EU AI Act

EU AI Act Stand 2026: Was schon gilt, was kommt, was im Mittelstand wirklich greift

Stand: 10. Februar 20264 Min Lesezeit

Was drin steht

Drei Stufen sind durch: Verbote (02.02.2025), Transparenz- und Schulungspflichten (02.08.2025), Hochrisiko-Pflichten kommen am 02.08.2026 — die letzte Welle ist noch nicht da, der Vorlauf aber kurz.
Für 95 % der Mittelständler bedeutet AI Act 2026 zwei Dinge: Hinweispflicht bei KI-Interaktion (Chatbot, KI-Assistent, automatische Antworten) plus interne Mitarbeiter-Schulung — beides mit überschaubarem Aufwand.
Wer „Hochrisiko-KI“ einsetzt (HR-Auswahl, Bonität, Bildung, kritische Infrastruktur), kommt 2026 in eine andere Liga: technische Dokumentation, Risikomanagement-System, menschliche Aufsicht — das ist ein eigenes Projekt, kein Häkchen.
Die EU-Kommission hat im Q4 2025 Leitlinien zu „General Purpose AI“ und „echter Risiko-Bewertung“ nachgeschoben. Wer einen reinen Service-Chatbot einsetzt, fällt damit klar in die niedrige Risiko-Klasse.
Die DSGVO bleibt parallel gültig. AI Act regelt das System, DSGVO regelt die Daten — Überschneidungen gibt es, aber zwei separate Prüfungen brauchen Mittelständler nur in seltenen Fällen.

Anfang 2026, gut ein Jahr nach Inkrafttreten der ersten AI-Act-Stufe: Zeit für eine ehrliche Standortbestimmung. Was greift schon, was kommt noch, was bedeutet das für einen Mittelständler ohne eigene KI-Abteilung — und wo wird gerade übertrieben.

Die drei Stufen, die schon gelten

Stufe 1 — Verbote (seit 02.02.2025)

Acht KI-Anwendungen sind in der EU komplett verboten. Im Mittelstand spielen sie in der Praxis keine Rolle — wir nennen sie der Vollständigkeit halber: Social Scoring durch Behörden, Manipulation kognitiv schwacher Personen, biometrische Echtzeit-Identifikation im öffentlichen Raum, ungerichtete Gesichtserkennungs-Datenbanken, Emotionserkennung am Arbeitsplatz und in der Schule, biometrische Kategorisierung nach sensiblen Merkmalen, Predictive Policing auf Personenebene, Profile-Erstellung mit Diskriminierungs-Risiko ohne menschliche Aufsicht.

Für 99 % der Mittelständler ist diese Stufe nicht relevant — wer keinen biometrischen Scanner an der Eingangstür betreibt, ist hier raus.

Stufe 2 — Transparenz- und Schulungspflichten (seit 02.08.2025)

Hier wird es für jeden Mittelständler praktisch:

Hinweispflicht bei KI-Interaktion (Art. 50 AI Act): Wer einen Chatbot, einen automatischen Assistenten oder KI-generierte Antworten einsetzt, muss Nutzern offenlegen, dass sie mit einer KI sprechen.
Kennzeichnung KI-generierter Inhalte (Art. 50 Abs. 2 + 4): Synthetische Inhalte (Bilder, Audio, Video, Texte) müssen erkennbar gemacht werden — bei Deep-Fakes besonders.
Schulungspflicht (Art. 4 AI Act): Mitarbeiter, die mit KI-Systemen arbeiten, müssen geschult werden — Umfang abhängig von Aufgabe und Risikoklasse des Systems.

Praktisch heißt das: Footer-Hinweis bei deinem Chatbot, Datenschutz-Erklärung-Block, ein einfaches Schulungs-Konzept für die Mitarbeiter, die KI-Werkzeuge nutzen. Mehr nicht. Wer behauptet, hier brauche man ein eigenes Beratungs-Projekt im fünfstelligen Bereich, übertreibt deutlich.

Stufe 3 — Pflichten für „General Purpose AI“ (seit 02.08.2025)

Diese Stufe richtet sich an die Anbieter von Sprachmodellen selbst — also die Hersteller großer KI-Modelle. Mittelständler, die ein solches Modell einsetzen (über eine API oder über eine Anwendung), sind nicht direkt betroffen. Sie sollten aber wissen, dass ihre Anbieter dokumentieren müssen, womit das Modell trainiert wurde und wie es funktioniert. Wer eine sehr datensensible Anwendung baut, fragt diese Dokumentation beim Anbieter an.

Was im August 2026 dazukommt — Hochrisiko-Stufe

Am 02.08.2026 greift die nächste große Welle: Pflichten für „Hochrisiko-KI-Systeme“. Die Risikoklassifizierung des AI Act unterscheidet vier Stufen:

Unzulässiges Risiko — verboten (siehe Stufe 1).
Hochrisiko — strenge Pflichten (kommt 08/2026).
Begrenztes Risiko — Transparenz-Pflichten (gilt seit 08/2025).
Minimales Risiko — keine spezifischen Pflichten.

