Geschäftsführer CFO / Controller Vertriebsleiter Operations IT / Digital
Sales & Pipeline Finance, Buchhaltung & Cashflow Kunden & Churn Operations, Einkauf & Supply HR & People Projekte & Delivery Backoffice, IT & Compliance
Technologie So arbeiten wir Preise Kontakt Kostenloser Maturity Check →
Ratgeber · Recht & Compliance

EU AI Act Mittelstand: Fristen, Kosten und ein 30-Tage-Compliance-Plan

Lesezeit: 10 Minuten · Aktualisiert: 15. Mai 2026

Von Stefan Preusler, Geschäftsführer

Der EU AI Act wird zum Aufwandstreiber. 93 Prozent der Unternehmen sehen einen hohen Umsetzungsaufwand. Doch die meisten Mittelständler können mit überschaubaren Maßnahmen compliant werden. Was Sie wirklich tun müssen, was Sie getrost ignorieren können — und was es konkret kostet.

Das Problem: Regulatorische Panik ohne Grundlage

Seit dem Inkrafttreten des EU AI Acts herrscht im deutschen Mittelstand eine seltsame Mischung aus Angst und Ahnungslosigkeit. Geschäftsführer, die erst vor zwei Jahren begonnen haben, erste Machine-Learning-Modelle für die Umsatzprognose zu testen, stehen nun vor einem 200-seitigen regulatorischen Dokument und fragen sich, ob sie ab morgen ihr Unternehmen schließen müssen.

Die Realität sieht anders aus. Der AI Act ist nicht dafür gedacht, Innovation zu verhindern. Er soll vor allem eines sicherstellen: dass automatisierte Systeme, die Menschen betreffen, transparent, nachvollziehbar und verantwortungsvoll eingesetzt werden. Für den typischen Mittelstand, der seine Prozesse mit internen Analyse-Tools und Muster-Erkennung optimiert, bedeutet das in den meisten Fällen überschaubaren Aufwand.

Das Problem ist nicht das Gesetz selbst. Das Problem ist die Informationspolitik. Viele Veröffentlichungen haben es verstanden, den AI Act als existenzielle Bedrohung zu framen. Das Ergebnis ist eine regulatorische Panik, die teure Beratungsprojekte und nutzlose Dokumentationsmaßnahmen erzeugt. Dabei wäre der richtige Ansatz viel einfacher: eine klare Risikobewertung, eine saubere Dokumentation der eigenen Systeme, und gezielte Maßnahmen dort, wo sie wirklich nötig sind.

Der Stufenplan: Was ab wann gilt

Der AI Act wird nicht an einem einzigen Tag wirksam. Er kommt in vier Wellen. Wer die Daten kennt, kann den Aufwand verteilen statt unter Druck zu handeln.

Datum Was gilt Betrifft mich als Mittelständler?
2. Februar 2025 Verbotene Praktiken + KI-Kompetenz (Art. 4) Ja — Kompetenz-Nachweis pflegen
2. August 2025 GPAI-Provider-Pflichten Nein — nur wenn Sie Modelle entwickeln
2. August 2026 Hochrisiko-Anforderungen + Transparenzpflichten Ja — wenn HR, Kredit oder Bildung betroffen
2. August 2027 Art. 6 Abs. 1 (Produktsicherheit nach Anhang I) Ja — bei Medizinprodukten, Maschinen, Fahrzeugen

Für die meisten Mittelständler ist der 2. August 2026 der relevante Stichtag. Bis dahin müssen Hochrisiko-Systeme dokumentiert, getestet und gegebenenfalls zertifiziert sein. Systeme mit minimalem oder begrenztem Risiko benötigen weit weniger Aufwand.

Ist mein System betroffen? Der 5-Schritte-Prüfpfad

Die meisten Veröffentlichungen zum AI Act erklären die Risikostufen abstrakt. Was fehlt, ist ein pragmatischer Prüfpfad, den ein Geschäftsführer in 30 Minuten durchlaufen kann. Hier ist er:

Schritt 1: Fällt der Einsatzzweck unter Anhang III? Die acht Kategorien sind: Biometrische Identifikation, kritische Infrastruktur, Bildung und berufliche Ausbildung, Beschäftigung und Personalwesen, Zugang zu wesentlichen Dienstleistungen (Kredit, Versicherung), Strafverfolgung, Migration und Grenzkontrolle, Justiz und demokratische Prozesse. Wenn ja, ist Ihr System sehr wahrscheinlich Hochrisiko.

