Das Thema EU AI Act Mittelstand betrifft Sie 2026 vor allem über eine Pflicht: die KI-Kompetenz Ihrer Mitarbeiter. Diese gilt seit dem 2. Februar 2025 und wurde durch den Digital Omnibus nicht verschoben. Die strengeren Hochrisiko-Pflichten dagegen rücken voraussichtlich auf Dezember 2027. Viele Geschäftsführer glauben deshalb, sie hätten Zeit. Das ist ein teurer Irrtum. Wer ChatGPT oder Microsoft Copilot im Betrieb nutzt, trägt schon heute konkrete Pflichten. Dieser Überblick zeigt, welche Fristen nach dem Digital Omnibus gelten. Er erklärt, was für kleine und mittlere Unternehmen verbindlich bleibt. Und er nennt die Schritte, die 2026 wirklich anstehen. So trennen Sie aktuelle Pflichten von künftigen und vermeiden Bußgelder von bis zu 35 Millionen Euro.
Was ist der EU AI Act – und was ändert der Digital Omnibus?
Der EU AI Act ist die erste umfassende KI-Verordnung der Europäischen Union. Sie reguliert KI-Systeme nach ihrem Risiko – von minimal bis unannehmbar. Je höher das Risiko, desto strenger die Pflichten. Der sogenannte Digital Omnibus ist ein Änderungspaket der EU-Kommission vom November 2025. Er verschiebt mehrere Fristen und entlastet kleinere Unternehmen. Stand Juni 2026 ist der Digital Omnibus politisch beschlossen, aber noch nicht im Amtsblatt veröffentlicht. Das Europäische Parlament stimmte am 16. Juni 2026 zu, der Rat folgt voraussichtlich Ende Juni. Bis zur Veröffentlichung gelten die alten Fristen rechtlich weiter. Für den Mittelstand ist die Botschaft dennoch klar: Die Verschiebung betrifft nur die Hochrisiko-Pflichten. Die Grundpflichten bleiben unverändert in Kraft. Den vollständigen Gesetzestext finden Sie auf dem offiziellen EU-Portal zum AI Act.
EU AI Act Mittelstand: Diese Fristen gelten 2026
Nach dem Digital Omnibus verschieben sich vor allem die Pflichten für Hochrisiko-KI. Die folgende Übersicht zeigt, was wann gilt.
| Pflicht | Frist | Status |
|---|---|---|
| KI-Kompetenzpflicht (Art. 4) | seit 2. Februar 2025 | gilt sofort |
| Verbotene KI-Praktiken (Art. 5) | seit 2. Februar 2025 | gilt sofort |
| GPAI-Pflichten (KI-Modelle) | seit 2. August 2025 | gilt für Anbieter |
| Kennzeichnung von KI-Inhalten (Art. 50) | 2. Dezember 2026 | verschoben |
| Hochrisiko-Systeme (Anhang III) | 2. Dezember 2027 | verschoben (war Aug. 2026) |
| Hochrisiko-KI in Produkten (Anhang I) | 2. August 2028 | verschoben |
Entscheidend ist die Unterscheidung: Verschoben wurden ausschließlich die Hochrisiko-Fristen. Die meisten KMU betreiben jedoch keine Hochrisiko-Systeme. Wer Microsoft Copilot oder ChatGPT im Büro nutzt, fällt in der Regel unter die Kategorie mit begrenztem Risiko. Für diese Unternehmen zählt vor allem die KI-Kompetenzpflicht – und die gilt bereits.
KI-Kompetenzpflicht: Die Pflicht, die sofort gilt
Die KI-Kompetenzpflicht nach Artikel 4 verlangt, dass Ihre Mitarbeiter KI verstehen. Sie gilt seit dem 2. Februar 2025 für jeden Betreiber von KI-Systemen – unabhängig von der Größe. Konkret müssen Sie sicherstellen, dass Beschäftigte Funktionsweise und Grenzen der eingesetzten KI kennen. Dazu zählen Themen wie Datenschutz, Fehleranfälligkeit und der Umgang mit KI-Ergebnissen. Eine bestimmte Form oder Zertifizierung schreibt das Gesetz nicht vor. Sie sollten die durchgeführten Schulungen aber dokumentieren. So weisen Sie im Ernstfall nach, dass Sie Ihrer Pflicht nachgekommen sind. Wichtig: Schon der Einsatz von ChatGPT für eine Kunden-E-Mail löst diese Pflicht aus. Es gibt keine Mindestgröße und keine Bagatellgrenze. [AURUM-INPUT: typischer Schulungsumfang und Format aus AURUM-Projekten]. Wer zugleich Microsoft Copilot DSGVO-konform einführen will, verbindet die Schulung sinnvoll mit dem Datenschutz.
