EU AI Act im Mittelstand: Pflichten bis August 2026, ohne Vollbremsung

Der EU AI Act war mal ein Konzernthema.

Zu Recht. Verbotene Praktiken, biometrische Identifikation, Bußgelder, bemessen am Konzernumsatz. Der Mittelstand las mit und legte es weg.

Seit Februar 2025 gilt das Gesetz für jeden, der KI einsetzt. Und die teuerste Reaktion darauf ist die Vollbremsung.

Die Szene gibt es gerade in vielen Häusern. Der Lenkungskreis friert die KI-Projekte ein, “bis das mit dem AI Act geklärt ist”. Drei Automatisierungen, fertig konzipiert, liegen auf Eis.

Geklärt ist es längst. Der Stufenplan steht: Verbotene Praktiken und die Pflicht zur KI-Kompetenz gelten seit dem 2. Februar 2025. Hochrisiko-Anforderungen und Transparenzpflichten kommen am 2. August 2026.

Was bis dahin zu tun ist, verlangt von den meisten Mittelständlern keine Rechtsabteilung. Es verlangt Ordnung.

Brandschutz heißt nicht Betriebsschließung

Der EU AI Act verlangt vom Mittelstand bis August 2026 in den meisten Fällen fünf Dinge: ein KI-Inventar, geklärte Rollen, einen Nachweis der KI-Kompetenz nach Artikel 4, abgelegte Provider-Dokumentation und Transparenz-Hinweise. Die vollen Hochrisiko-Pflichten treffen nur Einsatzfelder aus Anhang III, etwa Personal- oder Kreditentscheidungen.

Niemand schließt das Büro, weil die Brandschutzbegehung ansteht.

Man hängt den Fluchtplan auf, prüft die Feuerlöscher, benennt einen Verantwortlichen. Der Betrieb läuft weiter.

In genau dieser Größenordnung bewegt sich der AI Act beim Posteingangsklassifizierer, bei der Rechnungsverarbeitung, beim internen Dokumentenassistenten.

Kein Hochrisiko, auch wenn das System geschäftskritisch ist.

Geschäftskritisch ist keine Risikoklasse.

Eine Seite Inventar, nachweisbar abgelegt. Das ist der Fluchtplan.

Die Sprinkleranlage hängt woanders

Hochrisiko ist eng definiert. Anhang III, acht Kategorien, nicht beliebig erweiterbar.

Wer KI in Personalentscheidungen einbindet, ist drin. Recruiting-Vorsortierung: Ziffer 4. Kredit-Scoring: Ziffer 5. Prüfungsbewertung: Ziffer 3.

Dort gilt das volle Programm. Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht.

Der gefährlichste Satz im Haus: “Das ist doch nur ein Tool, das vorsortiert.”

Wer das Recruiting-Tool als Bürohelfer führt, hat keine Vollbremsung gemacht. Er hat die Sprinkleranlage vergessen, wo es wirklich brennen kann.

Eine Begehung, diese Woche

Das halbe Inventar entsteht an einem Nachmittag. Welche KI läuft wo. Wer betreibt sie. Welcher Anbieter steckt dahinter. Fällt ein Einsatzzweck unter Anhang III.

Wer GPT oder Claude über eine API nutzt, ist übrigens Deployer, nicht Provider. Die GPAI-Pflichten trägt der Modell-Anbieter. Die Ordnungspflichten bleiben im Haus.

Für den Nachweis-Teil gibt es die DSGVO-KI-Readiness-Checkliste zum Herunterladen, für die Einordnung den vollständigen Leitfaden mit Stufenplan.

Und während das eingefrorene Portfolio wartet, läuft die Handarbeit weiter. Monat für Monat, bis zum Stichtag und darüber hinaus.

Der Stillstand kostet mehr als die Begehung.

Fluchtplan aufhängen. Weiterarbeiten.