AI Act: Ab August wird es ernst. Was KMU jetzt tun müssen.
Am 2. August 2026 greifen die Regeln für Hochrisiko-KI-Systeme in der EU. Wer sie ignoriert, riskiert Strafen von bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes. Das ist keine Drohung aus Brüssel. Das ist geltendes Recht in vier Monaten.
Trotzdem haben die meisten Mittelständler noch nicht angefangen.
Was der AI Act eigentlich regelt
Der AI Act teilt KI-Systeme in Risikokategorien ein. Verbotene Systeme wie Social Scoring sind bereits seit Februar 2025 untersagt. Aber ab August wird es für die breite Masse relevant.
Hochrisiko betrifft alles, was Entscheidungen über Menschen beeinflusst. Personalauswahl. Kreditwürdigkeitsprüfung. Bildung. Kritische Infrastruktur. Wenn dein KI-Tool mitentscheidet, wer eingestellt wird, wer einen Kredit bekommt oder wer welche Note kriegt, bist du drin.
Und jetzt wird es spannend: Auch wer solche Systeme nur nutzt, nicht nur wer sie baut, hat Pflichten. Das betrifft nicht nur Tech-Konzerne. Das betrifft die Steuerkanzlei, die KI für Mandantenbewertung einsetzt. Den Personaldienstleister, der KI-Screening nutzt. Die Unternehmensberatung, die automatisierte Analysen erstellt.
Das Zeitproblem
Eine Konformitätsbewertung dauert drei bis sechs Monate. Wer bis März 2026 nicht angefangen hat, wird die Deadline wahrscheinlich reißen. Wir haben jetzt April. Das Fenster schließt sich.
Der erste Schritt ist simpel aber unangenehm: Eine Inventur aller KI-Systeme im Unternehmen. Nicht nur die offensichtlichen. Auch das Excel-Plugin mit KI-Funktionen. Der Chatbot auf der Website. Das Bewerbertool, das Lebensläufe vorsortiert. Alles.
Dann die Frage: Fällt davon etwas in die Hochrisiko-Kategorie?
Was Hochrisiko bedeutet
Wer ein Hochrisiko-System betreibt, muss ein Risikomanagementsystem vorweisen. Vollständige technische Dokumentation. Menschliche Aufsicht sicherstellen. Daten transparent machen. CE-Kennzeichnung. Registrierung in der EU-Datenbank.
Klingt nach Konzernanforderung? Ist es nicht. Die Bundesnetzagentur wird als zentrale Aufsichtsbehörde in Deutschland fungieren. Und die prüft nicht nur DAX-Unternehmen.
Was das für den Mittelstand wirklich bedeutet
Panik ist falsch. Aber Ignoranz auch.
Die gute Nachricht: Die meisten KMU nutzen gar keine Hochrisiko-Systeme. Ein Chatbot der Kundenfragen beantwortet ist kein Hochrisiko. Eine KI die Buchhaltungsbelege sortiert auch nicht. Erst wenn Entscheidungen über Menschen getroffen werden, wird es relevant.
Die schlechte Nachricht: Viele wissen nicht, was ihre Tools eigentlich tun. Wer ein KI-gestütztes HR-Tool nutzt das Bewerbungen vorfiltert, ohne zu wissen dass es das tut, hat trotzdem die Pflichten.
Deshalb ist die Inventur der wichtigste Schritt. Nicht die Implementierung. Nicht die Zertifizierung. Erstmal wissen, was man hat.
Der TÜV-Effekt
Es wird einen TÜV für KI geben. Zertifizierte Systeme werden einen massiven Wettbewerbsvorteil haben. Wenn du deinem Mandanten, deinem Kunden, deinem Partner sagen kannst: "Unser KI-System ist nach EU AI Act zertifiziert", dann ist das ein Vertrauenssignal das Geld wert ist.
Das ist der Perspektivwechsel den die meisten noch nicht gemacht haben. Der AI Act ist nicht nur Compliance-Last. Er ist ein Qualitätssiegel. Wer früh dran ist, hat einen Vorsprung vor allen, die im August hektisch nachrüsten.
Konkret: Was du diese Woche tun kannst
Erstens: Liste alle KI-Systeme auf die in deinem Unternehmen laufen. Jedes Tool, jedes Plugin, jede Automatisierung.
Zweitens: Prüfe für jedes System ob es in eine Hochrisiko-Kategorie fallen könnte. Die IHK München hat einen kostenlosen Schnelltest dafür.
Drittens: Wenn ja, starte die Konformitätsbewertung. Jetzt. Nicht im Juni.
Viertens: Wenn nein, dokumentiere trotzdem was du nutzt und warum es kein Hochrisiko ist. Diese Dokumentation kann dir im Zweifel viel Ärger ersparen.
In unseren KI-Workshops gehen wir genau diese Schritte durch. Nicht abstrakt, sondern mit den konkreten Tools die unsere Teilnehmer tatsächlich nutzen. Wer das lieber selbst machen will: Die KPMG und die IHK haben gute kostenlose Leitfäden veröffentlicht.
Vier Monate. Das reicht. Aber nur wenn du heute anfängst.