EU AI Act im Mittelstand: Warum Compliance nur die halbe Antwort ist

EU AI Act im Mittelstand: Warum Compliance nur die halbe Antwort ist

🗓 5. Juli 2026⏱ 13 Min. LesezeitBernd Wiest

35 Millionen Euro. Oder sieben Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist. Das ist der Bußgeldrahmen, den der EU AI Act für die schwersten Verstöße vorsieht. Ich habe diese Zahl in den letzten Monaten in etlichen Beratungsgesprächen genannt. Kaum ein Mittelständler kannte sie vorher.

Am 2. August 2026 – in wenigen Wochen – greift der nächste große Baustein des Gesetzes: die Pflichten für Hochrisiko-KI-Systeme. Wer bis dahin glaubte, Zeit zu haben, hat sie gerade verloren.

Und trotzdem ist die Bußgeldzahl nicht das Problem, um das es hier gehen soll. Sie ist nur die Eintrittskarte in ein Gespräch, das viel zu selten geführt wird: Was bedeutet es eigentlich, KI in einem Unternehmen zu steuern – statt sie nur zu dulden, bis irgendwann eine Prüfung kommt?

✉️
Jeden Freitag smarter arbeiten

Konkrete KI-Workflows, Prompts und Werkzeuge — direkt einsetzbar. Über 500 Wissensarbeiter und Führungskräfte lesen bereits mit.

→ Jeden Freitag KI-Impulse erhalten

Der Denkfehler, der fast jedes Unternehmen betrifft

Ich beobachte in meiner Beratungsarbeit ein immer gleiches Muster: Der EU AI Act wird als Compliance-Aufgabe behandelt. Ein Formular hier, eine Checkliste dort, ein Vermerk der Rechtsabteilung, dass man „dran ist“. Die Fachabteilung kauft ein Tool, die IT integriert es, und irgendwann erfährt die Rechtsabteilung davon – wenn es bereits produktiv läuft.

Das ist kein AI-Act-Problem. Das ist ein Führungsproblem, das der AI Act nur sichtbar macht.

Denn die Fragen, die das Gesetz stellt, sind genau die Fragen, die ein Unternehmen sich ohnehin stellen sollte, sobald es KI ernsthaft einsetzt: Wer entscheidet, welche Systeme wir nutzen? Wer verantwortet die Ergebnisse? Wo liegen unsere Daten, und wer hat Zugriff darauf? Was passiert, wenn ein System falschliegt?

Wer diese Fragen erst beantwortet, wenn der Gesetzgeber danach fragt, hat Governance mit Aktenordnern verwechselt.

Vom Nutzer zum Hersteller – die unterschätzte Falle

Der AI Act unterscheidet zwei zentrale Rollen: den Provider, der ein KI-System entwickelt oder unter eigenem Namen vertreibt, und den Deployer, der ein bestehendes System im Unternehmen einsetzt. Klingt eindeutig. Ist es aber nicht – weil diese Rollen nicht fest stehen, sondern wandern.

Sobald ein Unternehmen ein Modell wie GPT oder ein Open-Source-System durch umfangreiches Fine-Tuning verändert – etwa für Vertragsanalysen, HR-Prozesse oder ein internes Wissenssystem – verlässt es die Rolle des Nutzers. Es wird rechtlich zum Anbieter, mit voller Verantwortung für Dokumentation, Risikobewertung und Compliance.

Die Analogie, die ich in Workshops am häufigsten nutze: Solange du ein Auto fährst, bist du Fahrer. Sobald du Motor, Bremsen und Steuerungssoftware veränderst, bist du Hersteller – mit allem, was daran hängt. Genau das passiert gerade unbemerkt in vielen Unternehmen, die glauben, sie hätten „nur ein Tool angepasst“.

Governance heißt: Wer entscheidet – nicht nur: Wer haftet

Ein nützliches Bild aus der Praxis ist die AI-Governance-Pyramide: oben die Steuerungsebene, die Risiken bewertet und strategische Entscheidungen trifft; unten die operative Ebene, die Modelle einsetzt und mit ihnen arbeitet. Das eigentliche Problem liegt in der Lücke dazwischen. Juristen sprechen in Pflichten, Entwickler in Systemlogik – und beide Seiten verstehen sich selten.

