzeilen vermuten lassen.
Was im Mittelstand tatsächlich gebaut wird
Das Muster ist konsistent: Dokumentenklassifikation und -verarbeitung — eingehende Rechnungen, Verträge, Support-Tickets, automatisch klassifiziert und weitergeleitet. Internes Wissensmanagement, bei dem Firmen-Wikis und technische Dokumentation per RAG durchsuchbar gemacht werden. Prozessautomatisierung in Auftragsverarbeitung, Qualitätsprüfung und Berichtsgenerierung. Kundenkommunikation über FAQ-Chatbots und automatisierte E-Mail-Triage. Nachfrageplanung und Supply-Chain-Optimierung.
Keiner dieser Anwendungsfälle ist Hochrisiko im Sinne des AI Act. Der Großteil fällt unter minimales Risiko. Einiges — kundenseitige Chatbots, KI-generierte Inhalte — unterliegt dem begrenzten Risiko mit Transparenzpflichten.
Das ist die wesentliche Nachricht, die in der Compliance-Panik untergeht: Die schärfsten Anforderungen der Verordnung — formale Konformitätsbewertungen, Registrierung in der EU-Datenbank für Hochrisiko-KI, das detaillierte Risikomanagementsystem nach Artikel 9 — gelten für die große Mehrheit der KI-Anwendungsfälle im Mittelstand schlicht nicht.
Wann Hochrisiko greift — und warum das konkreter ist als gedacht
Es gibt Ausnahmen, und sie sind präziser definiert, als viele Berater es darstellen. Anhang III des AI Act listet die Hochrisiko-Kategorien abschließend auf.
Recruiting und HR ist die häufigste Hochrisiko-Falle für den Mittelstand. Jedes KI-System, das zur Bewerberselektion eingesetzt wird — sei es zum Filtern von Lebensläufen, zum Ranking von Kandidaten, zur Interview-Bewertung oder zur Leistungsüberwachung — fällt in diese Kategorie. Das gilt auch für Systeme, die Beförderungen, Kündigungen oder die Aufgabenverteilung auf Basis von Verhaltensmustern beeinflussen. Entscheidend: Sie müssen nicht selbst das System gebaut haben. Wenn Sie HR-Software mit eingebetteten KI-Funktionen betreiben, sind Sie als Betreiber verantwortlich — nicht der Software-Anbieter. Ein Bewerbermanagement-System, das Kandidaten automatisch nach „Fit Score" rankt? Hochrisiko. Ein Performance-Management-Tool, das per KI Leistungsschwächen flaggt? Potenziell Hochrisiko.
Kredit- und Versicherungsentscheidungen sind die zweite relevante Kategorie. KI-Systeme zur Bonitätsprüfung natürlicher Personen oder zur Kreditwürdigkeitsbewertung sind explizit Hochrisiko — mit einer einzigen Ausnahme für Betrugserkennungssysteme. Gleiches gilt für KI in der Risikoeinschätzung und Preisgestaltung in der Lebens- und Krankenversicherung. Ein Versicherungsmakler, der KI zur Schadenstriagierung oder Risikoeinschätzung einsetzt, bewegt sich klar in diesem Bereich.
Die praktische Konsequenz: Prüfen Sie Ihren Software-Stack systematisch. Welche Tools nutzen KI? Wofür genau? Welche Entscheidungen beeinflussen sie? Wenn ein System Beschäftigungsentscheidungen berührt oder den Zugang zu wesentlichen Dienstleistungen steuert, haben Sie möglicherweise Hochrisiko-Systeme im Einsatz, ohne es zu wissen.
Was der AI Act nicht von Ihnen verlangt — explizit
Wir sind direkt: Die meisten Mittelständler benötigen keine formale Konformitätsbewertung. Diese Anforderung greift ausschließlich für Hochrisiko-Systeme. Ebenso die Registrierung in der EU-Datenbank, das formale Risikomanagementsystem nach Artikel 9 und die technische Dokumentation nach Anhang IV. Wer sein KI-Portfolio ehrlich inventarisiert und feststellt, dass es aus minimalem und begrenztem Risiko besteht, hat den größten Teil der regulatorischen Belastung bereits hinter sich.
Was unabhängig von der Risikokategorie gilt, ist überschaubar: ein dokumentiertes KI-System-Inventar, eine begründete Klassifizierung jedes Systems (damit Sie bei einer Prüfung erklären können, warum ein System als minimales Risiko eingestuft wurde), Transparenzhinweise für Chatbots und KI-generierte Inhalte sowie die ohnehin bestehende DSGVO-Compliance für alle Systeme, die personenbezogene Daten verarbeiten.
Die Omnibus-Erleichterungen vom Mai 2026
Am 7. Mai 2026 einigten sich Rat und Parlament im Rahmen des Digital-Omnibus-Pakets auf wesentliche Änderungen des AI Act — mit konkreten Erleichterungen für kleinere Unternehmen. Die vereinfachten Compliance-Rahmen, die ursprünglich nur für KMU im klassischen EU-Sinne galten (unter 250 Mitarbeitende, unter 50 Mio. Euro Umsatz), werden auf Unternehmen mit bis zu 750 Mitarbeitenden und bis zu 150 Mio. Euro Jahresumsatz ausgeweitet. Damit profitiert ein erheblicher Teil des deutschen Mittelstands von vereinfachter technischer Dokumentation, proportional reduzierten Bußgeldobergrenzen und bevorzugtem Zugang zu den nationalen KI-Regulierungs-Sandboxen.
