Es ist kurz nach 20 Uhr in meinem Frankfurter Büro, die Skyline wirft ihre langen Schatten über den Main, während ich eine Liste von 14 Mandanten durchgehe. Gestern saß ich noch in einer Produktionshalle in Hanau, heute analysiere ich den Stand der Compliance-Umsetzung für ein Logistikunternehmen. Was mich dabei umtreibt: Wir schreiben den Juni 2026, und während die erste große Frist der KI-Verordnung seit vier Monaten verstrichen ist, herrscht in vielen Chefetagen immer noch das Prinzip Hoffnung — ein gefährliches Spiel mit der Haftung.
Die verpasste Chance vom Februar und der Ernstfall im August
Wir müssen Klartext reden. Der 2. Februar 2026 war der Stichtag, an dem die Anforderungen zur KI-Kompetenz gemäß Art. 4 KI-VO für alle Unternehmen in Kraft getreten sind. Wenn Sie heute, im Juni 2026, noch keine dokumentierte Schulungsstrategie für Ihre Mitarbeiter haben, bewegen Sie sich bereits auf dünnem Eis. Ich erlebe oft, dass Geschäftsführer denken, ein kurzer Hinweis im Intranet reiche aus. Doch Art. 4 ist präzise: Anbieter und Betreiber müssen Maßnahmen ergreifen, um ein angemessenes Maß an KI-Kompetenz sicherzustellen — und zwar unter Berücksichtigung des Kontexts und der technischen Fachkenntnisse.
Ich erinnere mich an ein Gespräch mit einem IT-Leiter eines mittelständischen Versicherers vor etwa drei Wochen. Er war stolz auf ein zehnminütiges Video-Tutorial, das er allen Mitarbeitern geschickt hatte. Als ich ihn fragte, wie er die Wirksamkeit im Sinne der Compliance nachweist, herrschte Stille. Ein Video ohne Transferprüfung ist kein Nachweis. Es geht darum, dass der Sachbearbeiter in der Schadenregulierung versteht, warum er die KI-generierte Zusammenfassung nicht ungeprüft übernehmen darf. Wer hier schlampt, riskiert, dass die Haftung der Geschäftsführung vermeiden unmöglich wird, sobald das erste System eine Fehlentscheidung trifft.
Der 1. August 2026: Die Stunde der Wahrheit für Hochrisiko-Systeme
Während der Februar-Termin die breite Masse betraf, rückt nun der 1. August 2026 unaufhaltsam näher. Dies ist der Tag, an dem die strengen Anforderungen für Hochrisiko-KI-Systeme gemäß Anhang III vollumfänglich greifen. In meiner Beratungspraxis sehe ich gerade im Maschinenbau eine enorme Verunsicherung. Viele Unternehmen haben erst in den letzten zwei Monaten realisiert, dass ihre prädiktiven Wartungssysteme oder die KI-gestützte Qualitätskontrolle unter diese Kategorie fallen könnten, wenn sie sicherheitskritische Funktionen beeinflussen.
Ein Mandant aus der Logistikbranche — ein klassischer Mittelständler mit 400 Mitarbeitern — nutzt seit kurzem ein Tool zur automatisierten Routenplanung und Fahrerüberwachung. Was zunächst wie eine Effizienzmaßnahme aussah, entpuppte sich bei genauerer Prüfung von Art. 6 und Anhang III als Hochrisiko-Anwendung im Bereich des Personalmanagements. Bis zum 1. August müssen hier nicht nur technische Dokumentationen vorliegen, sondern auch ein funktionierendes Risikomanagementsystem etabliert sein. Ich gebe offen zu: An diesem Punkt sind selbst wir Berater manchmal gefordert, die feinen Nuancen zwischen einem 'unterstützenden Werkzeug' und einem 'entscheidungsrelevanten System' sauber zu trennen.
Deployer oder Provider: Warum die Rolle über Ihre Frist entscheidet
Ein fataler Irrtum, dem ich immer wieder begegne: 'Wir entwickeln ja keine KI, wir nutzen sie nur, also betreffen uns die Fristen nicht.' Das ist falsch. Die Verordnung unterscheidet zwischen Anbietern (Provider) und Betreibern (Deployer). Die meisten mittelständischen Unternehmen sind Betreiber. Doch Vorsicht: Wer ein bestehendes Modell — etwa ein Sprachmodell für den Kundenservice — so tiefgreifend anpasst oder unter eigenem Namen in Verkehr bringt, dass sich der Verwendungszweck ändert, wird rechtlich zum Anbieter. Damit verschieben sich nicht nur die Fristen, sondern die Anforderungen explodieren förmlich.
