Mit dem EU AI Act hat die Europäische Union die weltweit erste umfassende Regulierung für Künstliche Intelligenz geschaffen. Die Verordnung ist im August 2024 in Kraft getreten und entfaltet ihre Wirkung in gestaffelten Stufen — manche Pflichten gelten bereits, andere greifen erst in den kommenden Jahren. Für viele mittelständische Unternehmen entsteht dadurch ein gefährliches Missverständnis: „Das betrifft nur große KI-Hersteller" oder „Wir haben ja noch Zeit." Beides ist falsch. Der EU AI Act betrifft Unternehmen quer durch alle Branchen, die KI einsetzen — und die zentrale Frist für die anspruchsvollsten Anforderungen liegt im August 2026.
Dieser Leitfaden ordnet die KI-Verordnung praxisnah für den Mittelstand ein. Er erklärt, was der AI Act eigentlich regelt, wie der risikobasierte Ansatz mit seinen vier Risikoklassen funktioniert, welcher Zeitplan gilt — und vor allem: was Sie als Unternehmen jetzt konkret tun sollten, um bis August 2026 vorbereitet zu sein. Dabei zeigt sich, dass die Norm ISO 42001 als Managementrahmen einen pragmatischen Weg bietet, die regulatorischen Pflichten strukturiert und nachweisbar zu erfüllen.
Was der EU AI Act regelt — Ziel und Grundprinzip
Der EU AI Act (Verordnung (EU) 2024/1689) verfolgt ein doppeltes Ziel: Er soll einerseits das Vertrauen in KI-Technologien stärken und Grundrechte, Sicherheit sowie demokratische Werte schützen — andererseits Innovation in Europa nicht abwürgen, sondern in geordnete Bahnen lenken. Als EU-Verordnung gilt der AI Act unmittelbar in allen Mitgliedstaaten, ohne dass eine nationale Umsetzung erforderlich wäre. Das unterscheidet ihn etwa von einer Richtlinie wie NIS2, deren Umsetzung in Deutschland erst in nationales Recht überführt werden muss.
Das Herzstück der Verordnung ist ein risikobasierter Ansatz. Statt jede KI-Anwendung pauschal gleich zu behandeln, staffelt der AI Act die Anforderungen nach dem Risiko, das ein System für Menschen und Gesellschaft darstellt. Je höher das potenzielle Risiko, desto strenger die Pflichten. Ein Spamfilter wird also völlig anders behandelt als ein KI-System, das über Kreditwürdigkeit oder Bewerbungen entscheidet. Dieser Ansatz ist der entscheidende Schlüssel zum Verständnis der gesamten Verordnung — und er ist auch der Grund, warum Sie zunächst genau wissen müssen, welche KI-Systeme Sie überhaupt einsetzen.
Kernbotschaft
Der EU AI Act reguliert nicht „KI an sich", sondern den konkreten Einsatzzweck und das damit verbundene Risiko. Für Unternehmen heißt das: Nicht die Technologie entscheidet über Ihre Pflichten, sondern wofür und wie Sie sie verwenden.
Wichtig ist auch der weite Adressatenkreis. Der AI Act richtet sich nicht nur an Anbieter (Provider), die KI-Systeme entwickeln und auf den Markt bringen, sondern ausdrücklich auch an Betreiber (Deployer) — also Unternehmen, die KI-Systeme im Rahmen ihrer Tätigkeit nutzen. Genau hier sitzt der Mittelstand. Wer ein zugekauftes KI-Tool für Personalauswahl, Bonitätsprüfung oder andere sensible Zwecke einsetzt, übernimmt eigene Pflichten aus der Verordnung — auch wenn er die Software nicht selbst gebaut hat.
Die vier Risikoklassen des AI Act — mit Beispielen
Der AI Act teilt KI-Systeme in vier Risikoklassen ein. Diese Einordnung bestimmt, welche Pflichten gelten — von einem vollständigen Verbot bis hin zu praktisch keinerlei Auflagen.
