hagel IT-Services
Festpreis-Angebot
7 Min.

EU AI Act 2026 für den Mittelstand: Was KMU in Norddeutschland bis August wirklich umsetzen müssen

Jens Hagel
Jens Hagel in IT-Insights

Inhalt in Kürze

  • Der EU AI Act ist seit 1. August 2024 in Kraft, seit 2. Februar 2025 gelten erste Pflichten — die meisten KMU haben sie noch nicht umgesetzt.
  • Schulungspflicht aus Art. 4 trifft jedes Unternehmen, das ChatGPT, Microsoft Copilot oder ähnliche KI nutzt — auch ein 8-Mitarbeiter-Betrieb.
  • Bußgelder bis 35 Mio. Euro oder 7 Prozent Jahresumsatz, KMU mit reduziertem Maximum.
  • Praxis-Fahrplan bis August 2026: Inventar, Schulung, Dokumentation, Transparenz, Governance — schlank, aber durchgängig.

Wir sehen das gerade jeden Tag bei Geschäftsführern in Hamburg, Bremen, Kiel und Lübeck: Microsoft Copilot wurde 2024/2025 ausgerollt, ChatGPT läuft inoffiziell auf jedem zweiten Laptop, und niemand hat den AI Act gelesen. Die Schulungspflicht? Steht in keiner Personalakte. Genau das ändert sich gerade — und es muss sich ändern.

EU AI Act Mittelstand: Warum die KMU-Welt ihn unterschätzt

Wer den AI Act nur über die Schlagzeilen kennt, denkt: „Hochrisiko-KI, das betrifft uns nicht." Falsch. Die Verordnung greift in vier Stufen — und die ersten zwei Stufen treffen jeden, der irgendwo KI im Unternehmen einsetzt.

Die TÜV-Beratungsmarke ordnet das übersichtlich ein: Seit 2. Februar 2025 sind die ersten materiellen Pflichten in Kraft — Verbote unannehmbar riskanter Praktiken plus die Schulungspflicht. Die zweite große Welle kommt am 2. August 2026 mit den GPAI-Pflichten. Die meisten KMU haben weder Stufe 1 noch Stufe 2 strukturiert auf dem Schirm.

35 Mio. €
maximales Bußgeld
2. Aug 2026
GPAI-Pflichten greifen
≥ 75 %
der KMU haben Schulungspflicht nicht erfüllt (Stand 05/2026)
2. Aug 2027
Hochrisiko-KI-Pflichten greifen

Was die Lage besonders riskant macht: Der EU AI Act ist nicht abstrakt, er trifft konkrete Tools, die längst im Mittelstand laufen. Microsoft Copilot in Word, Excel, Outlook und Teams. ChatGPT-Plugins in Browsern. Notion AI, Adobe Generative AI, KI-gestützte Übersetzungs-Tools, Deepl Write, Bewerbungs-Filter mit KI. Selbst der Phishing-Filter im E-Mail-Gateway nutzt KI. Sobald irgendetwas davon im Unternehmen läuft, gilt der AI Act.

Die vier Stufen — und in welcher Sie gerade sind

  1. Stufe 1 (seit Februar 2025): Verbote & Schulungspflicht. Verbotene KI-Praktiken sind raus, jeder KI-Nutzer muss „KI-Kompetenz" sicherstellen. Das ist die Pflicht, die fast alle KMU verschlafen haben.
  2. Stufe 2 (ab August 2026): GPAI & Transparenz. General-Purpose-AI-Anbieter müssen Modellkarten liefern, Nutzer müssen KI-generierte Inhalte kennzeichnen, nationale Aufsicht greift.
  3. Stufe 3 (ab August 2027): Hochrisiko-KI. KI in HR, Bildung, Kreditvergabe, kritischer Infrastruktur muss vollständige Konformitätsprüfung durchlaufen.
  4. Stufe 4 (ab August 2027): Bestehende Hochrisiko-KI. Auch vor 2026 eingeführte Systeme müssen nachgezogen werden.
Wichtig — was Geschäftsführer 2026 jetzt prüfen müssen:

Die Stufen 1 und 2 betreffen jeden, nicht nur Tech-Unternehmen. Wer Microsoft 365 mit Copilot, ChatGPT, ein KI-Recruiting-Tool oder ein KI-Übersetzungs-Tool nutzt, hat ab dem ersten Tag Pflichten. Stufe 3 und 4 sind weiter weg, aber die Vorbereitung beginnt jetzt.

