Pflicht seit Februar 2025: Artikel 4 EU AI Act verlangt KI-Kompetenz im Unternehmen.

AI

AI Governance Schulung

EU AI Act Training für Unternehmen

Erstgespräch buchen
← Zur Wissens-Übersicht
KI Verordnung MittelstandKI Verordnung KMUAI Act Mittelstand

KI-Verordnung für den Mittelstand: Was Unternehmen 2025 und 2026 konkret tun müssen

Die KI-Verordnung betrifft auch den Mittelstand. Dieser Praxisleitfaden erklärt Risikoklassen, Betreiber- und Anbieterpflichten, Fristen und 5 Sofort-Maßnahmen nach EU-VO 2024/1689.

Veröffentlicht: 24. Januar 2026Letzte Aktualisierung: 6. März 202612 Min. Lesezeit

Die wichtigste Antwort zuerst: Die KI-Verordnung betrifft den Mittelstand bereits heute, weil seit dem 2. Februar 2025 die KI-Kompetenzpflicht aus Art. 4 der EU-VO 2024/1689 gilt. Für die meisten Unternehmen ist deshalb nicht die Frage, ob sie betroffen sind, sondern wie sie Rollen, Risiken, Schulung und Nachweise pragmatisch organisieren.

Dieser Leitfaden richtet sich an Geschäftsführung, HR, Compliance, Datenschutz, IT und Fachbereiche in Unternehmen mit 50 bis 500 Mitarbeitenden. Wenn Sie zuerst die Schulungspflicht im Detail lesen wollen, starten Sie mit unserem Beitrag zur KI-Schulungspflicht nach Artikel 4, nutzen für die operative Umsetzung die AI-Act-Checkliste und halten die Stichtage parallel in der EU-AI-Act-Timeline im Blick.

Executive Summary

Die KI-Verordnung ist die deutsche Kurzbezeichnung für die Verordnung (EU) 2024/1689 und gilt auch für den Mittelstand. Seit dem 2. Februar 2025 müssen Unternehmen gemäß Art. 4 sicherstellen, dass Personen mit KI-Bezug über ausreichende KI-Kompetenz verfügen; gleichzeitig sind verbotene Praktiken nach Art. 5 bereits unzulässig. Für viele Mittelstaendler bleibt die Hauptrolle zunächst die des Betreibers, nicht die des Anbieters. Kritisch wird es, wenn KI in Recruiting, Kreditprüfung, Leistungsbewertung, biometrischen Kontexten oder anderen Anhang-III-Fällen eingesetzt wird. Der wichtigste nächste Stichtag ist der 2. August 2026, weil dann Hochrisiko-Pflichten und Transparenzpflichten in der Breite anwendbar werden. Wer jetzt KI-Inventar, Rollenzuordnung, Schulung, Dokumentation und Nachweise aufsetzt, reduziert Rechtsrisiken deutlich und schafft eine belastbare Governance-Basis für spätere Spezialfälle.

Was ist die KI-Verordnung?

Die KI-Verordnung ist das erste umfassende EU-Gesetz für künstliche Intelligenz und legt risikobasierte Regeln für Entwicklung, Bereitstellung und Nutzung von KI-Systemen fest. Rechtlich handelt es sich um die Verordnung (EU) 2024/1689, die am 1. August 2024 in Kraft getreten ist und gemäß Art. 113 schrittweise anwendbar wird.

Der Kern des Gesetzes ist keine pauschale "KI-Erlaubnis" oder "KI-Verbotsliste", sondern ein abgestuftes System von Pflichten. Die Verordnung unterscheidet verbotene Praktiken nach Art. 5, Hochrisiko-KI nach Art. 6 in Verbindung mit Anhang III, Transparenzpflichten nach Art. 50 und Systeme mit minimalem Risiko. Je höher das Risiko, desto dichter werden Dokumentation, technische Anforderungen, menschliche Aufsicht und Nachweispflichten.

