Geschäftsführer CFO / Controller Vertriebsleiter Operations IT / Digital
Sales & Pipeline Finance, Buchhaltung & Cashflow Kunden & Churn Operations, Einkauf & Supply HR & People Projekte & Delivery Backoffice, IT & Compliance
Technologie So arbeiten wir Preise Kontakt Kostenloser Maturity Check →
Ratgeber · Recht & Compliance

EU AI Act: Was Mittelständler wirklich tun müssen

Lesezeit: 9 Minuten · Aktualisiert: 1. Mai 2026

Von Stefan Preusler, Geschäftsführer

Der EU AI Act wird zum Aufwandstreiber. 93 Prozent der Unternehmen sehen einen hohen Umsetzungsaufwand. Doch die meisten Mittelständler können mit überschaubaren Maßnahmen compliant werden. Was Sie wirklich tun müssen, und was Sie getrost ignorieren können.

Das Problem: Regulatorische Panik ohne Grundlage

Seit dem Inkrafttreten des EU AI Acts herrscht im deutschen Mittelstand eine seltsame Mischung aus Angst und Ahnungslosigkeit. Geschäftsführer, die erst vor zwei Jahren begonnen haben, erste Machine-Learning-Modelle für die Umsatzprognose zu testen, stehen nun vor einem 200-seitigen regulatorischen Dokument und fragen sich, ob sie ab morgen ihr Unternehmen schließen müssen.

Die Realität sieht anders aus. Der AI Act ist nicht dafür gedacht, Innovation zu verhindern. Er soll vor allem eines sicherstellen: dass automatisierte Systeme, die Menschen betreffen, transparent, nachvollziehbar und verantwortungsvoll eingesetzt werden. Für den typischen Mittelstand, der seine Prozesse mit Intelligenz-Schichten und Muster-Erkennung optimiert, bedeutet das in den meisten Fällen überschaubaren Aufwand.

Das Problem ist nicht das Gesetz selbst. Das Problem ist die Informationspolitik. Berater, Softwareanbieter und Medien haben es verstanden, den AI Act als existenzielle Bedrohung zu framen. Das Ergebnis ist eine regulatorische Panik, die teure Beratungsprojekte und nutzlose Dokumentationsmaßnahmen erzeugt. Dabei wäre der richtige Ansatz viel einfacher: eine klare Risikobewertung, eine saubere Dokumentation der eigenen Systeme, und gezielte Maßnahmen dort, wo sie wirklich nötig sind.

Warum die meisten Informationen versagen

Wenn Sie nach "EU AI Act Mittelstand" suchen, finden Sie zwei Arten von Inhalten. Erstens: juristische Analysen auf 80 Seiten, die jeden Paragraphen zitieren, aber keine konkrete Handlungsempfehlung geben. Zweitens: oberflächliche Blogposts, die den AI Act in drei Sätzen zusammenfassen und dann mit einem generischen Hinweis auf "Consulting-Services" enden.

Beide helfen dem Geschäftsführer eines 150-Mitarbeiter-Unternehmens nicht weiter. Der braucht keine 80-seitige Rechtsgutachten. Er braucht eine klare Entscheidungshilfe. Welche meiner Systeme sind betroffen? Was muss ich dokumentieren? Wie viel wird das kosten? Und was passiert, wenn ich nichts tue?

Die juristischen Analysen versagen, weil sie den Praxisbezug vermissen lassen. Sie erklären, was "hochrisikogerechte KI-Systeme" sind, aber sie sagen nicht, ob Ihr internes Tool zur Vorhersage von Kundenabwanderung dazu gehört. Die oberflächlichen Posts versagen, weil sie Angst erzeugen, ohne Lösungen zu bieten. Sie wiederholen die hohen Bußgelder, aber sie erklären nicht, dass diese vor allem für Großkonzerne mit Hochrisiko-Systemen im Verbraucherbereich gedacht sind.

Was fehlt, ist eine pragmatische Mittelstands-Sicht. Eine Sicht, die die konkreten Systeme eines typischen Unternehmens betrachtet. Die Wissensbasis, die ein Unternehmen über seine KI-Nutzung aufbauen muss. Und die klare Unterscheidung zwischen Systemen, die regulatorisch relevant sind, und solchen, die einfach nur Prozesse effizienter machen.