Daneben wurde für neue oder wesentlich veränderte Hochrisiko-Systeme nach Anhang III eine Verschiebung von 16 Monaten vereinbart. Das gibt Unternehmen, die erst jetzt erkennen, dass sie ein Hochrisiko-System betreiben, echten Handlungsspielraum.
Diese Erleichterungen beseitigen jedoch nicht die Kern-Compliance-Pflichten. Wer ein Hochrisiko-System betreibt, muss compliant sein — die Omnibus-Anpassungen reduzieren das Sanktionsrisiko und den Dokumentationsaufwand, nicht die grundlegende Anforderung.
Ein realistischer Compliance-Pfad
Die Verordnung wird ab dem 2. August 2026 vollständig anwendbar. Das klingt eng, ist es für die meisten Mittelständler aber nicht — sofern man strukturiert vorgeht.
Schritt eins ist das Inventar. Listen Sie systematisch jedes KI-System auf: die Workflows, die Sie selbst gebaut haben, die KI-Features in Ihren SaaS-Tools (CRM, ERP, HR-Software, Marketing-Plattformen), Schatten-KI (ChatGPT, Copilot, Claude im informellen Team-Einsatz) sowie laufende Piloten. Dieser Schritt ist für die meisten Mittelständler in einer bis zwei Wochen erledigt.
Schritt zwei ist die Klassifizierung. Ordnen Sie jedes System einer Risikostufe zu und dokumentieren Sie die Begründung. Aus unserer Projekterfahrung ergibt das bei den meisten Mittelständlern überwiegend minimales Risiko, einen kleineren Anteil begrenztes Risiko und selten — nur dort, wo HR-Tech oder Finanzentscheidungen involviert sind — Hochrisiko. Der Klassifizierungs-Leitfaden gibt einen strukturierten Ausgangspunkt.
Schritt drei adressiert das begrenzte Risiko. Für Chatbots und KI-Inhaltsgeneratoren gilt: Nutzende müssen wissen, dass sie mit KI interagieren. Das ist in der Praxis ein Hinweistext in der Chatbot-Oberfläche und eine Kennzeichnung in Content-Workflows — unkompliziert und in wenigen Tagen umsetzbar.
Schritt vier gilt nur, wenn Sie Hochrisiko-Systeme haben — typischerweise in HR-Tech oder in der Finanzentscheidungsfindung. Dann bestimmen Sie zunächst, ob Sie Anbieter oder Betreiber sind (im Mittelstand fast immer Betreiber), prüfen die Anbieter-Dokumentation, implementieren menschliche Aufsicht, führen eine Grundrechte-Folgenabschätzung durch und richten Monitoring und Logging ein. Zusätzlich ist eine DSFA durchzuführen, wenn das System personenbezogene Daten verarbeitet. Dieser Schritt dauert zwei bis sechs Monate und rechtfertigt externe Unterstützung.
Laufend genügen quartalsweise Inventar-Reviews, die Aktualisierung von Klassifizierungen bei Systemänderungen und die Beobachtung der Guidance der Bundesnetzagentur als zuständiger nationaler Behörde.
Das eigentliche Risiko
Das größte AI-Act-Risiko für den Mittelstand ist nicht die Verordnung selbst. Es ist, sie als Ausrede zu nutzen, keine KI einzusetzen.
Compliance-Panik — befeuert durch Schlagzeilen über 35-Millionen-Euro-Bußgelder und pauschal „weitreichende Regulierung" — erzeugt Entscheidungslähmung. Unternehmen, die bereit waren, ihren ersten produktiven KI-Workflow in Betrieb zu nehmen, entscheiden sich, „auf Klarheit zu warten." Sie verlieren sechs bis zwölf Monate operativen Vorsprung, während ihre Wettbewerber handeln.
Die Realität ist nüchterner: Für die große Mehrheit der KI-Anwendungsfälle im Mittelstand verlangt der AI Act minimalen Zusatzaufwand über das hinaus, was gute Governance ohnehin erfordert. Ein Inventar. Eine dokumentierte Klassifizierung. Transparenzhinweise für Chatbots. Das ist es. Die Unternehmen, die in zwei Jahren den Abstand zu ihren Wettbewerbern spüren werden, sind nicht diejenigen, die zu früh angefangen haben — sondern diejenigen, die zu lange gewartet haben.
Ein Fit Call zeigt Ihnen in 30 Minuten, wo Ihr KI-Portfolio unter dem AI Act steht — ohne Rätselraten, bevor die Frist am 2. August 2026 greift.
Quellen: Europäisches Parlament und Rat der EU, Verordnung (EU) 2024/1689 (AI Act), Anhang III; Europäische Kommission, AI Act Service Desk, „Timeline for the Implementation of the EU AI Act", ai-act-service-desk.ec.europa.eu; Rat der EU, Pressemitteilung „Artificial Intelligence: Council and Parliament agree to simplify and streamline rules", 7. Mai 2026, consilium.europa.eu.