‹ Zurück zur Übersicht
15. Mai 2026 · AI Act · KI-Compliance · KI für Mittelstand · DSGVO · KI-Schulung · Pflichtschulung · EU-Verordnung · Risikoklassen

AI Act im Mittelstand 2026 · Pflichten + Checkliste

Seit Februar 2026 gilt der AI Act. Was Mittelstandsunternehmen jetzt tun müssen: Risikoklassen, Schulungspflicht, Bußgelder und eine 7-Schritte-Checkliste.

von OMG KI.
AI Act im Mittelstand 2026 · Pflichten + Checkliste

Der AI Act ist seit Februar 2026 vollständig in Kraft — und betrifft jeden Mittelständler, der KI einsetzt. Egal ob ChatGPT in der Marketing-Abteilung, ein KI-Chatbot auf der Website oder ein Empfehlungssystem im Online-Shop: die Regeln gelten. Hier ist, was du wirklich tun musst — ohne Juristen-Sprech, mit konkreten Schritten und Beispielen aus 80+ Mittelstandsbetreuungen.

Was ist der AI Act und für wen gilt er?

Der AI Act (offiziell: EU-Verordnung 2024/1689) ist die erste umfassende Regulierung von Künstlicher Intelligenz weltweit. Sie gilt direkt in allen EU-Mitgliedstaaten — du brauchst keine deutsche Übersetzung in nationales Recht abzuwarten. Wer betroffen ist:

  • Jedes Unternehmen, das KI-Systeme anbietet (Anbieter)
  • Jedes Unternehmen, das KI-Systeme einsetzt (Betreiber)
  • Auch wenn du nur eine SaaS-KI wie ChatGPT, Microsoft Copilot oder Google Gemini nutzt: du bist Betreiber.

Der häufigste Irrtum: „Wir bauen ja keine eigene KI, also gilt der AI Act nicht für uns.” Falsch. Sobald du KI in einem Prozess einsetzt — und sei es nur, dass deine Marketing-Abteilung Texte mit ChatGPT generiert — bist du Betreiber.

Die vier Risikoklassen im Überblick

Der AI Act unterscheidet vier Stufen, die für mittelständische Anwendungen relevant sind:

1. Unannehmbares Risiko — verboten

Bestimmte KI-Anwendungen sind komplett untersagt:

  • Social Scoring durch staatliche oder private Akteure
  • Manipulation von Verhalten durch unterbewusste Techniken
  • Biometrische Echtzeitüberwachung im öffentlichen Raum (außer für Strafverfolgung mit richterlichem Beschluss)
  • Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen
  • Erstellen von Gesichtsdatenbanken durch ungezieltes Scraping aus dem Internet

Für 99 % aller Mittelstandsanwendungen irrelevant — du machst sowas nicht.

2. Hohes Risiko — strenge Pflichten

Anwendungen in kritischen Bereichen: Personalauswahl, Bonitätsprüfung, medizinische Diagnose, kritische Infrastruktur, Strafverfolgung. Wer hier KI einsetzt, muss:

  • ein Risikomanagement-System unterhalten
  • ein Qualitätsmanagement-System dokumentieren
  • die KI in einer EU-Datenbank registrieren (vor Markteinführung)
  • regelmäßige Konformitätsbewertungen durchführen

Mittelstands-Hinweis: Wenn du ein KI-System für Bewerberauswahl oder automatisierte Kreditentscheidungen einsetzt — auch über einen externen Anbieter — fällst du hier rein. Drei Viertel der Mittelständler unterschätzen das.

3. Begrenztes Risiko — Transparenzpflicht

Chatbots, KI-Bildgeneratoren, Deepfakes, Emotion-Detection: hier reicht eine Transparenzpflicht. Du musst Nutzer informieren, dass sie mit einer KI sprechen oder dass ein Bild KI-generiert ist.

Beispiel: Ein Chatbot auf eurer Website? → muss erkennbar als KI gekennzeichnet sein. Ein KI-generiertes Hero-Bild für den Newsletter? → entweder als “KI-generiert” gelabelt oder so klar künstlerisch, dass keine Täuschung droht.

4. Minimales Risiko — kaum Pflichten

KI-Tools, die nicht in den oberen Kategorien fallen: KI-gestützte Spam-Filter, KI in Videospielen, einfache Inventory-Optimierung. Hier gilt: kein Spezialregime, aber die allgemeine Schulungspflicht (siehe unten) bleibt.

