EU AI Act für den Mittelstand: 2‑Stufen‑Compliance bis 2. August 2026

Warum der EU AI Act ab 2026 Mittelstands-Realität wird

Der EU AI Act ist kein fernes Brüsseler Projekt mehr. Er steht mit festen Fristen in Ihrem Kalender. Ab dem 2. August 2026 gelten die zentralen Pflichten für Hochrisiko-KI-Systeme. Viele dieser Systeme laufen im Mittelstand bereits heute produktiv oder werden in den nächsten Monaten eingeführt.

Nach Zahlen des Branchenverbands Bitkom aus dem Jahr 2025 nutzen 75 Prozent der deutschen Unternehmen bereits KI. Die meisten sind dabei Deployer, also Betreiber und Einführer von KI-Systemen in eigene Geschäftsprozesse. Genau diese Rolle adressiert der EU AI Act besonders deutlich, auch wenn sich viele Mittelständler bisher eher als „Anwender“ und nicht als regulierte Betreiber sehen.

Für Compliance-Verantwortliche ändert sich damit der Blickwinkel. Es reicht nicht mehr, auf Konformitätserklärungen der Anbieter zu vertrauen. Sie müssen prüfen, ob ein System im eigenen Einsatzkontext in eine Hochrisiko-Kategorie fällt, ob eine Annex‑IV-Dokumentation vorliegt und wie die laufende Überwachung organisiert ist.

Ohne strukturiertes Vorgehen entsteht schnell ein Flickenteppich aus Einzellösungen. Dieser lässt sich gegenüber Aufsicht und Prüfern nur schwer vertreten und ist im Alltag kaum steuerbar.

Ohne KI-Inventar keine EU-KI-Act-Compliance

Wer bis 2026 kein vollständiges KI-Inventar aufgebaut hat, kann Hochrisiko-Systeme nicht zuverlässig identifizieren und damit weder Annex‑IV-Pflichten noch Überwachungspflichten erfüllen.

sensified setzt deshalb in EU-KI-Act-Projekten konsequent auf einen 2‑Stufen-Ansatz. In Stufe 1 entsteht ein belastbares KI-Inventar mit Hochrisiko-Klassifikation und Priorisierung. In Stufe 2 werden für die priorisierten Systeme Annex‑IV-Dokumentation, Monitoring und Governance-Strukturen aufgebaut.

Je nach Ausgangslage geschieht das als klar abgegrenztes KI-Projekt oder auf Basis einer gemanagten KI-Plattform. So behalten Sie den Aufwand im Griff und schaffen zugleich eine tragfähige Struktur für künftige KI-Vorhaben.

Was Sie davon mitnehmen: Je nach Ausgangslage geschieht das als klar abgegrenztes KI-Projekt oder auf Basis einer gemanagten KI-Plattform.

Der Deployer ist meistens das Mittelstandsunternehmen, nicht der Anbieter

Der EU AI Act unterscheidet zwischen Anbieter und Deployer. In der Praxis ist das mittelständische Unternehmen fast immer Deployer, selbst wenn die zugrunde liegende Technologie von einem externen Anbieter stammt. Sie integrieren das System in Ihre Prozesse, Sie konfigurieren es, Sie definieren die Datenquellen und Sie treffen Entscheidungen auf Basis der Ergebnisse.

Damit treffen Sie die typischen ai-act-deployer-pflichten. Sie müssen die Hochrisiko-Klassifikation vornehmen, die Zweckbestimmung dokumentieren, die Datenqualität sicherstellen, die menschliche Aufsicht organisieren und die Systeme während des Betriebs überwachen. Anbieterpflichten wie Konformitätsbewertung oder CE-Kennzeichnung entbinden Sie nicht von diesen Betreiberaufgaben.

In vielen Mittelstandsunternehmen ist diese Rollenverteilung noch nicht klar verankert. Fachbereiche beschaffen KI-Funktionen als Erweiterung einer ERP-Standardsoftware oder eines Bestands-Tools, ohne Compliance oder IT-Governance frühzeitig einzubeziehen. Genau hier setzt ein strukturiertes ai-act-ki-inventar an, das sensified in typischen KI-Projekten in vier bis sechs Wochen gemeinsam mit Compliance, IT und Fachbereichen aufbaut.