1. Unannehmbares Risiko — verbotene Praktiken
Bestimmte KI-Anwendungen gelten als so grundrechtsgefährdend, dass sie in der EU schlicht verboten sind. Dazu zählen unter anderem:
- Social Scoring durch staatliche oder private Akteure, das Menschen anhand ihres Verhaltens bewertet und benachteiligt.
- Manipulative Systeme, die unterschwellig das Verhalten von Menschen beeinflussen und ihnen schaden.
- Ausnutzung von Schutzbedürftigkeit etwa aufgrund von Alter, Behinderung oder sozialer Lage.
- Biometrische Kategorisierung zur Ableitung sensibler Merkmale sowie ungezieltes Auslesen von Gesichtsbildern aus dem Internet zum Aufbau von Gesichtserkennungsdatenbanken.
Für die meisten Mittelständler ist diese Kategorie weniger relevant — kaum ein Unternehmen plant Social Scoring. Dennoch lohnt der Blick: Auch scheinbar harmlose Einsatzideen, etwa eine Emotionserkennung am Arbeitsplatz, fallen unter besonders strenge oder verbotene Praktiken.
2. Hohes Risiko — der Kern der Compliance-Pflichten
Hier wird es für viele Unternehmen ernst. Als hochriskant gelten KI-Systeme, die in sensiblen Bereichen über Menschen entscheiden oder erheblichen Einfluss auf deren Leben haben. Beispiele, die direkt den Mittelstand treffen können:
- KI in der Personalauswahl — etwa Systeme, die Bewerbungen vorsortieren, bewerten oder Kandidaten ranken.
- KI für Bonitäts- und Kreditwürdigkeitsprüfungen.
- KI in kritischen Infrastrukturen wie der Steuerung von Energie- oder Wasserversorgung.
- KI als Sicherheitskomponente in Produkten, die ohnehin einer EU-Produktsicherheitsregulierung unterliegen (z. B. Maschinen, Medizinprodukte).
- KI im Bildungsbereich, etwa zur Bewertung von Prüfungen oder zur Steuerung des Zugangs zu Ausbildung.
Für Hochrisiko-Systeme gilt ein umfangreicher Pflichtenkatalog: Risikomanagement über den gesamten Lebenszyklus, hohe Datenqualität, technische Dokumentation, Protokollierung, Transparenz gegenüber Nutzern, menschliche Aufsicht sowie ein angemessenes Niveau an Genauigkeit, Robustheit und Cybersicherheit. Genau diese Anforderungen sind es, deren Frist im August 2026 greift.
3. Begrenztes Risiko — Transparenzpflichten
Eine dritte Gruppe von KI-Systemen birgt zwar kein hohes Risiko, kann Menschen aber täuschen, wenn sie nicht als KI erkennbar sind. Hier greifen gezielte Transparenzpflichten:
- Chatbots müssen so gestaltet sein, dass Nutzer erkennen, dass sie mit einer Maschine kommunizieren.
- KI-generierte oder -bearbeitete Inhalte, insbesondere Deepfakes, müssen entsprechend gekennzeichnet werden.
- Synthetisch erzeugte Audio-, Bild-, Video- oder Textinhalte sind als künstlich erzeugt kenntlich zu machen.
Diese Kategorie betrifft viele Mittelständler unmittelbar — etwa wenn Sie einen KI-Chatbot im Kundenservice einsetzen oder KI-Bilder im Marketing verwenden. Die Pflichten sind hier deutlich leichter zu erfüllen als bei Hochrisiko-Systemen, dürfen aber nicht übersehen werden.