Aus der Praxis: Was wir gerade in norddeutschen KMU sehen

KI klingt immer so komplex, aber eigentlich ist das nicht so kompliziert. Die meisten unserer Kunden nutzen Copilot oder ChatGPT, ohne es bewusst auf dem AI Act abzubilden. Wenn wir das einmal ordentlich aufschreiben — was läuft wo, wer ist geschult, was wird wie kommuniziert — sind sie in 4-6 Wochen sauber. Nur: anfangen muss man.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Bei einem Hamburger Architekturbüro mit 40 Mitarbeitenden hatten wir kürzlich einen typischen Fall: Microsoft 365 Business Premium mit Copilot ausgerollt, ChatGPT-Pro für die Projektleiter, Adobe Generative AI auf 5 Workstations. AI Act? „Haben wir gehört, ist doch erst 2027 Pflicht." Tatsächlich war die Schulungspflicht aus Art. 4 schon 14 Monate fällig. Wir haben in 5 Wochen das KI-Inventar aufgesetzt, eine 90-Minuten-Schulung pro Rolle dokumentiert, Nutzungsrichtlinie verabschiedet. Saubere Lage.

Wir wollen möglichst wenig mit der IT zu tun haben — es muss funktionieren. Genau das galt für uns auch bei KI: einsetzen, fertig. Jetzt mussten wir lernen, dass der EU AI Act uns trotzdem trifft.

Niklas Roth · Geschäftsführer, Beteiligungsgesellschaft, 5-8 Mitarbeiter
EU AI Act Pflichten — KI-Nutzungsrichtlinie und Schulungsdokumentation im Mittelstand
Die EU-KI-Verordnung verlangt nicht den großen Apparat — aber nachweisbare Dokumentation: Inventar, Schulungen, Nutzungsrichtlinie.

Praxis-Fahrplan bis August 2026: 6 Wochen reichen

Wer jetzt loslegt, schafft die Stufe-1- und Stufe-2-Pflichten bis zum 2. August 2026 locker. Wir haben den Fahrplan bei mehreren norddeutschen Mandaten getestet:

  1. Woche 1: KI-Inventar erstellen. Welche KI-Systeme laufen im Unternehmen? Microsoft Copilot, ChatGPT, Notion AI, KI im CRM, KI im E-Mail-Filter, KI-Übersetzer, KI-Recruiting. Liste mit Tool, Lieferant, Anwendungsfall, Datenfluss.
  2. Woche 2: Risikoklassen-Zuordnung. Jedes Tool gegen die AI-Act-Klassen prüfen: Verboten / Hochrisiko / GPAI / Minimales Risiko. In KMU sind 90 Prozent „Minimales Risiko" oder „GPAI" — das ist die gute Nachricht.
  3. Woche 3: KI-Nutzungsrichtlinie. Schriftliche Regeln: Was darf in welche KI gefüttert werden? Welche Daten nicht? Wer ist Verantwortlicher? Wie wird KI-Output gekennzeichnet? 4-6 Seiten reichen.
  4. Woche 4: Schulungen aufsetzen. Pro Rolle eine 30-90-minütige Schulung (Sales, Verwaltung, Technik, Geschäftsführung). Aufzeichnung speichern, Teilnahme dokumentieren. KI-Kompetenz nachweisen.
  5. Woche 5: Transparenz-Vorlagen. Wie werden KI-generierte Inhalte gekennzeichnet? Templates für Pressetexte, Bilder, Audio. Nicht alles muss markiert werden — aber Sie brauchen das Verfahren.
  6. Woche 6: Governance & Dokumentation. Verantwortlicher KI-Beauftragter, Vorfall-Meldekette, jährlicher Review. Audit-Mappe schließen.

Was Sie KEINESFALLS tun sollten

Häufiger Fehler Warum riskant Besser so
„Wir haben kein KI-Tool im Einsatz." Doch — Copilot, Outlook-KI, Phishing-Filter sind KI. Ehrliches Inventar machen, dann sortieren.
60-Minuten-Pflichtschulung für alle Erfüllt formal nichts, weil rollenabhängig vorgesehen. Pro Rolle eine kurze, spezifische Schulung.
ChatGPT komplett verbieten Pragmatisch nicht durchhaltbar; Mitarbeitende nutzen es heimlich. Klare Regel: Was rein, was nicht. Plus Nachweis.
KI-Beauftragter als Pro-Forma-Rolle Bei Vorfall keiner verantwortlich. Echte Person mit Stundenbudget und Berichtsweg.
Erst nach August 2026 anfangen Nachholen unter Zeitdruck wird teurer. 6 Wochen jetzt reichen für komplette Compliance.

Sonderfall norddeutscher Mittelstand: Was Hamburg, Bremen, Kiel, Lübeck unterscheidet

Wir sehen vier regionale Schwerpunkte, die jeweils eigene Themen haben:

  • Hamburg: Hohe Copilot-Durchdringung in Werbe-, Anwalts- und Steuer-Branche. Größtes Risiko: Mandanten- und Mandantengeheimnis-Daten in KI-Tools, ohne Datenschutzfolgenabschätzung.
  • Bremen: Logistik und Handel mit KI-Routenplanung, KI-Disposition. Größtes Risiko: KI in operativen Entscheidungsketten ohne menschlichen Override.
  • Kiel: Werften und Maritime Wirtschaft mit KI-Wartung und KI-Konstruktion. Größtes Risiko: KI mit Geheimschutz-relevanten Daten — strenge Trennung erforderlich.
  • Lübeck: Medizintechnik mit KI in Diagnostik. Hier ist KI oft schon Hochrisiko, mit MDR/IVDR-Schnittpunkt — höchster Aufwand der Region.

