EU AI Act Stichtag August 2026: Was der deutsche Mittelstand jetzt tun muss

Am 2. August 2026 greifen die Hochrisiko-Pflichten des EU AI Act. Für Unternehmen, die KI nutzen, wird Compliance zur Pflicht. Wer bis dahin keine Governance-Strukturen aufgebaut hat, riskiert Bußgelder bis zu 35 Millionen Euro.

EU AI Act ab August 2026: Warum deutsche Unternehmen jetzt handeln müssen

Katrin Hartmann-Seifert, 31. März 2026

Ein mittelständischer Maschinenbauer aus Baden-Württemberg nutzt seit einem Jahr ein KI-Tool, das Bewerbungen vorsortiert. Die Personalabteilung ist zufrieden, die Einstellungszeiten haben sich halbiert. Was das Unternehmen übersehen hat: Ab dem 2. August 2026 fällt dieses System unter die Hochrisiko-Kategorie des EU AI Act. Ohne Risikomanagementsystem, Dokumentation und Konformitätsbewertung drohen empfindliche Strafen.

Laut der aktuellen Bitkom-Umfrage unter 604 Unternehmen setzt inzwischen jedes dritte deutsche Unternehmen KI ein. Das sind fast doppelt so viele wie noch 2024. Weitere 47 Prozent planen den Einsatz. Die Nutzung wächst schnell. Die Vorbereitung auf die regulatorischen Anforderungen läuft deutlich langsamer.

Was genau am 2. August 2026 passiert

Der EU AI Act trat offiziell am 1. August 2024 in Kraft. Die Umsetzung erfolgt stufenweise. Verbotene KI-Praktiken gelten bereits seit Februar 2025 als untersagt. Seit August 2025 müssen Anbieter allgemeiner KI-Modelle wie ChatGPT oder Claude Transparenzpflichten erfüllen.

Der 2. August 2026 markiert den entscheidenden Schritt: Ab diesem Datum greifen die vollständigen Anforderungen für Hochrisiko-KI-Systeme. Das betrifft Unternehmen, die KI in sensiblen Bereichen einsetzen. Dazu zählen unter anderem:

KI-gestütztes Recruiting und Bewerbermanagement

Automatisierte Leistungsbewertung von Mitarbeitern

Kreditwürdigkeitsprüfungen und Scoring-Systeme

Risikobewertungen bei Versicherungen

KI-Systeme im Bereich kritischer Infrastruktur

Das Bundeskabinett hat im Februar 2026 das KI-MIG (KI-Maßnahmen- und Innovationsgesetz) beschlossen. Dieses nationale Durchführungsgesetz regelt die Marktüberwachung und konkretisiert die Sanktionen für Deutschland. Als nationale Aufsichtsbehörde wird voraussichtlich die Bundesnetzagentur zuständig sein.

EU AI Act Bußgelder: Diese Strafen drohen bei Verstößen

Die Sanktionen orientieren sich am Schweregrad des Verstoßes. Die Zahlen sollten Geschäftsführer kennen:

| Verstoß | Maximales Bußgeld | |---|---| | Einsatz verbotener KI-Praktiken | 35 Mio. € oder 7 % des weltweiten Jahresumsatzes | | Verstöße gegen Hochrisiko-Pflichten | 15 Mio. € oder 3 % des weltweiten Jahresumsatzes | | Falsche Angaben gegenüber Behörden | 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes |

Für KMU und Start-ups gilt jeweils der niedrigere Betrag. Für Großunternehmen der höhere. Bei einem mittelständischen Unternehmen mit 50 Millionen Euro Jahresumsatz können Verstöße gegen die Hochrisiko-Pflichten also schnell 1,5 Millionen Euro kosten.

Die vier Risikokategorien des EU AI Act

Das Gesetz arbeitet mit einem risikobasierten Ansatz. Jedes KI-System wird in eine von vier Kategorien eingestuft:

Inakzeptables Risiko (verboten): Soziale Bewertungssysteme, manipulative KI, biometrische Massenüberwachung. Diese Systeme sind seit Februar 2025 verboten.

Hohes Risiko (streng reguliert): KI in Personalwesen, Kreditvergabe, Versicherung, kritischer Infrastruktur, Bildung und Strafverfolgung. Hier greifen ab August 2026 die umfassenden Compliance-Pflichten.

Begrenztes Risiko (Transparenzpflichten): Chatbots und KI-generierte Inhalte. Nutzer müssen erkennen können, dass sie mit KI interagieren.

Minimales Risiko (keine Auflagen): Die Mehrheit der heute eingesetzten KI-Systeme. Spamfilter, KI in Videospielen und ähnliche Anwendungen fallen in diese Kategorie.

