EU-KI-Verordnung 2026: Was der Mittelstand vor August wissen muss - und wie KI-Agenten compliant bleiben

Die EU-KI-Verordnung wird am 2. August 2026 breit durchsetzbar. Das sind vier Monate ab jetzt. Laut einer Deloitte-Umfrage haben 48,6 Prozent der deutschen Unternehmen sich noch nicht ernsthaft mit der Umsetzung beschaeftigt². Weitere 53,8 Prozent haben weder eine Taskforce gegruendet, noch Abteilungsverantwortung zugewiesen, noch ein Compliance-Projekt gestartet².

Gleichzeitig nutzen oder testen bereits 51,2 Prozent der Mittelstandsunternehmen KI - und die Nutzung von KI-Agenten hat sich im vergangenen Jahr auf 16,6 Prozent nahezu verdoppelt¹⁷. Die Kluft zwischen der Geschwindigkeit der KI-Einfuehrung und der Langsamkeit der Regulierungsvorbereitung waechst.

Dieser Leitfaden uebersetzt die EU-KI-Verordnung in konkrete Handlungsschritte fuer Mittelstands-Entscheider. Was heute gilt, was im August in Kraft tritt, welche KI-Agenten betroffen sind und was Sie genau tun muessen.

Die Vorbereitungsluecke: Deutschlands KI-Regulierungsproblem

Deutsche Unternehmen haben Erfahrung mit Regulierung. Der DSGVO-Bekanntheitsgrad liegt bei 82 von 100 Punkten im Mittelstand²⁰. Bei der KI-Verordnung sinkt das Bewusstsein auf 56 von 100²⁰. Die Zahlen zeigen ein konsistentes Bild mangelnder Vorbereitung.

• Die Haelfte ist nicht engagiert - 48,6 Prozent der deutschen Unternehmen haben sich noch nicht ernsthaft mit der Umsetzung befasst, obwohl die Verordnung seit August 2024 Gesetz ist²
• Keine internen Strukturen - 53,8 Prozent haben keine Taskforces gegruendet, keine Abteilungsverantwortung zugewiesen und kein Compliance-Projekt gestartet²
• Innovationssorgen dominieren - 52,3 Prozent glauben, dass die Verordnung Innovation einschraenkt. Nur 18,5 Prozent sehen eine positive Wirkung²
• Hoher Verwaltungsaufwand erwartet - 93 Prozent der betroffenen Unternehmen rechnen mit erheblichem Aufwand. 49 Prozent erwarten sehr hohen Aufwand³
• Rechtsunsicherheit als groesste Huerde - 82 Prozent der deutschen Unternehmen nennen Rechtsunsicherheit als ihre groesste Herausforderung bei der KI-Einfuehrung²²
• Viele halten sich fuer nicht betroffen - 32 Prozent glauben, nicht von der Verordnung betroffen zu sein. 30 Prozent pruefen noch. 11 Prozent haben sich noch gar nicht damit befasst³

Die EU-KI-Verordnung im Ueberblick

Die EU-KI-Verordnung (Verordnung 2024/1689) ist die weltweit erste umfassende KI-Regulierung. Sie gilt fuer jede Organisation, die KI-Systeme in der EU anbietet, einsetzt oder nutzt - unabhaengig vom Firmensitz.

Zeitplan: Was gilt wann

*Das Digital-Omnibus-Paket, vom EU-Parlament im Maerz 2026 genehmigt, hat diese Fristen vom urspruenglich geplanten August 2026 verschoben¹².

Zwei Rollen, zwei Pflichtenkataloge

Die Verordnung unterscheidet zwischen Anbietern und Betreibern. Die meisten Mittelstandsunternehmen sind Betreiber.

Was bereits heute gilt

Zwei Pflichtenkataloge sind bereits in Kraft. Wenn Ihr Unternehmen KI in irgendeiner Form nutzt, betreffen diese Sie jetzt.

Artikel 4: KI-Kompetenz (seit Februar 2025)

Artikel 4 verpflichtet alle Anbieter und Betreiber, „Massnahmen zu ergreifen, um nach besten Kraeften ein ausreichendes Mass an KI-Kompetenz ihres Personals und anderer Personen sicherzustellen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind.“⁴