4. Minimales Risiko — keine besonderen Pflichten
Die große Mehrheit der heute eingesetzten KI-Anwendungen fällt in diese Kategorie: Spamfilter, KI in Videospielen, Empfehlungssysteme, intelligente Rechtschreibkorrektur oder Lagerbestandsoptimierung. Für diese Systeme stellt der AI Act keine besonderen rechtlichen Anforderungen. Die EU empfiehlt freiwillige Verhaltenskodizes, mehr nicht. Wichtig bleibt aber: Die Einordnung als „minimal" ist das Ergebnis einer bewussten Prüfung — nicht eine Annahme, die man sich erspart.
Praxis-Tipp
Verlassen Sie sich bei der Einordnung nicht auf das Bauchgefühl. Ein und dasselbe KI-Tool kann je nach Einsatzzweck in unterschiedliche Klassen fallen. Erst der konkrete Anwendungsfall in Ihrem Unternehmen entscheidet über die Risikoklasse — und damit über Ihre Pflichten.
Der Zeitplan: Wann welche Pflichten greifen
Der AI Act gilt nicht auf einen Schlag. Die Verordnung setzt auf einen gestaffelten Zeitplan, der den Unternehmen Zeit zur Vorbereitung gibt — diese Zeit will aber genutzt werden. Die wichtigsten Stufen im Überblick:
- August 2024 — Inkrafttreten. Die Verordnung tritt formal in Kraft, die Übergangsfristen beginnen zu laufen.
- Februar 2025 — Verbote und AI Literacy. Die verbotenen KI-Praktiken (unannehmbares Risiko) sind seitdem untersagt. Gleichzeitig gilt die Pflicht zur AI Literacy: Unternehmen müssen sicherstellen, dass Mitarbeitende, die mit KI arbeiten, über ausreichende Kompetenz im Umgang damit verfügen.
- August 2025 — Pflichten für GPAI-Modelle. Für Anbieter von General-Purpose-AI-Modellen (Allzweck-KI wie große Sprachmodelle) greifen Transparenz- und Dokumentationspflichten.
- August 2026 — Anforderungen an Hochrisiko-Systeme. Dies ist die zentrale Frist für die meisten Unternehmen: Die umfassenden Pflichten für Hochrisiko-KI werden anwendbar.
Für den Mittelstand ist August 2026 damit der entscheidende Horizont. Wer Hochrisiko-Systeme einsetzt oder plant, muss bis dahin Risikomanagement, Dokumentation, menschliche Aufsicht und die übrigen Anforderungen umgesetzt haben. Das klingt nach viel Zeit — ist es aber nicht, wenn man bedenkt, dass solche Strukturen erst aufgebaut, mit Prozessen verankert und nachweisbar dokumentiert werden müssen.
Kernbotschaft
Auch wenn die Hochrisiko-Pflichten erst ab August 2026 greifen: Die AI-Literacy-Pflicht und die Verbote gelten bereits heute. Der EU AI Act ist für Unternehmen kein Zukunftsthema mehr, sondern geltendes Recht.
Was Mittelständler jetzt konkret tun sollten
Die gute Nachricht vorweg: Die AI-Act-Umsetzung ist auch für den Mittelstand machbar — vorausgesetzt, sie wird strukturiert und risikobasiert angegangen statt als Aktionismus oder Bürokratiemonster. Die folgenden Schritte bilden einen pragmatischen Fahrplan bis August 2026.
1. KI-Inventar erstellen
Sie können nur regulieren, was Sie kennen. Der erste Schritt ist deshalb ein vollständiges Inventar aller KI-Systeme, die in Ihrem Unternehmen im Einsatz sind oder geplant werden. Dazu gehören auch unscheinbare Anwendungen: KI-Funktionen in bestehender Software, KI-gestützte Recruiting-Tools, Chatbots — und nicht zuletzt die „Schatten-KI", also Tools, die einzelne Mitarbeitende eigenmächtig nutzen. Gerade der unkontrollierte Einsatz von öffentlichen KI-Diensten ist ein verbreitetes Risiko; wie Sie damit umgehen, beleuchten wir im Beitrag zu Shadow AI und ChatGPT im Team.
