EU AI Act ab 2. August 2026: Die Checkliste für den Mittelstand
Am 2. August 2026 wird der EU AI Act scharfgestellt — aber anders, als die meisten denken. Was jetzt wirklich zu tun ist: konkrete Beispiele und Checkliste.
- Warum der 2. August 2026 zählt — und warum weniger, als du denkst
- Der teure Irrtum: „Das betrifft nur die Großen“
- Die vier Risikoklassen — in Mittelstands-Sprache
- Konkrete Beispiele: Wo bei dir schon Hochrisiko-KI läuft
- Die Bußgelder: warum das kein theoretisches Risiko ist
- Die Checkliste: Was bis zum 2. August zu tun ist
- Compliance als Chance, nicht als Bremse
- Kein Grund zur Panik, aber zum Handeln
Der 2. August 2026 steht rot im Kalender jedes Compliance-Verantwortlichen. An diesem Tag wird der EU AI Act — die weltweit erste umfassende KI-Verordnung — für Unternehmen scharfgestellt. Und genau hier machen gerade die meisten Ratgeber einen Fehler: Sie schreiben immer noch, dass ab August die vollen Hochrisiko-Pflichten greifen. Das stimmt so nicht mehr.
Ich sitze fast täglich mit Geschäftsführern zusammen, und die Verunsicherung ist groß. Deshalb hier die ehrliche Einordnung — ohne Panikmache, ohne Verharmlosung. Was am 2. August 2026 wirklich zählt, was verschoben wurde, und eine Checkliste, die du abarbeiten kannst.
Transparenz kommt jetzt, Hochrisiko später
Ab 2. August 2026 gelten: die Transparenzpflichten (Artikel 50) — KI-Chatbots und KI-generierte Inhalte müssen gekennzeichnet werden — plus die nationale Durchsetzung. Verschoben auf Dezember 2027: die strengen Pflichten für Hochrisiko-Systeme wie Recruiting-KI oder Kreditscoring. Schon seit Februar 2025 in Kraft, aber oft ignoriert: die Pflicht zur KI-Kompetenz der Belegschaft (Artikel 4).
Warum der 2. August 2026 zählt — und warum weniger, als du denkst
Der EU AI Act ist im August 2024 in Kraft getreten und wird in Stufen anwendbar. Verbotene Praktiken gelten seit Februar 2025, die Regeln für allgemeine KI-Modelle (GPAI) seit August 2025. Der 2. August 2026 war ursprünglich der große Tag: Da sollten Transparenzpflichten, Hochrisiko-Anforderungen und die volle Durchsetzung gleichzeitig greifen.
Dann kam der Digital Omnibus — ein Vereinfachungspaket der EU-Kommission, das die Fristen entzerrt. Nach dem politischen Kompromiss werden die Pflichten für eigenständige Hochrisiko-Systeme aus Anhang III auf den 2. Dezember 2027 verschoben, KI in regulierten Produkten (Anhang I) sogar auf August 2028. Am Stichtag im August 2026 bleiben damit vor allem die Transparenzpflichten nach Artikel 50 und der Start der nationalen Marktüberwachung.
Das ist eine gute Nachricht — aber kein Grund, die Hände in den Schoß zu legen. Denn die Arbeit, die jetzt anfällt, ist für beide Fristen dieselbe.
Der teure Irrtum: „Das betrifft nur die Großen“
Der häufigste Satz, den ich höre: „Herr Porschen, das ist doch was für Konzerne.“ Falsch. Der EU AI Act kennt keine Mitarbeiter-Untergrenze. Entscheidend ist nicht, wie groß du bist, sondern welche KI du einsetzt und in welcher Rolle — als Anbieter, der ein KI-System entwickelt, oder als Betreiber, der es nutzt.
Ein Beispiel aus der Praxis: Ein mittelständischer Maschinenbauer mit 120 Mitarbeitern hat einen KI-Chatbot auf der Website, nutzt ChatGPT im Marketing für Produkttexte und ein KI-Tool im Recruiting zur Vorsortierung von Bewerbungen. Alle drei Anwendungen sind vom EU AI Act erfasst — zwei davon ab August 2026, eine ab Dezember 2027. Dieser Betrieb hält sich für „nicht betroffen“. Das ist der teure Irrtum.
Wie viel unkontrollierte KI wirklich in Unternehmen läuft, habe ich im Text über Schatten-KI im Mittelstand beschrieben. Die erste Pflicht des EU AI Act ist deshalb, überhaupt zu wissen, was man einsetzt.
