EU AI Act ab 2. August 2026: Was der Mittelstand wirklich tun muss — und was Panikmache ist

TL;DR. Zum 2. August 2026 greift eine wichtige Stufe der EU-KI-Verordnung, und die Schlagzeilen reden von bis zu 35 Mio. € Bußgeld. Für einen Mittelständler, der Standard-KI nutzt — ChatGPT, Copilot, Lead-Scoring —, ist das größtenteils Panikmache: Die hohen Strafen gelten für verbotene Praktiken, nicht für Ihren Angebots-Chatbot. Was Sie tatsächlich erfüllen müssen, ist überschaubar — und die nützlichste Pflicht, ein Überblick über Ihre KI-Anwendungen, ist genau die Prozess-Landkarte, die Sie ohnehin brauchen. Dieser Artikel trennt Pflicht von Lärm. (Kein Rechtsrat — sondern Einordnung für die Praxis.)

Die Zeitleiste, korrekt eingeordnet

Die KI-Verordnung (EU) 2024/1689 gilt gestaffelt:

Ein verbreiteter Irrtum: Der 2. Februar 2026 sei ein Stichtag für Unternehmen. Ist er nicht — an diesem Datum trat für Betriebe nichts Neues in Kraft.

Die 35-Mio-€-Schlagzeile — für wen sie wirklich gilt

Die Bußgelder sind gestaffelt (Art. 99):

• bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes — nur für verbotene Praktiken (Art. 5), z. B. Social Scoring, manipulatives Design, Emotionserkennung am Arbeitsplatz.
• bis 15 Mio. € oder 3 % — für sonstige Pflichtverstöße, u. a. gegen die Transparenzpflichten.
• bis 7,5 Mio. € oder 1 % — für falsche Angaben gegenüber Behörden.

Zwei Dinge entschärfen das für den Mittelstand: Erstens gilt die 35-Mio-Stufe ausschließlich für verbotene Praktiken — die ein normaler Betrieb schlicht nicht betreibt. Zweitens gilt für KMU und Start-ups eine Deckelung auf den jeweils niedrigeren Wert von Prozentsatz oder Festbetrag (Art. 99 Abs. 6), nicht den höheren.

Entscheidend ist außerdem Ihre Rolle. Wer KI nur einsetzt (ChatGPT, Copilot, ein zugekauftes Lead-Scoring), ist Betreiber („deployer"), nicht Anbieter („provider"). Die meisten harten Pflichten — und die Höchststrafen — treffen Anbieter, nicht Betreiber.

Was ein normaler Mittelständler tatsächlich tun muss

Wenn Sie Standard-KI im Tagesgeschäft nutzen, ist die Liste kurz:

1. KI-Kompetenz sicherstellen (Art. 4) — die einzige bereits geltende Pflicht

Seit 2.2.2025 müssen Betreiber dafür sorgen, dass Mitarbeitende, die KI bedienen oder deren Ergebnisse nutzen, „ausreichende KI-Kompetenz" haben. Das gilt für alle KI-Systeme, nicht nur Hochrisiko — also auch für das Marketing-Team mit ChatGPT.

Konkret: rollenbezogene Schulung/Einweisung, interne Nutzungsregeln (welche Daten dürfen rein, wann braucht es eine menschliche Freigabe) und eine schriftliche Dokumentation (Inhalt, Teilnehmer, Datum). Ein Zertifikat ist nicht nötig — ein internes Protokoll genügt.

2. KI-generierte Inhalte kennzeichnen (Art. 50, ab 2.8.2026)

Wer mit KI erkennbar künstliche Bild-, Audio- oder Video-Inhalte erzeugt („Deepfakes"), muss das offenlegen. Für normale Marketing- oder interne Texte unter menschlicher redaktioneller Kontrolle greift die Pflicht in der Regel nicht. Der Hinweis „Sie sprechen mit einer KI" bei einem zugekauften Chatbot ist Anbieter-Sache, nicht Ihre.

3. Ein KI-Inventar führen — keine harte Pflicht, aber der nützlichste Schritt

Für reine Niedrigrisiko-Nutzung ist ein KI-Inventar gesetzlich nicht zwingend (Aussagen wie „85 % der KMU haben kein Inventar" sind Anbieter-Marketing). Trotzdem ist es der sinnvollste erste Schritt — denn ohne Überblick können Sie weder Art. 4 sauber erfüllen noch beurteilen, ob irgendwo doch ein Hochrisiko-Fall lauert.