2. Betroffenheits- und Risikoanalyse durchführen
Ordnen Sie jedes inventarisierte System einer Risikoklasse zu. Entscheidend ist dabei der konkrete Einsatzzweck in Ihrem Unternehmen. Für jedes System sollten Sie klären: Handelt es sich um eine verbotene Praktik? Fällt es unter die Hochrisiko-Kategorie? Bestehen Transparenzpflichten? Diese AI Impact Assessment-Logik ist auch der Kern der Norm ISO 42001 — eine systematische Folgenabschätzung pro KI-Anwendung. Halten Sie das Ergebnis schriftlich fest, auch wenn ein System als minimal eingestuft wird; eine begründete Einordnung ist Teil Ihres Nachweises.
3. Dokumentation aufbauen
Für Hochrisiko-Systeme verlangt der AI Act eine technische Dokumentation, Protokollierung und nachvollziehbare Nachweise über den gesamten Lebenszyklus. Beginnen Sie früh damit, die nötigen Unterlagen zusammenzustellen: Welche Daten trainieren oder speisen das System? Wie wird Qualität sichergestellt? Wer ist verantwortlich? Diese Dokumentation ist kein Selbstzweck, sondern Ihr Beleg gegenüber Aufsichtsbehörden — und sie überschneidet sich erheblich mit dem, was ein Informationssicherheits-Managementsystem ohnehin fordert.
4. Transparenz herstellen
Setzen Sie die Transparenzpflichten der Klasse „begrenztes Risiko" um. Konkret heißt das: Kennzeichnen Sie Chatbots als KI, weisen Sie auf KI-generierte Inhalte hin und sorgen Sie dafür, dass Nutzer informierte Entscheidungen treffen können. Das ist oft mit geringem Aufwand machbar und sollte nicht aufgeschoben werden.
5. Governance und KI-Kompetenz aufbauen
Schaffen Sie klare Verantwortlichkeiten: Wer entscheidet über den Einsatz neuer KI-Systeme? Wer überwacht die Einhaltung der Pflichten? Wer schult die Mitarbeitenden? Eine verbindliche KI-Richtlinie legt fest, welche Tools erlaubt sind, welche Daten eingegeben werden dürfen und wie mit Ergebnissen umzugehen ist. Wie Sie eine solche Richtlinie praxisnah formulieren, zeigen wir im Beitrag KI-Policy erstellen. Vergessen Sie dabei die seit Februar 2025 geltende AI-Literacy-Pflicht nicht — Ihre Mitarbeitenden müssen kompetent mit KI umgehen können.
Praxis-Tipp
Behandeln Sie KI-Governance nicht als isoliertes Projekt. Wer bereits ein ISMS nach ISO 27001 betreibt, kann KI-Risiken in bestehende Strukturen integrieren — und spart sich doppelte Arbeit. Datenschutz, Informationssicherheit und KI-Compliance gehören in einen gemeinsamen Rahmen.
ISO 42001 als Umsetzungsrahmen
Der AI Act sagt, was zu erreichen ist — er liefert aber kein fertiges Managementsystem dafür. Genau diese Lücke schließt ISO/IEC 42001, die im Dezember 2023 veröffentlichte internationale Norm für KI-Managementsysteme (AI Management System, AIMS). Sie bietet einen strukturierten Rahmen, um KI verantwortungsvoll, nachweisbar und kontinuierlich verbessert zu betreiben — und übersetzt damit die regulatorischen Anforderungen in gelebte Praxis.
Die Prinzipien der ISO 42001 decken sich auffällig mit dem, was der AI Act fordert:
- Risikobasierter Ansatz — Pflichten und Maßnahmen richten sich nach dem Risiko der jeweiligen KI-Anwendung, exakt wie im AI Act.
