METXME.AIMETXME.AI
Kontakt
PlattformWerkzeugeMarktCommunityBlog
Kontakt
← Zurück zum Blog
11. Mai 2026·5 min Lesezeit·
Compliance

EU AI Act ohne Panik — was 2025, 2026 und 2027 wirklich auf den deutschen Mittelstand zukommt

Der EU AI Act ist seit August 2024 in Kraft. Die meisten Mittelständler haben das verschlafen. Die meisten anderen haben es überdramatisiert. Die ehrliche Lage 2026: Vier Risikoklassen, drei zentrale Fristen, sehr unterschiedliche Pflichten. Wer Verwaltung oder Facility Management betreibt, ist meist in der mittleren Klasse — und kommt mit klarer Vorbereitung gut durch.

In einer Sitzung im März in Hamburg hörte ich folgenden Dialog: „Der AI Act verbietet KI in der Hausverwaltung."„Quatsch, der AI Act ist eh erst 2027."„Egal, wir warten erstmal." Drei Sätze, drei Missverständnisse, ein Jahr verlorene Zeit. Die ehrliche Lage 2026: Der EU AI Act ist seit dem 1. August 2024 in Kraft. Verboten ist nichts, was eine Hausverwaltung typischerweise macht. Aber die zeitlich gestaffelten Pflichten greifen tatsächlich — und je nach Use-Case kommt das schneller, als man denkt.

Vier Risikoklassen — und wo Mittelstand-FM-Anwendungen landen

EU AI Act · Vier Risikoklassen mit Pflichten und Fristen
01

Verbotene Praktiken

Art. 5 — gilt seit 02.02.2025

Social Scoring durch Behörden, manipulative Sub-Schwellen-Werbung, ungerichtete Gesichtsbilder-Datenbanken aus dem Internet, Echtzeit-Biometrie im öffentlichen Raum (mit engen Ausnahmen).

niedriger = besser
02

Hochrisiko-KI

Art. 6 + Anhang III — gilt ab 02.08.2026

KI in kritischer Infrastruktur, Bildung, Beschäftigung, essenziellen Diensten, Strafverfolgung, Migration, Justiz, demokratischen Prozessen — mit definiertem Pflichten-Katalog.

=Zielwert halten
03

Begrenztes Risiko

Art. 50 — gilt ab 02.08.2026

KI-Systeme im Kontakt mit Menschen (Chatbots, generative KI). Pflicht: Transparenzhinweis, dass mit/durch KI kommuniziert wird.

=Zielwert halten
04

Minimales Risiko

keine spezifischen Pflichten

KI-Spam-Filter, Übersetzung, Wissens-Suche, Klassifizierung, Empfehlungs-Systeme im internen Gebrauch — der Großteil der Mittelstands-Use-Cases.

höher = besser

Die meisten Use-Cases im Verwalter- und FM-Mittelstand fallen in die unteren beiden Klassen — minimales Risiko oder begrenztes Risiko. Mietvertrags-Strukturierung, Übergabeprotokoll-Aufbereitung, Mahnschreiben-Entwurf, Schadensmeldungs-Triage, Wartungs-Planung — all das ist nicht hochrisiko-geregelt. Wo es kippt: KI in der Personalauswahl (Hochrisiko), KI für die Bonitätsprüfung von Mietinteressenten (Hochrisiko, wenn als alleinige Entscheidungsgrundlage), KI im automatisierten Mahnverfahren mit Kündigungs-Wirkung (potenziell Hochrisiko über die Brücke „essenzielle Dienste").

Die drei zentralen Fristen

EU AI Act · Wichtigste Stationen für Mittelstand 2024–2027
August 2024
Inkrafttreten
Der EU AI Act tritt in Kraft. Erste Frist beginnt zu laufen — Verbotsbestimmungen mit 6-Monats-Frist.
Februar 2025
Verbotene Praktiken
Art. 5 wirksam: Social Scoring, manipulative Sub-Schwellen-Techniken, ungerichtete Gesichtsbilder-Sammlungen, Echtzeit-Biometrie im öffentlichen Raum (mit Ausnahmen).
August 2025
GPAI-Verpflichtungen
Anbieter von General-Purpose-AI-Modellen (GPAI: Anthropic, OpenAI, Google, Mistral) bekommen Transparenz- und Dokumentationspflichten. Für Mittelständler: nichts direkt zu tun — die Anbieter erfüllen das.
August 2026
Volle Geltung
Die meisten Bestimmungen sind wirksam: Hochrisiko-Pflichten nach Anhang III, Transparenzpflichten für begrenztes Risiko, Konformitätsbewertungs-Verfahren.
August 2027
Spätfristen
Für Hochrisiko-Systeme, die unter andere Sektor-Verordnungen fallen (Maschinen, Medizinprodukte, Aufzüge), gelten verlängerte Anpassungsfristen bis 2027.

Was eine deutsche Hausverwaltung 2026 konkret prüfen muss

Drei Fragen, die alle Mittelstands-Häuser ernst nehmen sollten.

