02.05.·KI-Gipfel·Noch 7 von 25 Plätzen
Grundlagen · 20. April 2026 · 6 min

EU AI Act 2026: Was sächsische Mittelständler jetzt tun müssen

Ab 2. August 2026 ist der EU AI Act voll anwendbar. Was das für den sächsischen Mittelstand konkret heißt — inklusive der deutschen Ausweitungs-Vorschläge, die bis 2027 verschieben könnten.

Von PhoenixOne TeamSitz Leipzig · Sachsen

"Müssen wir wegen dem AI Act jetzt alles wegwerfen?" — das ist die Frage, die wir seit Monaten bei Erstgesprächen hören. Die kurze Antwort: Nein. Die längere Antwort lohnt sich zu lesen, weil sie erklärt, warum.

Der EU AI Act ist seit August 2024 in Kraft, aber die Anwendbarkeit kommt in Stufen. Für sächsische Mittelständler ist der 2. August 2026 das entscheidende Datum — denn dann ist der gesamte Rechtsrahmen anwendbar, inklusive der Regeln für Hochrisiko-Systeme und der Durchsetzungsmechanik durch nationale Behörden.

Was der AI Act regelt — in zwei Minuten erklärt

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Er unterteilt KI-Systeme in vier Risiko-Stufen:

  • Unzulässig — z. B. Social Scoring, manipulative KI, die Vulnerabilitäten ausnutzt. Seit 2. Februar 2025 verboten.
  • Hochriskant — KI in kritischen Infrastrukturen, Bewerbungs- oder Bonitätsprüfung, Strafverfolgung. Unterliegt harter Zertifizierung.
  • Begrenzt riskant — Chatbots, Deepfakes, Emotionserkennung. Transparenzpflicht: Nutzer müssen wissen, dass sie es mit KI zu tun haben.
  • Minimal — alles andere: Spam-Filter, Rechtschreib-KI, Produkt-Empfehlungen, interne Dokumenten-Agenten. Keine spezifischen Pflichten.

Die gute Nachricht für den Mittelstand: Die überwältigende Mehrheit der Anwendungsfälle, die wir in +15 Projekten gesehen haben, fällt in "minimal" oder "begrenzt" — also in die Kategorien mit wenig oder gar keinen formalen Hürden. Die offizielle FAQ der EU-Kommission ordnet das sauber ein.

Was viele übersehen: Die Ausführung im Handelsblatt zur Mittelstands-Relevanz betont, dass der AI Act produktbezogen ist — also nicht auf den Betrieb abstellt, sondern auf das konkrete KI-System. Ein Dokument-Agent, der intern Ausschreibungen vorsortiert, und ein Bewerber-Scoring-System liegen rechtlich in unterschiedlichen Welten, selbst wenn sie im selben Betrieb laufen.

Die zwei Punkte, die seit Februar 2025 bereits gelten

Auch wenn der 2. August 2026 der große Stichtag ist — zwei Dinge sind bereits jetzt verpflichtend:

Verbotene KI-Praktiken (Artikel 5)

Social Scoring, manipulative KI, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum — diese Systeme sind seit Februar 2025 in der EU schlicht verboten. Für den typischen sächsischen Mittelstand ist das keine Hürde: Niemand, der eine CRM-Automation oder einen Ausschreibungs-Agenten baut, kommt in diese Nähe.

KI-Kompetenz-Pflicht (Artikel 4)

Das ist der Punkt, den die meisten Betriebe übersehen. Seit 2. Februar 2025 müssen Unternehmen sicherstellen, dass ihre Mitarbeitenden, die KI-Systeme nutzen oder deren Output weiterverarbeiten, ausreichend geschult sind. "Ausreichend" ist bewusst offen gehalten — in der Praxis reicht für die meisten Fälle eine kurze interne Schulung (1–2 Stunden), eine schriftliche KI-Nutzungsrichtlinie und eine Dokumentation, wer wann geschult wurde.

Der Leitfaden von Heise empfiehlt explizit, das als Teil der jährlichen Compliance-Schulungen zu verankern. In unseren Projekten machen wir das als festen Baustein bei der Team-Übergabe — Kompetenznachweis gleich mit.

Der deutsche Omnibus-Vorschlag: Erleichterung bis 2027?

Stand April 2026 ist die politische Lage in Bewegung. Die Bundesregierung hat Ende 2025 mit mehreren anderen EU-Staaten einen Vorschlag eingebracht, den AI Act für den Mittelstand zu entschärfen. Die Eckpunkte:

  • Erweiterung der KMU-Ausnahmen auf Betriebe bis 249 Mitarbeitende und 50 Millionen Euro Umsatz — statt der ursprünglichen Kleinst-KMU-Grenze.
  • Verschiebung von Teilen der Hochrisiko-Regeln um ein Jahr auf 2027.
  • Vereinfachte Dokumentations-Templates für Mittelständler.

Die Berichterstattung im Handelsblatt zur geplanten Abschwächung ordnet das als EU-weite Tendenz ein — mehrere Mitgliedsstaaten drängen in dieselbe Richtung. Die Heise-Berichterstattung zum Omnibus-Paket bestätigt zusätzlich einen Deepfake-Bann und eine Verschiebung einzelner Dokumentationspflichten.

Unser Take dazu: Auch wenn der Omnibus durchgeht, bleibt der grundsätzliche Rahmen gleich. Wer seine Hausaufgaben jetzt macht, ist später nicht schlechter dran — im Gegenteil.

