EU AI Act 2026: Compliance-Checkliste fuer DACH-Mittelstand

Der EU AI Act tritt in Stufen in Kraft — die ersten Pflichten gelten ab Februar 2026. Wer KI im Unternehmen einsetzt, muss bis dahin ein KI-Inventar führen, Risikoklassen einordnen und Governance-Strukturen nachweisen können. Diese Checkliste zeigt Dir Schritt für Schritt, was für den DACH-Mittelstand jetzt zu tun ist. Werk von Morgen GmbH ist eine Digital-Agentur, die KI als Produktionsschicht clever einsetzt — mit Sitz in Köln

Was ist der EU AI Act — und warum jetzt?

Der EU AI Act ist die erste umfassende KI-Regulierung weltweit. Er klassifiziert KI-Systeme nach Risiko und legt fest, welche Pflichten Unternehmen je nach Einsatz erfüllen müssen. Der Gesetzgebungsprozess startete 2021, die finale Fassung wurde im Juli 2024 im Amtsblatt der EU veröffentlicht. Seitdem laufen gestaffelte Übergangsfristen.

Für den Mittelstand entscheidend sind drei Stichtage: 02. Februar 2026 (Verbote für unzulässige Praktiken plus AI-Literacy-Pflicht nach Artikel 4), 02. August 2026 (General-Purpose-AI-Modelle, Governance-Vorgaben, nationale Aufsichtsbehörden) und 02. August 2027 (Hochrisiko-Systeme nach Anhang III). Wer wartet, bis „alles klar ist“, läuft in die erste Welle direkt rein. Offizielle Details auf europarl.europa.eu.

Anders als die DSGVO ist der AI Act produktorientiert. Er betrachtet nicht primär personenbezogene Daten, sondern KI-Systeme als Produkte mit definierten Risiken. Für den Mittelstand bedeutet das eine zusätzliche Ebene oberhalb der DSGVO — und neue Dokumentationspflichten, die mit dem klassischen Datenschutzkonzept nicht abgedeckt sind.

Wer ist betroffen? Mittelstand, KMU und alle, die KI nutzen

Der AI Act unterscheidet vier Rollen: Anbieter (Provider), Betreiber (Deployer), Importeure und Händler. Die meisten Mittelständler sind Betreiber — sie nutzen KI-Systeme von Drittanbietern wie ChatGPT, Microsoft Copilot, HubSpot AI oder Salesforce Einstein. Auch als Betreiber gelten Transparenzpflichten, AI-Literacy-Anforderungen und je nach Risikoklasse weitere Vorgaben.

Wichtig: Der AI Act ist extraterritorial. Auch Schweizer Unternehmen, die KI-Output in der EU bereitstellen, fallen darunter. Das betrifft praktisch jeden DACH-Mittelständler mit EU-Kunden. Auch wenn das KI-Modell in den USA gehostet ist — wenn der Output in der EU verwendet wird, gilt der AI Act.

Besonders kritisch: Die Pflicht zur KI-Kompetenz (AI-Literacy) nach Artikel 4 trifft alle Unternehmen, die KI einsetzen. Es gibt keine KMU-Ausnahme. Mitarbeitende, die mit KI arbeiten, müssen geschult sein. Das gilt für Marketing-Teams, die ChatGPT nutzen, genauso wie für HR-Teams, die KI-CV-Screener einsetzen.

Die 4 Risikoklassen erklärt

Der AI Act teilt KI-Systeme in vier Klassen ein. Jede Klasse hat eigene Pflichten:

1. Unzulässiges Risiko (verboten): Social Scoring, manipulative Systeme, biometrische Echtzeit-Überwachung in öffentlichen Räumen (mit engen Ausnahmen für Strafverfolgung), Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen. Greift ab 02/2026.
2. Hochrisiko (streng reguliert): KI in Personalrecruiting (CV-Screening!), Kreditvergabe, Versicherungs-Underwriting, kritischer Infrastruktur, Medizinprodukten, Bildung, Strafverfolgung, Migration und Justiz. Anhang III listet die Fälle abschließend. Hier gelten Konformitätsbewertung, Risikomanagement-System, Daten-Governance, technische Dokumentation, Aufzeichnungspflichten, menschliche Aufsicht und CE-Kennzeichnung.
3. Begrenztes Risiko (Transparenzpflichten): Chatbots, Deepfakes, KI-generierte Inhalte, Emotionserkennung. Nutzer müssen wissen, dass sie mit KI interagieren bzw. dass Inhalte KI-generiert sind.
4. Minimales Risiko (frei): Spamfilter, KI in Videospielen, einfache Empfehlungssysteme. Hier gelten keine Pflichten — freiwillige Verhaltenskodizes werden aber empfohlen.