Die sensified-KI-Plattform adressiert zusätzlich die laufenden ai-act-betreiber-pflichten. Sie stellt Audit-Logs, Monitoring, Zugriffskontrolle und EU-gehostete Infrastruktur bereit. Damit behalten Sie die Kontrolle über Datenflüsse und Modelle, ohne sich in einem Vendor-Lock-in einer einzelnen Hyperscaler-Plattform zu verlieren.

Was Sie davon mitnehmen: Die sensified-KI-Plattform adressiert zusätzlich die laufenden ai-act-betreiber-pflichten.

Welche KI-Systeme als Hochrisiko gelten und welche nicht

Die Hochrisiko-Klassifikation ist der zentrale Ausgangspunkt der Pflichten. Der EU AI Act definiert in Annex III eine Liste von Anwendungsfeldern, in denen KI-Systeme als Hochrisiko gelten. Dazu gehören unter anderem Personalentscheidungen, Kreditwürdigkeitsprüfungen, bestimmte Versicherungsprozesse sowie sicherheitskritische Anwendungen in Industrie und Infrastruktur.

Für den Mittelstand bedeutet das: Ein Chatbot auf der Website ist in der Regel kein Hochrisiko-System. Ein KI-Modul, das Bewerbungen vorsortiert, Kreditlinien vorschlägt oder Versicherungsansprüche automatisiert bewertet, kann hingegen sehr wohl in eine Hochrisiko-Kategorie fallen. Die hochrisiko-ki-klassifikation hängt also nicht primär von der Technologie, sondern vom konkreten Einsatzkontext ab.

In sensified-Projekten wird diese Klassifikation nicht abstrakt, sondern pro System und Prozess vorgenommen. Zunächst werden alle KI-Funktionen erfasst. Anschließend erfolgt die Bewertung entlang der Annex‑III-Kategorien und die Einordnung in eine Risikomatrix. Hochrisiko-Systeme erhalten einen klaren Maßnahmenplan. Nicht-Hochrisiko-Systeme werden mit einem schlankeren Governance-Rahmen versehen, damit Sie Ressourcen gezielt einsetzen.

Für wiederkehrende Bewertungen bietet sich die sensified-KI-Plattform an. Sie ermöglicht es, neue oder geänderte Systeme strukturiert zu erfassen, zu klassifizieren und mit den jeweils passenden Dokumentations- und Monitoringanforderungen zu verknüpfen. So bleibt die Hochrisiko-Klassifikation kein einmaliges Projekt, sondern wird Teil des Regelbetriebs.

Was Sie davon mitnehmen: Für wiederkehrende Bewertungen bietet sich die sensified-KI-Plattform an.

Praxisbeispiel: Fertigung

Bei einem mittelständischen Maschinenbauer mit 380 Mitarbeitenden hatte sich über Jahre ein Bewerbermanagement-Prozess etabliert. Dieser basierte zunächst auf automatisierten Scoring-Regeln und später auf einem KI-Modul für die Vorauswahl. Für HR war das ein Effizienzgewinn, für die Fertigung eine Selbstverständlichkeit. Niemand hatte auf dem Radar, dass dieser Prozess durch den EU AI Act plötzlich als Hochrisiko eingestuft werden kann.

Im Rahmen eines sensified-KI-Projekts wurde zunächst ein vollständiges KI-Inventar erstellt. Dabei zeigte sich, dass das Bewerbermanagement-System sowohl Annex‑III-relevant ist als auch in den Geltungsbereich von DSGVO und TISAX® fällt. In der Design-Phase wurden die Datenflüsse dokumentiert, die Entscheidungslogik analysiert und die menschliche Aufsicht neu definiert.

Anschließend entstand in der Build-Phase eine Annex‑IV-konforme Dokumentation. Diese wurde um technische und organisatorische Maßnahmen auf einer EU-gehosteten sensified-KI-Plattform ergänzt. So ließ sich der Betrieb des Systems klar nachweisen und überwachen.

Das Ergebnis: Das Audit-Risiko des Unternehmens konnte deutlich reduziert werden. Die theoretische Bußgeldexposition von bis zu 7 Prozent des weltweiten Jahresumsatzes sank durch klar dokumentierte Prozesse und Kontrollen auf eine realistische Restexposition von unter 1 Prozent.