Aber hier passiert etwas, das die meisten Compliance-Ratgeber unterschätzen: Wer diese Lücke schließt, betreibt keine Rechtsabsicherung mehr. Er betreibt Unternehmensführung.

Governance im Sinne des AI Act ist kein Dokument, das in einer Schublade liegt, bis der Prüfer kommt. Es ist die laufende Antwort auf eine simple Frage: Steuern wir unsere KI-Nutzung – oder lässt unsere KI-Nutzung uns steuern? Ein Unternehmen, das nur Formulare ausfüllt, hat diese Frage nicht beantwortet. Es hat sie umgangen.

Die Frage, die auf Compliance zwangsläufig folgt

Sobald ein Unternehmen anfängt, seine KI-Systeme wirklich zu steuern – statt sie nur zu dulden – stellt sich eine zweite Frage fast von selbst: Wo laufen eigentlich unsere Daten? Wessen Modell nutzen wir? Und was passiert, wenn der Anbieter morgen die Preise verdoppelt, die Nutzungsbedingungen ändert oder den Dienst für Europa einstellt?

Das ist keine hypothetische Frage. Ich habe an anderer Stelle beschrieben, wie genau dieser Kontrollverlust bereits heute in deutschen Behörden passiert – leise, professionell, und mit dem besten aller Verkaufsargumente: Sicherheit. Wer seine Datenarchitektur einem einzigen externen Anbieter überlässt, ohne die Abhängigkeit bewusst entschieden zu haben, hat keine Governance betrieben. Er hat sie outgesourct.

Genau hier trifft der AI Act auf ein größeres Thema, das für den deutschen Mittelstand in den nächsten Jahren entscheidend wird: digitale Souveränität. Nicht als politisches Schlagwort, sondern als ganz praktische Frage der Unternehmensführung – die ich an anderer Stelle ausführlicher entwickelt habe.

Muss ich jetzt meine eigene KI betreiben?

Nein – und das ist auch nicht der Punkt. Die wenigsten Mittelständler werden je ein eigenes Sprachmodell trainieren, und sie müssen es auch nicht. Der Punkt ist ein anderer: Es gibt inzwischen echte Alternativen zur reflexhaften Bindung an einen einzigen US-Hyperscaler – offene Modelle, die sich lokal oder in einer europäischen Cloud betreiben lassen, spezialisierte Systeme für sensible Daten, die nie das Haus verlassen, und Anbieter, die Datenstandort und Vertragskontrolle transparent machen statt zu verschleiern.

Governance bedeutet, diese Optionen zu kennen und bewusst zu wählen – nicht, in die erste verfügbare Lösung hineinzurutschen, weil sie gerade bequem war. Ein Unternehmen, das seine sensibelsten Datensätze – Verträge, Personalakten, Konstruktionspläne – ungeprüft in ein beliebiges Cloud-Modell speist, hat den AI Act vielleicht formal erfüllt. Souverän gehandelt hat es nicht.

Artikel 4: Der unterschätzte Hebel

Ein besonders folgenreicher Teil des AI Act ist Artikel 4 – die Pflicht zur „AI Literacy“, zur KI-Kompetenz im Unternehmen. Das ist keine optionale Weiterbildung mehr, sondern eine regulatorische Anforderung. Und sie betrifft nicht nur diejenigen, die mit KI arbeiten, sondern auch die Führungsebene, die Entscheidungen über sie trifft.

Dabei geht es nicht darum, dass jeder programmieren kann. Es geht um kontextbezogene Kompetenz: Führungskräfte müssen Risiken einordnen und Entscheidungen treffen können. Mitarbeitende müssen erkennen, wann ein System halluziniert oder verzerrte Ergebnisse liefert. Und wer über Datenstandort und Anbieterwahl entscheidet, muss verstehen, was auf dem Spiel steht – nicht nur juristisch, sondern strategisch.

Die größte Schwachstelle, die ich in Unternehmen sehe, sitzt selten in der Belegschaft. Sie sitzt in der Führungsetage. Wenn das Management nicht versteht, wie die eigenen KI-Systeme funktionieren, kann es weder Risiken steuern noch die Souveränitätsfrage stellen. Es kann nur noch reagieren.