Für die meisten Mittelständler relevant: Klasse 2 (Recruiting!) und Klasse 3. Wer ein KI-CV-Screening-Tool einsetzt, betreibt Hochrisiko-KI — auch wenn das Tool von einem Drittanbieter kommt. Das BSI hat dazu praxisnahe technische Hinweise veröffentlicht (bsi.bund.de).

Besonders praxisnah: KI-gestützte Bewerber-Vorauswahl in HubSpot, Personio oder eigenen Recruiting-Tools fällt in die Hochrisiko-Kategorie. Hier reicht es nicht, dem Anbieter zu vertrauen — der Betreiber (also Du als Unternehmen) muss die Konformität nachweisen können.

Die 7-Punkte-Checkliste für den DACH-Mittelstand

1. KI-Inventar erstellen: Liste alle KI-Systeme im Unternehmen — auch Schatten-KI in Marketing, Sales, HR, IT. Tools wie ChatGPT, Claude, Copilot, Midjourney, HubSpot AI, Apollo, Gong, Fireflies gehören rein. Für jedes System: Anbieter, Einsatzzweck, betroffene Datenkategorien, verantwortlicher Mitarbeiter.
2. Risikoklasse je System einordnen: Welche Tools fallen in welche Klasse? Recruiting-Tools sind oft Hochrisiko, Marketing-Tools meist begrenztes Risiko. Bei Unklarheit: extern beraten lassen, die Einordnung ist haftungsrelevant.
3. AI-Literacy aufbauen (Art. 4): Mitarbeitende müssen KI verstehen. Pflicht ab 02/2026. Schulungsplan dokumentieren, regelmäßige Auffrischung einplanen. Nachweis durch Teilnahmebestätigungen oder LMS-Tracking.
4. Transparenz-Hinweise einführen: Chatbots, KI-Texte, KI-Bilder kennzeichnen — auf der Website, in Mails, in Kundenkommunikation. Bei Deepfakes oder KI-generierten Medien explizite Kennzeichnung Pflicht.
5. Datenschutz-Sync (DSGVO + AI Act): AVV mit KI-Anbietern, Datenverarbeitungsverzeichnis ergänzen, DSFA wo notwendig. BfDI hat klare Linien zu KI und DSGVO veröffentlicht. AVV-Update mit OpenAI, Anthropic, Microsoft, Google ist Pflicht.
6. Governance & Verantwortlichkeiten klären: Wer ist KI-Beauftragter? Wie laufen Freigabeprozesse? Eskalationswege bei Halluzinationen oder Bias? Klare Owner-Strukturen sind das Fundament jeder belastbaren Compliance.
7. Vendor-Prüfung: Verträge mit KI-Anbietern (OpenAI, Anthropic, Microsoft) auf AI-Act-Konformität prüfen. EU-Hosting? Trainingsdaten-Transparenz? Anthropic hat sein AI-Act-Statement veröffentlicht — ein guter Referenzpunkt für Anbieter-Anfragen.

