Was der EU AI Act für den Mittelstand bedeutet (und was nicht)

Der EU AI Act wurde mit Big Tech im Sinn entworfen — den Unternehmen, die Foundation Models bauen, Gesichtserkennung im großen Maßstab einsetzen und Social-Media-Algorithmen betreiben, die den öffentlichen Diskurs formen. Aber die Verordnung gilt für alle, die KI-Systeme in der EU entwickeln oder einsetzen — auch für den Industriezulieferer mit 50 Mio. Euro Umsatz, den Versicherungsmakler mit 100 Mio. und den E-Commerce-Händler mit 200 Mio.

Die Frage für den Mittelstand ist nicht „Gilt der AI Act für uns?" — das tut er — sondern „Was verlangt er konkret von uns, angesichts dessen, was wir bauen?" Die Antwort ist für die meisten deutlich weniger, als die Schlagzeilen vermuten lassen.

Die KI-Landschaft im Mittelstand

Nach über 25 Projekten mit DACH-Mittelständlern sehen wir ein konsistentes Muster bei dem, was dort mit KI gebaut wird:

• Dokumentenklassifikation und -verarbeitung: Eingehende Rechnungen, Verträge, Support-Tickets, Schadensmeldungen — klassifiziert, extrahiert, weitergeleitet
• Internes Wissensmanagement: Firmen-Wikis, technische Dokumentation, Regelwerke durchsuchbar gemacht mit RAG
• Prozessautomatisierung: Auftragsverarbeitung, Qualitätsprüfung, Berichtsgenerierung, Datenabgleich
• Kundenkommunikation: Chatbots für FAQs, automatisierte E-Mail-Triage, Antwortentwürfe
• Prognosen: Nachfrageplanung, Supply-Chain-Optimierung, Kapazitätsauslastung

Nichts davon ist Hochrisiko unter dem AI Act. Das meiste ist minimales Risiko. Einiges — kundenseitige Chatbots, Content-Generierung — fällt unter begrenztes Risiko mit Transparenzpflichten.

Das ist die gute Nachricht, die in der Compliance-Panik untergeht: Die schärfsten Anforderungen des EU AI Act — Konformitätsbewertungen, Risikomanagementsysteme, Registrierung in der EU-Datenbank — gelten für die große Mehrheit der KI-Anwendungsfälle im Mittelstand nicht.

Wo der Mittelstand auf Hochrisiko trifft

Es gibt Ausnahmen, und die zählen:

HR und Recruiting: Wenn Sie KI zum CV-Screening, zur Kandidatenranking, Interviewbewertung oder Leistungsüberwachung nutzen, ist das Hochrisiko. Das gilt auch bei Drittanbieter-Tools — Sie sind der Betreiber und tragen Betreiberpflichten.

Viele Mittelständler nutzen HR-Software mit eingebetteten KI-Funktionen, derer sie sich kaum bewusst sind. Ein Bewerbermanagement-System, das Kandidaten automatisch nach „Fit Score" rankt? Hochrisiko. Ein Performance-Management-Tool, das per KI leistungsschwache Mitarbeitende flaggt? Potenziell Hochrisiko.

Versicherung und Finanzdienstleistung: Wenn Ihr Geschäft Kreditentscheidungen, Versicherungsrisikobewertung oder KI-gestützte Schadensregulierung umfasst, sind diese Workflows Hochrisiko. Ein Versicherungsmakler mit 50 Mio. Umsatz, der KI zur Schadenstriagierung einsetzt, fällt eindeutig hierher.

Die Audit-Frage: Prüfen Sie Ihren Software-Stack. Welche Tools nutzen KI? Wofür? Wenn eines Beschäftigungsentscheidungen oder den Zugang zu wesentlichen Dienstleistungen berührt, haben Sie möglicherweise Hochrisiko-Systeme, von denen Sie nichts wussten.

Was der AI Act von den meisten Mittelständlern nicht verlangt

Seien wir explizit darüber, was Sie wahrscheinlich nicht brauchen:

• Konformitätsbewertungen — nur für Hochrisiko-Systeme. Wenn Ihr KI-Portfolio aus minimalem und begrenztem Risiko besteht, greift das nicht.
• EU-Datenbankregistrierung — nur für Hochrisiko-KI-Systeme.
• Risikomanagementsysteme — die formale Anforderung nach Art. 9 gilt für Hochrisiko-Systeme. Gute Praxis für jede KI, aber nicht gesetzlich vorgeschrieben für minimales/begrenztes Risiko.
• Technische Dokumentation in der Tiefe nach Anhang IV — erneut, nur Hochrisiko.
• Grundrechte-Folgenabschätzung — Betreiberpflicht für Hochrisiko-Systeme.

Was Sie in jedem Fall brauchen, unabhängig von der Risikostufe:

• Ein KI-System-Inventar. Sie müssen wissen, welche KI-Systeme Sie nutzen. Das ist Governance-Grundlage.
• Klassifizierungsdokumentation. Für jedes System eine dokumentierte Begründung, warum es in seine Risikokategorie fällt. Wenn ein Prüfer fragt „Woher wissen Sie, dass das minimales Risiko ist?" — brauchen Sie eine Antwort.
• Transparenzhinweise für Systeme mit begrenztem Risiko (Chatbots, KI-generierte Inhalte).
• DSGVO-Compliance für jedes KI-System, das personenbezogene Daten verarbeitet — das war schon vor dem AI Act erforderlich.