Für mittelstaendische Unternehmen ist besonders wichtig, dass die Verordnung zwischen zwei Rollen unterscheidet. Anbieter entwickeln oder bringen ein KI-System unter eigenem Namen in Verkehr. Betreiber nutzen ein KI-System unter eigener Verantwortung im beruflichen Kontext. Diese Unterscheidung ist praktisch entscheidend, weil die meisten Mittelstaendler Standard-KI einkaufen und damit zunächst Betreiber sind, während deutlich weniger Unternehmen echte Anbieterpflichten tragen.

Ebenso wichtig ist die Sprachdisziplin. Die KI-Verordnung verlangt an vielen Stellen belastbare Maßnahmen und Dokumentation, schreibt für Art. 4 aber keinen bestimmten externen Abschluss vor. Unternehmen brauchen deshalb keine formale Akkreditierung, sondern nachvollziehbare Prozesse, Schulung und einen sauberen Schulungsnachweis. Genau an diesem Punkt setzt auch unser Beitrag zur KI-Schulungspflicht nach Artikel 4 an, der die Pflicht aus Art. 4 operativ herunterbricht.

Warum betrifft die KI-Verordnung den Mittelstand?

Die KI-Verordnung betrifft den Mittelstand, weil mittelstaendische Unternehmen KI laengst in normalen Arbeitsablaeufen einsetzen. Typische Beispiele sind ChatGPT für Texte, Copilot im Office-Umfeld, KI-Funktionen in CRM- und HR-Systemen, automatisierte Support-Antworten, Marketing-Generatoren, Bewerbertools oder Analysefunktionen in SaaS-Produkten.

Viele Mittelstaendler unterschätzen die Reichweite des Gesetzes, weil sie KI nicht "selbst entwickeln". Das ist für die Betreiberrolle aber oft unerheblich. Wer ein KI-System im Unternehmen einsetzt, ist regelmäßig Betreiber im Sinne von Art. 3 Nr. 4. Schon diese Rolle loest seit dem 2. Februar 2025 die Pflicht aus, KI-Kompetenz nach bestem Bemuehen sicherzustellen. Die Verordnung richtet sich also nicht nur an Softwarehersteller, sondern auch an Unternehmen, die KI beruflich nutzen.

Gerade im Mittelstand entsteht daraus ein spezielles Risiko: KI wird oft schnell, dezentral und ohne formales Governance-Projekt eingefuehrt. Marketing testet einen Bildgenerator, HR aktiviert Matching-Funktionen im Bewerbersystem, Vertrieb nutzt Meeting-Zusammenfassungen, und einzelne Teams pflegen eigene Prompts oder Automationen. Ohne Inventar, Rollenverteilung und Mindestschulung entsteht so eine Luecke zwischen realer KI-Nutzung und formaler Verantwortlichkeit.

Hinzu kommt, dass Mittelstaendler haeufig keine grosse Rechts- oder Compliance-Abteilung haben. Das bedeutet aber nicht, dass sie ausgenommen waeren. Die Fristen nach Art. 113 gelten auch für kleine und mittlere Unternehmen. Zwar sieht Art. 99 für KMU eine besondere Bußgeldlogik vor, doch diese ist kein Freifahrtschein. Vor allem verbotene Praktiken können mit bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes sanktioniert werden; für Anbieter- und Betreiberpflichten bei Hochrisiko- oder Transparenzfällen liegt die zweite Stufe bei bis zu 15 Mio. EUR oder 3%.

Für den Mittelstand bedeutet das praktisch: Nicht jedes KI-Tool wird zum Grossprojekt, aber jedes Unternehmen braucht heute einen realistischen Mindeststandard. Dieser Mindeststandard besteht aus KI-Inventar, Rollenklärung, Basisschulung, Dokumentation, internen Regeln und einer einfachen Update-Logik. Genau dafür ist die AI-Act-Checkliste für Unternehmen ein sinnvoller nächster Schritt.