Hochrisiko-KI-Systeme sind in Anhang III des AI Act aufgelistet. Im Mittelstand sind die häufigsten Treffer:

KI bei Personalentscheidungen (CV-Screening, automatische Vorauswahl, Beurteilung)
KI bei Kreditscoring oder Bonitätsbewertung
KI in der Bildung (Prüfungs-Bewertung, Zugangs-Entscheidungen)
KI in kritischer Infrastruktur (Energie, Verkehr, Wasser)
KI bei Versicherungs-Risiko-Einschätzung (Leben, Gesundheit)

Wer ein solches System einsetzt — und das sind in Praxis vor allem mittelgroße Personalabteilungen, Banken, Versicherungen, größere Bildungsanbieter — kommt in eine andere Liga. Pflichten dann: technische Dokumentation, Risikomanagement-System, Qualitätsmanagement, menschliche Aufsicht, Logging, Transparenz gegenüber Betroffenen, CE-Konformitätserklärung. Das ist ein eigenes Projekt, kein Häkchen.

Was du als „normaler“ Mittelständler 2026 wirklich machen musst

Wir reden hier von der Mehrheit: Handwerk, Dienstleistung, Einzelhandel, Beratung, Praxis, Kanzlei. Wer keine Hochrisiko-Anwendung einsetzt, hat 2026 drei konkrete Hausaufgaben:

1. KI-Hinweise prüfen

Auf jeder Seite mit Chatbot oder KI-Assistent: sichtbarer Hinweis, dass eine KI antwortet. In der Datenschutz-Erklärung: Abschnitt zur KI-Nutzung mit Anbieter, Verarbeitungszweck, Datenübertragung. Bei KI-generierten Bildern: Kennzeichnung (Caption, Wasserzeichen, Metadaten).

2. Schulungs-Doku aufsetzen

Wer KI-Werkzeuge im Geschäft nutzt (auch nur ChatGPT für E-Mails), dokumentiert kurz: Welche Mitarbeiter nutzen welche Werkzeuge wozu, welche Schulung haben sie bekommen, welche Daten dürfen reingegeben werden, welche nicht. Reicht ein zweiseitiges Dokument plus eine 60-minütige Erst-Schulung pro Mitarbeiter — das ist die Praxis-Erwartung der Aufsicht im Mittelstand.

3. Verzeichnis der KI-Systeme führen

Eine einfache Tabelle: Welches KI-System läuft wo, welcher Anbieter, welcher Zweck, welche Daten, welche Risikoklasse. Kein eigenes Werkzeug nötig — eine Tabelle reicht. Wichtig ist, dass du das Verzeichnis pflegst, wenn neue Werkzeuge dazukommen.

Was die EU-Kommission Ende 2025 nachgeschoben hat

Im Q4 2025 sind zwei wichtige Leitlinien veröffentlicht worden:

Leitlinie zu „General Purpose AI“ (Oktober 2025)

Macht klarer, dass Mittelständler, die ein großes Sprachmodell über eine API nutzen, in der Regel nicht selbst als „Anbieter von GPAI“ gelten — sondern als Nachgelagerter. Das nimmt viel Druck aus der Diskussion, ob ein 8-Personen-Betrieb plötzlich Modell-Dokumentation veröffentlichen muss. Antwort: nein, das macht der Modell-Anbieter.

Leitlinie zur Risiko-Einstufung (Dezember 2025)

Stellt klar, dass ein „Service-Chatbot, der allgemeine Auskünfte gibt“ NICHT in die Hochrisiko-Klasse fällt — auch dann nicht, wenn er auf einer Site läuft, die rechtlich relevante Themen behandelt (Anwalts-Kanzlei, Steuerberater, Arztpraxis). Hochrisiko greift erst, wenn das System selbst rechtlich bindende Entscheidungen trifft oder vorbereitet.

Verhältnis zur DSGVO — wo es sich überschneidet

AI Act regelt das System (Risiko, Transparenz, Aufsicht), DSGVO regelt die Daten (Verarbeitung, Einwilligung, Rechte der Betroffenen). Die beiden überschneiden sich bei drei Themen:

Automatisierte Einzelentscheidung (Art. 22 DSGVO): Wer eine KI rechtlich bindende Entscheidungen treffen lässt, braucht DSGVO-Rechtsgrundlage plus AI-Act-Risikoklassifizierung.
Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Für Hochrisiko-KI-Systeme oft Pflicht — die DSFA-Vorlage kann gleich AI-Act-Punkte mit aufnehmen.
Informationspflichten (Art. 13/14 DSGVO + Art. 50 AI Act): Beide verlangen Transparenz — sinnvollerweise im selben Informations-Text behandelt.

Praktisch reicht für Mittelständler in den meisten Fällen eine Doku, die beide Regelwerke gleichzeitig abdeckt — zwei Parallel-Projekte braucht es selten.

