Viele Geschäftsführer im Mittelstand verbinden den EU AI Act mit einer beruhigenden Annahme: „Wir entwickeln keine KI, also betrifft uns das nicht." Diese Annahme ist falsch. Der EU AI Act richtet sich nicht nur an Anbieter, die KI bauen, sondern ausdrücklich auch an Betreiber, die KI einsetzen. Wer ein Recruiting-Tool nutzt, einen Service-Chatbot betreibt oder Bonität per Algorithmus bewertet, ist Betreiber – und hat Pflichten, die heute schon gelten.
Dass das unterschätzt wird, zeigen die Zahlen: Laut dem Bitkom-Studienbericht KI (Februar 2026) erwarten 93 Prozent der betroffenen Unternehmen einen hohen Umsetzungsaufwand durch den AI Act (49 Prozent „sehr hoch", 44 Prozent „eher hoch"), und 56 Prozent halten das Gesetz für die deutsche Wirtschaft unter dem Strich für nachteilig. Diese Sorge ist verständlich – aber sie entsteht oft aus Unklarheit darüber, was tatsächlich verlangt wird. Genau das klären wir hier.
Wer betroffen ist: Betreiber, nicht nur Entwickler
Der entscheidende Begriff im EU AI Act heißt „Betreiber" – und er meint genau die Unternehmen, die KI im Tagesgeschäft nutzen, ohne sie selbst gebaut zu haben. Die Verordnung (EU) 2024/1689 trennt Rollen entlang der Wertschöpfungskette. Ein Anbieter entwickelt ein KI-System oder lässt es entwickeln und bringt es unter eigenem Namen auf den Markt. Ein Betreiber setzt ein solches System unter eigener Verantwortung ein. Für den typischen Mittelständler ist fast immer die zweite Rolle relevant: Sie kaufen eine HR-Software mit Bewerber-Ranking, abonnieren einen KI-Chatbot oder nutzen ein Scoring-Modul – und werden damit zum Betreiber mit eigenen Pflichten.
Das ist kein Randthema. Nach Daten des IW Köln (2025) nutzen 56,1 Prozent der mittelgroßen Unternehmen (50–249 Beschäftigte) bereits KI, bei den großen sind es 66,3 Prozent. Auffällig ist aber, wie flach die Nutzung oft bleibt: Nur 13,0 Prozent kaufen KI als Service ein und gerade einmal 3,6 Prozent entwickeln selbst. Die große Mehrheit sind reine Anwender – also Betreiber. Genau diese Gruppe geht häufig davon aus, nicht reguliert zu sein, und liegt damit falsch.
Pflichten nach Risikoklasse und Zeitplan
Der EU AI Act staffelt Pflichten nach Risiko und Termin – und beides hat bereits begonnen. Die Verordnung ist seit dem 1. August 2024 in Kraft und wird in Phasen anwendbar. Verbotene Praktiken (etwa Social Scoring oder bestimmte biometrische Überwachung) sind seit dem 2. Februar 2025 untersagt; seit demselben Tag gilt die KI-Kompetenzpflicht. Die Regeln für Allzweck-KI-Modelle (GPAI) greifen seit dem 2. August 2025, die Transparenzpflichten aus Artikel 50 ab dem 2. August 2026. Die strengeren Hochrisiko-Pflichten nach Anhang III wurden Ende 2025 mit dem Digital Omnibus nach hinten verschoben.
Wer wissen will, welche Pflichten konkret greifen, ordnet sein System zuerst einer Risikoklasse zu. Die folgende Übersicht fasst die vier Stufen und die zentralen Betreiberpflichten zusammen.
| Risikoklasse | Beispiele im Mittelstand | Betreiberpflichten (Auswahl) | Termin |
|---|---|---|---|
| Verboten | Social Scoring, manipulative Systeme | Einsatz untersagt | seit 2. Feb. 2025 |
| Hochrisiko (Anhang III) | Recruiting-/HR-KI, Kreditwürdigkeit | Aufsicht, Protokollierung, Information Betroffener | verschoben |
| Begrenztes Risiko | Service-Chatbots, KI-Inhalte | Transparenz nach Art. 50 | ab 2. Aug. 2026 |
| Minimales Risiko | Spamfilter, KI in Standard-Tools | KI-Kompetenz (Art. 4) | seit 2. Feb. 2025 |
Die Bußgelder sind nach Schwere gestaffelt: bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes bei verbotenen Praktiken, bis zu 15 Mio. EUR oder 3 Prozent bei Verstößen gegen Betreiber- und Transparenzpflichten und bis zu 7,5 Mio. EUR oder 1 Prozent bei falschen Angaben – jeweils der höhere Betrag, für KMU jeweils die niedrigere Obergrenze (Artikel 99).