Ihre Checkliste: Was KMU 2026 konkret umsetzen müssen
Diese sechs Schritte bringen Ihr Unternehmen 2026 auf einen rechtssicheren Stand. Sie erfüllen damit die aktuelle KI-Kompetenzpflicht und bereiten die nächsten Fristen vor.
- KI-Systeme inventarisieren — Erfassen Sie alle eingesetzten KI-Tools in einer Liste, auch private Konten.
- Risiko einordnen — Prüfen Sie je System die Risikoklasse und mögliche verbotene Anwendungen.
- Mitarbeiter schulen — Vermitteln Sie Funktionsweise, Grenzen und Datenschutz der eingesetzten KI.
- Schulungen dokumentieren — Halten Sie Inhalte, Teilnehmer und Datum schriftlich fest.
- KI-Richtlinie erstellen — Legen Sie erlaubte und verbotene Nutzungen verbindlich fest.
- Verantwortliche benennen — Bestimmen Sie eine Ansprechperson, etwa den Datenschutzbeauftragten.
Drei dieser Schritte verdienen besondere Aufmerksamkeit. Beginnen Sie mit der Inventarisierung, denn ohne vollständige Liste übersehen Sie leicht private ChatGPT-Konten oder KI-Funktionen in bestehender Software. Erfassen Sie daher auch Tools wie Microsoft Copilot, DeepL oder KI-Module im CRM. Zudem ist die Schulung der Mitarbeiter der rechtlich entscheidende Punkt. Vermitteln Sie nicht nur die Bedienung, sondern auch Grenzen, Datenschutz und den kritischen Umgang mit KI-Ergebnissen. Folglich sinkt das Risiko von Fehlentscheidungen und Datenpannen spürbar. Dokumentieren Sie außerdem jede Schulung mit Datum, Inhalt und Teilnehmerliste. Dadurch weisen Sie im Prüfungsfall nach, dass Sie Ihrer KI-Kompetenzpflicht nachgekommen sind. Ein einfaches Protokoll genügt; eine teure Zertifizierung verlangt das Gesetz nicht. So entsteht aus den sechs Schritten ein belastbarer Nachweis Ihrer Compliance.
Vorteile für den Mittelstand: Warum frühe Umsetzung sich lohnt
Eine frühe Umsetzung des EU AI Act bringt dem Mittelstand mehrere konkrete Vorteile. Erstens vermeiden Sie Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes. Für KMU gilt dabei jeweils der niedrigere Betrag. Zweitens entlastet der Digital Omnibus kleinere Unternehmen gezielt. Eine neue Kategorie der „Small Mid-Caps“ – unter 750 Mitarbeiter und höchstens 150 Millionen Euro Umsatz – erhält vereinfachte Dokumentationspflichten. Drittens schafft eine klare KI-Richtlinie Vertrauen bei Kunden und Mitarbeitern. Wer den Umgang mit KI geregelt hat, nutzt die Technik souveräner und sicherer. Viertens senken geschulte Mitarbeiter das Risiko von Datenpannen und Fehlentscheidungen. Compliance ist damit kein reiner Kostenfaktor, sondern ein Wettbewerbsvorteil.