Der wichtige Punkt: Die meisten Anwendungen im Mittelstand fallen unter „minimales” oder „begrenztes” Risiko. Du musst nicht das Komplettprogramm fahren — aber die Basis-Hausaufgaben sind Pflicht.

Die wichtigste Pflicht für den Mittelstand: Schulung

Seit Februar 2026 (Artikel 4 AI Act) gilt:

“Anbieter und Betreiber von KI-Systemen tragen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen […]”

Auf Deutsch: Wer KI einsetzt, muss seine Leute schulen.

Das ist keine optionale Best Practice — das ist eine konkrete Verpflichtung. Sie gilt für:

  • Eigene Mitarbeitende, die KI-Systeme bedienen
  • Externe Dienstleister, die in deinem Auftrag KI nutzen
  • Auszubildende und Werkstudenten

Was muss eine Schulung leisten?

  1. Grundverständnis von KI: Wie funktioniert ein Sprachmodell, was sind seine Grenzen
  2. Sicherer Umgang: Welche Daten dürfen rein, welche nicht (DSGVO-Schnittstelle)
  3. Erkennen von Halluzinationen und falschen Ausgaben
  4. Eigene KI-Richtlinie des Unternehmens kennen und anwenden
  5. Eskalation bei Auffälligkeiten

Für jeden Mitarbeiter, der mit KI arbeitet. Mit Nachweis. In der Praxis: Online-Selbstkurs (4-6 Stunden) plus Zertifikat pro Person reichen für die Erfüllung der Pflicht — sofern die Inhalte den Mindeststandard abdecken. Unsere Schulungsangebote in Osnabrück decken genau diese Pflichtinhalte ab.

Was passiert bei Nichteinhaltung?

Das Sanktionsregime des AI Act ist drastischer als das der DSGVO:

Verstoß-TypBußgeld-Rahmen
Verbotene KI-Praktiken (z.B. Social Scoring)bis 35 Mio. € oder 7 % vom weltweiten Jahresumsatz (der höhere Betrag gilt)
Verstoß gegen Pflichten für Hochrisiko-Systemebis 15 Mio. € oder 3 % vom Jahresumsatz
Falsche, irreführende oder unvollständige Informationen an Behördenbis 7,5 Mio. € oder 1 % vom Jahresumsatz
Verletzung der Schulungspflicht (Artikel 4)praxisrelevant: aufsichtsrechtliche Anordnungen, Bußgelder bis ca. 15 Mio. € möglich

Praxisnähe: Die Aufsichtsbehörden werden 2026 mit Schwerpunkten auf Hochrisiko-Systeme prüfen. Reine Schulungsverstöße sind aktuell unwahrscheinlich von alleine Anlass für Bußgelder — aber sie tauchen mit hoher Wahrscheinlichkeit in DSGVO-Audits oder Kunden-Audits auf, sobald jemand wegen einer KI-Anwendung nachfragt. Wer dann keinen Schulungsnachweis hat, hat schnell ein Problem.

Die AI-Act-Schritt-für-Schritt-Checkliste für den Mittelstand

Nach unserer Erfahrung aus 80+ Mittelstandsbetreuungen — das ist die realistische Abarbeitungsreihenfolge:

Schritt 1: Inventur (Woche 1)

Schreibe alle KI-Systeme auf, die in deinem Unternehmen im Einsatz sind:

  • Offizielle Tools (ChatGPT-Lizenzen, Microsoft Copilot, Google Workspace mit Gemini)
  • Schatten-KI (Mitarbeiter mit privaten ChatGPT-Accounts auf Firmenrechnern)
  • Eingebaute KI (Salesforce Einstein, HubSpot AI, jede SaaS mit “AI-Powered” im Marketing)
  • KI bei Dienstleistern (deine Agentur nutzt Midjourney? → ist deine Verantwortung)

Output: Eine Tabelle mit ca. 10-25 Einträgen.

Schritt 2: Risikoklassen-Zuordnung (Woche 2)

Pro Eintrag: Welche Risikoklasse trifft zu? Drei Fragen helfen:

  1. Wird die KI für Personal-/Bonitäts-/Medizinentscheidungen genutzt? → Hochrisiko
  2. Interagiert die KI mit Endkunden (Chatbot, generierte Texte/Bilder)? → Begrenztes Risiko, Transparenzpflicht
  3. Sonst? → Minimales Risiko

Output: Die Tabelle hat eine zusätzliche Spalte “Risikoklasse”.