Die Risikoklassen erklärt

Die Risikoklassen der KI-Verordnung sind für den Mittelstand deshalb so wichtig, weil sich daraus unmittelbar ableitet, welche Pflichten wann greifen. Die gleiche Technologie kann je nach Einsatzkontext minimal, transparent, hochriskant oder sogar verboten sein. Entscheidend ist also nicht nur das Tool, sondern wofür es eingesetzt wird.

| Risikoklasse | Was bedeutet das? | Typische Beispiele im Mittelstand | Praktische Folge | |---|---|---|---| | Unannehmbares Risiko | Bestimmte Praktiken sind nach Art. 5 verboten. | Emotionserkennung am Arbeitsplatz, manipulative oder taeuschende KI, Social Scoring, ungezieltes Scraping für Gesichtsdatenbanken. | Seit dem 2. Februar 2025 verboten. Diese Einsaetze müssen sofort unterbunden werden. | | Hohes Risiko | Systeme nach Art. 6 und Anhang III oder Anhang I unterliegen strengen Anforderungen. | Recruiting-Scoring, Bewerbervorsortierung, Leistungsbewertung von Mitarbeitenden, bestimmte Kreditwuerdigkeitsprüfungen. | Ab dem 2. August 2026 greifen für Anhang-III-Fälle umfangreiche Anbieter- und Betreiberpflichten. | | Begrenztes Risiko | Bestimmte Systeme oder Inhalte brauchen Transparenz. | Chatbots im Kundenservice, KI-generierte Inhalte, Deepfake- oder Voicebot-Anwendungen. | Ab dem 2. August 2026 müssen Offenlegung und Kennzeichnung sauber umgesetzt sein. | | Minimales Risiko | Keine spezifischen Produktpflichten aus den Risikoklassen. | Textentwuerfe, Übersetzungen, Meeting-Zusammenfassungen, Spam-Filter, Assistenzfunktionen in Office-Tools. | Keine besonderen Risikoklassen-Pflichten, aber Art. 4 zur KI-Kompetenz kann trotzdem relevant sein. |

Der wichtigste Mittelstandsfehler ist die Gleichsetzung von "Standard-Tool" mit "niedrigem Risiko". Ein eingekauftes SaaS-Produkt kann dennoch hochriskant werden, wenn es für Recruiting, Personenbewertung oder Kreditentscheidungen eingesetzt wird. Umgekehrt ist ein generatives System im Marketing nicht automatisch Hochrisiko, kann aber Transparenzpflichten ausloesen oder interne Datenschutz- und Governance-Probleme verursachen.

Besonders sensibel ist der Bereich Personalwesen. Anhang III nennt KI für Rekrutierung, Auswahl, Aufgabenzuweisung, Leistungsbewertung, Beförderung oder Kündigung ausdrücklich als Hochrisiko-Bereich. Wer diese Logik tiefer betrachten will, findet in unserer FAQ bereits die wichtigsten Abgrenzungsfragen; die operative Konsequenz ist fast immer dieselbe: Solche Systeme duerfen nicht nur "irgendwie" genutzt werden, sondern brauchen frühe Klassifizierung, Herstellerunterlagen, menschliche Aufsicht und geschulte Verantwortliche.

Ebenso wichtig ist die Abgrenzung zwischen Transparenz und Hochrisiko. Ein Chatbot im Kundenservice ist typischerweise kein Hochrisiko-Fall, kann aber nach Art. 50 offenlegungspflichtig sein. Ein Recruiting-Tool ist dagegen oft Hochrisiko, auch wenn es technisch als "intelligente Assistenz" vermarktet wird. Mittelstaendler sollten deshalb nicht nach Marketingbegriffen, sondern nach Einsatzszenario klassifizieren.

Pflichten für Betreiber im Mittelstand

Für den Mittelstand ist die Betreiberrolle die haeufigste Ausgangslage, weil die meisten Unternehmen KI-Systeme nicht selbst entwickeln, sondern einkaufen und nutzen. Betreiberpflichten beginnen deshalb nicht erst beim eigenen KI-Produkt, sondern schon bei der beruflichen Nutzung von Standardtools unter eigener Verantwortung.

Die heute wichtigste Betreiberpflicht ist Art. 4. Seit dem 2. Februar 2025 müssen Betreiber Maßnahmen treffen, um ein ausreichendes Mass an KI-Kompetenz bei ihrem Personal und anderen für sie handelnden Personen sicherzustellen. Das ist keine starre Einheits-Schulung, sondern ein risikoorientierter Pflichtstandard. Geschäftsführung, HR, Compliance, Fachbereiche und Admins brauchen nicht exakt dieselben Inhalte, wohl aber einen dokumentierten Mindeststand.