Gleichzeitig blieb der Bewerbungsprozess für Kandidaten und Fachbereiche unverändert effizient. Die KI-Funktion wurde nicht abgeschaltet, sondern regulierungskonform weiterbetrieben.

Was Sie davon mitnehmen: Gleichzeitig blieb der Bewerbungsprozess für Kandidaten und Fachbereiche unverändert effizient.

Praxisbeispiel: Banking

Eine Genossenschaftsbank mit 420 Mitarbeitenden nutzte seit Jahren ein System zur Kreditwürdigkeitsprüfung und ein ergänzendes Bonitätsscoring. Beide Systeme waren historisch gewachsen, teils regelbasiert, teils mit KI-Komponenten ergänzt. Mit Blick auf den EU AI Act wurde klar, dass diese Systeme als Hochrisiko gelten und künftig einer umfassenden Pflichtdokumentation unterliegen.

Gemeinsam mit sensified entschied sich die Bank für einen 2‑Stufen-Ansatz. In einem ersten KI-Projekt wurden die relevanten Systeme identifiziert, entlang der Anforderungen des EU AI Act, der BAIT, der MaRisk und der DSGVO bewertet und priorisiert. So entstand ein klares Bild der Pflichten und der Reihenfolge der Umsetzung.

In Stufe 2 wurde für das zentrale Kreditwürdigkeits-System eine Annex‑IV-Dokumentation aufgebaut. Diese umfasste die Beschreibung der Modelle, der Datenquellen, der Validierungslogik und der menschlichen Kontrollmechanismen. Die technische Umsetzung erfolgte auf einer sensified-KI-Plattform mit EU-Hosting, Audit-Logs und klarer Trennung von Test- und Produktivumgebung.

Innerhalb von acht Wochen lag eine vollständige Annex‑IV-Dokumentation für das Kernsystem vor. Aufsichtsanfragen konnten damit ohne Sonderprojekt beantwortet werden, weil alle relevanten Informationen strukturiert vorlagen.

Die Bank gewann nicht nur regulatorische Sicherheit, sondern auch intern an Transparenz, etwa für das Risikocontrolling und die interne Revision. KI-Systeme wurden damit fester Bestandteil der bestehenden Governance.

Was Sie davon mitnehmen: Die Bank gewann nicht nur regulatorische Sicherheit, sondern auch intern an Transparenz, etwa für das Risikocontrolling und die interne Revision.

Praxisbeispiel: Versicherung

Ein mittelständischer Industrieversicherer mit 260 Mitarbeitenden hatte in den vergangenen Jahren mehrere Automatisierungsinitiativen gestartet. Claims- und Antragsprozesse wurden mit KI-Unterstützung beschleunigt, etwa durch automatische Extraktion von Informationen aus Dokumenten und erste Entscheidungsvorschläge für Sachbearbeiter. Dem Vorstand war nicht bewusst, dass diese Systeme in Annex‑III-Bereiche fallen und damit Hochrisiko-Pflichten auslösen.

sensified startete mit einem fokussierten KI-Projekt, das ein vollständiges KI-Inventar über alle relevanten Claims- und Antragsprozesse hinweg erstellte. In enger Abstimmung mit Compliance und Fachbereichen wurden die Systeme entlang der Anforderungen des EU AI Act, der DSGVO und des Versicherungsaufsichtsgesetzes bewertet.

Hochrisiko-Systeme erhielten einen klaren Maßnahmenplan. Dieser umfasste den Aufbau einer Annex‑IV-Dokumentation und die Implementierung von Monitoring-Funktionen auf einer sensified-KI-Plattform. So wurden Pflichten aus verschiedenen Regulierungen zusammengeführt.

Nach 60 Tagen lag ein vollständiges KI-Inventar vor, das jährlich aktualisiert und im Rahmen der regulären Risikobewertung fortgeschrieben wird. Die jährliche Bewertung der KI-Risiken wurde damit aus dem Projektmodus in den Regelbetrieb überführt.