Schritt 3: Maßnahmen ableiten (Woche 3)

Pro Risikoklasse:

  • Hochrisiko: Externe Beratung holen. Risikomanagement-System aufsetzen. EU-Registrierung. Konformitätsbewertung. Das ist ein 3-6-Monats-Projekt — fang heute an.
  • Begrenztes Risiko: Transparenz-Hinweis platzieren. Bei Chatbots: “Du chattest mit einer KI” als erste Nachricht oder UI-Hinweis. Bei KI-Bildern: Footer-Vermerk oder Wasserzeichen.
  • Minimales Risiko: Reine Dokumentation reicht.

Schritt 4: Schulung aufsetzen (Woche 4-8)

Pflicht für alle Mitarbeiter, die mit KI arbeiten:

  1. Welche Gruppe braucht welche Tiefe? Manager 1 Std., Anwender 4-6 Std., Power-User 1-2 Tage.
  2. Format wählen: Online-Selbstkurs für die Breite, Inhouse-Workshop für Schlüsselrollen.
  3. Zertifikat ausstellen lassen — kommt in die Personalakte.
  4. Wiederholung jährlich planen (best practice, nicht zwingend gefordert — aber sinnvoll bei Tool-Wechseln).

Schritt 5: Interne KI-Richtlinie (parallel Woche 4-8)

Ein 4-8-seitiges Dokument, das regelt:

  • Welche KI-Tools sind erlaubt
  • Welche Daten dürfen rein, welche nicht (insb. Personenbezug, Geschäftsgeheimnisse)
  • Wie werden KI-Outputs gekennzeichnet (intern, extern)
  • Wer ist Ansprechpartner bei Fragen, Eskalationen, Verdacht auf Verstoß
  • Sanktionen bei Verstoß

Tipp: Eine fertige Vorlage gibt es bei uns als Teil unseres KI-Beratungs-Pakets — die wird in 1-2 Tagen auf eure Realität angepasst, statt 4 Wochen Eigenschreiberei.

Schritt 6: Datenfluss absichern (Woche 6-10)

Wenn ihr Mitarbeitende habt, die regelmäßig sensible Daten in Prompts eingeben, brauchst du:

  • Eine DSGVO-konforme Hosting-Schicht zwischen Anwender und LLM (z.B. unser OIT KI-Gateway, das EU-gehostete Modelle und Audit-Logs bietet)
  • Oder eine lokale Modell-Variante auf eigener Hardware (deutlich aufwändiger)

Faustregel: Wenn ein Mitarbeitender Kundendaten, Verträge oder Personalakten in einen Prompt eingibt, muss klar geregelt sein, wohin diese Daten fließen.

Schritt 7: Dokumentation (laufend)

Halte fest:

  • Wer wurde wann geschult? (Zertifikate)
  • Welche Richtlinien gelten? (Versionierung)
  • Welche KI-Systeme sind aktuell im Einsatz? (vierteljährliches Update der Inventurtabelle aus Schritt 1)
  • Vorfälle und deren Behandlung (Halluzinationen, Verstöße, Eskalationen)

Dieser Schritt ist die Versicherung gegen Probleme im Audit-Fall. Ohne Dokumentation hilft die beste Compliance nichts, wenn die Behörde sie nicht prüfen kann.

Die fünf häufigsten Stolperfallen

Aus der Praxis — was Mittelständler immer wieder unterschätzen:

1. “Wir nutzen nur die offiziellen Tools, also passt das.” Falsch. ChatGPT-Pro-Lizenz allein erfüllt nicht die AI-Act-Pflichten. Du brauchst Inventur, Schulung, Richtlinie, Dokumentation — egal wie viele Lizenzen.

2. “Unsere Agentur macht KI für uns, also ist die zuständig.” Falsch. Du bleibst Betreiber. Die Agentur ist nur dein Lieferant. Du musst nachweisen können, dass ihr eure Hausaufgaben gemacht habt — auch wenn ihr selbst keine KI direkt einsetzt.

3. “Unser Datenschutzbeauftragter macht das mit.” Nur teilweise. Der DSB kennt die DSGVO, nicht den AI Act. Es gibt deutliche Schnittmengen — aber auch Punkte (z.B. Schulungspflicht, Risikoklassen), wo der DSB üblicherweise nicht ausgebildet ist. Externes KI-Expertise dazuholen lohnt sich.