Praktisch bedeutet das für Mittelstaendler fuenf Basispflichten. Erstens müssen Sie wissen, welche KI-Systeme ueberhaupt im Unternehmen eingesetzt werden. Zweitens müssen Sie festlegen, welche Rollen mit welchen Risiken arbeiten. Drittens müssen Sie Mitarbeitende so schulen, dass sie Chancen, Grenzen, Risiken und Eskalationswege der eingesetzten Systeme verstehen. Viertens müssen Sie dokumentieren können, wann, wie und für wen diese Maßnahmen erfolgt sind. Fuenftens brauchen Sie eine Aktualisierungslogik für neue Tools und veraenderte Einsatzszenarien.

Für Hochrisiko-KI kommen zusaetzliche Betreiberpflichten hinzu. Ab dem 2. August 2026 müssen Betreiber solcher Systeme die Anbieteranweisungen beachten, die menschliche Aufsicht organisatorisch absichern, geeignete Eingabedaten verwenden, Nutzung und Vorfälle beobachten und in sensiblen Kontexten weitergehende Informationen oder Abstimmungen vorbereiten. Diese Pflichten treffen den Mittelstand nicht flaechendeckend, aber sie werden relevant, sobald KI über Personen mitentscheidet oder in klar geregelte Hochrisiko-Prozesse hineinwirkt.

Gerade deshalb sollten Betreiber im Mittelstand früh zwischen Alltags-KI und kritischen Anwendungsfällen unterscheiden. Ein Assistenztool für Textentwuerfe braucht in der Regel zuerst Schulung, Nutzungsregeln und Dokumentation. Ein Recruiting-System mit Matching oder Ranking braucht zusaetzlich eine Hochrisiko-Perspektive, eine engere fachliche Freigabe und deutlich mehr Aufsicht. Wer diese Unterscheidung sauber trifft, verhindert sowohl Überreaktion als auch gefaehrliche Verharmlosung.

Ein pragmischer Betreiber-Standard beginnt meist mit einem kurzen Governance-Set: KI-Register, Rollenmatrix, Grundregeln für Eingaben und Outputs, Eskalationsweg, Schulungsnachweis und Verantwortliche je Fachbereich. Wenn Sie diesen Standard nicht selbst neu entwerfen wollen, kombinieren Sie unseren Leitfaden zur KI-Schulungspflicht mit der Checkliste für Unternehmen und prüfen anschliessend, wie der Kurs die Schulung in ein auditierbares Format uebersetzt.

Pflichten für Anbieter im Mittelstand

Anbieterpflichten betreffen den Mittelstand seltener als Betreiberpflichten, können dann aber deutlich schwerer wiegen. Anbieter ist nicht nur ein grosser Tech-Konzern, sondern auch ein mittelstaendisches Unternehmen, das ein KI-System selbst entwickelt, wesentlich veraendert oder unter eigener Marke in Verkehr bringt.

Sobald ein Mittelstaendler Anbieter eines Hochrisiko-Systems wird, greifen die strengeren Anforderungen aus Kapitel III. Dazu gehoeren insbesondere Risikomanagement, Daten-Governance, technische Dokumentation, Logging, Transparenz gegenüber Betreibern, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit sowie je nach Fall Konformitaetsbewertung, EU-Konformitaetserklärung, CE-Kennzeichnung und spätere Marktüberwachung. Das ist keine "erweiterte Schulungspflicht", sondern ein echtes Produkt-Compliance-Regime.

In der Praxis geraten Mittelstaendler vor allem in drei Konstellationen in die Anbieterrolle: bei eigenen KI-Produkten für Kunden, bei stark angepassten White-Label-Lösungen unter eigener Marke und bei wesentlichen Modifikationen eines bestehenden Systems. Wer etwa ein Modell fine-tuned, in eine eigene HR- oder Kreditlösung einbettet und als eigene Anwendung vermarktet, sollte die Anbieterfrage nicht kleinreden.