KI-Governance bezeichnet den organisatorischen Rahmen, der festlegt, wie ein Unternehmen Entscheidungen über den Einsatz von KI-Systemen trifft, überwacht und verantwortet – einschließlich Zuständigkeiten, Systemwahl, Datenstandort und Kontrollmechanismen. (Bernd Wiest, 2026)

Was jetzt konkret zu tun ist

Der erste Schritt ist banal – und wird trotzdem fast immer übersprungen: Transparenz. Ein vollständiges Inventar aller KI-Systeme im Unternehmen, einschließlich der Tools, die einzelne Teams „nebenbei“ nutzen. Ohne dieses Inventar lässt sich weder die eigene Rolle – Provider oder Deployer – noch das tatsächliche Risiko bestimmen.

Darauf folgt die Klärung von Zuständigkeiten: Wer entscheidet über neue KI-Systeme? Wer überprüft ihre Ergebnisse? Wer verantwortet den Datenstandort? Erst wenn diese Struktur steht, wird die dritte Frage sinnvoll beantwortbar: Wo wollen wir bewusst von externen Anbietern abhängig sein – und wo nicht?

Diese drei Schritte gehören zusammen. Wer nur die Formulare des AI Act ausfüllt, ohne die Steuerungsfrage zu stellen, hat Zeit und Geld in eine Aktenlage investiert, die beim nächsten Anbieterwechsel, der nächsten Preiserhöhung oder der nächsten Sicherheitslücke nichts wert ist.

Häufige Fragen

Ab wann gilt der EU AI Act für mein Unternehmen?

Der AI Act gilt in Stufen. Verbotene Praktiken und die AI-Literacy-Pflicht aus Artikel 4 sind bereits seit Februar 2025 anwendbar. Die Pflichten für Hochrisiko-KI-Systeme greifen ab dem 2. August 2026. Wer KI-Systeme entwickelt, anpasst oder im Unternehmen einsetzt, ist in aller Regel schon heute betroffen – unabhängig von der Unternehmensgröße.

Reicht eine einmalige Schulung, um Artikel 4 zu erfüllen?

Nein. Artikel 4 verlangt, dass Kompetenz im Umgang mit den tatsächlich eingesetzten Systemen kontinuierlich sichergestellt wird – nicht ein einmaliges Zertifikat. Neue Tools, neue Anwendungsfälle und neue Mitarbeitende erfordern jeweils neue Kompetenzaufbauten.

Muss ich meine KI-Systeme selbst hosten, um souverän zu sein?

Nein. Souveränität bedeutet nicht zwingend Selbstbetrieb, sondern bewusste Entscheidung: zu wissen, wo Daten liegen, welche Alternativen es gibt und was ein Anbieterwechsel kosten würde. Für viele Anwendungsfälle bleibt eine Cloud-Lösung sinnvoll – solange sie gewählt und nicht nur übernommen wurde.

Was passiert, wenn ich den AI Act einfach ignoriere?

Neben den Bußgeldern von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes bei den schwersten Verstößen droht ein subtileres Risiko: Systeme, die heute ohne Governance eingeführt werden, müssen später oft komplett zurückgebaut werden, weil sie regulatorisch nicht mehr betreibbar sind. Das ist teurer als jede frühzeitige Investition in Struktur.

Vom Risiko zur Steuerungsfähigkeit

Der EU AI Act wird in den meisten Unternehmen als Bedrohung ankommen – als weitere Vorschrift, die Zeit kostet und nichts bringt. Das ist die falsche Brille. Unternehmen, die früh eine saubere Governance aufbauen, gewinnen nicht nur Rechtssicherheit. Sie gewinnen die Fähigkeit, selbst zu entscheiden, wovon sie abhängig sein wollen – und wovon nicht.

Genau das wird in den nächsten Jahren zum eigentlichen Unterschied: zwischen Unternehmen, die ihre KI-Nutzung steuern, und Unternehmen, die von ihr gesteuert werden.

Weiterführend zum Thema europäische KI-Strategie: KI in Unternehmen: Wie Europas Firmen jetzt Kurs halten und Der unsichtbare Staat im Staat – Palantir und die stille Machtübernahme der Datenplattformen.

Quelle: EU-Verordnung 2024/1689 (AI Act); Timeline und Einordnung für KMU auch bei artificialintelligenceact.eu.

Konkrete KI-Beratung für Ihr Unternehmen

Sie wollen KI strukturiert in Ihrer Organisation einsetzen? Sprechen wir über Ihren konkreten Bedarf.

→ Jetzt Erstgespräch anfragen