4. “Wir warten ab, bis es konkrete Bußgelder gibt.” Riskant. Erstens: bei Hochrisiko-Anwendungen drohen drakonische Strafen. Zweitens: bei DSGVO oder Kunden-Audits taucht der AI-Act-Status zunehmend auf. Drittens: wer 2027 die Hausaufgaben nachholt, hat genau die gleiche Arbeit — nur unter Zeitdruck.

5. “Schulung machen wir kurz vorher, irgendwann.” Falsch herum. Die Schulungspflicht gilt seit Februar 2026 rückwirkend für bestehende Anwendungen. Wer heute ChatGPT in der Firma duldet ohne geschulte Mitarbeiter, ist heute schon im Verzug.

Wie wir helfen

OMG KI ist die KI-Initiative der OIT GmbH — wir kümmern uns um den Mittelstand-Bereich, der zwischen “zu klein für eine eigene Compliance-Abteilung” und “zu groß für Bauchgefühl-Entscheidungen” liegt.

Drei Pakete, mit denen wir typischerweise einsteigen:

  1. AI-Act-Audit (1 Tag, 1.500 € netto) — wir kommen zu euch, machen die Inventur (Schritt 1+2), übergeben am Ende eine konkrete Roadmap mit Aufwand und Priorisierung.
  2. AI-Richtlinie + Strategie-Paket (2-3 Wochen, 4.000-8.000 €) — wir schreiben mit euch zusammen die KI-Richtlinie, gehen die Risikoklassen-Zuordnungen durch, definieren Verantwortlichkeiten.
  3. Schulung der Mitarbeiter — Online-Selbstkurs (29-49 €/Person mit Zertifikat) plus optional Inhouse-Workshop in Osnabrück oder bei euch (ab 2.500 €/Tag für bis zu 12 TN).

30 Minuten Erstgespräch vereinbaren

Häufige Fragen

Müssen wir wirklich jeden Mitarbeiter schulen? Nein, nur die, die mit KI-Systemen arbeiten. Aber der Begriff “arbeiten mit KI” ist weit auszulegen — wer eine KI-gestützte Suche nutzt oder einen KI-Newsletter-Generator bedient, fällt rein. Faustregel: wenn jemand in seinem Job aktiv Prompts schreibt oder KI-Output verwendet, muss er geschult sein.

Reicht ein 15-Minuten-Webinar als Schulung? Nein. Die KI-Kompetenz nach Artikel 4 AI Act erfordert ein “ausreichendes Maß” — was in der Praxis als mindestens 2-4 Stunden mit Lernzielkontrolle interpretiert wird. Unsere Online-Module liegen bei 4-6 Stunden mit Multiple-Choice-Abschlusstest.

Was, wenn unsere Mitarbeiter ChatGPT privat nutzen, ohne dass wir es offiziell erlaubt haben? Trotzdem deine Verantwortung. Wer Schatten-KI duldet (= weiß, dass sie passiert, ohne sie zu verbieten), ist als Betreiber haftbar. Entweder klar verbieten und durchsetzen — oder besser: kontrolliert ermöglichen, mit Schulung und Richtlinie.

Welche Frist hat der AI Act für die Schulungspflicht? Die Schulungspflicht (Art. 4) gilt seit 2. Februar 2026. Es gibt keine Übergangsfrist — wer heute noch nicht angefangen hat, ist im Verzug. Hochrisiko-Pflichten haben gestaffelte Fristen bis 2027.

Gilt der AI Act auch für US-Tools wie ChatGPT, die nicht in der EU sitzen? Ja. Sobald die Anwendung in der EU genutzt wird, gilt das EU-Recht. OpenAI als Anbieter hat seine eigenen Pflichten als Anbieter — du als Betreiber hast deine.

Wo finde ich den AI-Act-Originaltext? Auf EUR-Lex frei zugänglich. Auf Deutsch ~140 Seiten. Lesen lohnt für mindestens den DSB und einen Vertreter der Geschäftsführung.

→ Bereit, die Hausaufgaben zu machen? Schreib uns kurz, wo du stehst — wir machen dir innerhalb eines Werktags einen konkreten Vorschlag für den nächsten Schritt. Erstgespräch buchen oder mehr zu unserem KI-Beratungs-Angebot lesen.