Die entscheidende Pflicht für Unternehmen: die Selbstklassifizierung. Jedes Unternehmen muss seine eigenen KI-Systeme einstufen und diese Bewertung dokumentieren. Auch wenn ein System als nicht hochriskant eingestuft wird, verlangt der EU AI Act eine dokumentierte Begründung.

EU AI Act Checkliste: 7 Schritte für den Mittelstand

Vier Monate bleiben bis zum Stichtag. Eine Konformitätsbewertung dauert erfahrungsgemäß drei bis sechs Monate. Wer jetzt noch nicht begonnen hat, bewegt sich auf dem Limit. Folgende Schritte sollten Sie systematisch abarbeiten:

1. KI-Inventar erstellen Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen eingesetzt werden. Dazu gehören auch eingekaufte SaaS-Lösungen, die KI-Funktionen enthalten. Viele Unternehmen unterschätzen, wie viele KI-Komponenten bereits in ihren Prozessen stecken.

2. Risikoeinstufung durchführen Prüfen Sie jedes System gegen Anhang III des EU AI Act. Fällt ein System in den Hochrisiko-Bereich? Dokumentieren Sie die Bewertung in jedem Fall.

3. AI-Compliance-Verantwortliche benennen Der EU AI Act verlangt klare Governance-Strukturen. Bestimmen Sie eine verantwortliche Person oder ein Team für KI-Compliance in Ihrem Unternehmen. Bei Unternehmen ab 50 Mitarbeitern empfiehlt sich eine dedizierte Rolle.

4. Technische Dokumentation aufbauen Hochrisiko-Systeme erfordern eine vollständige technische Dokumentation. Diese umfasst Funktionsweise, Datenquellen, Trainingsverfahren und Entscheidungslogik.

5. Risikomanagementsystem implementieren Führen Sie ein System zur kontinuierlichen Überwachung und Bewertung Ihrer KI-Anwendungen ein. Automatisierte Monitoring-Tools können diesen Prozess erheblich vereinfachen.

6. Verträge mit KI-Anbietern prüfen Auch externe KI-Komponenten müssen konform sein. Überprüfen Sie die Verträge mit Ihren Anbietern und klären Sie, wer für die Compliance verantwortlich ist.

7. KI-Kompetenz der Mitarbeiter sicherstellen Die AI-Literacy-Pflicht nach Artikel 4 gilt bereits seit Februar 2025 für alle Unternehmen. Mitarbeiter, die KI-Systeme bedienen oder deren Ergebnisse nutzen, müssen über ausreichende Kenntnisse verfügen. Falls Sie das bisher versäumt haben: Holen Sie es jetzt nach.

Was der EU AI Act für den KI-Einsatz im Recruiting bedeutet

Ein besonders sensibler Bereich: das Personalwesen. Der EU AI Act stuft KI-Systeme, die über Einstellungen, Beförderungen oder Kündigungen mitentscheiden, als Hochrisiko ein. Das betrifft viele gängige Tools auf dem Markt.

Konkret bedeutet das für Personalabteilungen: Jedes KI-gestützte Recruiting-Tool braucht ab August 2026 ein dokumentiertes Risikomanagementsystem. Die Datenqualität muss gewährleistet sein, um Diskriminierung zu vermeiden. Und eine menschliche Kontrolle über die Ergebnisse muss jederzeit möglich sein.

Ein Beispiel: Ein Personaldienstleister aus Hamburg setzt ein KI-System ein, das Lebensläufe analysiert und Bewerber vorsortiert. Das System muss ab August nachweisen können, wie es zu seinen Entscheidungen kommt. Es muss dokumentiert sein, mit welchen Daten es trainiert wurde. Und ein Mensch muss die endgültige Entscheidung treffen können.

EU AI Act als Wettbewerbsvorteil nutzen

Der Vergleich mit der DSGVO liegt nahe. Als die Datenschutz-Grundverordnung 2018 in Kraft trat, empfanden viele Unternehmen sie als reine Belastung. Heute gilt sie als globaler Standard und verschafft europäischen Unternehmen einen Vertrauensvorsprung bei internationalen Geschäftspartnern.

Der EU AI Act dürfte eine ähnliche Entwicklung nehmen. Die Verordnung gilt extraterritorial: Jeder Anbieter, dessen KI-Output in der EU genutzt wird, ist betroffen. Die USA haben keinen vergleichbaren Rahmen geschaffen. China verfolgt fragmentiertere Ansätze. Der sogenannte Brüssel-Effekt wird sich wiederholen.

Für den deutschen Mittelstand bedeutet das: Wer frühzeitig Compliance-Strukturen aufbaut, stärkt das Vertrauen von Kunden und Partnern. Besonders im B2B-Geschäft wird die Frage nach KI-Governance bald genauso selbstverständlich sein wie die nach dem Datenschutzbeauftragten.

