Gilt der EU AI Act auch für den Mittelstand?

Ja. Der EU AI Act gilt unabhängig von der Unternehmensgröße. Maßgeblich ist die Risikoklasse des eingesetzten KI-Systems, unabhängig vom Umsatz. Auch ein Mittelständler, der ein hochrisiko-relevantes System einsetzt, trägt die entsprechenden Pflichten.

Welche Fristen gelten nach dem Digital Omnibus?

Der Digital Omnibus hat die Hochrisiko-Pflichten verschoben: standalone-Systeme auf Dezember 2027, eingebettete Produktsysteme auf August 2028. Die Verbote (Art. 5) und die KI-Kompetenz-Pflicht (Art. 4) gelten bereits seit Februar 2025, die GPAI-Pflichten seit August 2025.

Was ist die KI-Kompetenz-Pflicht nach Art. 4?

Art. 4 verpflichtet Unternehmen, ein ausreichendes Maß an KI-Kompetenz bei allen Personen sicherzustellen, die mit KI-Systemen arbeiten. Diese Pflicht ist seit Februar 2025 anwendbar und betrifft den Mittelstand unmittelbar, auch ohne Hochrisiko-System.

Wie hoch sind die Bußgelder bei Verstößen gegen den EU AI Act?

Die Sanktionen reichen bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Verbotene Praktiken werden am härtesten geahndet.

Womit sollte ein Mittelständler bei der EU-AI-Act-Readiness anfangen?

Mit einer Bestandsaufnahme: Welche KI-Systeme sind im Einsatz oder geplant, und in welche Risikoklasse fallen sie? Darauf folgen die KI-Kompetenz-Pflicht nach Art. 4 und, für hochrisiko-relevante Systeme, der Aufbau von Risikomanagement, Daten-Governance und Dokumentation.

EU AI Act Readiness für den Mittelstand

Was der EU AI Act vom Mittelstand verlangt: Fristen, Risikoklassen und eine praktische Checkliste für die Readiness, auch nach dem Digital Omnibus.

Der EU AI Act ist die erste umfassende KI-Regulierung der Welt, und er gilt nicht nur für Tech-Konzerne. Auch mittelständische Unternehmen, die KI im Kundenservice, in der Personalauswahl, in der Kreditvergabe oder in der Produktion einsetzen, fallen in seinen Anwendungsbereich. Die häufigste Frage im Mittelstand lautet deshalb: Was müssen wir wirklich tun, und bis wann?

Kurz gesagt: Der EU AI Act gilt unabhängig von der Unternehmensgröße. Entscheidend ist die Risikoklasse des KI-Systems, unabhängig vom Umsatz. Ein Teil der Pflichten ist bereits anwendbar, die Hochrisiko-Pflichten greifen nach dem Digital Omnibus ab Dezember 2027 und August 2028.

Die Fristen im Überblick

Mit dem Digital Omnibus haben sich die Termine verschoben, der Fahrplan steht aber:

Seit Februar 2025: Verbotene Praktiken (Art. 5) und die KI-Kompetenz-Pflicht (Art. 4).
Seit August 2025: Pflichten für General-Purpose-AI-Modelle (GPAI).
Ab Dezember 2027: Hochrisiko-Pflichten für standalone-Systeme.
Ab August 2028: Hochrisiko-Pflichten für eingebettete Produktsysteme.

Die Risikoklassen

Der EU AI Act ordnet KI-Systeme nach Risiko. Für die Readiness ist die richtige Einordnung der erste und wichtigste Schritt:

Verbotene Praktiken. Untragbares Risiko, etwa Social Scoring oder manipulative Systeme. Hier gilt ein Verbot.
Hochrisiko-Systeme. Anwendungen in sensiblen Bereichen wie Personal, Kreditwürdigkeit, kritische Infrastruktur oder Bildung. Hier entstehen die umfangreichsten Pflichten.
Systeme mit Transparenzpflicht. Chatbots oder generierte Inhalte, die als solche kenntlich gemacht werden müssen.
Minimales Risiko. Der Großteil betrieblicher KI-Anwendungen, für die im Kern die KI-Kompetenz-Pflicht greift.

Checkliste für die Readiness

Ein pragmatischer Einstieg für den Mittelstand:

Inventar. Alle eingesetzten und geplanten KI-Systeme erfassen, inklusive der KI in zugekaufter Software.
Klassifizierung. Jedes System einer Risikoklasse zuordnen und die daraus folgenden Pflichten ableiten.
KI-Kompetenz (Art. 4). Rollenbasierte Schulung für alle, die mit KI arbeiten, dokumentiert und wiederholbar.
Governance für Hochrisiko. Risikomanagement, Daten-Governance, Logging, menschliche Aufsicht und technische Dokumentation aufbauen.
Verantwortlichkeiten. Klären, wer im Unternehmen die KI-Governance trägt und an wen sie berichtet.

Wo der Aufwand wirklich entsteht

Ein verschobener Stichtag senkt nicht den Arbeitsaufwand. Risikomanagement, Daten-Governance und Dokumentation für ein hochrisiko-relevantes System entstehen über Monate, eng verzahnt mit der Art, wie das System gebaut und betrieben wird. Wer die gewonnene Zeit nutzt, baut Governance als Teil der Umsetzung auf, lange vor dem Stichtag. Dort entscheidet sich, ob KI im Mittelstand vom Piloten in den verlässlichen, prüfbaren Produktivbetrieb kommt.