Für den Vorstand entstand ein klarer Überblick, welche Systeme Annex‑III-relevant sind und wie deren Risiken kontrolliert werden. Entscheidungen zu neuen KI-Initiativen können seitdem auf einer belastbaren Datenbasis getroffen werden.

Was Sie davon mitnehmen: Für den Vorstand entstand ein klarer Überblick, welche Systeme Annex‑III-relevant sind und wie deren Risiken kontrolliert werden.

Die vier Kernpflichten ab August 2026 in der Praxis

Ab dem 2. August 2026 treffen den Mittelstand vier Kernpflichten, sobald ein System als Hochrisiko eingestuft ist. Erstens benötigen Sie eine vollständige technische Dokumentation nach Annex IV. Zweitens müssen Sie ein angemessenes Risikomanagement und eine laufende Überwachung etablieren.

Drittens ist eine klare menschliche Aufsicht sicherzustellen. Viertens sind Transparenz- und Informationspflichten gegenüber Betroffenen zu erfüllen. Diese vier Bereiche bilden zusammen den Rahmen für einen rechtssicheren Betrieb von Hochrisiko-KI.

In der Praxis lassen sich diese Pflichten gut mit einem zweistufigen ai-act-umsetzung-mittelstand-Ansatz verbinden. Stufe 1 schafft Klarheit über Systeme und Risiken. Stufe 2 setzt für priorisierte Systeme die Annex‑IV-Dokumentation und die Betriebsprozesse auf.

sensified nutzt hierfür je nach Bedarf die Modelle KI-Projekt, KI-Plattform oder KI-Result. Ein KI-Projekt eignet sich, wenn Sie für ein klar umrissenes System in acht bis zwölf Wochen von der Bestandsaufnahme bis zur fertigen Dokumentation kommen möchten. Die KI-Plattform trägt, wenn mehrere Systeme dauerhaft überwacht und dokumentiert werden sollen.

KI-Result ist sinnvoll, wenn Sie bestimmte Outputs wie geprüfte Dokumente oder freigegebene Vorgänge als Service beziehen wollen, ohne sich um die Plattform selbst zu kümmern. In allen Varianten bleibt die Verantwortung für die Einhaltung des EU AI Act bei Ihrem Unternehmen.

Wichtig ist, dass Sie diese Pflichten nicht isoliert betrachten, sondern mit bestehenden Governance-Rahmen wie Informationssicherheits-Management, Datenschutz und interner Kontrolle verzahnen. So vermeiden Sie Doppelarbeit und schaffen ein einheitliches Steuerungsmodell.

Klassische KI-Beratungen liefern häufig Strategiepapiere und überlassen die Umsetzung den Fachbereichen. sensified übernimmt dagegen die Verantwortung für die technische und organisatorische Umsetzung, inklusive EU-Hosting, TISAX-konformer Infrastruktur und vollständiger Code-Übergabe, falls Sie die Systeme später selbst betreiben möchten.

Was Sie davon mitnehmen: Klassische KI-Beratungen liefern häufig Strategiepapiere und überlassen die Umsetzung den Fachbereichen.

Annex-IV-Dokumentation Schritt für Schritt

Annex IV des EU AI Act definiert 11 Pflicht-Abschnitte technischer Dokumentation. Viele Mittelständler unterschätzen den Umfang, bis sie das erste Mal versuchen, alle Punkte für ein reales System zu füllen. Ohne Struktur droht ein Sammelsurium aus Präsentationen, Tabellen und E-Mails, das im Audit nicht trägt.

Ein bewährter Ansatz ist, die annex-iv-dokumentation entlang klarer Schritte aufzubauen und mit eindeutigen Verantwortlichkeiten zu hinterlegen. So entsteht ein wiederholbarer Prozess statt einer einmaligen Fleißaufgabe.

sensified strukturiert Annex‑IV-Projekte so, dass diese Schritte in einem klaren Zeitrahmen abgearbeitet werden. In der Discovery-Phase werden Systemgrenzen und Datenflüsse verstanden. In der Design-Phase wird die Dokumentationsstruktur festgelegt. In der Build-Phase entstehen die Inhalte, in der Operate-Phase erfolgt die Überführung in eine Plattform.

