Compliance BAFA-Förderung: bis zu 80% Zuschuss

EU KI-Verordnung: Was Mittelstand 2026 jetzt tun muss

KI-Kompetenzpflicht gilt JETZT, Hochrisiko-Fristen verschoben. 9 Betreiber-Pflichten, Bußgelder bis 15 Mio. €. Kostenlose Erstberatung.

~ 6 Min. Lesezeit

Die Timeline: Was gilt seit wann — und was kommt noch

Der EU AI Act tritt nicht an einem einzigen Stichtag in Kraft. Die Pflichten kommen in Wellen, und zwei davon gelten bereits JETZT.

Bereits geltend seit 02.02.2025:

  • Acht verbotene KI-Praktiken (Art. 5): Social Scoring, Emotionserkennung am Arbeitsplatz, unterschwellige Manipulation, biometrische Echtzeit-Fernidentifikation u.a.
  • KI-Kompetenzpflicht (Art. 4): Alle Mitarbeiter, die KI bedienen oder deren Ergebnisse nutzen, müssen ausreichende KI-Kompetenz besitzen, und das gilt für ALLE KI-Systeme, nicht nur Hochrisiko.

Geltend seit 02.08.2025:

  • GPAI-Pflichten für Anbieter von General Purpose AI (Art. 53): Technische Dokumentation, Urheberrechts-Compliance, Trainingsdaten-Zusammenfassung.
  • Sanktionsregeln durchsetzbar: Bußgelder für Verstöße gegen verbotene Praktiken können verhängt werden.
  • Mitgliedstaaten mussten Aufsichtsbehörden benennen (Deutschland hat die Frist wegen der vorgezogenen Bundestagswahl verpasst).

Ursprünglich ab 02.08.2026, durch Digital-Omnibus verschoben:

  • Hochrisiko-Pflichten für Anhang-III-Systeme (Biometrie, HR, Bildung, Kredit, Strafverfolgung) → verschoben auf 02.12.2027
  • Transparenzpflichten Art. 50 (Chatbot-Kennzeichnung, KI-generierte Inhalte markieren) → Zeitpunkt noch in Verhandlung
  • Hochrisiko-KI in Produkten (Anhang I: Medizinprodukte, Maschinen) → verschoben auf 02.08.2028

In welche Risikoklasse Ihre Systeme fallen, erfahren Sie in unserem Leitfaden zur KI-Verordnung Risikoklassen.

Das Digital-Omnibus-Paket: Stand April 2026

Am 26. März 2026 hat das EU-Parlament das Digital-Omnibus-Paket mit 569 Ja-Stimmen angenommen. Die wichtigsten Verschiebungen:

  • Anhang-III-Hochrisiko (eigenständige Systeme): 02.08.2026 → 02.12.2027 (+16 Monate)
  • Anhang-I-Hochrisiko (KI in Produkten): 02.08.2027 → 02.08.2028 (+12 Monate)

Der Trilog (Verhandlung zwischen Rat, Parlament und Kommission) startete am 26. März 2026. Einigung wird bis 28. April 2026 erwartet, da Rat und Parlament sich in den Hauptfragen weitgehend einig sind.

Wichtig: Solange das Omnibus nicht formal verabschiedet ist, gilt rechtlich die alte Frist 02.08.2026. Unternehmen sollten die Vorbereitungen nicht auf 2027 verschieben: die Bestandsaufnahme, KI-Kompetenz und Governance-Strukturen sollten 2026 stehen.

Die 9 Betreiber-Pflichten nach Art. 26 — im Detail

Die meisten Mittelständler sind Betreiber (Deployer), nicht Anbieter. Als Betreiber gelten Unternehmen, die KI-Systeme im eigenen Betrieb einsetzen, auch wenn sie die Software nur eingekauft haben. Die Pflichten nach Art. 26:

1. Nutzung gemäß Gebrauchsanweisung (Art. 26(1)): Geeignete technische und organisatorische Maßnahmen zur bestimmungsgemäßen Nutzung. Die Gebrauchsanweisung des Anbieters ist verbindlich.

2. Menschliche Aufsicht (Art. 26(2)): Zuweisung an natürliche Personen mit erforderlicher Kompetenz, Ausbildung und Befugnis. Nicht delegierbar an andere KI-Systeme.

3. Eingabedatenqualität (Art. 26(4)): Wenn Sie Kontrolle über die Eingabedaten haben: Relevanz und Repräsentativität sicherstellen.

4. Überwachung und Meldepflicht (Art. 26(5)): Laufende Überwachung des KI-Betriebs. Bei Risiken: Anbieter UND Marktüberwachungsbehörde informieren + Nutzung aussetzen. Bei schwerwiegenden Vorfällen: sofort melden.

5. Protokollaufbewahrung (Art. 26(6)): Automatisch generierte Logs mindestens 6 Monate aufbewahren.

6. Arbeitnehmerinformation (Art. 26(7)): VOR Inbetriebnahme am Arbeitsplatz: Arbeitnehmervertretung UND betroffene Arbeitnehmer informieren.