36 Prozent der deutschen Unternehmen wollen 2026 mehr in Digitalisierung investieren als im Vorjahr. 2024 lag dieser Wert noch bei 21 Prozent. Die Investitionsbereitschaft steigt, gleichzeitig fehlt es vielen an Orientierung. Nur 32 Prozent der Unternehmen nutzen ihr vorhandenes Datenpotenzial. Und nur 5 Prozent schöpfen es nach eigenen Angaben vollständig aus.

Was ein KI-Berater bei der EU AI Act Compliance kostet

Die Kosten für eine professionelle Begleitung variieren je nach Unternehmensgröße und Anzahl der eingesetzten KI-Systeme:

| Leistung | Typische Kosten | |---|---| | KI-System-Inventarisierung | 2.000–5.000 € | | Risikoeinstufung und Gap-Analyse | 5.000–15.000 € | | Aufbau KI-Governance-Struktur | 10.000–30.000 € | | Technische Dokumentation (pro System) | 5.000–20.000 € | | Mitarbeiterschulungen (KI-Kompetenz) | 1.500–5.000 € pro Tag | | Laufende Compliance-Betreuung | 1.000–3.000 € monatlich |

Für ein mittelständisches Unternehmen mit drei bis fünf KI-Systemen rechnen Sie mit einem Gesamtinvestment von 25.000 bis 70.000 Euro. Das klingt nach viel. Verglichen mit einem möglichen Bußgeld von 1,5 Millionen Euro ist es eine überschaubare Absicherung.

Auf ki-berater-finden.de/experten finden Sie geprüfte KI-Berater, die sich auf EU AI Act Compliance spezialisiert haben. Stundensätze liegen zwischen 150 und 350 Euro, je nach Erfahrung und Spezialisierung.

Fördermöglichkeiten für KI-Compliance im Mittelstand

Deutsche Unternehmen können bei der Umsetzung auf verschiedene Förderprogramme zurückgreifen:

Das Programm „go-digital" des Bundesministeriums für Wirtschaft fördert Beratungsleistungen zur Digitalisierung mit bis zu 16.500 Euro. Die „go-inno" Innovationsgutscheine unterstützen bei der Entwicklung von Prozessinnovationen. Landesförderungen wie das „Digitalbonus" in Bayern oder die „Digital.Jetzt" Nachfolgeprogramme in verschiedenen Bundesländern können ebenfalls genutzt werden.

Tipp: Prüfen Sie auch, ob Ihre IHK regionale Beratungsprogramme für KI-Compliance anbietet. Die DIHK hat Anfang 2026 ein Positionspapier veröffentlicht, das die notwendigen Rahmenbedingungen für den KI-Einsatz in Unternehmen beschreibt. Viele Kammern bieten mittlerweile konkrete Unterstützung an.

Den KI-Einsatz sinnvoll aufsetzen: Tools und Plattformen

Wer seine KI-Prozesse parallel zur Compliance-Vorbereitung professionalisieren möchte, sollte auf erprobte Werkzeuge setzen.

Für die Automatisierung wiederkehrender Prozesse eignet sich n8n als Open-Source-Alternative zu proprietären Workflow-Tools. Die Plattform lässt sich auf eigenen Servern betreiben, was für die DSGVO-Konformität ein erheblicher Vorteil ist.

Unternehmen, die KI-generierte Sprachinhalte einsetzen, etwa für Kundenservice oder interne Kommunikation, finden bei ElevenLabs eine leistungsfähige Lösung mit guter deutscher Sprachqualität.

Für die technische Umsetzung eigener KI-Prototypen oder interner Tools bietet Replit eine zugängliche Entwicklungsumgebung, die auch ohne tiefes Programmierwissen nutzbar ist. Gerade für schnelle Proof-of-Concepts im Rahmen der KI-Strategieentwicklung eine praktische Option.

Fazit: Der Countdown läuft

Vier Monate bis zum Stichtag. Unternehmen, die KI einsetzen, sollten drei Dinge sofort angehen:

KI-Inventar erstellen und alle Systeme gegen die Risikokategorien prüfen

Verantwortlichkeiten klären und eine AI-Compliance-Funktion einrichten

Professionelle Unterstützung holen, wenn interne Ressourcen fehlen

Der EU AI Act ist kein bürokratisches Hindernis. Er schafft einen verbindlichen Rahmen, der den KI-Einsatz strukturierter und vertrauenswürdiger macht. Unternehmen, die das früh begreifen, verwandeln eine regulatorische Pflicht in einen echten Wettbewerbsvorteil.

Geprüfte KI-Berater für die EU AI Act Umsetzung finden Sie auf ki-berater-finden.de/experten.

---

Katrin Hartmann-Seifert ist Redakteurin bei ki-berater-finden.de, dem führenden deutschen Verzeichnis für geprüfte KI-Berater und KI-Experten.