EU AI Act 2026: Was der deutsche Mittelstand jetzt wissen muss

Der EU AI Act ist seit August 2025 in Kraft und entfaltet 2026 seine volle Wirkung. Für Unternehmen mit 250 bis 5.000 Mitarbeitern — den klassischen deutschen Mittelstand — bringt die Verordnung handfeste Pflichten mit sich. Wir erklären, was jetzt zu tun ist, ohne Juristen-Deutsch.

Was regelt der EU AI Act überhaupt?

Der AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende KI-Regulierung weltweit. Sie klassifiziert KI-Systeme nach Risikoklassen und verpflichtet Betreiber und Anbieter zu unterschiedlich strengen Auflagen. Wichtig: Die Verordnung gilt nicht nur für die Anbieter von KI-Modellen (wie OpenAI oder Anthropic), sondern auch für Unternehmen, die KI-Systeme im eigenen Betrieb einsetzen.

Die vier Risikoklassen

• Unzulässiges Risiko — verboten. Dazu gehören Social Scoring, Manipulation von Verhalten und Echtzeit-Fernidentifikation im öffentlichen Raum.
• Hohes Risiko — streng reguliert. Das betrifft KI in der Personalauswahl, Kreditvergabe, kritischen Infrastrukturen, Medizin und Bildung.
• Begrenztes Risiko — Transparenzpflichten. Chatbots müssen sich als KI zu erkennen geben, Deepfakes müssen gekennzeichnet werden.
• Minimales Risiko — freiwillige Selbstverpflichtung. Spamfilter, Empfehlungssysteme ohne kritische Auswirkungen.

Konkrete Pflichten für Mittelständler

Auch wer keine eigenen KI-Modelle entwickelt, sondern nur einsetzt, hat Pflichten. Die wichtigsten:

1. Bestandsaufnahme — Welche KI-Systeme sind im Unternehmen im Einsatz? Das umfasst auch SaaS-Dienste mit eingebauter KI (CRM mit Lead-Scoring, HR-Tools mit Screening-Funktion, Buchhaltungssoftware mit OCR-Klassifikation).
2. Risiko-Klassifizierung — Für jedes System muss dokumentiert werden, in welche Risikoklasse es fällt und welche Pflichten daraus folgen.
3. Dokumentation — Zweck, Datenquellen, Entscheidungslogik, menschliche Aufsicht und Fehlerbehandlung müssen nachvollziehbar dokumentiert sein.
4. Transparenz gegenüber Betroffenen — Mitarbeiter, Kunden oder Bewerber müssen informiert werden, wenn KI-basierte Entscheidungen sie betreffen.
5. Menschliche Kontrolle — Gerade bei Hochrisiko-Systemen muss ein Mensch die finale Entscheidung treffen können und das System jederzeit stoppen oder überstimmen.

EAM als Compliance-Werkzeug

Hier kommt Enterprise Architecture Management ins Spiel. Der AI Act erfordert im Kern, was EAM seit jeher leistet: Transparenz über die IT-Landschaft, Dokumentation der Datenflüsse und Nachvollziehbarkeit von Entscheidungen.

Ein moderner Capability-Map-Ansatz macht sichtbar, welche Geschäftsfähigkeiten KI-gestützt ablaufen. Das App-Portfolio dokumentiert, welche Applikationen welche KI-Modelle einsetzen. Das Interface-Mapping zeigt, wohin personenbezogene Daten fließen. Damit haben Sie in einem Tool die Nachweise, die Sie sonst in mühseligen Excel-Listen zusammentragen müssten.

Wer seine IT-Architektur im Griff hat, hat auch den AI Act im Griff. Wer sie nicht im Griff hat, wird 2026 ein böses Erwachen erleben — spätestens bei der ersten Datenschutz-Anfrage oder der ersten Audit-Anforderung.

Fünf-Schritte-Checkliste für den Mittelstand

1. Inventarisieren. Alle KI-haltigen Systeme im Unternehmen erfassen — inklusive SaaS-Features. Erfahrungsgemäß übersehen Unternehmen die Hälfte.
2. Klassifizieren. Jedes System einer Risikoklasse zuordnen. Hochrisiko-Systeme gesondert kennzeichnen.
3. Dokumentieren. Datenflüsse, Entscheidungslogik und menschliche Aufsicht pro System festhalten.
4. Governance aufsetzen. Verantwortliche benennen, Freigabeprozess für neue KI-Systeme etablieren, Schulungen durchführen.
5. Kontinuierlich pflegen. Die KI-Landschaft verändert sich schnell. Halbjährliches Review einführen.

Wie enarex hilft

enarex bildet die oben genannten Anforderungen von Haus aus ab: KI-Systeme sind im Application Portfolio als eigener Typ klassifizierbar, Risikoklassen und EU-AI-Act-Kategorien sind vorkonfiguriert, das Interface-Mapping zeigt personenbezogene Datenflüsse, und der Risk & Compliance Report liefert auf Knopfdruck die Übersicht, die Sie der Datenschutzaufsicht vorlegen können.

Und: Jede KI-Funktion in enarex selbst — von AI Insights bis Voice-to-BPMN — ist nach den Prinzipien des AI Act gestaltet. Transparente Begründung, menschliche Kontrolle, vollständige Audit-Dokumentation.