Schritt 2: Ist das System ein Sicherheitsbauteil eines Produkts unter Anhang I? Typisch für Medizinprodukte, Maschinen, Spielzeug, Fahrzeuge. Wenn ja, gilt der bisherige CE-Prozess plus AI Act.

Schritt 3: Interagiert das System direkt mit Menschen, erzeugt es Medien oder klassifiziert es Emotionen oder Biometrie? Wenn ja, gelten Transparenzpflichten — unabhängig von der Hochrisiko-Einstufung.

Schritt 4: Werden personenbezogene Daten verarbeitet? Unabhängig vom AI Act ist die DSGVO relevant. Datenfluss dokumentieren, Rechtsgrundlage festhalten, Provider-Datenschutzvereinbarung abschließen.

Schritt 5: Trifft keine der Fragen zu? Dann handelt es sich um ein System mit minimalem Risiko. Ein Posteingang-Klassifizierer, eine Sales-Pipeline-Prognose oder eine Intelligenz-Schicht für interne Prozessoptimierung fällt hierunter. Kein Compliance-Projekt nötig, aber KI-Kompetenz-Nachweis und Provider-Dokumentation pflegen.

Die 4 Risikostufen — als Entscheidungsmatrix mit Kosten

Die folgende Tabelle ist der Kern dieses Ratgebers. Sie zeigt nicht nur, welche Pflichten gelten, sondern auch, was die Umsetzung kostet. Das fehlt in nahezu allen Veröffentlichungen zum Thema.

Risikostufe Beispiel im Mittelstand Pflichten Geschätzte Kosten
Unannehmbares Risiko Social Scoring, manipulative Beeinflussung, willkürliche Gesichtserkennung Verboten
Hochrisiko Autom. Recruiting, Kreditscoring, Leistungsbewertung, Notfalldienst-Priorisierung Risikomanagement, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung, Registrierung in EU-Datenbank €8.000–€25.000
Begrenztes Risiko Chatbot, KI-Telefonie, KI-generierte Inhalte, Empfehlungsalgorithmen Transparenzhinweis, Kennzeichnungspflicht €500–€2.000
Minimales Risiko Forecasting, Churn-Analyse, interne Dokumentenverarbeitung, Spamfilter Allgemeine Grundsätze, Dokumentation, KI-Kompetenz €0–€1.500 (intern)

Ein wichtiger Hinweis: Die Kosten für Hochrisiko-Systeme können durch KMU-Privilegierungen nach Artikel 62 deutlich reduziert werden. Mehr dazu im nächsten Abschnitt.

KMU-Privilegierungen — Was Artikel 62 Ihnen spart

Der AI Act gilt für Unternehmen unabhängig von ihrer Größe. Aber kleine und mittlere Unternehmen erhalten gezielte Erleichterungen, die in vielen Publikationen nur am Rande erwähnt werden. Das ist ein strategischer Vorteil, den Sie nutzen sollten.

Artikel 62 sieht für KMU folgende Privilegierungen vor:

  • Vorrangiger Zugang zu KI-Reallaboren: Kontrollierte Testumgebungen unter Aufsicht der Behörden, um KI-Systeme vor der Markteinführung zu validieren.
  • Gebührenerleichterung bei Konformitätsbewertungen: Reduzierte Kosten für die Prüfung und Zertifizierung von Hochrisiko-Systemen. Die Ersparnis liegt typischerweise bei 20–40 Prozent.
  • Vereinfachte technische Unterlagen: KMU müssen nicht den vollen Umfang der Dokumentation liefern, sondern können sich auf das Wesentliche konzentrieren.
  • Sensibilisierungs- und Schulungsmaßnahmen: Mitgliedstaaten sind verpflichtet, KMU bei der Umsetzung zu unterstützen — zum Beispiel durch kostenlose Informationsveranstaltungen oder geförderte Beratung.

Diese Privilegierungen gelten nicht automatisch. Sie müssen bei der Konformitätsbewertung beantragt werden. Wer also frühzeitig mit der Planung beginnt, kann diese Erleichterungen gezielt einsetzen und die Gesamtkosten deutlich senken.