• Wer muss handeln - jede Organisation, die KI nutzt, unabhaengig von Groesse oder Branche. Das schliesst die Nutzung von ChatGPT fuer E-Mails, KI-Funktionen im CRM und automatisierte Reporting-Tools ein¹⁰
• Was Mitarbeitende wissen muessen - was KI ist, wie sie funktioniert, welche KI-Systeme intern im Einsatz sind, damit verbundene Risiken (Bias, Halluzinationen, Datenlecks) und wann an Menschen eskaliert werden soll¹¹
• Schulung muss rollenbasiert sein - ein Marketingmitarbeiter, der KI fuer Content nutzt, braucht andere Schulung als ein HR-Leiter, der KI-gestuetztes CV-Screening einsetzt¹⁰
• Dokumentation erforderlich - Teilnahmenachweise, vermittelte Inhalte, Bewertungen und Daten aufbewahren. Das sind Nachweise fuer die Durchsetzungsbehoerden¹⁰
• Geltungsbereich schliesst Auftragnehmer ein - „andere Personen“ umfasst Auftragnehmer, Dienstleister und Kunden, die mit Ihren KI-Systemen interagieren¹¹
• Bussgeld bei Nichteinhaltung - bis zu 7,5 Millionen Euro oder 1,5 Prozent des weltweiten Jahresumsatzes⁹

Artikel 5: Verbotene KI-Praktiken (seit Februar 2025)

Die Verordnung verbietet KI-Praktiken mit unzumutbarem Risiko. Diese Verbote gelten seit Februar 2025 und sind seit August 2025 durchsetzbar⁵.

• Social Scoring - Bewertung oder Klassifizierung von Personen anhand von Sozialverhalten oder persoenlichen Merkmalen mit nachteiliger Behandlung
• Manipulative KI - Einsatz von unterschwelligen, manipulativen oder taeuschenden Techniken zur Verhaltensverzerrung mit schaedlicher Wirkung
• Ausnutzung von Schwaechelagen - Ansprechen von Personen aufgrund von Alter, Behinderung oder sozialer/wirtschaftlicher Situation
• Biometrische Kategorisierung nach sensiblen Merkmalen - Ableitung von Rasse, politischen Ansichten, Religion, sexueller Orientierung aus biometrischen Daten
• Ungezielte Gesichtsbilder-Erfassung - Aufbau von Gesichtserkennungsdatenbanken aus Internet- oder Ueberwachungsbildern ohne Einwilligung
• Emotionserkennung am Arbeitsplatz und in Schulen - KI-gestuetzte Emotionsableitung in Beschaeftigungs- oder Bildungskontexten (mit begrenzten Ausnahmen)
• Predictive Policing auf Einzelpersonen - Risikobewertung, ob eine bestimmte Person eine Straftat begehen wird, allein auf Basis von Profiling

Die Risikopyramide: Wo Ihre KI-Agenten einzuordnen sind

Die EU-KI-Verordnung verfolgt einen risikobasierten Ansatz. Nicht alle KI-Systeme unterliegen den gleichen Pflichten. Die Einordnung Ihrer Systeme bestimmt, was Sie tun muessen.

Wo die meisten geschaeftlichen KI-Agenten landen

Die gute Nachricht fuer Mittelstandsunternehmen: Die Mehrheit der KI-Agenten fuer Prozessautomatisierung faellt in die Kategorien minimales oder begrenztes Risiko.

• Dokumentenverarbeitungs-Agenten - Datenextraktion aus Rechnungen, Vertraegen oder Lieferscheinen ist minimales Risiko. Keine spezifischen KI-Verordnungs-Pflichten ueber die Kompetenzschulung hinaus⁶
• Workflow-Koordinations-Agenten - Aufgabenverteilung, Terminplanung, Systemaktualisierungen ueber ERP und CRM hinweg. Minimales Risiko
• Lieferketten-Agenten - Bedarfsprognose, Bestandsoptimierung, Lieferantenueberwachung. Minimales Risiko, sofern nicht sicherheitskritisch⁶
• Kundenservice-Agenten - Begrenztes Risiko bei direktem Kundenkontakt (Transparenz-Offenlegung erforderlich). Der Kunde muss wissen, dass er mit KI kommuniziert⁸
• Qualitaetskontroll-Agenten - Minimales Risiko fuer interne Inspektion. Kann hochriskant sein, wenn als Sicherheitskomponente in regulierten Produkten eingesetzt⁶
• Predictive-Maintenance-Agenten - Minimales Risiko fuer Wartungsplanung. Kann hochriskant sein bei Verwaltung kritischer Infrastruktursicherheit⁶

Hochrisiko-KI-Systeme: Wann sie gelten und was sie erfordern

Falls eines Ihrer KI-Systeme als Hochrisiko eingestuft wird, sind die Pflichten erheblich. Hier ist genau aufgefuehrt, was Anhang III abdeckt und was gefordert wird.

