Zum Inhalt springen
K Krynex Labs
Alle Artikel
#EU AI Act#Compliance#DSGVO#Mittelstand#HR-AI

67 Tage bis zum EU AI Act: was Mittelstand wirklich zu tun hat (und was nicht)

Am 2. August 2026 greifen die Hochrisiko-Pflichten des EU AI Acts. Vier von acht Bereichen treffen Mittelstand direkt — HR, Kredit, Bildung, kritische Dienste. Für alle anderen ist das Thema kleiner, als Sales-Reps gerade verkaufen. Ein ehrlicher Status-Check mit Pflichten-Liste, Bußgeld-Rahmen und Mittelstands-Beispielen.

Annett Krusch

Am 2. August 2026 werden die Hochrisiko-Pflichten des EU AI Acts wirksam. Heute sind es noch 67 Tage. Wer in den letzten Wochen Sales-Termine mit AI-Beratungen, Software-Anbietern oder Datenschutz-Dienstleistern hatte, hat vermutlich gehört, dass dieser Stichtag ein massives Problem für jeden Mittelständler darstellt, dass jetzt schnell Geld in die Hand genommen werden muss, dass ein „AI-Act-Audit für 9.900 €” alternativlos sei.

Das ist mehrheitlich Unsinn. Der EU AI Act ist real und seine Anforderungen sind ernst, aber sie betreffen weit weniger Setups, als der Markt gerade suggeriert. Hier ist eine ehrliche Einordnung: wer am 2. August Pflichten bekommt, wer nicht, und was alle drei Stufen — direkt betroffen, „Mitläufer”, völlig irrelevant — konkret zu tun haben.

Was am 2. August 2026 wirklich greift

Der AI Act ist seit 1. August 2024 in Kraft. Die Anwendung läuft gestaffelt:

  • 2. Februar 2025: Verbote bestimmter KI-Praktiken (Social Scoring durch Behörden, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, ungezielte Gesichts-Datenbank-Sammlung) — schon wirksam.
  • 2. August 2025: Governance-Regeln, Pflichten für GPAI-Anbieter (OpenAI, Anthropic, Google, Mistral usw.), AI-Office mit Aufsichts-Mandat — schon wirksam.
  • 2. August 2026: Hochrisiko-KI-Systeme nach Annex III, plus Transparenz-Pflichten nach Art. 50 (Chatbots erkennbar machen, KI-generierter Inhalt labeln) — der jetzige Countdown.
  • 2. August 2027: Hochrisiko-KI als Sicherheitsbauteil in regulierten Produkten (Annex I — Maschinen, Spielzeug, Medizin, Aufzüge usw.).

Der größere Block, der jetzt im Juli/August öffentlich diskutiert wird, betrifft nur Annex III. Annex I ist nochmal ein Jahr später.

Die 8 Hochrisiko-Bereiche — und wer davon Mittelstand-relevant ist

Annex III definiert acht Bereiche. Wir markieren, wo Mittelstand wirklich hinschauen muss:

  1. Biometrie (Fernidentifizierung im öffentlichen Raum, Emotionserkennung außerhalb von Medizin/Sicherheit, biometrische Kategorisierung). Mittelstand: meist nicht relevant, außer bei Zutrittssystemen mit Gesichtsbildern.
  2. Kritische Infrastruktur (Verkehr, Wasser, Gas, Strom, digitale). Nur Betreiber selbst, nicht deren Zulieferer.
  3. Bildung und berufliche Aus- und Weiterbildung (Zugangsentscheidungen, Bewertungen, Prüfungsüberwachung). Relevant für Bildungsträger, Akademien, betriebliche Weiterbildungs-Anbieter.
  4. Beschäftigung, Personalmanagement (Recruiting-Software, automatisierte Bewerbersichtung, Performance-Evaluation, Aufgabenzuteilung, Beförderungsentscheidungen, Kündigungen). Hier sind die meisten Mittelständler. Wer ein Tool wie HireVue, Workable mit AI-Scoring, ein AI-CV-Filter oder eine AI-gestützte Mitarbeiter-Bewertung einsetzt — ist betroffen.
  5. Zugang zu wichtigen privaten/öffentlichen Dienstleistungen (Kreditwürdigkeitsprüfung, Sozialleistungs-Entscheidungen, Krankenversicherungs-Risikobewertung, Notfalldienst-Priorisierung, Lebens-/Krankenversicherungs-Tarifierung). Banken, Sparkassen, Leasinggesellschaften, Versicherungen — und alle, die deren Vor-Entscheidungs-Tools entwickeln.
  6. Strafverfolgung, 7. Migration/Asyl, 8. Justiz und demokratische Prozesse — Behörden-Domäne, kein Mittelstand-Thema.

Für 90% der mittelständischen Industrie-, Handwerks- oder Dienstleistungsbetriebe gilt: nichts davon trifft den Standard-Setup zu. ChatGPT als Office-Assistent, ein Telefon-AI für die Empfangs-Annahme, ein AI-Übersetzungs-Tool im Vertrieb, ein Marketing-Text-Generator, ein Code-Assistent in der Entwicklung — alles nicht Hochrisiko.

Wer dagegen HR-Software mit AI-Komponenten betreibt, in der Finanz- oder Versicherungsbranche unterwegs ist oder Bildungsangebote macht, sollte den 2. August ernst nehmen.

