Was ist der EU KI-Act?

Der EU KI-Act (Verordnung 2024/1689) ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Er trat am 1. August 2024 in Kraft und wird stufenweise bis August 2027 vollständig anwendbar.

Betrifft der EU KI-Act auch KMU?

Ja. Der EU KI-Act gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen. Für KMU gelten jedoch erleichterte Bedingungen: reduzierte Gebühren, vereinfachte Dokumentation und Zugang zu regulatorischen Sandboxes.

Welche Strafen drohen bei Verstößen?

Bei verbotenen KI-Praktiken bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Bei Verstößen gegen andere Vorschriften bis zu 15 Millionen Euro oder 3 Prozent. Für KMU gelten jeweils die niedrigeren Beträge.

EU KI-Act 2026: Was der Mittelstand wissen muss

29. Mai 2026 · 7 Min. Lesezeit · KI im Mittelstand

Ab dem 2. August 2026 gelten die zentralen Pflichten des EU KI-Acts. Die Verordnung (EU) 2024/1689 ist seit August 2024 in Kraft. Sie wird stufenweise anwendbar. Die nächste Stufe betrifft alle Unternehmen, die KI Systeme mit hohem Risiko einsetzen. Auch den Mittelstand.

Dieser Artikel fasst zusammen, was die Verordnung regelt, welche Pflichten ab August gelten und was für mittelständische Unternehmen konkret zu tun ist.

Was der EU KI-Act regelt

Der EU KI-Act ist das weltweit erste umfassende Gesetz für Künstliche Intelligenz. Er gilt für alle Unternehmen, die KI Systeme in der EU entwickeln, vertreiben oder einsetzen. Branche und Größe spielen dabei keine Rolle.

Die Verordnung teilt KI Systeme in vier Risikostufen ein (Artikel 5, 6 und 52 der Verordnung):

Unannehmbares Risiko: Verboten. Dazu gehören Social Scoring, unterschwellige Manipulation und biometrische Echtzeit Fernidentifizierung im öffentlichen Raum. Diese Verbote gelten seit dem 2. Februar 2025.
Hohes Risiko: Erlaubt, aber streng reguliert. Betrifft KI in Bereichen wie Personalauswahl, Kreditvergabe, Bildung oder kritische Infrastruktur. Hier gelten ab August 2026 umfangreiche Dokumentations und Überwachungspflichten.
Begrenztes Risiko: Transparenzpflichten. Wer Chatbots, Deepfakes oder KI generierte Texte einsetzt, muss das kennzeichnen.
Minimales Risiko: Keine besonderen Pflichten. Das betrifft die meisten gängigen KI Anwendungen wie Spamfilter, Übersetzungssoftware oder Empfehlungssysteme.

Der Zeitplan

Die Verordnung trat am 1. August 2024 in Kraft. Die Pflichten werden stufenweise anwendbar (Artikel 113):

Februar 2025: Verbote für KI mit unannehmbarem Risiko.
August 2025: Regeln für allgemeine KI Modelle (General Purpose AI). Betrifft vor allem Anbieter großer Sprachmodelle.
August 2026: Pflichten für Betreiber von KI Systemen mit hohem Risiko. Das ist die Stufe, die den Mittelstand direkt betrifft.
August 2027: Vollständige Anwendbarkeit aller Vorschriften.

Was „hohes Risiko" für den Mittelstand bedeutet

Die meisten mittelständischen Unternehmen setzen KI nicht in Hochrisikobereichen ein. Wer KI für Texterstellung, Datenanalyse, Marketing oder interne Prozessoptimierung nutzt, fällt in der Regel unter „minimales Risiko". Keine besonderen Pflichten.

Aber es gibt Ausnahmen. Anhang III der Verordnung listet acht Bereiche auf, in denen KI als hochriskant gilt:

Biometrie und Kategorisierung von Personen
Kritische Infrastruktur
Bildung und Berufsausbildung
Beschäftigung und Personalmanagement
Zugang zu öffentlichen und privaten Dienstleistungen
Strafverfolgung
Migration und Grenzkontrolle
Rechtspflege und demokratische Prozesse

Punkt 4 ist für den Mittelstand relevant. Wer KI einsetzt, um Bewerbungen vorzusortieren, Leistungsbewertungen zu automatisieren oder Beförderungsentscheidungen zu unterstützen, betreibt ein System mit hohem Risiko.