Was Sie bis August 2026 tun müssen — 30-Tage-Plan mit Budget

Viele Ratgeber beschreiben, was zu tun ist, aber keiner zeigt, wie es in vier Wochen mit einem überschaubaren Budget umgesetzt wird. Der folgende Plan richtet sich an Unternehmen mit 20–250 Mitarbeitenden und geht von einem bis drei KI-Systemen aus.

Woche Aufgabe Wer Kosten
Woche 1 KI-Inventar über alle Abteilungen. Erfassen: Zweck, Einsatzbereich, beteiligte Daten, Provider, mutmaßliche Risikoklasse. Excel oder Notion reicht. Geschäftsführer + IT-Leiter Intern
Woche 2 Risikoklassifizierung mit dem 5-Schritte-Prüfpfad. Bei Unsicherheit: halber Beratertag für die Einordnung. Intern oder Berater €500–€1.500
Woche 3 Dokumentation erstellen. Minimale Risiken: einseitige Systembeschreibung. Hochrisiko: Risikomanagement-System, technische Dokumentation, Tests. Wissensbasis für wiederkehrende Dokumentation aufbauen. Verantwortlicher + ggf. externer QM-Berater Intern / €2.000–€5.000
Woche 4 Prozessanpassung: menschliche Aufsicht sicherstellen, Transparenzhinweise einbauen, Rules Engine mit Eskalationsoption zu menschlichen Entscheidern prüfen. Schulung dokumentieren. Fachbereiche + Geschäftsführung Intern

Gesamtkosten für ein Unternehmen mit ausschließlich minimalen Risiken: €0–€1.500. Für ein Unternehmen mit einem Hochrisiko-System: €8.000–€15.000 unter Ausnutzung der KMU-Privilegierungen. Das ist weniger als die Hälfte dessen, was viele Berater für eine allgemeine "AI-Act-Beratung" verlangen.

GPAI vs. Deployer — Was Nutzer von ChatGPT wissen müssen

Ein häufiger Irrtum: Wer GPT-4, Claude oder Gemini nutzt, müsse die umfangreichen GPAI-Pflichten erfüllen. Das ist falsch. GPAI-Pflichten treffen die Provider — also OpenAI, Anthropic, Google, Mistral. Sie als Nutzer sind sogenannter Deployer und haben andere, deutlich geringere Pflichten.

Was Sie als Deployer brauchen:

  • Model Card des Providers: Technische Dokumentation des Modells
  • Data-Processing-Agreement (DPA): Datenschutzvereinbarung mit dem Provider
  • Compliance-Erklärung zum AI Act: Viele Provider veröffentlichen diese mittlerweile systematisch

Diese drei Dokumente gehören in Ihre Compliance-Akte. Ein Provider-Wechsel ist dadurch einfacher geworden: Sie tauschen die API, die dokumentarische Basis bleibt vergleichbar. Das ist wichtig für Sourcing-Entscheidungen, die nicht auf Jahre festgeschrieben werden sollen.

DSGVO + AI Act — Wie beides in einem Projekt abgedeckt wird

Die DSGVO und der AI Act überschneiden sich in vielen Bereichen, aber sie sind nicht identisch. Wer beides gleichzeitig angeht, spart Aufwand. Wer sie trennt, erzeugt Doppelarbeit.

Die zentralen Überschneidungen:

  • Datenschutz-Folgeabschätzung (DSFA): Bei Hochrisiko-Anwendungen mit personenbezogenen Daten ist sie nach DSGVO ohnehin Pflicht. Die Ergebnisse fließen direkt in das AI-Act-Risikomanagement ein.
  • Rechtsgrundlage: Jede KI-Anwendung, die personenbezogene Daten verarbeitet, benötigt eine definierte Rechtsgrundlage nach Art. 6 DSGVO. Das gilt unabhängig vom AI Act.
  • Transparenz: Beide Regulierungen fordern, dass Betroffene über die Datenverarbeitung informiert werden. Ein Transparenzhinweis erfüllt oft beide Anforderungen gleichzeitig.
  • Technische und organisatorische Maßnahmen (TOMs): Zugriffskontrollen, Pseudonymisierung und Privacy by Design dienen beiden Regelwerken.