Die sensified-KI-Plattform dient dabei als zentraler Ort für Dokumentation, Monitoring und Audit-Logs, EU-gehostet und unter Ihrer Kontrolle. So können Sie gegenüber Aufsicht und Prüfern jederzeit auf aktuelle Unterlagen zugreifen.

Für Unternehmen, die primär den Output eines Systems dokumentiert benötigen, etwa validierte Angebote oder freigegebene Rechnungen, kann KI-Result eine Alternative sein. In diesem Modell liefert sensified die regulierungskonformen Resultate, während die Annex‑IV-Dokumentation sich auf den Service und seine Einbindung in Ihre Prozesse konzentriert.

Das reduziert den internen Aufwand, ohne die regulatorische Verantwortung aus der Hand zu geben. Sie behalten die Steuerung, sensified übernimmt die operative Umsetzung.

Annex IV braucht Struktur statt Foliensammlung

Wer Annex‑IV-Dokumentation als geordneten Prozess mit klaren Schritten und Verantwortlichkeiten aufsetzt, reduziert Auditaufwand und schafft eine Basis für wiederverwendbare Bausteine über mehrere Systeme hinweg.

Was Sie davon mitnehmen: Wer Annex‑IV-Dokumentation als geordneten Prozess mit klaren Schritten und Verantwortlichkeiten aufsetzt, reduziert Auditaufwand und schafft eine Basis für wiederverwendbare Bausteine über mehrere Systeme hinweg.

Bußgelder, Aufsicht und persönliche Haftung

Der EU AI Act sieht Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes vor. Diese Größenordnung ist für den Mittelstand existenzbedrohend, auch wenn in der Praxis nicht jeder Verstoß maximal sanktioniert wird. Entscheidend ist, ob Sie gegenüber Aufsicht und Prüfern nachweisen können, dass Sie Ihre Pflichten ernst nehmen und strukturiert umsetzen.

Mit dem AI Office entsteht eine zentrale EU-Behörde, die die Aufsicht über die Umsetzung des EU AI Act koordiniert. Nationale Behörden werden Prüfungen durchführen, Beschwerden nachgehen und im Zweifel auch Sanktionen verhängen. Für Compliance-Verantwortliche bedeutet dass KI-Systeme in die gleiche Governance-Liga wie Datenschutz, Informationssicherheit und Finanzaufsicht aufsteigen.

Persönliche Haftung von Geschäftsführung und verantwortlichen Organen ist kein theoretisches Risiko. Wer trotz klarer Hinweise auf Hochrisiko-Systeme keine Maßnahmen ergreift, riskiert Vorwürfe der Pflichtverletzung. Ein strukturiertes Vorgehen mit KI-Inventar, Hochrisiko-Klassifikation, Annex‑IV-Dokumentation und laufendem Monitoring reduziert dieses Risiko erheblich.

sensified unterstützt dabei nicht nur konzeptionell, sondern übernimmt mit KI-Projekten und der KI-Plattform auch die technische Umsetzung. So können Sie gegenüber Aufsicht und Prüfern auf belastbare Artefakte verweisen und zeigen, dass Sie Ihre Pflichten aktiv steuern.

Was Sie davon mitnehmen: sensified unterstützt dabei nicht nur konzeptionell, sondern übernimmt mit KI-Projekten und der KI-Plattform auch die technische Umsetzung.

Nächste Schritte

Wenn Sie bis zum 2. August 2026 EU-KI-Act-konform sein wollen, benötigen Sie jetzt einen klaren 2‑Stufen-Plan aus KI-Inventar und Annex‑IV-Umsetzung. Starten Sie mit einer Bestandsaufnahme Ihrer KI-Systeme, der Hochrisiko-Klassifikation und der Definition von Prioritäten.

Im nächsten Schritt sollten Sie für die priorisierten Systeme ein KI-Projekt oder eine Plattformlösung planen, um Annex‑IV-Dokumentation, Monitoring und Governance strukturiert aufzubauen. sensified begleitet Sie dabei als Umsetzungspartner mit Festpreis-Modellen, EU-Hosting und vollständiger Code-Übergabe.

Vereinbaren Sie ein Strategiegespräch, um Ihren aktuellen Stand, die relevanten Hochrisiko-Systeme und einen realistischen Fahrplan bis August 2026 zu klären.