Für viele Unternehmen ist die wichtigste Erkenntnis deshalb negativ formuliert: Sie müssen nicht vorschnell Anbieterpflichten uebernehmen, nur weil sie eine API nutzen oder Standardsoftware konfigurieren. Sie sollten die Schwelle aber bewusst beobachten, weil eine spät erkannte Anbieterrolle teuer werden kann. Mittelstaendische IT-Dienstleister, SaaS-Anbieter und produktnahe Teams sollten diese Abgrenzung besonders sauber dokumentieren.

Fristen und Deadlines für Mittelstaendler

Die Fristen der KI-Verordnung sind für Mittelstaendler ueberschaubar, wenn man sie auf die operativ relevanten Stichtage reduziert. Entscheidend sind nicht 20 Detaildaten, sondern die Frage, was heute schon gilt und was als nächstes vorbereitet werden muss.

Der erste Fixpunkt ist der 1. August 2024. Seit diesem Datum ist die Verordnung formal in Kraft. Für die meisten Unternehmen operativ wichtiger ist jedoch der 2. Februar 2025. Seitdem gelten Art. 4 zur KI-Kompetenz und die Verbote nach Art. 5. Genau deshalb sollte der Mittelstand nicht auf 2026 warten, wenn heute bereits Mitarbeitende mit KI arbeiten.

Der zweite wichtige Termin ist der 2. August 2025. Dieser Stichtag betrifft vor allem GPAI-Modelle und Governance-Fragen auf EU-Ebene. Für normale Anwenderunternehmen ist er weniger sichtbar, aber für Anbieter, Integratoren und produktnahe Unternehmen relevant. Der grosse operative Termin für viele Mittelstaendler bleibt der 2. August 2026. Dann werden die Pflichten für Hochrisiko-KI nach Art. 6 Abs. 2 und Anhang III sowie Transparenzpflichten nach Art. 50 in der Breite anwendbar.

Wenn Sie den Zeitplan sauber entlang Ihrer Prozesse planen wollen, nutzen Sie unsere Timeline zu den EU-AI-Act-Fristen. Dort sind alle Stufen von 2024 bis 2027 mit konkreten Daten gebuendelt, damit Sie Rollout, Priorisierung und interne Kommunikation nicht auf Basis unklarer Stichworte steuern müssen.

Checkliste: 5 Sofort-Maßnahmen

Die beste Sofortmaßnahme für den Mittelstand ist kein Grossprojekt, sondern eine kleine, verbindliche Governance-Linie. Wer diese fuenf Punkte innerhalb der nächsten Wochen umsetzt, reduziert Unsicherheit sofort und bereitet sich sauber auf 2026 vor.

  1. KI-Systeme inventarisieren. Erfassen Sie alle genutzten KI-Tools inklusive Fachbereich, Zweck und verantwortlicher Person.
  2. Risikofälle markieren. Prüfen Sie besonders HR, Kreditprozesse, Leistungsbewertung, biometrische Kontexte und externe Kundeninteraktion.
  3. Rolle klaeren. Dokumentieren Sie pro System, ob Ihr Unternehmen Betreiber bleibt oder in Richtung Anbieter geht.
  4. Basisschulung ausrollen. Schulen Sie betroffene Rollen zu Art. 4, verbotenen Praktiken, Transparenz, Datenrisiken und Eskalationswegen.
  5. Nachweisstruktur aufsetzen. Archivieren Sie Inhalt, Datum, Teilnehmer, Version, Lernkontrolle und Schulungszertifikat oder gleichwertige Dokumentation.

Wenn Sie diese Sofortmaßnahmen mit einem Förderblick kombinieren wollen, lohnt sich anschliessend unser Leitfaden zur Förderung von KI-Schulungen. Nach aktueller Synthese ist INQA-Coaching mit 80% und bis zu 11.520 EUR haeufig der staerkste Hebel, während BAFA nur für Beratungsprojekte passt und keinen isolierten Standard-Online-Kurs automatisch fördert.

FAQ zur KI-Verordnung im Mittelstand

Gilt die KI-Verordnung auch für kleine und mittlere Unternehmen?