Die gute Nachricht: Wenn Ihre KI-Anwendung DSGVO-konform ist, haben Sie bereits 60–70 Prozent der AI-Act-Anforderungen für minimale und begrenzte Risiken erfüllt. Der AI Act kommt oben drauf, er ersetzt nichts.

Was Sie getrost ignorieren können — 4 typische Fehler

Neben dem, was Sie tun müssen, ist mindestens genauso wichtig zu wissen, was Sie ignorieren können. Viel des Hypes um den AI Act rührt von Dingen her, die den typischen Mittelstand nicht betreffen.

Mythos Realität
„Wir nutzen doch gar keine KI.“ Auch eingebettete KI-Funktionen in SaaS-Lösungen, CRM-Systemen oder Cloud-Diensten zählen. Eine KI-Inventur deckt oft überraschend viele Systeme auf.
„Unser Anbieter kümmert sich darum.“ Auch bei externen KI-Lösungen bleiben eigene Pflichten als Deployer bestehen — etwa bei Risikobewertung, Transparenz und Überwachung.
„Wir warten, bis alles klarer ist.“ Die Deadlines sind fix. Warten bedeutet, im Juni 2026 panisch zu handeln. Ein halbtägiges Inventar heute kostet weniger als eine Eilprüfung in sechs Monaten.
„Jede KI ist Hochrisiko und kostet ein Vermögen.“ Der Großteil der KI-Automatisierung im Mittelstand — Forecasting, Dokumentenverarbeitung, interne Prozessoptimierung — fällt unter minimales Risiko. Hochrisiko ist an spezifische Einsatzfelder gebunden, nicht an die Wichtigkeit des Systems.

Fallstudie: Wie ein Maschinenbau-Unternehmen den AI Act pragmatisch umsetzt

Stellen Sie sich ein mittelständisches Maschinenbau-Unternehmen mit 180 Mitarbeitern vor. Das Unternehmen hat in den letzten zwei Jahren drei KI-gestützte Systeme eingeführt. Ein Tool zur Vorhersage von Maschinenausfällen in der Produktion. Ein Modell zur Optimierung der Lieferantenbewertung. Und ein System zur automatisierten Klassifizierung von Support-Tickets.

Der Geschäftsführer liest die ersten Berichte über den AI Act und sieht schwarz. Drei KI-Systeme, drei potenzielle regulatorische Fallstricke, und kein interner Rechtsexperte. Er engagiert einen externen Berater, der ihm eine strukturierte Analyse präsentiert. Die Analyse kommt zu dem Ergebnis: Zwei der drei Systeme fallen unter die minimale Risikostufe. Das dritte, die automatisierte Lieferantenbewertung, könnte je nach Ausgestaltung begrenztes Risiko haben, weil es indirekt Beschäftigungsentscheidungen beeinflusst.

Die konkreten Maßnahmen sind überschaubar. Für die beiden Systeme mit minimalem Risiko wird eine einseitige Dokumentation erstellt. Für das Lieferantenbewertungssystem wird geprüft, ob die automatisierte Bewertung direkt in Vertragsentscheidungen mündet oder nur als Entscheidungshilfe dient. Da Letzteres der Fall ist, reicht eine erweiterte Dokumentation mit Hinweis auf menschliche Überprüfung. Der gesamte Aufwand: Zwei Arbeitstage intern, plus drei Beratertage. Kosten: unter €8.000.

Das Unternehmen hat gleichzeitig die Qualität seiner Dokumentation verbessert und die Prozesse transparenter gemacht. Ein positiver Nebeneffekt, der unabhängig vom AI Act wertvoll ist. Die Investition in die Muster-Erkennung und die Middleware der Produktion bleibt unberührt. Die Wettbewerbsvorteile bleiben erhalten. Und das Unternehmen ist compliant, ohne die Innovationskraft zu bremsen.