Was Hannes daraus macht

Wir prüfen bei jedem Website-Audit auch die KI-Hinweise — Chatbot-Disclaimer, Datenschutz-Block, Kennzeichnung von KI-generierten Inhalten — und liefern eine konkrete Reparatur-Liste, wenn etwas fehlt. Bei neuen Projekten gehört der AI-Act-Hinweis-Stand zur Standard-Auslieferung, nicht zum Aufpreis. Wer eine Hochrisiko-Anwendung einsetzt, kommt vor August 2026 mit uns ins Gespräch — das ist ein anderes Projekt-Format als der normale Site-Build.

Wenn du wissen willst, wo deine Site bei AI Act und DSGVO steht: frag Hannes — er sagt dir ehrlich, wo du stehst. Wenn du danach reden willst, buch einen Termin — wir nennen ehrlich, welche der Aufgaben für dich relevant sind und welche du dir sparen kannst.

Häufige Fragen

Brauche ich als kleiner Mittelständler überhaupt eine KI-Schulung für meine Mitarbeiter?

Wenn deine Mitarbeiter KI-Werkzeuge im Geschäftsalltag nutzen (auch nur ChatGPT für E-Mails oder einen KI-Übersetzer): ja, du brauchst eine dokumentierte Grundschulung. Realistisch reichen 60 Minuten Erst-Schulung pro Mitarbeiter plus ein kurzes Merkblatt zu erlaubten und verbotenen Eingaben. Wenn deine Mitarbeiter keine KI nutzen, brauchst du keine Schulung — aber das wird schwerer zu belegen, je weiter 2026 voranschreitet.

Was muss konkret im Chatbot-Hinweis drinstehen?

Drei Punkte reichen: dass es eine KI ist (nicht „unsere Berater-Hotline“ oder ähnlich verschleiernd), wofür sie da ist (z. B. „Antworten zu unseren Leistungen“), wo der Nutzer den Datenschutz-Hinweis findet. Premium-Variante: zusätzlich ein Hinweis, ab welchem Punkt ein Mensch übernimmt (z. B. „bei rechtlich bindenden Anfragen leiten wir an Heike weiter“).

Mein Webdienstleister sagt, ich brauche ein eigenes „AI-Act-Beratungs-Projekt“ für mehrere tausend Euro. Stimmt das?

Für 95 % der Mittelständler: nein. Hinweis-Texte, Schulungs-Doku, Verzeichnis der KI-Systeme sind in 4–8 Stunden Arbeit erledigt, wenn jemand das schon mehrmals gemacht hat. Anders sieht es aus, wenn du eine Hochrisiko-Anwendung einsetzt — etwa eine KI in der Personalauswahl. Dann ist es tatsächlich ein eigenes Projekt. Erste Frage also: Welche Risikoklasse hat dein KI-System?

Was passiert, wenn ich die Hinweispflicht ignoriere?

Bußgeld-Rahmen: bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes für Verstöße gegen die meisten AI-Act-Pflichten (Art. 99). In der Praxis erwartet die Aufsicht zuerst eine Aufforderung zur Behebung — analog zur DSGVO. Bei vorsätzlichem oder anhaltendem Verstoß folgt das Bußgeld. Mittelständler werden hier nicht mit Konzern-Maßstab gemessen — aber der Rahmen ist da.

Was ist mit KI-generierten Bildern auf meiner Website?

Müssen erkennbar gemacht werden — entweder durch sichtbare Kennzeichnung (Caption, kleines Icon, Wasserzeichen) oder durch Metadaten (C2PA-Standard). Pragmatisch: ein kurzer Hinweis in der Bildunterschrift oder in der Impressum-Seite („Bilder teilweise KI-generiert“) reicht für nicht-täuschende Anwendung. Bei Personen-Darstellungen oder Deep-Fake-ähnlichen Bildern muss die Kennzeichnung deutlicher sein.

Wie weiß ich, ob mein Werkzeug ein „Hochrisiko-KI-System“ ist?

Drei Tests: Erstens — fällt es in eine der Kategorien aus Anhang III des AI Act (HR, Bonität, Bildung, kritische Infrastruktur, Versicherungs-Risiko, Strafverfolgung)? Zweitens — trifft es selbst rechtlich bindende Entscheidungen oder bereitet sie vor? Drittens — sind Betroffene in ihrer Lebensführung erheblich beeinflusst? Wenn du auf eines der drei mit „ja“ antwortest, prüfen wir das vor August 2026 gemeinsam. Wenn auf alle drei „nein“: du bist in der Begrenzten-Risiko-Klasse, Transparenz-Pflichten reichen.

Das regeln wir — so sieht das bei uns aus.

Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.

Frag Hannes →Beschreib Hannes dein Vorhaben — er sagt dir in Minuten, was geht.

Weiterlesen

21.05.2026EU AI Act für Selbstständige und Mittelstand: Die ehrliche Kurzfassung 05.11.2025AI-Act-Dokumentationspflicht: Was Mittelständler aufschreiben müssen — und was reicht 05.09.2025Chatbot-Hinweispflicht nach EU AI Act: Was seit August 2025 wirklich rauf muss