Für jede dieser Branchen lohnt sich ein eigener Tool-Stack-Review. Generelle KI-Richtlinien sind die Basis, branchenspezifische Ergänzungen das, was Auditoren am Ende sehen wollen.

Das Wichtigste: Der AI Act ist kein „großer Konzern"-Thema. Wer Copilot oder ChatGPT nutzt, ist seit 14 Monaten in der Schulungspflicht. 6 Wochen Vorbereitung reichen für die ersten zwei Stufen — wer jetzt liefert, ist im August 2026 sauber.

Wie wir KMU in Norddeutschland begleiten

Wir machen drei Dinge — schlank, weil der Mittelstand keinen 80-Seiten-AI-Act-Apparat braucht:

  • AI-Act-Quickcheck (1 Tag). KI-Inventar, Risikoklassen-Zuordnung, klare Lückenliste. Festpreis, kein Vertriebsvorlauf.
  • Compliance-Sprint (4-6 Wochen). Wir bauen Inventar, Richtlinie, Schulungen, Governance. Sie sind sauber bis 2. August 2026.
  • Laufende AI-Governance als Modul in Managed IT-Services. Quartalsweiser Review, Update der Richtlinien, neue Tool-Bewertung.

Der Stack rund um KI im Mittelstand — von Copilot-Nutzung bis Automatisierung — steht auf hagel one ai und hagel one automate. Compliance- und Datenschutz-Hintergrund finden Sie unter NIS2 & Compliance Hamburg sowie unserem NIS2-Audit-Praxis-Fahrplan für Hamburg. Eigene Standorte in Bremen, Kiel und Lübeck sichern die regionale Erreichbarkeit.

Sie nutzen Copilot, ChatGPT oder andere KI im Unternehmen?

30 Minuten Erstgespräch genügen, um zu klären, wo Sie beim AI Act stehen — und was bis August 2026 zu tun ist. Kostenlos. Ohne Vertriebsdruck.

Erstgespräch buchen →

Quellen für diesen Artikel: TÜV Consulting — EU AI Act 2026 Zwischenstand, EU-Kommission — AI Act Implementation, Praxis-Guide für DACH-Mittelstand.

Jens Hagel
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Frage stellen Profil ansehen
Thorsten Eckel

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie · Software
IT-Sicherheit für Kleinunternehmen Hamburg: Schluss mit „Bastel-Lösungen“
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

IT-Herausforderungen? Wir helfen.

Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Ja. Der AI Act unterscheidet nicht nach Unternehmensgröße, sondern nach Risikoklasse des KI-Systems. Wer ChatGPT, Microsoft Copilot oder andere GPAI-Modelle einsetzt, hat seit Februar 2025 eine Schulungspflicht (Art. 4) und ab August 2026 erweiterte Transparenzpflichten.

Jedes Unternehmen, das KI-Systeme einsetzt, muss seine Mitarbeitenden in KI-Kompetenz schulen — angepasst an deren Aufgabe und Vorwissen. Konkret: Sales-Mitarbeitende mit Copilot brauchen andere Schulung als Programmierer. Kein Format vorgeschrieben — aber dokumentiert muss es sein.

Bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes für verbotene KI-Praktiken. Bis 15 Mio. Euro oder 3 Prozent für Verstöße gegen Hochrisiko-Vorgaben. Bis 7,5 Mio. Euro oder 1 Prozent für falsche Angaben — KMU haften nach niedrigerem Betrag.

Seit Februar 2025: Soziales Scoring, manipulative KI-Systeme, biometrische Echtzeit-Identifizierung im öffentlichen Raum, Emotionserkennung am Arbeitsplatz, KI für Strafrechts-Risikobewertung ohne Verfahren. Die meisten KMU sind hiervon nicht betroffen — aber Mitarbeiter-Monitoring-Tools mit KI-Komponente schon.

Die zweite große Welle: Pflichten für GPAI-Anbieter und -Nutzer (also auch Copilot- und ChatGPT-Nutzer), Transparenzpflichten für KI-generierte Inhalte (Deepfake-Kennzeichnung), Governance-Strukturen, nationale Aufsichtsbehörden. Ab 2027 dann Hochrisiko-KI-Pflichten.

Ab August 2026 ja, soweit es um Deepfakes und nicht offensichtlich KI-erstellte Inhalte geht. Bei normalen Texten oder Bildern aus Copilot in der internen Kommunikation: wahrscheinlich nicht. Bei extern publizierten Bildern, Audio, Video: ja, mit klarer Kennzeichnung.

Das könnte Sie auch interessieren

IT-Insights

Maklerbüro Hamburg: IT-Stack 2026 für Immobilienprofis
IT-Insights

Hafen-IT 4.0: Die Digitalisierung der Hamburger Logistik 2026
IT-Insights

n8n vs Make vs Microsoft Power Automate: Workflow-Tools 2026 für Hamburger KMU