Erstens — Transparenzpflicht (Art. 50). Wenn KI gegenüber Mietern oder Eigentümern kommuniziert (Chatbot auf der Webseite, KI-generierte Mahnung, automatisierte Schadens-Antwort), gilt: Hinweis erforderlich. Eine Zeile „Diese Mail wurde KI-gestützt erstellt und vor Versand redaktionell geprüft" reicht meist. Frist: ab August 2026.

Zweitens — Hochrisiko-Check für besondere Use-Cases. Wenn ihr KI in der Bewerberauswahl, in der automatisierten Vertragsentscheidung oder in der Bonitätsbewertung einsetzt — Hochrisiko-Pflichten greifen. Pflichten umfassen: dokumentiertes Risiko-Management, Datenqualitäts-Anforderungen, Aufzeichnungspflichten, menschliche Aufsicht, Konformitätsbewertung vor Inverkehrbringen. Konkret: das geht über die DSGVO deutlich hinaus.

Drittens — Lieferanten-Klauseln in AVV und Verträgen. Bei Hochrisiko-Anwendungen müssen Anbieter (z. B. Anthropic) und Anwender (ihr) gemeinsam dokumentieren, welche Pflichten wer trägt. Die meisten Standard-AVVs der Cloud-Anbieter haben das mittlerweile drin — bei Mittelstands-Verträgen lohnt der Blick.

Wie Mittelständler sich vorbereiten — pragmatisch

Drei Vorbereitungs-Pfade · gleiche Frist · andere Größenordnung
Use-Cases meist minimales Risiko

Klein — bis 25 Mitarbeitende

Hauptaufgabe
Transparenzhinweis ab 08/2026
Werkzeuge
KI-Charta + Mitarbeiterhinweis
Aufwand
≈ 2 Personentage
Externe Beratung
meist nicht nötig
Realistischer Status
Standard-DSGVO + AI-Charta reicht
Mit dem Charta-Generator und der DSGVO-Schnellcheck-Vorlage in unter zwei Tagen erledigt.
Mehrere Use-Cases · Mischklasse

Mittel — 25 bis 250 Mitarbeitende

Hauptaufgabe
Use-Case-Inventar nach Risikoklasse
Werkzeuge
Risiko-Check + AVV-Vorprüfung
Aufwand
≈ 8–12 Personentage
Externe Beratung
punktuell sinnvoll
Realistischer Status
Inventar + Charta + DSB-Freigabe
DSB einbinden, Use-Case-Steckbriefe pflegen, AVVs mit Anbietern schärfen.
Hochrisiko-Use-Cases möglich

Groß — über 250 Mitarbeitende

Hauptaufgabe
Konformitätsbewertung wo nötig
Werkzeuge
KI-Beauftragter, formale Prozesse
Aufwand
≈ 20+ Personentage
Externe Beratung
für Hochrisiko-Use-Cases sinnvoll
Realistischer Status
Compliance-Programm aufbauen
Bei Hochrisiko-Anwendungen: Konformitätsbewertung, technische Dokumentation, Audit-Spuren — strukturiert wie SOC 2.
Quelle: Pragmatische Einschätzung; konkrete Pflichten richten sich nach den genauen Use-Cases und müssen mit Datenschutzbeauftragten und ggf. Anwaltskanzlei geklärt werden.

Was die Community konkret hilft

Drei Sektionen, die für die Vorbereitung wichtig sind:

Der DSGVO-Schnellcheck deckt die Datenschutz-Seite ab — die im AI Act ohnehin mitläuft. Wer hier durch ist, hat 70 Prozent der AI-Act-Vorbereitung schon erledigt.

Der Risiko-Check ordnet konkrete Use-Cases nach Datenklasse, Folgenschwere und Reversibilität ein — das ist dieselbe Logik, die der AI Act für die Risikoklassifizierung nutzt.

Der KI-Charta-Generator erstellt das schriftliche Dokument, das in jedem AI-Act-Audit gefragt wird: Welche Modelle, welcher Datenraum, welche Freigabe, welche Schulung. Markdown-Vorlage, neun Felder, Download.

Der EU AI Act ist 2026 keine Bedrohung, sondern eine Strukturhilfe — jedenfalls für die meisten Mittelstands-Use-Cases. Wer die Hausaufgaben aus DSGVO ordentlich gemacht hat, hat den größten Teil schon. Was bleibt, sind drei spezifische Punkte: Transparenzhinweis bei KI-Kommunikation, Risikoklassifizierung der eigenen Use-Cases, Lieferantenverträge prüfen. Pragmatisch zu schaffen — wer nicht in Hochrisiko-Kategorien arbeitet.

Zur Community-Lese-Karte →

Beitrag teilen

Verwandte Beiträge

Compliance

Acht Fragen, ein Datenschutzbeauftragter und ein realistischer KI-Pfad — wie die DSGVO im Mittelstand 2026 nicht zum Bremsklotz wird, sondern zum Strukturhilfe-Werkzeug

10.5.2026 · 8 min
Compliance

Das angreifbare Gebäude: Was NIS2 für Facility und Property Management bedeutet

6.5.2026 · 14 min
Compliance

Betreiberverantwortung 2026: Wie sich das Anforderungsbild im Facility Management verschiebt

3.5.2026 · 8 min