EU AI Act: Was der Mittelstand bis August 2026 wirklich tun muss

Am 2. August 2026 endet die Übergangsfrist für die meisten Bestimmungen des EU AI Act. Für viele mittelständische Unternehmen ist das noch ein abstraktes Datum. Dabei sind einige Pflichten längst in Kraft – und andere werden häufig unterschätzt, weil ein grundlegendes Missverständnis über den Anwendungsbereich besteht.

Was der AI Act tatsächlich regelt

Weit verbreitet ist die Annahme, das Gesetz betreffe vor allem Technologieunternehmen und KI-Entwickler. Das ist falsch. Der EU AI Act gilt für jedes Unternehmen, das KI-Systeme einsetzt – unabhängig davon, ob es sie selbst entwickelt oder zugekauft hat.

Das hat praktische Konsequenzen. Wer eine ERP-Software mit integrierter Bedarfsprognose einsetzt, ein Bewerbermanagementsystem mit automatisierter Vorauswahl nutzt oder einen KI-gestützten Chatbot für die Kundenkommunikation betreibt, ist Betreiber eines KI-Systems im Sinne des Gesetzes. Die damit verbundenen Pflichten treffen das Unternehmen – auch wenn der Anbieter die Technologie bereitstellt.

Das EU-Parlament hat im März 2026 das sogenannte Digital-Omnibus-Paket verabschiedet. Es verschiebt die strengsten Anforderungen für bestimmte Hochrisiko-Systeme: KI im Personalmanagement oder Kredit-Scoring muss erst ab Dezember 2027 vollständig konform sein. Die grundlegenden Transparenz- und Governance-Pflichten für den Großteil der Unternehmen bleiben jedoch beim August 2026.

Drei Pflichten, die bereits gelten

Die wichtigste und am häufigsten übersehene Anforderung ist die KI-Kompetenzpflicht nach Artikel 4. Sie gilt seit dem 2. Februar 2025 – also bereits heute. Jedes Unternehmen muss sicherstellen, dass Mitarbeitende, die KI-Systeme nutzen oder deren Ergebnisse verwenden, über ausreichende Kenntnisse verfügen. Wie genau das nachgewiesen wird, ist nicht vorgeschrieben. Aber es muss dokumentiert sein.

Hinzu kommt die Transparenzpflicht: KI-generierte Inhalte müssen kenntlich gemacht werden, wenn sie an Dritte weitergegeben werden. Das betrifft Texte, Bilder und automatisierte Entscheidungsunterstützung, die in der Außenkommunikation Einsatz finden.

Die dritte Pflicht betrifft die Risikodokumentation. Unternehmen müssen nachvollziehbar machen können, welche KI-Systeme sie einsetzen, wozu, und wie sie Risiken kontrollieren. Wer im Prüfungsfall nicht auskunftsfähig ist, riskiert Bußgelder bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes – ein Rahmen, der an die DSGVO erinnert.

Der blinde Fleck: KI in Standardsoftware

Ein gefährlicher Irrglaube vieler Mittelständler besteht darin, keine KI einzusetzen, weil man sich bewusst dagegen entschieden hat. Dabei wird übersehen, dass moderne Unternehmenssoftware in großem Umfang KI-Funktionen enthält – oft ohne dass dies explizit kommuniziert wird. Spam-Filter, Priorisierungsalgorithmen, automatisierte Kategorisierungen im CRM, Betrugserkennung in Zahlungssystemen: All das fällt unter den AI Act.

Eine systematische Bestandsaufnahme aller eingesetzten KI-Systeme – inklusive eingebetteter Funktionen in Standardsoftware – ist daher der logische Ausgangspunkt. Sie liefert nicht nur die Grundlage für Compliance, sondern oft auch überraschende Erkenntnisse darüber, wo KI im Unternehmen bereits wirkt.

Transfora-Perspektive: Compliance als Nebenprodukt guter Governance

Der EU AI Act zwingt Unternehmen zu etwas, das ohnehin sinnvoll ist: Klarheit darüber herzustellen, wo KI eingesetzt wird, wer dafür verantwortlich ist und wie Risiken kontrolliert werden. Wer das als Bürokratiepflicht behandelt, verliert Zeit und Energie. Wer es als strategische Frage versteht, baut die Grundlage für eine produktive und nachhaltige KI-Nutzung.

Compliance und Adoption schließen sich nicht aus. Sie bedingen einander. Ein Unternehmen, das seinen KI-Einsatz nicht überblickt, kann ihn auch nicht steuern – und schon gar nicht ausbauen.

Handlungsempfehlung: Was jetzt zu tun ist

Für Unternehmen, die noch nicht systematisch begonnen haben, empfiehlt sich ein dreistufiger Ansatz:

Inventur: Erfassen, welche KI-Systeme im Einsatz sind – einschließlich eingebetteter Funktionen in zugekaufter Software. Diese Liste ist die Grundlage für alles Weitere.

Risikoklassifizierung: Prüfen, in welche Kategorie jedes System fällt. Für die meisten Mittelstandsanwendungen sind die Anforderungen überschaubar. Systeme im HR-Bereich oder mit Entscheidungsrelevanz für Kreditwürdigkeit erfordern mehr Aufmerksamkeit.