Die acht Kategorien von Hochrisiko-KI (Anhang III)

1. Biometrie - biometrische Fernidentifizierung, biometrische Kategorisierung, Emotionserkennungssysteme
2. Kritische Infrastruktur - KI in der Verwaltung digitaler Infrastruktur, im Strassenverkehr, in der Wasser-, Gas-, Heiz- oder Stromversorgung
3. Bildung und Berufsausbildung - KI, die ueber Zulassungen entscheidet, Pruefungen bewertet oder Ausbildungsergebnisse bestimmt
4. Beschaeftigung - KI fuer Recruiting, CV-Screening, Bewerbungsgespraechsbewertung, Leistungsbeurteilung oder Kuendigungsentscheidungen
5. Wesentliche Dienstleistungen - KI fuer Sozialleistungen, Kreditbewertung, Versicherungspreisgestaltung, Gesundheitstriage oder Notfalldienst-Disposition
6. Strafverfolgung - Kriminalitaetsvorhersage, Beweiswuerdigung, Risikobewertung von Personen
7. Migration und Grenzkontrolle - KI zur Bewertung von Migrations-, Sicherheits- oder Gesundheitsrisiken an Grenzen
8. Rechtspflege - KI, die gerichtliche Entscheidungen oder Streitbeilegungsergebnisse beeinflusst

Was Hochrisiko-Compliance erfordert

Der Digital Omnibus: Was sich geaendert hat und was das bedeutet

Im Maerz 2026 genehmigte das EU-Parlament das Digital-Omnibus-Paket, das mehrere Fristen fuer Hochrisiko-KI-Systeme verschiebt¹². Hier ist, was sich geaendert hat und warum.

Warum die Verzoegerung

• Standards nicht fertig - Das Joint Technical Committee 21 von CEN-CENELEC, verantwortlich fuer die Erarbeitung der Compliance-Standards, gab an, dass vollstaendige Standards moeglicherweise nicht vor Dezember 2026 verfuegbar sein werden¹⁴
• Nationale Behoerden nicht eingerichtet - viele EU-Mitgliedstaaten hatten Konformitaetsbewertungsstellen oder nationale zustaendige Behoerden nicht planmaessig benannt¹³
• Industriedruck - Unternehmen argumentierten, dass Compliance ohne finalisierte Standards Rechtsunsicherheit schafft und fruehe Anwender benachteiligt¹³

Was sich geaendert hat vs. was gleich geblieben ist

7 konkrete Schritte zur Compliance bis August 2026

Hier ist eine praktische Checkliste. Jeder Schritt bezieht sich auf spezifische KI-Verordnungs-Anforderungen und kann innerhalb der verbleibenden vier Monate bis zur August-Frist umgesetzt werden.

Schritt 1: KI-Bestandsaufnahme abschliessen

Dokumentieren Sie jedes KI-System in Ihrer Organisation. Das ist die Grundlage fuer alles Weitere.

• Alle KI-Tools erfassen - einschliesslich eingebetteter KI in eingekaufter Software (CRM-Funktionen, E-Mail-Spamfilter, Excel-Prognosen), nicht nur eigenstaendige KI-Systeme
• Schatten-KI pruefen - Teams nutzen oft ChatGPT, Copilot oder andere Tools ohne IT-Freigabe. Diese in die Bestandsaufnahme aufnehmen¹
• Zweck und Umfang dokumentieren - fuer jedes System festhalten: was es tut, welche Daten es verarbeitet, wer es nutzt und welche Entscheidungen es beeinflusst
• Ihre Rolle identifizieren - fuer jedes System bestimmen, ob Sie Anbieter oder Betreiber sind

Schritt 2: Nach Risikoniveau klassifizieren

• Gegen Anhang III pruefen - den Anwendungsfall jedes Systems mit den acht Hochrisiko-Kategorien abgleichen⁶
• Gegen Anhang I pruefen - wenn KI eine Sicherheitskomponente eines regulierten Produkts ist (Maschinen, Medizinprodukte, Fahrzeuge), ist sie hochriskant
• Klassifizierung dokumentieren - festhalten, warum jedes System in seine zugewiesene Risikostufe faellt. Das ist Nachweis fuer die Durchsetzungsbehoerden
• Anbieterdokumentation pruefen - fordern Sie von Ihren KI-Anbietern deren eigene Risikoklassifizierungen und Compliance-Dokumentation an