In einem Workshop bei einem SaaS-Anbieter in Frankfurt saßen wir neulich vor einem Whiteboard und haben die Datenflüsse analysiert. Der CTO war sichtlich nervös, als wir feststellten, dass ihre 'kleine Anpassung' am Open-Source-Modell sie in die Anbieterrolle drängt. Für Anbieter von GPAI-Modellen (General Purpose AI) galten bereits Fristen zum 2. August 2025, doch für die nun anstehenden Hochrisiko-Klassifizierungen im August 2026 gibt es keinen Aufschub mehr. Wer jetzt nicht weiß, in welche Kategorie er fällt, hat ein massives Problem.
Praxis-Check: Was bis zum 1. August 2026 erledigt sein muss
Wenn Sie mich fragen, wie Sie die verbleibenden Wochen bis August nutzen sollten, ist meine Antwort klar: Inventur und Priorisierung. Sie brauchen kein 200-seitiges Gutachten, sondern eine Liste aller im Unternehmen genutzten KI-Tools. In der Versicherungswirtschaft sehe ich oft 'Shadow AI' — kleine Skripte, die sich Mitarbeiter selbst gebaut haben, um Excel-Listen zu sortieren. Das muss ans Licht.
Hier ist meine Checkliste für die kommenden Wochen:
- KI-Inventar vervollständigen: Jede Software, die statistische Verfahren zur Vorhersage nutzt, muss auf die Liste.
- Risikoklassifizierung: Prüfen Sie jedes Tool gegen Anhang III. Fällt es unter Personalmanagement, kritische Infrastruktur oder Bildung? Dann ist Alarmstufe Rot.
- Schulungsnachweise (Art. 4): Wenn Sie die Februar-Frist gerissen haben, holen Sie das jetzt nach. Ein strukturierter Plan ist besser als gar nichts vorweisen zu können.
Die Rolle des Qualitätsmanagements und der IT-Leitung
Ich bin kein Anwalt und kein Auditor — ich bin derjenige, der die Anforderungen in Arbeitspläne übersetzt. Im Qualitätsmanagement (QM) wird die KI-Verordnung oft noch als reines IT-Thema unterschätzt. Doch die Dokumentationspflichten nach Art. 11 verlangen eine Detailtiefe, die ohne das QM kaum zu bewältigen ist. Wir sprechen hier von der Protokollierung der Trainingsdaten, der Rechenschaftspflicht über die Genauigkeit und der Robustheit der Systeme.
In einem mittelständischen Maschinenbaubetrieb haben wir letzte Woche die QM-Prozesse angepasst. Wir mussten feststellen, dass die bisherige ISO 9001 Dokumentation zwar eine gute Basis bietet, aber die spezifischen Anforderungen an die menschliche Aufsicht (Art. 14 KI-VO) nicht abdeckt. Es reicht nicht, dass ein Mensch 'theoretisch' abschalten kann; er muss dazu fachlich in der Lage sein und das System kritisch hinterfragen können. Das erfordert spezifische Trainings, die weit über eine Bedienungsanleitung hinausgehen.
Bußgelder und Reputationsrisiken: Mehr als nur Paragraphen
Manchmal werde ich gefragt, ob die EU wirklich Strafen gegen kleine Maschinenbauer verhängen wird. Meine Antwort: Es geht nicht nur um das Bußgeld von bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes. Es geht um die Lieferketten. Wenn Sie als Zulieferer für einen Automobilkonzern tätig sind, wird dieser ab August 2026 von Ihnen den Nachweis verlangen, dass Ihre eingesetzten KI-Systeme konform sind. Ohne Compliance-Zertifikat fliegen Sie aus dem Vendor-System. Das ist das wahre Risiko für den Mittelstand.
Ich sehe oft Schulungsanbieter, die 'AI Act Readiness' in zwei Stunden versprechen. Das ist unseriös. Eine fundierte Vorbereitung auf die Fristen braucht Zeit und eine ehrliche Auseinandersetzung mit den eigenen Prozessen. Wer die Verordnungstexte im Original liest — was ich jedem Verantwortlichen nur raten kann, da die deutschen Übersetzungen bei Begriffen wie 'substantial modification' oft unpräzise sind —, erkennt schnell, dass hier kein Weg an einer systematischen Qualifizierung vorbeiführt.
Fazit: Handeln statt Abwarten
Der Weg zur Compliance im Jahr 2026 ist kein Hindernislauf, den man einmalig absolviert, sondern eine Transformation der Unternehmenskultur. Die Fristen sind keine Schikane, sondern Markierungspunkte für eine verantwortungsvolle Digitalisierung. Wer den 1. August 2026 als Zielmarke nutzt, um seine Prozesse endlich transparent zu machen, gewinnt nicht nur Rechtssicherheit, sondern auch das Vertrauen seiner Kunden und Mitarbeiter. Es ist diese Mischung aus kühlem Kopf bei der Analyse der Artikel und Tatkraft bei der Umsetzung der Schulungen, die den Erfolg im deutschen Mittelstand ausmacht. Fangen Sie heute an, die Inventur zu machen — bevor die Fristen Sie einholen.