- KI-Lebenszyklus — KI-Systeme werden von der Konzeption über den Betrieb bis zur Außerbetriebnahme gesteuert.
- AI Impact Assessment — die systematische Folgenabschätzung pro Anwendung entspricht der Betroffenheits- und Risikoanalyse des AI Act.
- Klare Verantwortlichkeiten — Rollen und Zuständigkeiten für KI werden definiert und dokumentiert.
- Kontinuierliche Verbesserung — der PDCA-Zyklus (Plan-Do-Check-Act) sorgt dafür, dass das System mit Technologie und Recht Schritt hält.
Besonders attraktiv für den Mittelstand: ISO 42001 ist auf Integration mit ISO 27001 ausgelegt. Wer bereits ein Informationssicherheits-Managementsystem betreibt, kann das KI-Managementsystem darauf aufsetzen, statt eine zweite Parallelwelt zu errichten. So entsteht aus den verstreuten Einzelpflichten des AI Act ein zusammenhängendes, auditfähiges System — und der Nachweis gegenüber Behörden, Kunden und Partnern fällt deutlich leichter. Mehr zur Einordnung von KI-Governance im Gesamtbild von Compliance und ISMS finden Sie auf unserer Service-Seite.
Wie welabs Sie bei der AI-Act-Umsetzung unterstützt
Die AI-Act-Umsetzung im Mittelstand gelingt, wenn sie pragmatisch und an bestehende Strukturen angedockt angegangen wird — nicht als bürokratisches Mammutprojekt. welabs übersetzt Konzern-Erfahrung in praxistaugliche Lösungen für mittelständische Unternehmen und begleitet Sie auf dem gesamten Weg zur KI-Compliance:
- KI-Inventar & Betroffenheitsanalyse: Wir erfassen Ihre KI-Systeme, ordnen sie den Risikoklassen des AI Act zu und dokumentieren das Ergebnis prüffest.
- Risiko- und Impact-Assessment: Wir führen die Folgenabschätzung nach der Logik von AI Act und ISO 42001 durch und leiten konkrete Maßnahmen ab.
- KI-Governance & Richtlinien: Wir bauen klare Verantwortlichkeiten, eine praxistaugliche KI-Policy und die nötige Dokumentation auf.
- ISO 42001 als Rahmen: Wir etablieren ein schlankes KI-Managementsystem, das sich nahtlos in ein bestehendes ISMS nach ISO 27001 integriert.
- AI Literacy & Awareness: Wir schulen Ihre Mitarbeitenden im sicheren und regelkonformen Umgang mit KI.
Eine fundierte Einordnung Ihrer Situation finden Sie auf unserer Seite zu KI-Governance. Für eine erste Standortbestimmung vereinbaren Sie ein unverbindliches Erstgespräch — wir sagen Ihnen ehrlich, wo Sie stehen und was die nächsten Schritte sind.
Fazit
Der EU AI Act ist für Unternehmen kein abstraktes Zukunftsthema, sondern geltendes Recht mit einem klaren Fahrplan. Verbote und die AI-Literacy-Pflicht gelten bereits seit Februar 2025, die GPAI-Pflichten seit August 2025 — und die anspruchsvollen Anforderungen an Hochrisiko-Systeme greifen ab August 2026. Wer KI einsetzt, sollte jetzt mit einem KI-Inventar beginnen, seine Systeme den Risikoklassen zuordnen und die nötige Governance aufbauen.
Die zentrale Botschaft für den Mittelstand: Die AI-Act-Umsetzung ist machbar, wenn sie strukturiert und risikobasiert erfolgt — am besten integriert in bestehende Strukturen der Informationssicherheit. Die Norm ISO 42001 liefert dafür den passenden Managementrahmen und macht aus verstreuten Einzelpflichten ein zusammenhängendes, auditfähiges System. Entscheidend ist, nicht abzuwarten, sondern den verbleibenden Zeitraum bis August 2026 jetzt zu nutzen.