7. Datenschutz-Folgenabschätzung (Art. 26(9)): DSFA nach Art. 35 DSGVO durchführen, unter Verwendung der Informationen des Anbieters.

8. Transparenz gegenüber Betroffenen (Art. 26(11)): Natürliche Personen informieren, dass sie Gegenstand eines Hochrisiko-KI-Systems sind.

9. Zusammenarbeit mit Behörden (Art. 26(12)): Kooperation mit der Marktüberwachungsbehörde in allen Fragen.

Achtung — Rollenwechsel (Art. 25): Ein Betreiber wird zum Anbieter mit VOLLEN Anbieter-Pflichten, wenn er: (a) seinen Namen auf ein KI-System setzt, (b) eine wesentliche Änderung vornimmt, oder (c) den Verwendungszweck ändert. Das gilt auch für Fine-Tuning oder spezielle Prompts, die das Systemverhalten wesentlich verändern.

Bußgelder: Die Drei-Stufen-Staffelung mit KMU-Sonderregel

VerstoßMaximalbußgeldProzent UmsatzRegel
Verbotene Praktiken (Art. 5)35 Mio. €7%Der höhere Betrag
Hochrisiko-/Betreiberpflichten15 Mio. €3%Der höhere Betrag
Falsche Infos an Behörden7,5 Mio. €1%Der höhere Betrag

KMU-Sonderregel (Art. 99(6)): Bei KMU gilt immer der NIEDRIGERE Betrag. Das macht einen enormen Unterschied:

  • Startup mit 500.000 € Umsatz: max. 35.000 € (7% × 500K) statt 35 Mio. €
  • Mittelständler mit 20 Mio. € Umsatz: max. 1,4 Mio. € (7% × 20M) statt 35 Mio. €

Bußgelder für Hochrisiko-Pflichten sind ab 02.08.2026 durchsetzbar, unabhängig vom Digital-Omnibus-Paket für die materiellen Pflichten. Wie Sie die Einhaltung organisatorisch sicherstellen, beschreiben wir im Detail auf der Seite zum KI-Governance-Rahmen für den Mittelstand.

Deutschland: Wer überwacht den AI Act?

Bundesnetzagentur wird zentrale KI-Aufsichtsbehörde (Kabinettsentwurf KI-MIG vom 11.02.2026, erste Lesung Bundestag 20.03.2026):

  • Marktüberwachung für alle KI-Systeme außerhalb sektoraler Zuständigkeiten
  • 129 neue Stellen, ca. 17 Mio. € Jahresbudget
  • KI-Service-Desk seit Juli 2025 operativ
  • Mindestens ein KI-Reallabor (regulatorische Sandbox) mit KMU-Priorität

Sektorale Zuständigkeiten bleiben:

  • BaFin: Finanzdienstleistungen
  • BSI: Cybersicherheit
  • BfArM: Medizinprodukte
  • Landesmedienanstalten: Medien

UKIM (Unabhängige KI-Marktüberwachungskammer): Unabhängige Kammer bei der Bundesnetzagentur für Hochrisiko-KI in Strafverfolgung, Migration, Justiz.

Umsetzungsfahrplan für einen 50-Mann-Betrieb

Phase 1 — Sofort bis Q2 2026:

  • KI-Inventar erstellen (welche Systeme setzen wir ein?)
  • Verbotene Praktiken ausschließen (Emotionserkennung? Social Scoring?)
  • KI-Kompetenz-Schulungen durchführen und dokumentieren (Art. 4, gilt bereits)
  • Risikoklassifizierung pro System (→ Leitfaden Risikoklassen)

Phase 2 — Q3–Q4 2026:

  • KI-Verantwortlichen benennen
  • Art.-26-Prozesse definieren (menschliche Aufsicht, Monitoring, Logging)
  • DSFA für Hochrisiko-KI starten
  • Verträge mit KI-Anbietern prüfen (Art.-13-Transparenzinformationen vorhanden?)

Phase 3 — 2027:

  • QMS aufsetzen (vereinfacht für KMU nach Art. 17)
  • Dokumentation nach Anhang IV (vereinfachte Form für KMU nach Art. 11)
  • Registrierung in EU-Datenbank (für Hochrisiko-KI)
  • Zusammenarbeit mit Anbietern zur Konformitätserklärung

Phase 4 — Ab 2027 laufend:

  • 6-Monats-Log-Aufbewahrung sicherstellen
  • Incident-Response-Prozess für KI-Vorfälle
  • Jährliche Überprüfung der Risikoklassifizierung

Kostenorientierung: Geschätzte Compliance-Kosten für einen reinen Betreiber: 20.000–50.000 €. Bei bestehender DSGVO-Compliance: 20–30% geringere Marginalkosten (SoftwareSeni/CEPS). Über die BAFA-Förderung ist die externe Beratung zu 50% förderbar.