Was der AI Act wirklich bedeutet

Der EU AI Act unterscheidet vier Risikostufen für KI-Systeme. Diese Einteilung ist der Schlüssel zu allem, was folgt. Wenn Sie verstehen, in welche Kategorie Ihre Systeme fallen, wissen Sie auch, welche Pflichten Sie haben.

Die erste Stufe umfasst unannehmbare Risiken. Hierzu gehören Systeme, die zur sozialen Bewertung von Personen eingesetzt werden, oder Systeme, die subliminale Techniken verwenden, um das Verhalten von Menschen zu beeinflussen. Diese Systeme sind verboten. Für den Mittelstand ist diese Kategorie in der Regel irrelevant, solange Sie keine kontroversen Verbraucheranwendungen entwickeln.

Die zweite Stufe sind Hochrisiko-Systeme. Hier liegt der Hauptfokus des Gesetzes. Ein System gilt als hochrisikogerecht, wenn es in sensiblen Bereichen wie Beschäftigung, Bildung, Kreditwürdigkeitsprüfung oder Rechtspflege eingesetzt wird und automatisierte Entscheidungen trifft, die Menschen betreffen. Für einen Mittelständler kann ein automatisiertes Bewerbungsscreening-Tool Hochrisiko sein. Eine Sales-Pipeline-Intelligenz, die lediglich Wahrscheinlichkeiten für Deal-Abschlüsse berechnet, ist es in der Regel nicht.

Die dritte Stufe sind begrenzte Risiken. Hierzu gehören Chatbots und Systeme, die mit Menschen interagieren. Diese müssen transparent sein. Nutzer müssen wissen, dass sie mit einem KI-System kommunizieren. Das ist technisch einfach umsetzbar und verursacht kaum Aufwand.

Die vierte Stufe umfasst minimale Risiken. Das sind die meisten internen Analyse- und Optimierungstools, die im Mittelstand eingesetzt werden. Forecast-Modelle, Liquiditätsprognosen, Bestandsoptimierungen, Churn-Analysen. Diese Systeme unterliegen kaum spezifischen Pflichten. Sie müssen lediglich die allgemeinen Grundsätze beachten: Transparenz, menschliche Aufsicht, Richtigkeit, Datenschutz.

Der Zeitplan ist gestaffelt. Verbote galten bereits ab 2025. Die Pflichten für Hochrisiko-Systeme folgen in Phasen bis 2027. Das bedeutet: Unternehmen haben Zeit, sich vorzubereiten. Wer jetzt mit der Risikobewertung beginnt, nutzt die Übergangsfristen optimal.

Was ein KMU konkret tun muss

Die konkreten Maßnahmen hängen von Ihren Systemen ab. Aber unabhängig von der Branche gibt es einen pragmatischen Fünf-Schritte-Plan, der für fast jeden Mittelständler funktioniert.

Schritt 1: Inventarisierung. Listen Sie alle Systeme auf, die KI oder Machine Learning verwenden. Das umfasst nicht nur selbstentwickelte Modelle, sondern auch eingekaufte Software, die KI-Funktionen integriert hat. Eine Middleware, die Daten zwischen Systemen austauscht und dabei Muster erkennt, gehört genauso dazu wie ein CRM-System mit eingebauter Empfehlungsfunktion.

Schritt 2: Risikoklassifizierung. Ordnen Sie jedes System einer der vier Risikostufen zu. Seien Sie dabei ehrlich und pragmatisch. Ein System, das intern genutzt wird und keine automatisierten Entscheidungen gegenüber Kunden oder Mitarbeitern trifft, fällt fast immer unter die minimale Risikostufe. Ein System, das automatisiert Bewerbungen bewertet oder Kreditentscheidungen vorbereitet, kann Hochrisiko sein.

Schritt 3: Dokumentation. Für Systeme mit minimalem Risiko genügt eine einfache Dokumentation. Was macht das System? Welche Daten werden verarbeitet? Wer ist verantwortlich? Für Hochrisiko-Systeme ist die Dokumentation umfangreicher. Hier müssen Sie Risikomanagementmaßnahmen, Testverfahren und die Einhaltung von Qualitätsmanagement-Systemen nachweisen.

