Was bedeutet der EU AI Act ab August 2026 konkret für mein Unternehmen?

Verbotene Systeme sind seit Februar 2025 raus, GPAI-Pflichten greifen seit August 2025. Ab 2. August 2026 gelten die Hauptpflichten für Hochrisiko-KI plus Transparenzpflichten für jeden, der KI einsetzt — auch im Mittelstand. Wer Chatbots, Bewerber-Screening oder Bonitätsprüfung mit KI betreibt, muss handeln.

EU AI Act 2026 — Pflichten für den Mittelstand auf einen Blick

Die ehrliche Kurzantwort

Der EU AI Act (Verordnung 2024/1689) ist seit dem 1. August 2024 in Kraft, greift aber gestaffelt. Wichtig für 2026:

Seit 2. Februar 2025: Verbot von Social Scoring, Emotionserkennung am Arbeitsplatz, biometrischer Echtzeit-Fernidentifizierung im öffentlichen Raum
Seit 2. August 2025: Transparenz- und Dokumentationspflichten für GPAI-Anbieter (OpenAI, Anthropic, Mistral, Google) — relevant für deren Modellauswahl-Argumente
Ab 2. August 2026: Hauptpflichten für Hochrisiko-KI plus Transparenzpflichten für alle Anwender (auch Mittelstand)
Ab 2. August 2027: Pflichten für Hochrisiko-Systeme nach Anhang I (Produktsicherheit)

Bußgelder bis 35 Millionen Euro oder 7 % des Weltumsatzes — bei verbotenen Praktiken auch für KMU.

Wer ist betroffen — und wer nicht?

Der AI Act unterscheidet vier Risikoklassen:

Verbotene Praktiken (Art. 5). Social Scoring durch staatliche oder private Stellen, manipulative Systeme, die schutzbedürftige Gruppen ausnutzen, Emotionserkennung im Arbeitsumfeld oder in Schulen. Wer eines davon betreibt, muss sofort abschalten.

Hochrisiko-KI (Art. 6 + Anhang III). Dazu gehören unter anderem:

KI-gestützte Bewerber-Auswahl und HR-Tools (Anhang III Nr. 4)
Bonitätsprüfung und Versicherungstarifierung (Nr. 5b und 5c)
Bildungs-Bewertung und Prüfungs-Auswertung (Nr. 3)
KI in Strafverfolgung, Migration, Justiz (Nr. 6–8)
KI als Sicherheitskomponente in regulierten Produkten (Anhang I)

Im Mittelstand sind vor allem HR-Tools (Recruiting-Software, automatische Bewerber-Vorauswahl) und Kreditscoring typische Stolperfallen.

Begrenzte Risiken (Art. 50). Chatbots, generative Systeme, Deepfakes. Pflicht: Anwender müssen erkennen, dass sie mit KI sprechen oder KI-Inhalte sehen. Konkret für Webseiten und Customer-Support: jeder Bot braucht einen klaren Hinweis.

Minimales Risiko. KI-Spam-Filter, KI-Empfehlungssysteme im E-Commerce. Keine neuen Pflichten über bestehende Gesetze hinaus.

Was Mittelständler ab August 2026 konkret tun müssen

Bestandsaufnahme. Ein KI-Inventar führen: welche Systeme nutzen wir, welcher Anbieter, welche Risikoklasse, wo werden die Daten verarbeitet, wer ist verantwortlich. Ohne dieses Inventar ist Compliance unmöglich — und es ist die erste Frage einer Aufsichtsbehörde.

Klassifizierung. Pro System: Welche Risikoklasse trifft zu? Bei Hochrisiko-KI greift der volle Pflichtenkatalog (Art. 9–15): Risikomanagement, Daten-Governance, technische Dokumentation, Aufzeichnungspflichten, menschliche Aufsicht, Genauigkeit/Robustheit, Cybersicherheit.

Mitarbeiterkompetenz nach Art. 4. Seit Februar 2025 sind alle Anwender — nicht nur Anbieter — verpflichtet, ausreichende KI-Kompetenz im Unternehmen sicherzustellen. Das heißt: dokumentierte Schulungen, klare Policies, definierte Verantwortliche. Eine generische E-Learning-Pflicht reicht nicht; die Aufsicht fragt nach rollenspezifischer Schulung.

Transparenzpflichten umsetzen. Chatbots und KI-generierte Inhalte müssen als solche kenntlich sein. Konkret: KI-Chatbot auf der Webseite braucht einen sichtbaren Hinweis (“Sie sprechen mit einem KI-Assistenten”). KI-generierte Bilder im Marketing brauchen technisch (C2PA/Wasserzeichen) und kommunikativ einen Hinweis.

Verantwortliche benennen. AI Act spricht nicht explizit von einem KI-Beauftragten, aber die Pflichten brauchen jemanden, der sie umsetzt. In der Praxis: KI-Verantwortlicher in Personalunion mit Datenschutzbeauftragtem oder Informationssicherheits-Beauftragtem, je nach Unternehmensgröße.

Wo der AI Act auf DSGVO trifft

AI Act und DSGVO gelten parallel, nicht alternativ. Wenn ein KI-System personenbezogene Daten verarbeitet, brauchst du:

AI-Act-Konformität (Risikoklasse, technische Dokumentation, ggf. CE-Konformität)
DSGVO-Konformität (Rechtsgrundlage, AVV, ggf. DSFA, Transparenz Art. 13/14)

Beide Audits laufen unabhängig. Eine DSFA nach DSGVO ist nicht dasselbe wie eine Risikoeinschätzung nach Art. 9 AI Act, auch wenn sich Inhalte überlappen.

Wo wir Mittelständler typischerweise abholen

Die meisten Unternehmen, mit denen wir 2026 zu tun haben, sind in einem von drei Zuständen: (1) sie wissen nicht, dass sie Hochrisiko-KI einsetzen (HR-Tools sind der Klassiker), (2) sie haben einen Chatbot ohne AI-Act-Hinweis und ohne Datenschutzerklärungs-Update, oder (3) sie wollen ein KI-Projekt starten und wissen nicht, ob es unter Hochrisiko fällt.

Die ersten 60–90 Minuten unseres KI-Compliance-Audits decken das auf. Danach gibt es einen klaren Maßnahmenkatalog mit Aufwand und Reihenfolge.

Was du heute nicht ignorieren solltest

Wenn dein Unternehmen Bewerber-Screening, Bonitätsprüfung oder Personalentscheidungs-Tools mit KI einsetzt, hast du bis 2. August 2026 realistisch drei Monate Vorlauf. Das ist knapp, aber machbar — wenn du jetzt anfängst. Wenn du wartest, bis die Aufsicht anfragt, ist es zu spät.

EU AI Act 2024/1689 — was ändert sich ab August 2026 für den Mittelstand?