Was ST Strategieberatung konkret anbietet

Wir führen strukturierte AI-Act-Compliance-Checks durch, den konkreten 5-Schritte-Audit-Prozess beschreiben wir auf unserer Seite zum AI Act Compliance-Check. Die Klassifizierung Ihrer Systeme nach Anhang III finden Sie in unserem Risikoklassen-Leitfaden.

Das Erstgespräch ist kostenlos und klärt, ob und wie Ihr Unternehmen vom AI Act betroffen ist.

Kennzahl
20.000–50.000 € Erstimplementierung
Geschätzte Compliance-Kosten für einen Mittelständler als reiner Betreiber
Quelle: SoftwareSeni/CEPS (2025)
Kostenlose Potenzialanalyse anfragen Mehr über unsere Methodik
Unser Ansatz

Unser Ansatz für eu ki verordnung mittelstand pflichten

Bereits geltende Pflichten prüfen
Seit 02.02.2025: Verbote (Art. 5) und KI-Kompetenzpflicht (Art. 4) gelten JETZT. Kein Unternehmen darf Emotionserkennung am Arbeitsplatz einsetzen. Alle Mitarbeiter müssen ausreichende KI-Kompetenz besitzen.
Betreiber-Pflichten nach Art. 26 vorbereiten
Menschliche Aufsicht, 6-Monats-Protokollaufbewahrung, Arbeitnehmerinformation, DSFA und Überwachungsprozess: die 9 Betreiber-Pflichten müssen bis zur Anwendungsfrist stehen.
Umsetzungsfahrplan erstellen
Phase 1 (sofort): Inventar + Schulung. Phase 2 (Q3–Q4 2026): Governance + Prozesse. Phase 3 (2027): Hochrisiko-Compliance. Phase 4 (ab 2027): Laufendes Monitoring.
FAQ

Häufige Fragen

Die Verordnung trat am 01.08.2024 in Kraft und wird stufenweise anwendbar. Zwei Pflichten gelten JETZT: Seit 02.02.2025 die Verbote (Art. 5) und die KI-Kompetenzpflicht (Art. 4), und zwar für ALLE KI-Systeme, nicht nur Hochrisiko. Das Digital-Omnibus-Paket verschiebt die Hochrisiko-Frist voraussichtlich auf 02.12.2027 (Anhang III), Trilog-Einigung wird bis Mai 2026 erwartet.

Ja, Art. 4 gilt seit 02.02.2025. Anbieter UND Betreiber müssen sicherstellen, dass alle mit KI befassten Personen ein ausreichendes Maß an KI-Kompetenz besitzen. Es gibt kein vorgeschriebenes Format, keine Zertifizierung und kein Curriculum, aber die Dokumentation der Schulungen ist empfohlen. Kein eigenständiges Bußgeld für Art.-4-Verstöße, aber Haftungsrisiko bei KI-bedingten Schäden.

Art. 26 definiert 9 Pflichten: (1) Nutzung gemäß Gebrauchsanweisung, (2) menschliche Aufsicht durch kompetente Personen, (3) Eingabedatenqualität sicherstellen, (4) Betrieb überwachen und bei Risiken melden, (5) Protokolle 6 Monate aufbewahren, (6) Arbeitnehmer VOR Inbetriebnahme informieren, (7) DSFA nach DSGVO Art. 35 durchführen, (8) Betroffene über KI-Einsatz informieren, (9) mit Behörden kooperieren.

Drei Bußgeldstufen: Verbotene Praktiken: 35 Mio. € oder 7% Jahresumsatz. Hochrisiko-/Betreiberpflichten: 15 Mio. € oder 3%. Falsche Infos an Behörden: 7,5 Mio. € oder 1%. Wichtige KMU-Sonderregel (Art. 99(6)): Bei KMU gilt immer der NIEDRIGERE Betrag: ein 50-Mann-Betrieb mit 5 Mio. Umsatz zahlt maximal 350.000 € (7% × 5 Mio.) statt 35 Mio. €.

Das Digital-Omnibus-Paket wurde am 26.03.2026 vom EU-Parlament mit 569 Ja-Stimmen angenommen. Es verschiebt Anhang-III-Hochrisiko (Biometrie, HR, Bildung, Kredit) auf 02.12.2027 und Anhang-I-Hochrisiko (KI in Produkten) auf 02.08.2028. Der Trilog zwischen Rat, Parlament und Kommission startete am 26.03.2026, Einigung wird bis 28.04.2026 erwartet. Aber: Rechtlich gilt die alte Frist 02.08.2026 noch, bis das Omnibus formal verabschiedet ist.

Kostenlose Potenzialanalyse anfragen

Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Datenschutzerklärung

Verwandte Strategien & Insights

compliance

KI-Audit für Ihr Unternehmen: Bestandsaufnahme und Checkliste vor der KI-Einführung

compliance

KI-Governance im Mittelstand: Was die EU-KI-Verordnung konkret verlangt und wie Sie sie ohne Rechtsabteilung erfüllen

compliance

AI Act Compliance-Check: Der 5-Schritte-Audit-Prozess für Ihr Unternehmen