Zum Inhalt springen

Recht & Compliance

EU AI Act 2026: Was der Mittelstand jetzt wirklich tun muss

Verbote, GPAI-Pflichten, Hochrisiko: Wir ordnen die Timeline ein und zeigen einen praktischen Fahrplan mit ISO 42001.

Aktualisiert am 24.06.2026 · Beyonetix Engineering · Lesezeit 8 Min.

Die Timeline, kurz erklärt

Der EU AI Act ist die erste umfassende KI-Regulierung weltweit und tritt gestaffelt in Kraft. Seit dem 2. Februar 2025 sind bestimmte Praktiken verboten und es gelten Anforderungen an KI-Kompetenz. Seit 2. August 2025 bestehen Pflichten für Anbieter von KI-Basismodellen (GPAI). Ab 2. August 2026 wird der Act weitgehend anwendbar; einzelne Hochrisiko-Fristen wurden im Zuge des vorgeschlagenen „Digital Omnibus“ teils nach hinten verschoben.

Schritt 1: Risikoklasse bestimmen

Nicht jede KI ist „Hochrisiko“. Der Act unterscheidet verbotene, hochriskante, begrenzt riskante (Transparenz) und minimal riskante Anwendungen. Für den Mittelstand sind viele Anwendungen, etwa interne Assistenten oder Dokumentensuche, gering bis begrenzt riskant. Entscheidend ist die konkrete Verwendung, nicht die Technologie.

Schritt 2: ISO 42001 als Fahrplan

ISO/IEC 42001:2023 ist der erste Standard für KI-Management-Systeme. Er liefert eine Struktur für Verantwortlichkeiten, Risikobewertung, Daten-Governance und Dokumentation, und deckt sich in weiten Teilen mit den Nachweispflichten des AI Act. Wer 42001 umsetzt, hat den Großteil der Hausaufgaben gemacht.

Schritt 3: Compliance in die Architektur ziehen

Dokumentation, Audit-Logs, Datenresidenz und Zugriffskontrolle gehören in die technische Lösung, nicht in einen Ordner, der bei der Prüfung gesucht wird. Genau hier hilft eine souveräne Plattform: Sie erzeugt die Nachweise als Nebenprodukt des Betriebs.

FAQ

Häufige Fragen

Betrifft der EU AI Act auch kleine Unternehmen?

Ja, je nach Anwendung, allerdings sind viele Mittelstands-Use-Cases gering bis begrenzt riskant. Die Pflichten richten sich nach der Risikoklasse.

Was ist der schnellste sinnvolle erste Schritt?

Eine Einstufung Ihrer KI-Use-Cases in die Risikoklassen plus ein Verzeichnis, das schafft Klarheit und ist Grundlage für alle weiteren Maßnahmen.

Souveräne KI für Ihr Unternehmen?

Lassen Sie uns Ihren Anwendungsfall durchgehen.