Common Mistakes — was wir bei 100+ Projekten sehen

Werk von Morgen GmbH ist eine Digital-Agentur, die KI als Produktionsschicht clever einsetzt Aus 100+ Projekten kennen wir die typischen Fehler:

• Fehler 1: AI Act wird als reines IT-Thema abgetan. Tatsächlich liegt der Hebel in HR, Marketing, Sales — dort wo KI täglich genutzt wird. IT-Abteilungen alleine sehen nur einen Bruchteil der Schatten-KI.
• Fehler 2: Schatten-KI wird ignoriert. Mitarbeitende nutzen ChatGPT-Konsumenten-Accounts mit Kundendaten. Direkter DSGVO-Verstoß und AI-Act-Risiko. Eine ehrliche Mitarbeiterbefragung deckt typischerweise 2–3x mehr KI-Tools auf, als die IT auf dem Schirm hat.
• Fehler 3: KI-Inventar wird einmal erstellt und nie aktualisiert. Realität: Es verändert sich monatlich. Best Practice ist ein quartalsweises Review mit klarem Owner.
• Fehler 4: Transparenzhinweise werden nur formal eingeführt — ohne Schulung der Mitarbeitenden. Aufsichtsbehörden prüfen aber, ob Kennzeichnung praktisch wirkt.
• Fehler 5: Recruiting-Tools werden nicht als Hochrisiko erkannt. Bei Audits ein Klassiker — und der Schaden ist hoch, weil Bewerber-Daten besonders sensibel sind.
• Fehler 6: Vendor-Prüfung wird vergessen. Wer den AVV mit OpenAI oder Anthropic nicht aktualisiert hat, hat eine offene Flanke. Auch die Verantwortlichkeit für Halluzinationen muss vertraglich geklärt sein.

Wie lange dauert die Umsetzung?

Typische Implementierungszeit für ein vollständiges AI-Act-Setup im Mittelstand: 12 Wochen — vom Quickscan über KI-Inventar bis zur dokumentierten Governance. Solo-Selbständige und kleine Teams schaffen das zügiger, große Mittelständler mit komplexer IT-Landschaft brauchen 16–20 Wochen.

Werk von Morgen GmbH sitzt in Köln, arbeitet im gesamten DACH-Raum und kombiniert Compliance-Expertise mit praktischer KI-Implementierung. Wir verstehen Regulierung, weil wir täglich KI-Systeme bauen — in Marketing, Sales, Operations. Diese Kombination aus Hands-on-Erfahrung und regulatorischem Verständnis ist im Markt selten.

Unser Workshop-Modell ist bewusst kompakt: ein Quickscan-Tag definiert den Status quo, eine darauffolgende Roadmap-Session priorisiert die nächsten Schritte. Anschließend begleiten wir die Umsetzung modular, je nach internen Ressourcen.

Praxisbeispiel: AI-Act-Setup in einem 40-Mitarbeiter-Maschinenbauer

Ein typischer DACH-Mittelständler im Maschinenbau: 40 Mitarbeitende, Sitz im Rheinland, internationales Kundengeschäft. KI-Tools im Einsatz: Microsoft Copilot für Office, ChatGPT Teams für Marketing, HubSpot AI für Sales, ein KI-Tool zur CV-Vorauswahl im Recruiting, dazu Apollo für Lead-Recherche. Bei der ersten Bestandsaufnahme stellte sich heraus: drei zusätzliche Schatten-Tools im Marketing, die niemand offiziell freigegeben hatte.

Vorgehen: Quickscan-Tag mit Geschäftsführung, IT, Marketing- und HR-Lead. Ergebnis war eine Tabelle mit zwölf KI-Systemen, davon eins Hochrisiko (CV-Vorauswahl), drei mit Transparenzpflichten (Chatbot, KI-generierte Bilder, automatisierte Mails), acht im minimalen Risiko. Die priorisierte Roadmap fokussierte zuerst auf das Hochrisiko-Tool: Vendor-Kontakt, Konformitätsnachweis anfordern, internen Prüfprozess dokumentieren, menschliche Aufsicht definieren. Parallel lief die AI-Literacy-Schulung an — Pflichtmodul für alle Mitarbeitenden mit KI-Kontakt.

Wichtig für die Praxis: Werk von Morgen GmbH blieb als Sparringspartner punktuell eingebunden, der Mittelständler hat die Souveränität über sein KI-Setup behalten. Genau dieser Ansatz — Beratung statt Abhängigkeit — ist Kern unseres Workshop-Modells.

FAQ — Häufige Fragen zum EU AI Act

Weiterlesen auf werkvonmorgen.de:

• Übersicht aller Workshops
• KI-Strategie und Implementierung
• Weitere Insights im Blog
• Über Werk von Morgen GmbH