Die vier Risikoklassen — in Mittelstands-Sprache
Der EU AI Act sortiert jedes KI-System in eine von vier Klassen. Du musst kein Jurist sein, um deine Systeme grob einzuordnen:
- Verboten: Social Scoring, manipulative Systeme, biometrische Kategorisierung nach sensiblen Merkmalen. Für den normalen Mittelstand praktisch nie relevant — aber gut zu wissen, dass es die Kategorie gibt.
- Hochrisiko (Anhang III): KI in Recruiting und Personalauswahl, Mitarbeiterbewertung, Kreditwürdigkeitsprüfung, Zugang zu Bildung. Hier gelten ab Dezember 2027 die strengsten Pflichten. Genau hier lohnt sich der frühe Blick.
- Begrenztes Risiko: Chatbots, KI-generierte Inhalte, Deepfakes. Hier greift die Transparenzpflicht ab August 2026.
- Minimales Risiko: Spamfilter, KI in der Produktionssteuerung, Empfehlungssysteme. Keine besonderen Pflichten.
Die meisten Mittelständler haben Systeme in den Klassen „begrenzt“ und „hochrisiko“ — und wissen es nicht.
Konkrete Beispiele: Wo bei dir schon Hochrisiko-KI läuft
Werden wir konkret. Das sind die Anwendungen, die im Mittelstand am häufigsten unter die schärferen Regeln fallen:
- Recruiting und HR: KI, die Lebensläufe screent, Bewerber vorsortiert oder Kandidaten rankt. Das gilt als Hochrisiko — weil Menschen über berufliche Chancen entschieden wird.
- Mitarbeiterbewertung: Systeme, die Leistung messen, Beförderungen vorschlagen oder Kündigungen vorbereiten.
- Kreditscoring: Wer als Händler, Vermieter oder Dienstleister KI zur Bonitätsprüfung einsetzt, ist betroffen.
- Kundeninteraktion: Der Chatbot auf der Website, KI-generierte E-Mails, synthetische Produktbilder oder -videos — das fällt unter die Transparenzpflicht.
HR ist der häufigste Hochrisiko-Fall im Mittelstand
Viele Personalabteilungen nutzen längst KI-gestützte Bewerbungstools, ohne dass die Geschäftsführung davon weiß. Genau das ist ein Anhang-III-Hochrisiko-System. Wer es einsetzt, braucht bis Dezember 2027 unter anderem eine Risikobewertung, menschliche Aufsicht und technische Dokumentation. Die Bestandsaufnahme dafür beginnt heute, nicht 2027.
Die Bußgelder: warum das kein theoretisches Risiko ist
Der EU AI Act hat schärfere Strafen als die DSGVO. Die Obergrenzen orientieren sich am weltweiten Jahresumsatz:
Für kleine und mittlere Unternehmen sowie Start-ups gilt jeweils der niedrigere der beiden Werte — ein bewusstes Zugeständnis an den Mittelstand. Trotzdem: Der eigentliche Schaden ist selten das Bußgeld, sondern der Vertrauensverlust bei Kunden und Bewerbern, wenn intransparente KI auffliegt.
Die Checkliste: Was bis zum 2. August zu tun ist
Hier die konkrete Reihenfolge. Keine 400-Seiten-Compliance-Doku, sondern die Schritte, die im Mittelstand tatsächlich funktionieren:
In sieben Schritten vorbereitet
- KI-Inventur erstellen. Liste jedes KI-System auf, das im Unternehmen läuft — auch die inoffiziellen. ChatGPT im Marketing, Copilot in der Buchhaltung, das Bewerber-Tool in der HR. Was nicht auf der Liste steht, kannst du nicht steuern.
- Jedes System klassifizieren. Ordne jedes Tool einer der vier Risikoklassen zu: verboten, hochrisiko, begrenzt, minimal. Bei Unsicherheit gilt: lieber eine Stufe höher einordnen.
- Transparenz umsetzen (Frist August 2026). Kennzeichne Chatbots klar als KI, markiere KI-generierte Texte, Bilder und Videos. Für bestehende Systeme gibt es eine Schonfrist beim maschinenlesbaren Wasserzeichen bis Dezember 2026.
- KI-Kompetenz nachweisen. Schule deine Mitarbeitenden im verantwortungsvollen KI-Einsatz und dokumentiere es. Diese Pflicht gilt schon seit Februar 2025 — sie ist der einfachste Punkt und wird am häufigsten vergessen.