Verwandte Inhalte

Wenn Sie sich für KI-Regulierung, Governance und strategische Umsetzung im Mittelstand interessieren, empfehlen wir Ihnen die folgenden Artikel:

Häufig gestellte Fragen

Gilt der AI Act für alle KI-Anwendungen?
Nein. Der AI Act unterscheidet vier Risikostufen. Nur Systeme mit hohem Risiko oder bestimmte spezielle Kategorien unterliegen strikten Pflichten. Viele interne Analysewerkzeuge, die keine automatisierten Entscheidungen gegenüber Verbrauchern treffen, fallen unter die geringste Stufe und haben nur minimale Anforderungen.
Was ist ein Hochrisiko-System im Mittelstand?
Ein Hochrisiko-System im Mittelstand ist typischerweise ein System, das automatisierte Entscheidungen in sensiblen Bereichen trifft. Beispiele sind automatisierte Kreditscoring-Modelle, personalisierte Bewertungssysteme für Mitarbeiter oder Kunden, oder Systeme, die rechtlich relevante Klassifizierungen vornehmen. Die meisten internen Optimierungstools, wie Forecast-Modelle oder Inventarprognosen, gelten nicht als Hochrisiko.
Was kostet die AI-Act-Compliance?
Die Kosten hängen stark vom Risikograd ab. Für minimale Risiken reicht oft eine interne Dokumentation (€0–€1.500). Begrenzte Risiken erfordern Transparenzmaßnahmen (€500–€2.000). Hochrisiko-Systeme benötigen ein QM-System, Risikomanagement und Konformitätsbewertung (€8.000–€25.000). KMU können durch Privilegierungen nach Artikel 62 bei Konformitätsbewertungen 20–40 Prozent der Kosten sparen.
Was passiert bei Nichteinhaltung?
Bei schwerwiegenden Verstößen können Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes verhängt werden. Für Mittelständler sind jedoch die meisten Verstöße in der Risikobewertung oder Dokumentation zuzuordnen, wo die Strafen deutlich niedriger ausfallen: bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes für Pflichtenverstöße, bis zu 7,5 Millionen Euro oder 1 Prozent für falsche Angaben. Dennoch sollten Unternehmen die Pflichten ernst nehmen, da regulatorische Prüfungen zunehmen.
Wann tritt der AI Act in Kraft?
Der AI Act wird schrittweise eingeführt. Verbotene KI-Praktiken und die KI-Kompetenzpflicht galten bereits ab dem 2. Februar 2025. GPAI-Provider-Pflichten folgten am 2. August 2025. Die Hochrisiko-Anforderungen und Transparenzpflichten treten am 2. August 2026 in Kraft. Artikel 6 Absatz 1 (Produktsicherheit) folgt am 2. August 2027. Unternehmen sollten jetzt mit der Risikobewertung beginnen, um die Übergangsfristen sinnvoll zu nutzen.
Fällt ChatGPT oder GPT-4 unter den AI Act?
Als Nutzer von ChatGPT, GPT-4, Claude oder Gemini sind Sie sogenannter Deployer, nicht Provider. Die GPAI-Pflichten trifft der Modell-Anbieter. Sie als Nutzer müssen die Provider-Dokumentation (Model Card, Data-Processing-Agreement, Compliance-Erklärung) in Ihrer Akte führen und die Deployer-Pflichten der jeweiligen Risikoklasse Ihres eigenen Systems erfüllen. Ein interner KI-Chatbot für den Kundenservice fällt beispielsweise unter begrenztes Risiko und benötigt Transparenzhinweise.
Welche KMU-Privilegierungen gibt es im AI Act?
Artikel 62 des AI Act sieht für kleine und mittlere Unternehmen mehrere Erleichterungen vor: Vorrangiger Zugang zu KI-Reallaboren, Gebührenerleichterungen bei Konformitätsbewertungen, vereinfachte technische Unterlagen und Sensibilisierungsmaßnahmen durch die Mitgliedstaaten. Diese Privilegierungen können bei Hochrisiko-Systemen die Prüfkosten um 20–40 Prozent senken. Sie gelten jedoch nicht automatisch, sondern müssen bei der Konformitätsbewertung beantragt werden.
Kostenloser Maturity Check

Erleben Sie die Intelligenz-Schicht von NaveSight in Aktion.

30 Minuten. Wir zeigen Ihnen, wie NaveSight mit Ihren spezifischen Systemen zusammenarbeitet.

Kostenlosen Maturity Check starten

Unsere Garantie: ein konkreter Aktionsplan, ob mit NaveSight oder ohne.

Wir führen 10 Maturity Checks pro Monat durch. Priorisierte Bearbeitung: 48 Stunden.