Was Sie mit hoher Wahrscheinlichkeit nicht betrifft

• Lead-Scoring ist kein Hochrisiko-Fall. Vertriebliches Lead-Scoring (Konversionswahrscheinlichkeit) steht in keiner der Anhang-III-Kategorien. Hochrisiko ist nur die Kreditwürdigkeitsbewertung natürlicher Personen — nicht Ihr Vertriebs-Scoring. Auch ein „verbotenes Social Scoring" ist es nicht, solange es zweckgebunden bleibt.
• Interne ChatGPT-/Copilot-Nutzung löst keine Risikomanagement-, QMS- oder Konformitätsbewertungspflicht aus. Der einzige lebende Punkt ist Art. 4. (Datenschutz/DSGVO gilt parallel — aber das ist nicht der AI Act.)

Nur wenn Sie KI in echten Hochrisiko-Kontexten einsetzen — etwa als Entscheidungsgrundlage im Recruiting oder bei Kredit-Scoring — kommen Betreiberpflichten nach Art. 26 hinzu (menschliche Aufsicht, Protokollierung, Information Betroffener).

Und in Deutschland?

Zuständige Aufsicht wird die Bundesnetzagentur als zentrale Marktüberwachungs- und Anlaufstelle. Das nationale Durchführungsgesetz (KI-MIG) wurde am 11.6.2026 vom Bundestag verabschiedet; die Zustimmung des Bundesrats stand am 23.6.2026 noch aus. An den EU-Pflichten ändert das nichts — es regelt, wer in Deutschland durchsetzt.

Selbstcheck: Sind Sie vorbereitet?

1. Haben Sie aufgeschrieben, welche KI-Anwendungen bei Ihnen laufen — und wer sie wofür nutzt? Wenn nein → KI-Inventar als erster Schritt.
2. Wissen die Mitarbeitenden, die KI nutzen, was erlaubt ist und wann ein Mensch entscheidet — und ist das dokumentiert? Das ist Art. 4.
3. Setzen Sie KI irgendwo als Entscheidungsgrundlage über Menschen ein (Einstellung, Kreditvergabe)? Wenn ja → genauer prüfen; wenn nein → die hohen Pflichten betreffen Sie nicht.

Häufige Fragen

Müssen wir jetzt teure Compliance-Beratung einkaufen?

In den allermeisten Fällen nein. Für Standard-KI-Nutzung reichen ein KI-Inventar, interne Nutzungsregeln und eine dokumentierte Mitarbeiter-Einweisung. Das ist Tagesarbeit, kein Großprojekt. Vorsicht bei Anbietern, die mit der 35-Mio-Zahl Angst verkaufen — die gilt für Sie sehr wahrscheinlich nicht.

Lohnt sich das Inventar über die Pflicht hinaus?

Ja — das ist der eigentliche Punkt. Das Inventar zeigt Ihnen, an welchen Übergaben KI wirklich Wirkung erzeugt und wo sie nur Budget bindet. Damit wird aus einer Compliance-Aufgabe eine Entscheidungsgrundlage für Ihre KI-Investitionen.

Nächster Schritt

Wenn Sie das KI-Inventar gleich als echte Standortbestimmung nutzen wollen — wo KI wirkt, wo sie verbrennt — klärt ein 30-Min-Eignungsgespräch, ob eine Diagnose der richtige nächste Schritt ist. Wenn kein klarer Hebel sichtbar ist, sage ich das vor der Beauftragung.

→ Eignungsgespräch buchen → Diagnose direkt anfragen (ab 5.900 € netto, Festpreis, Zahlung nach Erhalt)

Weiterführend: Warum KI-Projekte selten an der Technik scheitern: KI-Agenten im Mittelstand. Wo KI an Übergaben wirkt — und wo nicht: KI an kritischen Übergaben. Wo der Einstieg sich lohnt: KI für kleine Mittelständler.

Quellen: EU AI Act Service Desk: Zeitleiste & Art. 113 · Europäische Kommission: AI-Literacy — Fragen & Antworten · Artikel 99 (Bußgelder) · Bundesregierung: Umsetzung der KI-Verordnung.