Was das für den sächsischen Mittelstand konkret heißt

Die meisten Betriebe in Sachsen, mit denen wir arbeiten, haben eine oder mehrere dieser KI-Anwendungen laufen: WhatsApp-Vertrieb, Dokument-Agenten, Ausschreibungs-KI, Technik-Chatbots, interne Wissens-Assistenten. Für diese Fälle gilt:

  • Risiko-Einstufung: fast immer "minimal", selten "begrenzt" (z. B. bei Kunden-Chatbots mit Transparenzpflicht).
  • Dokumentationspflicht: gering. Eine kurze Systembeschreibung reicht, wenn die Behörde nachfragt.
  • Zertifizierung: keine.
  • Schulungspflicht (Artikel 4): Ja — gilt für alle Betriebe, egal wie klein.

Der AI Act ist keine Papierhürde, sondern die Grundlinie für jeden KI-Einsatz in der EU — und die allermeisten Mittelstands-Fälle liegen weit unter der Risiko-Schwelle.

Aus einem Erstgespräch mit einem Maschinenbauer in Zwickau

Das Apply AI Strategy-Programm, das die EU-Kommission im Oktober 2025 gestartet hat, adressiert explizit KMU mit begleitender Beratung und Förderung. In Sachsen greifen hier sowohl der EFRE-Digitalisierungszuschuss als auch bundesweite KI-Test-Feld-Angebote ineinander.

Handlungsempfehlungen: Was Sie bis 2. August 2026 erledigen sollten

Drei Schritte reichen für die meisten Mittelständler aus. Wir setzen das in unseren Projekten standardmäßig mit auf — aber auch wenn Sie keinen Partner haben, lässt sich das in einer Woche erledigen.

1. KI-Kompetenz im Team sichern

Eine interne 60-bis-90-Minuten-Schulung für alle, die KI-Systeme nutzen. Inhalt: Was ist KI, wo liegen die Grenzen, was darf nicht rein (personenbezogene Daten von Kunden, Vertrauliches aus Verträgen, interne Finanzzahlen). Teilnehmerliste dokumentiert ablegen.

2. KI-Nutzungsrichtlinie aufsetzen

Ein 2-Seiter, der regelt: Welche Systeme dürfen genutzt werden (ChatGPT, Copilot, interne Agenten), welche Daten dürfen rein, welche nicht, wer ist Ansprechpartner bei Zweifeln, welche Prompts sind Pflicht bei Kunden-Kommunikation. Unterschrieben, abgelegt — fertig.

3. Risiko-Stufe pro KI-System dokumentieren

Für jedes produktive KI-System eine kurze Notiz: Welches System ist das, was macht es, welche Risiko-Stufe nach AI Act. Bei Chatbots zu Kundschaft: Transparenzhinweis ("Sie chatten mit einer KI") prüfen. Das reicht meistens schon.

Unser Take

Wir sehen den AI Act aus einer sehr spezifischen Perspektive — wir haben +15 KI-Projekte im sächsischen Mittelstand umgesetzt, und fast alle davon sind "minimal"- oder "begrenzt"-Risiko. Das heißt: Die Regulierung ist in der Praxis weit weniger bedrohlich, als es die Schlagzeilen vermuten lassen.

Was wir dringend empfehlen: Nicht warten, bis im Sommer 2026 die Deadline kommt und dann hektisch Richtlinien schreiben. Wer jetzt die drei Schritte in einer Woche erledigt, ist sauber aufgestellt — und kann sich auf den eigentlichen Hebel konzentrieren: KI produktiv für den Betrieb einzusetzen.

Häufige Fragen

Ab dem 2. August 2026 ist der AI Act vollständig anwendbar. Grundregeln gelten seit 2. Februar 2025, Regeln für General-Purpose-AI seit 2. August 2025.

Stand: April 2026 — der AI Act und seine Anwendung entwickeln sich weiter. Wir verfolgen die EU- und Bundes-Diskussion aktiv und passen unsere Projekt-Dokumentation laufend an.

Über die Autoren

PhoenixOne Team

Wir bauen KI-Infrastruktur für den deutschen Mittelstand. Seit zwei Jahren, mit über fünfzehn produktiven Systemen im Einsatz — von Dokument-Agenten im Bauhandwerk bis zu vollständigen AI-OS-Setups in der Industrie. Alle Projekte mit Festpreis, Team-Übergabe und EFRE-Förderung beantragt.

Unsere Artikel schreiben wir aus der Projekt-Praxis — mit echten Zahlen, ohne Hype-Vokabeln. Keine einzelnen Autoren, sondern das gesamte Team als Quelle: Projektleiter, Entwickler, Förder-Spezialisten.

Sitz Leipzig · Projekte bundesweit·+15 Projekte live im Betrieb·Gegründet 2024
Mehr über uns ·Unsere Referenzen ·KI-Audit starten
Jetzt starten

Bereit, das auf Ihren Betrieb anzuwenden?

Ein KI-Audit zeigt in 5 Minuten, wo Ihr Betrieb steht und welche Automation den größten Hebel hat.

Kostenloses KI-Audit starten

Sächsischer Mittelstand — Sitz Leipzig — über 15 Projekte live im Betrieb

Weiterlesen

Förderung

KI-Förderung Sachsen 2026: Warum nur noch der EFRE-Digitalisierungszuschuss zählt

4 min
Grundlagen

ChatGPT im sächsischen Unternehmen: Ab wann brauchen Sie eine eigene KI?

7 min
Grundlagen

KI-Kosten 2026 transparent gerechnet: Von Lizenz bis Betrieb

6 min