Was das für den Mittelstand konkret heißt
Drei Pflichten betreffen den Mittelstand fast immer – und keine davon erfordert eine eigene KI-Abteilung. Erstens die KI-Kompetenz: Artikel 4 verlangt seit Februar 2025, dass die Menschen, die mit KI arbeiten, ein angemessenes Verständnis dafür haben, was das System kann, wo seine Grenzen liegen und welche Risiken bestehen. Das ist kein Zertifikat, sondern ein nachweisbarer Prozess aus Schulung, Kontext und klaren Nutzungsregeln. Zweitens die Transparenz: Wer einen Chatbot betreibt oder KI-Inhalte veröffentlicht, muss das ab August 2026 kenntlich machen (Artikel 50).
Drittens, und am häufigsten unterschätzt, das Recruiting. KI im Beschäftigungskontext – Bewerbungen sichten, Kandidaten ranken, Personalentscheidungen vorbereiten – fällt unter Anhang III und gilt damit als Hochrisiko. Das löst zusätzliche Betreiberpflichten aus: menschliche Aufsicht über die Ergebnisse, Protokollierung des Einsatzes und Information der betroffenen Bewerber. Viele Personalabteilungen nutzen solche Funktionen längst, oft als Teil einer größeren HR-Suite, ohne sich der Einordnung bewusst zu sein.
Der erste praktische Schritt ist deshalb unspektakulär: ein Inventar. Welche KI-Systeme sind im Haus, in welcher Abteilung, mit welchem Zweck und welcher Risikoklasse? Erst danach lassen sich Pflichten gezielt zuordnen, statt pauschal Aufwand zu fürchten. Wie wir KI sicher und nachvollziehbar in bestehende Prozesse einbinden, zeigt unsere KI-Integration; die Governance-Seite vertiefen wir in Risiken in KI-Softwareprojekten.
Compliance-by-design statt teurem Nachrüsten
Die Pflichten des AI Act sind dann teuer, wenn sie am Ende drangeschraubt werden – und günstig, wenn sie von Anfang an in Auswahl und Architektur stehen. Das ist der Kern von Compliance-by-design. Wer ein KI-System auswählt, prüft die Risikoklasse, bevor der Vertrag steht, nicht danach. Wer einen Chatbot baut, plant die Transparenzkennzeichnung als Bestandteil der Oberfläche ein, statt sie 2026 nachzurüsten. Wer ein Hochrisiko-System einsetzt, richtet Protokollierung und menschliche Aufsicht als Funktion ein, nicht als manuellen Notbehelf.
Genau hier liegt der Wert eines erfahrenen Partners. KfW Research nennt in Fokus Volkswirtschaft Nr. 533 (Februar 2026) den Fachkräftemangel und fehlende interne Kompetenz als zentrale Hürden der KI-Nutzung im Mittelstand – und empfiehlt als Gegenmittel die Qualifizierung der Beschäftigten sowie die systematische Stärkung interner Kompetenzen und Dateninfrastrukturen. Eine Agentur, die KI-Systeme baut und integriert, kennt die Pflichten ohnehin und übersetzt sie in technische Anforderungen: dokumentierte Datenflüsse, saubere Logs, Transparenz-Hinweise, Rollen- und Rechtekonzepte. So wird aus einer abstrakten Regulierung eine Liste konkreter, lösbarer Aufgaben. Den gleichen Ansatz beschreiben wir am Beispiel interner Wissens-Chatbots in KI-Chatbot mit Unternehmenswissen. Wo die strategische Einordnung noch fehlt, beginnen wir mit einer KI-Strategie, die Risikoklassen, Pflichten und Roadmap zusammenführt.
Nächste Schritte
Drei Fragen zeigen schnell, wo Ihr Unternehmen beim AI Act steht:
- Inventar: Welche KI-Systeme sind im Einsatz – auch eingebettet in Standard-Software – und mit welchem Zweck?
- Risikoklasse: Gibt es darunter Recruiting-, HR- oder Scoring-Funktionen, die als Hochrisiko einzuordnen sind?
- Kompetenz und Transparenz: Ist die KI-Kompetenzpflicht nachweisbar erfüllt, und sind Chatbots oder KI-Inhalte als solche gekennzeichnet?
Wenn diese Punkte unklar sind, ist der erste Schritt kein Compliance-Projekt, sondern eine nüchterne Bestandsaufnahme. Schildern Sie uns, welche KI-Systeme Sie heute einsetzen und welche Sie planen – dann buchen Sie ein Erstgespräch, und wir ordnen gemeinsam Pflichten, Risiko und nächste sinnvolle Schritte ein.