Die KMU-Bestimmungen

Der AI Act enthält spezifische Bestimmungen für kleine und mittlere Unternehmen:

• Reduzierte Bußgelder. Die Bußgeld-Obergrenzen für KMU sind proportional niedriger als für Großunternehmen. Für KMU und Startups ist die Höchststrafe der niedrigere der beiden Werte — Prozentsatz oder absoluter Betrag — nicht der höhere.
• Regulatorische Sandboxen. Mitgliedstaaten müssen KI-Regulierungs-Sandboxen einrichten, die eine kontrollierte Umgebung zum Testen innovativer KI-Systeme bieten. KMU und Startups erhalten bevorzugten Zugang.
• Vereinfachte Compliance-Maßnahmen. Die Europäische Kommission kann vereinfachte Compliance-Leitlinien für KMU entwickeln. Nationale Behörden müssen die Bedürfnisse von KMU bei der Durchsetzung berücksichtigen.

Diese Bestimmungen sind hilfreich, beseitigen aber nicht die Kernpflichten. Wenn Sie ein Hochrisiko-System haben, müssen Sie compliant sein — die KMU-Bestimmungen reduzieren das Sanktionsrisiko, nicht die Compliance-Anforderungen.

Ein praktischer Compliance-Pfad für den Mittelstand

So sieht eine typische Mittelstands-Compliance-Maßnahme aus:

Phase 1: Inventar und Klassifizierung (1–2 Wochen)

Listen Sie jedes KI-System im Einsatz auf. Einschließlich:

• Produktive KI-Workflows, die Sie gebaut oder beauftragt haben
• KI-Features in Ihren SaaS-Tools (CRM, ERP, HR-Software, Marketing-Plattformen)
• Schatten-KI: Teams, die ChatGPT, Claude, Copilot oder andere Tools informell nutzen
• Pilotprojekte und Proofs of Concept

Klassifizieren Sie jedes System nach Risikostufe. Nach unserer Projekterfahrung ergibt das bei den meisten Mittelständlern eine Liste, die zu rund 70–80 % minimales Risiko ist, zu 15–25 % begrenztes Risiko und zu 0–10 % Hochrisiko. Nutzen Sie den Klassifizierungs-Leitfaden als Ausgangspunkt.

Phase 2: Pflichten bei begrenztem Risiko adressieren (1–2 Wochen)

Für Chatbots, KI-Inhaltsgeneratoren und andere Systeme mit begrenztem Risiko:

• Transparenzhinweise umsetzen: Nutzende müssen wissen, dass sie mit KI interagieren
• KI-generierte Inhalte wo zutreffend kennzeichnen
• Die Hinweise dokumentieren

Das ist unkompliziert und bedeutet meist, einen Hinweistext in Chatbot-Oberflächen und Content-Workflows einzufügen.

Phase 3: Hochrisiko-Pflichten adressieren (falls zutreffend, 2–6 Monate)

Falls Sie Hochrisiko-Systeme haben — typischerweise in HR oder finanzieller Entscheidungsfindung:

• Bestimmen, ob Sie Anbieter oder Betreiber sind
• Für Betreiber: Anbieter-Dokumentation prüfen, menschliche Aufsicht implementieren, Grundrechte-Folgenabschätzung durchführen, Monitoring und Logging einrichten
• Eine DSFA durchführen, wenn das System personenbezogene Daten verarbeitet
• Eine benannte Person für die menschliche Aufsicht benennen

Phase 4: Laufende Governance (fortlaufend)

• Quartalsweise Überprüfung des KI-System-Inventars
• Klassifizierungen bei Systemänderungen aktualisieren
• Regulatorische Guidance von Bundesnetzagentur und Datenschutzaufsichtsbehörden beobachten
• Teams zu den AI-Act-Pflichten schulen, die für ihre Rolle relevant sind

Das eigentliche Risiko für den Mittelstand

Das größte AI-Act-Risiko für den Mittelstand ist nicht die Verordnung selbst. Es ist, die Verordnung als Ausrede zu nutzen, keine KI einzusetzen.

Compliance-Panik — befeuert durch Schlagzeilen über 35-Millionen-Euro-Bußgelder und weitreichende Regulierung — erzeugt Entscheidungslähmung. Unternehmen, die bereit waren, ihren ersten KI-Workflow in Q1 produktiv zu stellen, entscheiden sich, „auf Klarheit zu warten." Sie verlieren 6–12 Monate operativen Vorsprung, während ihre Wettbewerber handeln.

Die Erfahrung aus unseren Projekten ist eindeutig: Für die große Mehrheit der KI-Anwendungsfälle im Mittelstand verlangt der AI Act minimalen Zusatzaufwand über das hinaus, was gute Governance ohnehin erfordert. Ein KI-Inventar. Eine Risikoklassifizierung. Transparenzhinweise für Chatbots. Das ist es.

Die Unternehmen, die gewinnen werden, sind diejenigen, die ihre Systeme klassifizieren, ihre Pflichten verstehen und loslegen — nicht diejenigen, die warten, bis jemand anderes den Anfang macht.

Wenn Sie genau wissen wollen, wo Ihr KI-Portfolio unter dem AI Act steht — ohne Rätselraten — nutzen Sie unsere Diagnose. Sie erfasst Ihre Systeme, klassifiziert sie und sagt Ihnen, was (wenn überhaupt) Sie vor August 2026 tun müssen.

Weiterführend:

• EU AI Act Compliance-Leitfaden
• EU AI Act Zeitplan: Fristen und Maßnahmen
• Compliance by Design: Konformität von Anfang an einbauen
• KI-Readiness im Mittelstand