In dem Fall gelten ab August 2026 folgende Pflichten (Artikel 26):

Risikomanagementsystem einrichten
Datenqualität sicherstellen
Technische Dokumentation führen
Menschliche Aufsicht gewährleisten
Protokollierung und Transparenz sicherstellen
Registrierung in der EU Datenbank vornehmen

Sonderregeln für KMU

Der EU KI-Act enthält explizite Erleichterungen für kleine und mittlere Unternehmen. Das steht in Erwägungsgrund 141 und in Artikel 62.

Konkret:

Regulatorische Sandboxes: Die EU Mitgliedstaaten müssen KI Reallabore einrichten. KMU erhalten dort bevorzugten Zugang, um ihre Systeme unter Aufsicht zu testen. Deutschland hat mit der KI Verordnungsstelle bei der Bundesnetzagentur bereits eine zuständige Behörde benannt.
Reduzierte Gebühren: Konformitätsbewertungen und Zertifizierungen kosten KMU weniger. Die genaue Höhe legen die nationalen Behörden fest.
Vereinfachte Dokumentation: Für KMU können die Dokumentationspflichten vereinfacht werden. Die Europäische Kommission soll dafür Leitlinien veröffentlichen.

Laut einer Studie der Europäischen Kommission betragen die geschätzten Compliance Kosten für ein KI System mit hohem Risiko zwischen 6.000 und 7.000 Euro. Für KMU sollen diese Kosten durch die Erleichterungen weiter sinken (Impact Assessment SWD(2024) 2).

Was passiert bei Verstößen

Die Bußgelder stehen in Artikel 99:

Verbotene KI Praktiken: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.
Verstöße gegen andere Vorschriften: bis zu 15 Millionen Euro oder 3 Prozent.
Falsche Angaben gegenüber Behörden: bis zu 7,5 Millionen Euro oder 1 Prozent.

Für KMU und Startups gilt jeweils der niedrigere Betrag. Die Bußgelder sollen „wirksam, verhältnismäßig und abschreckend" sein. Die nationale Aufsichtsbehörde entscheidet über die Höhe im Einzelfall.

Was jetzt zu tun ist

Drei Schritte. Keine davon erfordert ein Großprojekt.

1. Bestandsaufnahme machen. Welche KI Systeme sind im Einsatz? Welche werden geplant? Fallen sie unter die Hochrisiko Kategorien aus Anhang III? In den meisten Fällen lautet die Antwort: nein. Dann reichen die allgemeinen Transparenzpflichten.

2. Transparenzpflichten umsetzen. Wer Chatbots oder KI-generierte Inhalte einsetzt, muss das kenntlich machen. Das ist kein großer Aufwand. Ein Hinweis auf der Website oder in der Kommunikation genügt.

3. Anbieter prüfen. Wer KI als Dienstleistung nutzt – etwa über einen Managed-KI-Adapter – sollte prüfen, ob der Anbieter die Verordnung einhält. Das betrifft insbesondere die Frage, wo die Daten verarbeitet werden und ob der Anbieter seinen Dokumentationspflichten nachkommt.

Für die meisten mittelständischen Unternehmen ist der EU KI-Act kein Grund zur Panik. Es ist ein Regelwerk. Es schafft Rechtssicherheit. Und es hat klare Erleichterungen für KMU vorgesehen.

Fazit

Der EU KI-Act reguliert KI nach Risiko. Nicht nach Unternehmensgröße. Die meisten KI Anwendungen im Mittelstand fallen unter minimales Risiko und erfordern keine besonderen Maßnahmen.

Wer KI im Personalbereich einsetzt, muss genauer hinschauen. Für alle anderen gilt: Transparenz sicherstellen, Anbieter prüfen, fertig.

Die Deadline ist August 2026. Das ist kein Grund für Hektik. Aber ein guter Grund, jetzt eine Bestandsaufnahme zu machen.

Quellen

Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 (EU KI-Act), Amtsblatt der EU L 2024/1689
Europäische Kommission: Impact Assessment SWD(2024) 2, Compliance Costs for SMEs
Bundesnetzagentur: KI Verordnungsstelle, Zuständigkeiten und regulatorische Sandboxes (2025)
Bitkom: Leitfaden zur KI Verordnung der EU, Version 2.0 (2025)
BMWK: FAQ zum EU AI Act für KMU (März 2026)

KI nutzen. DSGVO und EU KI-Act konform. Der KI-Adapter von lupenRhein übernimmt Betrieb, Hosting und Compliance. Ihr Team nutzt die Ergebnisse.

KI-Adapter entdecken Alle Leistungen

Jürgen Zirk

Geschäftsführer · lupenRhein · 30 Jahre B2B-Dialogmarketing

← Alle Artikel

EU KI-Act 2026: Was der Mittelstand bis August wissen muss