Schritt 3: KI-Kompetenzschulung umsetzen

• Basisschulung fuer alle Mitarbeitenden - 4 bis 6 Stunden zu KI-Grundlagen, Risiken, internen Richtlinien und Eskalationsregeln¹⁰
• Rollenspezifische Vertiefung - technisches Personal erhaelt Risikobewertungsschulung. Fuehrungskraefte erhalten Briefings zur rechtlichen Verantwortung. HR erhaelt Recruiting-KI-Compliance¹⁰
• Alles dokumentieren - Teilnahmenachweise, Schulungsinhalte, Bewertungsergebnisse, Daten. Erforderlich als Compliance-Nachweis
• Aktualisierungen planen - Schulungsinhalte halbjaehrlich ueberpruefen. Jaehrliche Auffrischungen durchfuehren. Bei neuen KI-Tools aktualisieren¹⁰

Schritt 4: Interne Verantwortung zuweisen

• KI-Compliance-Verantwortlichen benennen - das kann der bestehende Datenschutzbeauftragte, das Compliance-Team oder eine neue Rolle sein
• Abteilungsuebergreifende Verantwortung definieren - IT verantwortet technische Dokumentation. HR verantwortet Recruiting-KI-Compliance. Recht verantwortet regulatorisches Monitoring¹
• Berichtslinien schaffen - der KI-Compliance-Verantwortliche muss Zugang zur Geschaeftsfuehrung haben

Schritt 5: Governance-Dokumentation aufbauen

• KI-Nutzungsrichtlinie - interne Regeln, wie KI in Ihrer Organisation eingesetzt werden darf und wie nicht
• Risikomanagement-Verfahren - wie Sie KI-Risiken identifizieren, bewerten und mindern
• Vorfallreaktionsplan - was passiert, wenn ein KI-System schaedliche Ausgaben produziert oder ausfaellt
• Anbieter-Bewertungscheckliste - was Sie KI-Anbieter vor der Beschaffung fragen sollten

Schritt 6: Anbieter-Compliance ueberpruefen

• Anbieterdokumentation anfordern - Risikoklassifizierungen, technische Dokumentation und Beschreibungen des Verwendungszwecks verlangen⁷
• Vertragsbedingungen pruefen - sicherstellen, dass Ihre Vertraege den Log-Zugang, die Dokumentation und den Support bieten, den Sie fuer Ihre Betreiberpflichten brauchen
• Eingebettete KI auditieren - viele SaaS-Tools enthalten mittlerweile KI-Funktionen. Ueberpruefen, ob Anbieter ihre Anbieterpflichten nach der Verordnung erfuellen

Schritt 7: Transparenzpflichten vorbereiten

• KI-Offenlegung im Kundenkontakt - wenn ein KI-Agent direkt mit Kunden interagiert, klare Offenlegung implementieren, dass sie mit KI kommunizieren⁸
• KI-generierte Inhalte kennzeichnen - wenn Sie KI-generierte Texte, Bilder oder Audio veroeffentlichen, muss das gekennzeichnet werden⁸
• Deepfake-Offenlegung - alle KI-generierten oder manipulierten Bild-, Audio- oder Videoinhalte muessen offengelegt werden

Wie KI-Agenten durch Design compliant bleiben

KI-Agenten, die von Anfang an mit Governance im Blick gebaut werden, machen Compliance deutlich einfacher. So sieht „Compliance by Design“ in der Praxis fuer geschaeftliche KI-Agenten aus.

Fuenf Architekturprinzipien, die die Verordnung erfuellen

1. Audit-Logging - jede Aktion des Agenten wird mit Zeitstempel, Eingaben, Ausgaben und Entscheidungsbegruendung protokolliert. Das erfuellt direkt die Aufzeichnungspflicht nach Artikel 12 und 26⁷
2. Human-in-the-Loop-Checkpoints - bei kritischen Entscheidungen (hohe Transaktionswerte, externe Kommunikation, irreversible Aktionen) pausiert der Agent und fordert menschliche Freigabe an. Das macht die Anforderung der menschlichen Aufsicht operational
3. Datenresidenz - der Agent verarbeitet Daten innerhalb der Kundeninfrastruktur. Keine Kundendaten verlassen die Systeme der Organisation. Das vereinfacht DSGVO- und KI-Verordnungs-Anforderungen gleichzeitig
4. Transparente Entscheidungsprozesse - der Agent kann in Klartext erklaeren, warum er eine bestimmte Aktion ausgefuehrt hat. Das unterstuetzt sowohl die Transparenzpflichten nach Artikel 50 als auch die interne Rechenschaftspflicht⁸
5. Zweckbegrenzung - der Agent arbeitet strikt innerhalb seines definierten Zwecks. Er kann nicht ohne explizite Konfigurationsaenderungen umfunktioniert werden. Das verhindert eine versehentliche Umklassifizierung in eine hoehere Risikokategorie

Was das fuer Betreiberpflichten bedeutet

Der Compliance-Vorteil

Unternehmen, die KI-Governance als Wettbewerbsvorteil statt als Last betrachten, sehen reale Geschaeftsvorteile.