Schritt 4: Prozessanpassung. Stellen Sie sicher, dass menschliche Aufsicht gewährleistet ist. Auch bei Systemen mit minimalen Risiken sollte ein Mensch die Möglichkeit haben, Ergebnisse zu überprüfen und zu korrigieren. Das ist ohnehin Best Practice, unabhängig vom AI Act. Eine Rules Engine, die automatisierte Abläufe steuert, sollte immer eine Eskalationsoption an menschliche Entscheider bieten.

Schritt 5: Überprüfung. Risikobewertungen sind keine Einmalmaßnahme. Wenn Sie neue Systeme einführen oder bestehende Systeme erweitern, wiederholen Sie die Bewertung. Eine saubere Governance-Struktur im Backoffice hilft, diesen Prozess zu institutionalisieren.

Was ein KMU getrost ignorieren kann

Neben dem, was Sie tun müssen, ist mindestens genauso wichtig zu wissen, was Sie ignorieren können. Denn viel des Hypes um den AI Act rührt von Dingen her, die den typischen Mittelstand nicht betreffen.

Sie können getrost ignorieren: Die Panikmache um maximale Bußgelder. Die 35 Millionen Euro oder 7 Prozent des Umsatzes gelten für schwerwiegendste Verstöße bei Hochrisiko-Systemen, die gezielt gegen Verbraucher eingesetzt werden. Der Mittelstand, der interne Prozesse optimiert, wird mit solchen Strafen nicht konfrontiert. Für dokumentationsbedingte Verstöße bei minimalen Risiken sind die Bußgelder deutlich niedriger und eher im Bereich von Verwarnungsgeldern anzusiedeln.

Sie können getrost ignorieren: Den Druck, sofort alle Systeme durch externe Prüfer zertifizieren zu lassen. Für die meisten Mittelständler ist eine interne Risikobewertung ausreichend. Externe Audits sind nur für Hochrisiko-Systeme und bestimmte Branchen vorgeschrieben.

Sie können getrost ignorieren: Die Empfehlung, alle KI-Projekte auf Eis zu legen, bis die Rechtslage "klar" ist. Die Rechtslage ist klar genug für 90 Prozent der Anwendungsfälle. Interne Prozessoptimierung, Forecasting, Supply-Chain-Analyse und ähnliche Anwendungen sind regulatorisch weitgehend unproblematisch. Warten Sie nicht ab. Nutzen Sie die Zeit, um gleichzeitig die regulatorischen Anforderungen zu erfüllen und die Wettbewerbsvorteile der Intelligenz-Schicht in Ihrem Unternehmen auszubauen.

Sie können getrost ignorieren: Die vielen generischen Checklisten, die im Internet kursieren. Diese Checklisten sind meist für Großkonzerne und Hochrisiko-Anwendungen geschrieben. Wenn Sie sie auf Ihren Mittelstand anwenden, erzeugen Sie Aufwand ohne Nutzen. Bessere Wahl ist eine auf Ihr Unternehmen zugeschnittene Bewertung, die nur die Pflichten berücksichtigt, die für Ihre Systeme relevant sind.

Fallstudie: Wie ein Maschinenbau-Unternehmen den AI Act pragmatisch umsetzt

Stellen Sie sich ein mittelständisches Maschinenbau-Unternehmen mit 180 Mitarbeitern vor. Das Unternehmen hat in den letzten zwei Jahren drei KI-gestützte Systeme eingeführt. Ein Tool zur Vorhersage von Maschinenausfällen in der Produktion. Ein Modell zur Optimierung der Lieferantenbewertung. Und ein System zur automatisierten Klassifizierung von Support-Tickets.

Der Geschäftsführer liest die ersten Berichte über den AI Act und sieht schwarz. Drei KI-Systeme, drei potenzielle regulatorische Fallstricke, und kein interner Rechtsexperte. Er engagiert einen externen Berater, der ihm eine 40-seitige Analyse präsentiert. Die Analyse kommt zu dem Ergebnis: Zwei der drei Systeme fallen unter die minimale Risikostufe. Das dritte, die automatisierte Lieferantenbewertung, könnte je nach Ausgestaltung begrenztes Risiko haben, weil es indirekt Beschäftigungsentscheidungen beeinflusst.