Was Hochrisiko-Deployer (= Anwender im Unternehmen) wirklich tun müssen

Wenn ihr ein Hochrisiko-System einsetzt — etwa eine HR-AI für Bewerbersichtung — seid ihr nach Art. 26 AI Act Deployer. Das bedeutet konkret:

  • Bestimmungsgemäße Verwendung sicherstellen: das System nur für den Zweck nutzen, für den der Anbieter es vorgesehen hat. Eine Recruiting-AI darf nicht zur Mitarbeiter-Überwachung umgewidmet werden.
  • Menschliche Aufsicht organisieren: konkret benannte Personen, die Entscheidungen prüfen können und müssen, mit ausreichendem Wissen über das System.
  • Input-Daten kontrollieren (soweit ihr Kontrolle habt): keine diskriminierenden Quelldaten, keine offensichtlichen Qualitätsprobleme.
  • Logs archivieren mindestens für die Dauer, die mit dem Verwendungszweck angemessen ist (mindestens 6 Monate Faustregel, branchenspezifisch ggf. länger).
  • Betroffene informieren: Bewerber müssen erfahren, dass eine AI an ihrer Sichtung beteiligt war.
  • Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, wenn nicht schon vorhanden — bei HR-AI praktisch immer erforderlich.
  • Fundamental Rights Impact Assessment (FRIA) für öffentliche Stellen und bestimmte private (Banken, Versicherungen, kritische Dienste).
  • Vorfälle melden: schwerwiegende Fehlfunktionen an Anbieter und zuständige Behörde melden.

Das ist Arbeit, aber überschaubar — und mit einem guten Anbieter, der seine Provider-Pflichten erfüllt hat (technische Dokumentation, CE-Kennzeichnung, EU-Datenbank-Eintrag), liefert ihr nicht die Konformität, sondern nur den Anwender-Teil davon.

Wer dagegen die HR-AI selbst entwickelt — also auch der „we built our own chatbot on top of OpenAI”-Fall, sobald er Recruiting-Funktionen bekommt — ist Provider und hat den vollen Pflichtenkatalog (Art. 9-15: Risikomanagement, Data Governance, technische Dokumentation, Logging, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit, Cybersecurity). Das ist die schwere Stufe und in 67 Tagen ohne Vorlauf nicht erledigbar.

Was alle jetzt schon tun müssen — egal ob Hochrisiko

Zwei Pflichten gelten unabhängig davon, ob ihr Hochrisiko-AI einsetzt:

Art. 4 AI-Literacy — wirksam seit 2. Februar 2025. Jeder Anbieter und jeder Anwender muss sicherstellen, dass die Personen, die mit AI-Systemen arbeiten, „ein ausreichendes Niveau an AI-Kompetenz” haben. Das ist kein Punkt-System und keine Zertifizierung — aber wer eine Mitarbeiterschulung dokumentieren kann (Inhalt, Dauer, Teilnehmer, Datum), ist im Audit-Fall klar besser aufgestellt als jemand, der „die Leute machen das einfach”. Ein halber Tag interner Workshop mit Sign-Off reicht in den meisten Mittelstands-Kontexten.

Art. 50 Transparenz-Pflichten — wirksam ab 2. August 2026:

  • Chatbots müssen als KI erkennbar sein (kein „Hallo, ich bin Sarah vom Service-Team”, wenn da keine Sarah ist).
  • KI-generierte Audio-/Video-/Bildinhalte müssen maschinell lesbar gelabelt werden (technischer Standard wird über delegierte Rechtsakte konkretisiert).
  • Deepfakes und KI-generierter Text mit öffentlichem Interesse müssen für Menschen erkennbar gemacht werden.

Konkret: wer einen Sprach-Assistenten betreibt, sollte ab August einen expliziten Hinweis im Begrüßungs-Script haben („Sie sprechen mit einer KI-Empfangsassistenz von Krynex”). Wer KI-generierte Bilder oder Marketing-Texte auf der Website verbreitet, sollte einen erkennbaren Hinweis platzieren.

Bußgeld-Rahmen

Damit der Ernst klar ist:

  • Verstöße gegen Verbote (Art. 5): bis 35 Mio € oder 7 % des weltweiten Jahresumsatzes, was höher ist.
  • Verstöße gegen Hochrisiko-Pflichten: bis 15 Mio € oder 3 %.
  • Falschangaben an Behörden: bis 7,5 Mio € oder 1 %.
  • KMU- und Startup-Mindestung: jeweils die niedrigere der beiden Beträge zählt. Das nimmt das Existenz-Risiko aus dem Mittelstand, ändert aber nichts an der Pflicht zur Konformität.

Was wir Mittelständlern aktuell raten

Wer nicht in HR-AI, Kreditwürdigkeit, Bildung oder kritischen Diensten unterwegs ist, hat in den nächsten 67 Tagen keinen AI-Act-spezifischen Notfall. Die echte Hausaufgabe bleibt was sie war: AV-Verträge prüfen, TOMs dokumentieren, Verarbeitungsverzeichnis aktuell halten, Datenschutz- erklärung lesen, Mitarbeiter ein einziges Mal grundsätzlich auf AI-Nutzung schulen und das Ganze auf Papier festhalten. Wer das schon gemacht hat, ist 80 % am Ziel — die AI-Act-Transparenz-Pflichten sind ein kleiner Aufsatz darauf.

Wer dagegen Hochrisiko-AI einsetzt oder anbietet, sollte den August nicht ohne dokumentierte Konformitätsbewertung erreichen. Das ist machbar — aber nicht in zwei Wochen, und nicht ohne jemanden, der die jeweilige Pflicht inhaltlich versteht.

Wenn ihr unsicher seid, in welche Kategorie ihr fallt, ist ein kurzes KI-Readiness-Audit der schnellste Weg, das zu klären. Wir bieten ein 60-Minuten-Quick-Check, der euch konkret sagt: nichts zu tun, leichte Hausaufgaben, oder echter Konformitäts-Aufwand. Und wir sagen euch dann auch ehrlich, wenn ihr keinen brauchen würdet.