• Kundenvertrauen - B2B-Einkaeufer fragen zunehmend nach KI-Governance in der Beschaffung. Dokumentierte Compliance wird zum Verkaufsargument
• Schnellere Beschaffungszyklen - Grosskunden mit eigenen KI-Verordnungs-Pflichten bevorzugen Lieferanten, die Compliance nachweisen koennen
• Reduzierte Haftung - gut dokumentierte KI-Governance schuetzt vor Zivilklagen, wenn ein KI-System Schaden verursacht¹⁰
• Versicherungsvorteile - einige Versicherer beginnen, Vorzugskonditionen fuer Unternehmen mit dokumentierter KI-Governance anzubieten
• Talentgewinnung - verantwortungsvoller KI-Einsatz spricht qualifizierte Fachkraefte an, die die Wahl haben, wo sie arbeiten

Compliance-Kosten vs. Kosten der Nichteinhaltung

Compliance kostet Geld. Nichteinhaltung kostet mehr. So vergleichen sich die Zahlen fuer ein typisches Mittelstandsunternehmen.

Geschaetzte Compliance-Kosten (stufenweiser Ansatz)

Strafen bei Nichteinhaltung

Wie Superkind compliant KI-Agenten baut

Superkind baut massgeschneiderte KI-Agenten fuer den Mittelstand. Compliance ist kein Zusatzmodul. Sie ist in das Design und die Bereitstellung jedes Agenten eingebaut.

Compliance-Funktionen in jedem Superkind-Agenten

• Vollstaendiger Audit-Trail - jede Aktion, Entscheidung und jeder Datenzugriff wird mit Zeitstempeln, Eingaben, Ausgaben und Begruendung protokolliert. Erfuellt die Aufzeichnungspflichten nach Artikel 12 und 26
• Human-in-the-Loop als Standard - konfigurierbare Freigabe-Gates fuer kritische Entscheidungen. Der Agent eskaliert, statt bei Hochrisiko-Aktionen zu raten
• Daten bleiben in Ihren Systemen - Agenten verbinden sich ueber verschluesselte APIs mit Ihrer Infrastruktur. Keine Kundendaten verlassen Ihre Umgebung. Vereinfacht DSGVO und KI-Verordnung gleichzeitig
• Transparente Begruendung - Agenten koennen ihre Entscheidungen in Klartext erklaeren. Keine Black-Box-Ausgaben. Unterstuetzt Artikel 50 Transparenzpflichten
• Zweckgebundener Betrieb - jeder Agent arbeitet strikt innerhalb seines definierten Zwecks. Kann sich nicht ohne explizite Neukonfiguration selbst erweitern. Verhindert versehentliche Risiko-Umklassifizierung
• Prozessorientiertes Design - Agenten werden durch Team-Interviews um Ihre tatsaechlichen Workflows herum gebaut, nicht nach generischen Vorlagen. Das bedeutet klare Dokumentation des Verwendungszwecks vom ersten Tag an
• Kontinuierliches Monitoring - Agentenleistung und -verhalten werden laufend ueberwacht. Anomalien loesen Warnungen aus, bevor sie zu Vorfaellen werden
• Dokumentationsunterstuetzung - Superkind liefert die technische Dokumentation, die Sie fuer Ihre Betreiberpflichten benoetigen, einschliesslich Systembeschreibungen, Risikoklassifizierungen und Spezifikationen des Verwendungszwecks

Superkind vs. generische KI-Tools

Weitere Artikel

• KI-Agenten fuer den Mittelstand: Wie Deutschlands Hidden Champions KI einsetzen, ohne zu verlieren, was sie stark macht
• Warum 95% aller KI-Projekte im Mittelstand scheitern - und was die anderen 5% anders machen
• RPA vs. KI-Agenten: Was der Mittelstand bei der Automatisierung falsch macht

Haeufig gestellte Fragen

Henri Jung

Co-founder von Superkind, wo er KMU und Grossunternehmen dabei hilft, massgeschneiderte KI-Agenten einzusetzen, die wirklich zu den Arbeitsweisen ihrer Teams passen. Henri will die Luecke zwischen dem, was KI kann, und dem Wert, den sie in echten Unternehmen schafft, schliessen. Er ist ueberzeugt: Der Mittelstand hat alles, was er braucht, um bei KI fuehrend zu sein - er braucht nur den richtigen Ansatz.