Typische Fehler beim EU AI Act im Mittelstand
Der häufigste Fehler: Geschäftsführer glauben, die Fristverschiebung betreffe alle Pflichten. Tatsächlich gilt die KI-Kompetenzpflicht unverändert seit Februar 2025. Ein zweiter Fehler ist das Ignorieren von Schatten-KI. Mitarbeiter nutzen oft private ChatGPT-Konten ohne Wissen der Geschäftsführung. Dadurch entstehen Datenschutz- und Compliance-Risiken, die niemand steuert. Drittens verwechseln viele Unternehmen den EU AI Act mit der DSGVO. Beide gelten parallel und stellen unterschiedliche Anforderungen. Außerdem kann beim Einsatz von KI mit personenbezogenen Daten zusätzlich eine Datenschutz-Folgenabschätzung nötig sein. Ein vierter Fehler betrifft die Dokumentation. Folglich lässt sich ohne schriftlichen Nachweis der Schulungen die Erfüllung der Pflicht kaum belegen. Der EU AI Act greift außerdem in andere Vorgaben ein. Wer parallel die NIS2-Umsetzung in Microsoft 365 plant, sollte beide Themen gemeinsam betrachten.
Was AURUM für Sie übernimmt
AURUM begleitet mittelständische Unternehmen bei der rechtssicheren Einführung von KI. Zunächst erfassen wir Ihre eingesetzten KI-Systeme und ordnen sie den Risikoklassen des EU AI Act zu. Anschließend schulen wir Ihre Mitarbeiter passend zu ihren Aufgaben und dokumentieren die Maßnahmen. Außerdem erstellen wir auf Wunsch eine KI-Richtlinie und prüfen den datenschutzkonformen Einsatz von Microsoft Copilot. Als Microsoft Gold Partner aus Nürnberg verbinden wir KI-Compliance zudem mit unserer Erfahrung in Microsoft 365 und Cloud-Sicherheit. Dadurch setzen Sie die Vorgaben nicht nur formal um, sondern technisch sauber. Daher sorgt unsere Cloud-Security-Beratung dafür, dass Berechtigungen und Daten korrekt geschützt sind. [AURUM-INPUT: Beispielprojekt KI-Compliance im Mittelstand mit Ergebnis].
Häufige Fragen zum EU AI Act im Mittelstand
Ja. Der EU AI Act kennt keine generelle Mindestgröße. Die KI-Kompetenzpflicht nach Artikel 4 gilt für jedes Unternehmen, dessen Mitarbeiter KI nutzen. Erleichterungen gibt es nur bei den Dokumentationspflichten für kleine und mittlere Unternehmen.
Nein. Der Digital Omnibus verschiebt nur die Pflichten für Hochrisiko-KI auf Dezember 2027. Die KI-Kompetenzpflicht nach Artikel 4 gilt unverändert seit dem 2. Februar 2025. Unternehmen müssen ihre Mitarbeiter also bereits heute schulen.
Bei verbotenen KI-Praktiken drohen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Bei anderen Verstößen sind es bis zu 15 Millionen Euro oder 3 Prozent. Für KMU gilt jeweils der niedrigere der beiden Beträge.
Weitere häufige Fragen zum EU AI Act
Microsoft Copilot gilt für die meisten Unternehmen als KI-System mit begrenztem Risiko. Daraus folgen vor allem Transparenz- und Kompetenzpflichten. Hochrisiko-Pflichten entstehen nur bei besonderen Einsatzzwecken, etwa in der Personalauswahl.
Die DSGVO regelt den Schutz personenbezogener Daten. Der EU AI Act regelt den sicheren Einsatz von KI-Systemen nach Risiko. Beide gelten parallel. Beim KI-Einsatz mit personenbezogenen Daten kann zusätzlich eine Datenschutz-Folgenabschätzung erforderlich sein.
Die rechtliche Verantwortung trägt grundsätzlich die Geschäftsführung als Betreiber der KI-Systeme. Sie kann Aufgaben delegieren, etwa an den Datenschutzbeauftragten oder die IT-Leitung. Die Pflicht zur Aufsicht bleibt jedoch bei der Leitung. Deshalb sollten Sie eine klare Zuständigkeit schriftlich festlegen und dokumentieren.
Fazit: Eine Pflicht gilt sofort, der Rest hat Zeit
Beim Thema EU AI Act Mittelstand verschafft der Digital Omnibus bei Hochrisiko-KI mehr Zeit bis Dezember 2027. Die KI-Kompetenzpflicht gilt jedoch unverändert seit Februar 2025. Wer KI im Betrieb nutzt, sollte daher zuerst Mitarbeiter schulen und Systeme inventarisieren. So erfüllen Sie die aktuelle Pflicht und sind zudem auf die nächsten Fristen vorbereitet.