Ja. Die KI-Verordnung gilt nicht nur für Konzerne, sondern für alle Anbieter und Betreiber von KI-Systemen im Anwendungsbereich der EU-VO 2024/1689. Kleine und mittlere Unternehmen haben keine späteren Fristen; lediglich Art. 99 Abs. 6 sieht für KMU eine besondere Berechnungslogik bei Geldbussen vor.

Müssen Mittelstaendler seit dem 2. Februar 2025 bereits Mitarbeitende schulen?

Ja, soweit Mitarbeitende oder andere eingesetzte Personen für das Unternehmen mit KI-Systemen arbeiten. Seit dem 2. Februar 2025 verlangt Art. 4, dass Anbieter und Betreiber nach bestem Bemuehen ein ausreichendes Mass an KI-Kompetenz sicherstellen, angepasst an Rolle, Erfahrung und Nutzungskontext.

Ist ChatGPT im Mittelstand automatisch Hochrisiko-KI?

Nein. Die normale Nutzung von ChatGPT, Copilot oder vergleichbaren Assistenzsystemen ist nicht automatisch Hochrisiko-KI. Hochrisiko wird ein System vor allem dann, wenn es in sensiblen Bereichen wie Recruiting, Kreditprüfung oder Leistungsbewertung über Personen mitentscheidet. Art. 4 zur KI-Kompetenz gilt trotzdem schon heute.

Wann wird ein Mittelstaendler vom Betreiber zum Anbieter?

Ein Unternehmen bleibt meist Betreiber, wenn es Standard-KI einkauft und nutzt. Zum Anbieter wird es typischerweise dann, wenn es ein KI-System selbst entwickelt, unter eigener Marke in Verkehr bringt oder ein bestehendes System wesentlich veraendert und dann als eigene Lösung betreibt oder vertreibt.

Gibt es Förderung für KI-Schulungen im Mittelstand?

Ja, aber nicht pauschal für jedes Format. Nach aktueller Förderrecherche ist INQA-Coaching mit 80% und bis zu 11.520 EUR oft der staerkste Hebel. BAFA ist nur für Beratungsprojekte relevant und fördert keinen isolierten Standard-Online-Kurs automatisch; dort liegen je nach Region 50 bis 80% und maximal 2.800 EUR im Rahmen.

Der pragmatische nächste Schritt

Der pragmatische nächste Schritt für den Mittelstand ist nicht mehr Theorie, sondern ein dokumentierter Mindeststandard für reale KI-Nutzung. Wenn Ihr Unternehmen heute bereits mit ChatGPT, Copilot, KI-Funktionen im HR-System oder automatisierten Workflows arbeitet, sollten Schulung, Rollen, Regeln und Nachweise jetzt zusammengezogen werden.

Unser Kurs ist genau für diesen Einsatz gebaut: 90 Minuten, vier Module, Abschlusstest und Schulungszertifikat als strukturierter Nachweis. Wenn Sie die Pflicht intern erklären wollen, verlinken Sie zusaetzlich auf die Schulungspflicht nach Artikel 4, die AI-Act-Checkliste, die Förderungsuebersicht und die Timeline. So wird aus einem diffusen Rechtsrisiko ein umsetzbarer Mittelstands-Plan.

Naechster Schritt

KI-Kompetenz sauber dokumentieren, statt die Pflicht nur zu diskutieren.

Wenn Sie für Ihr Team einen belastbaren Schulungsnachweis aufsetzen wollen, schauen Sie zuerst in den Kurs, die FAQ und unsere Einordnung zur Umsetzung.

Kurs ansehen

Prüfen Sie Aufbau, Lernzeit und Nachweisstruktur des geschützten Kursbereichs.

FAQ aufrufen

Klaeren Sie typische Fragen zu Schulungspflicht, Zertifikat und Rollout im Unternehmen.

Team kennenlernen

Sehen Sie, wer hinter AI Governance Schulung steht und wie wir Inhalte aufbereiten.

Erstgespräch buchenWeitere Artikel lesen

Autor

AI Governance Schulung

Redaktion

Die Redaktion von AI Governance Schulung bereitet EU-AI-Act-Inhalte für Entscheider, HR und Compliance in klarer, belastbarer Form auf.