Die konkreten Maßnahmen sind überschaubar. Für die beiden Systeme mit minimalem Risiko wird eine einseitige Dokumentation erstellt. Für das Lieferantenbewertungssystem wird geprüft, ob die automatisierte Bewertung direkt in Vertragsentscheidungen mündet oder nur als Entscheidungshilfe dient. Da Letzteres der Fall ist, reicht eine erweiterte Dokumentation mit Hinweis auf menschliche Überprüfung. Der gesamte Aufwand: Zwei Arbeitstage intern, plus drei Beratertage. Kosten: unter 8.000 Euro.

Das Unternehmen hat gleichzeitig die Qualität seiner Dokumentation verbessert und die Prozesse transparenter gemacht. Ein positiver Nebeneffekt, der unabhängig vom AI Act wertvoll ist. Die Investition in die Muster-Erkennung und die Intelligenz-Schicht der Produktion bleibt unberührt. Die Wettbewerbsvorteile bleiben erhalten. Und das Unternehmen ist compliant, ohne die Innovationskraft zu bremsen.

Häufig gestellte Fragen

Gilt der AI Act für alle KI-Anwendungen?
Nein. Der AI Act unterscheidet vier Risikostufen. Nur Systeme mit hohem Risiko oder bestimmte spezielle Kategorien unterliegen strikten Pflichten. Viele interne Analysewerkzeuge, die keine automatisierten Entscheidungen gegenüber Verbrauchern treffen, fallen unter die geringste Stufe und haben nur minimale Anforderungen.
Was ist ein Hochrisiko-System im Mittelstand?
Ein Hochrisiko-System im Mittelstand ist typischerweise ein System, das automatisierte Entscheidungen in sensiblen Bereichen trifft. Beispiele sind automatisierte Kreditscoring-Modelle, personalisierte Bewertungssysteme für Mitarbeiter oder Kunden, oder Systeme, die rechtlich relevante Klassifizierungen vornehmen. Die meisten internen Optimierungstools, wie Forecast-Modelle oder Inventarprognosen, gelten nicht als Hochrisiko.
Was kostet die AI-Act-Compliance?
Die Kosten hängen stark vom Risikograd ab. Für den typischen Mittelstand, der hauptsächlich interne Analyse- und Optimierungssysteme betreibt, liegen die Kosten meist im unteren fünfstelligen Bereich. Dies umfasst Dokumentation, Risikobewertung und Prozessanpassungen. Unternehmen mit Hochrisiko-Systemen müssen mit höheren fünf- bis sechsstelligen Beträgen rechnen.
Was passiert bei Nichteinhaltung?
Bei schwerwiegenden Verstößen können Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes verhängt werden. Für Mittelständler sind jedoch die meisten Verstöße in der Risikobewertung oder Dokumentation zuzuordnen, wo die Strafen deutlich niedriger ausfallen. Dennoch sollten Unternehmen die Pflichten ernst nehmen, da regulatorische Prüfungen zunehmen.
Wann tritt der AI Act in Kraft?
Der AI Act ist bereits verabschiedet und wird schrittweise eingeführt. Verbote bestimmter KI-Praktiken gelten bereits ab 2025. Die Pflichten für Hochrisiko-Systeme folgen in Phasen bis 2027. Unternehmen sollten jetzt mit der Risikobewertung beginnen, um die Übergangsfristen sinnvoll zu nutzen.
Kostenloser Maturity Check

Erleben Sie die Intelligenz-Schicht von NaveSight in Aktion.

30 Minuten. Wir zeigen Ihnen, wie NaveSight mit Ihren spezifischen Systemen zusammenarbeitet.

Kostenlosen Maturity Check starten

Unsere Garantie: ein konkreter Aktionsplan, ob mit NaveSight oder ohne.

Wir führen 10 Maturity Checks pro Monat durch. Priorisierte Bearbeitung: 48 Stunden.