- Verantwortlichen benennen. Bestimme eine Person, die KI-Governance verantwortet. Nicht als Alibi, sondern als klare Anlaufstelle.
- Interne KI-Richtlinie schreiben. Ein Zwei-Seiten-Dokument: Welche Tools sind erlaubt, welche Daten dürfen rein, wer entscheidet über neue Systeme.
- Hochrisiko-Systeme vormerken (Frist Dezember 2027). Für HR- und Scoring-KI jetzt schon Risikobewertung und Dokumentation vorbereiten. Der frühe Start ist der günstige Start.
Wenn dir die Punkte 1 und 2 schon schwerfallen, bist du in guter Gesellschaft. Genau diese Inventur ist der wunde Punkt — und gleichzeitig der Grund, warum so viele KI-Projekte im Mittelstand an handwerklichen Fehlern scheitern, nicht an der Technik.
Compliance als Chance, nicht als Bremse
Ich weiß, wie das klingt: noch eine Verordnung, noch mehr Bürokratie. Aber ich sehe den EU AI Act anders — und das ist keine Schönrederei.
Die Inventur, die der EU AI Act erzwingt, ist die Inventur, die du ohnehin machen müsstest. Kein Unternehmen kann KI verantwortungsvoll einsetzen, ohne zu wissen, welche Systeme laufen, wer sie nutzt und welche Daten hineinfließen. Die August-Deadline ist der beste Vorwand, den du je bekommen wirst, um endlich aufzuräumen. Wer diese Grundordnung schafft, ist nicht nur compliant — er ist auch schneller, sicherer und souveräner im KI-Einsatz.
Das ist dieselbe Haltung, die ich bei der KI-Haftung als Chefsache vertrete: Governance ist keine Fußnote für die Rechtsabteilung, sondern Führungsaufgabe. Der EU AI Act macht sie nur unumgänglich.
KI-Governance, die im Mittelstand funktioniert
Du willst die Inventur und die Klassifizierung nicht allein stemmen? Wir bringen Governance in den Mittelstand — pragmatisch, in eurer Sprache, ohne Konzern-Overhead. Von der KI-Inventur bis zur internen Richtlinie.
Kein Grund zur Panik, aber zum Handeln
Fassen wir zusammen: Der 2. August 2026 bringt die Transparenzpflichten und die Durchsetzung, nicht die volle Hochrisiko-Regulierung — die kommt Ende 2027. Für den Mittelstand heißt das: Der Druck ist real, aber die Frist ist machbar. Wer jetzt die KI-Inventur macht, seine Systeme klassifiziert, Chatbots kennzeichnet und die Belegschaft schult, ist auf der sicheren Seite — und hat nebenbei die Grundlage für einen KI-Einsatz gelegt, der wirklich trägt.
Der EU AI Act ist keine Wand, gegen die man läuft. Er ist eine Deadline, die endlich Ordnung erzwingt. Nutze sie.
Dieser Beitrag ist eine praxisorientierte Einordnung, keine Rechtsberatung. Fristen und Details des EU AI Act — insbesondere die Verschiebungen aus dem Digital-Omnibus-Paket — werden bis zur formalen Veröffentlichung im EU-Amtsblatt noch finalisiert. Für die verbindliche Bewertung deiner konkreten Systeme ziehe eine spezialisierte Kanzlei hinzu.
Quellen: EU AI Act — Implementation Timeline (Europäische Kommission) · Artikel 50 — Transparenzpflichten · Digital Omnibus: Postponed High-Risk Deadlines (Gibson Dunn) · EU AI Act ab 2. August 2026 (TÜV Consulting)
FAQ: Führung in der KI-Ära
Was ändert sich am 2. August 2026 durch den EU AI Act? +
Gelten die Hochrisiko-Pflichten des EU AI Act ab August 2026? +
Betrifft der EU AI Act auch kleine Unternehmen und den Mittelstand? +
Wie hoch sind die Bußgelder beim EU AI Act? +
Muss ich einen KI-Chatbot auf meiner Website kennzeichnen? +
Was bedeutet KI-Kompetenz nach Artikel 4 des EU AI Act? +
Keynote Speaker, KI-Experte und Unternehmer mit mehr als 20 Jahren Erfahrung. Mit über 600 Vorträgen im deutschsprachigen Raum, als ehemaliger Bundesvorsitzender der Jungen Unternehmer und Aufsichtsrat einer Genossenschaftsbank verbindet er unternehmerisches Denken mit konkreter KI-Expertise.