Am 11. Februar hat die Bundesregierung das KI-Marktüberwachungs- und Innovationsförderungsgesetz beschlossen – den deutschen Rechtsrahmen, mit dem die EU-Verordnung über Künstliche Intelligenz in nationales Recht überführt wird. Am 2. August zieht die Marktüberwachung für Hochrisiko-KI-Systeme nach Anhang III an. Mittelständische Vertriebsabteilungen haben ab heute 83 Tage. Nicht für eine groß angelegte KI-Strategie. Aber für eine kurze, präzise Bestandsaufnahme.

Die meisten KI-Tools, die im Mittelstand laufen, sind keine Hochrisiko-Systeme – HubSpot Breeze, Pipedrive AI, Microsoft Copilot fallen unter die niedrigeren Transparenz- und Schulungspflichten. Sobald aber ein System personenbezogene Bewertungen vornimmt – Lead-Scoring auf Basis von Bonitätsdaten, automatisierte Vorauswahl im Recruiting, Profiling für Outreach – landet es schnell in der Hochrisiko-Kategorie. Und damit unter dem schärferen Regime.

Was viele falsch lesen

Der AI Act ist kein Pflichtprogramm für jeden CRM-Anwender. Er ist abgestuft. Doch er verlangt von jedem Anwender ein Minimum: zu wissen, welche KI im Haus läuft, was sie tut, wer für die Ergebnisse verantwortlich ist. Die Bitkom-Studie 2026 zählt rechtliche Unklarheit als wichtigste Bremse für KI-Investitionen – vor Personalmangel und fehlendem Know-how. 53 Prozent der befragten Unternehmen nennen Recht und Compliance als Hemmnis. Die Antwort ist nicht weniger Recht. Sie ist mehr Klarheit darüber, was wirklich nötig ist.

„Compliance ist 2026 kein Compliance-Thema mehr. Sie ist Voraussetzung dafür, dass der Vertrieb arbeitsfähig bleibt." Editorial · Sales Intelligence · 11. Mai 2026

Vier Schritte, eine Liste

Erstens: das KI-Inventar. Welche Tools laufen, in welchen Funktionen, mit welchen Daten? Ein einfaches Register reicht – eine Tabellenkalkulation mit Spalten für Tool, Anwender, Datenkategorie und Anbieter genügt für den Anfang. Zweitens: die Risiko-Einstufung. Pro Tool wird geprüft: minimales Risiko, begrenztes Risiko, Hochrisiko oder verboten? Die Klassifikation steht im AI Act Anhang III. Im Vertriebsumfeld sind die meisten Tools im Bereich „begrenzt" – mit Transparenzpflichten gegenüber Kunden, wenn etwa ein Chatbot eingesetzt wird.

Drittens: die Schulungspflicht. Jeder Mitarbeiter, der KI im Vertrieb anwendet, braucht eine dokumentierte Grundschulung – was das System kann, was es nicht kann, wann ein Mensch eingreifen muss. Eine Stunde pro Mitarbeiter, dokumentiert mit Datum und Inhalten, deckt die Pflicht für die meisten Mittelständler ab. Viertens: die Verantwortlichkeiten. Wer prüft die Ergebnisse, wer eskaliert bei Fehlentscheidungen, wer beantwortet Auditfragen? Eine benannte Person pro Tool genügt – sie muss erreichbar sein, nicht zertifiziert.

Was bis August stehen muss KI-Inventar Tabelle reicht · 1 Tag Risiko-Einstufung pro Tool 30 Min · 2 Tage Schulungsnachweis 1 Std pro Mitarbeiter Verantwortlichkeiten pro Tool 1 Name · 1 Tag cyan – Bearbeitungsumfang · grau – Pufferzeit bis August
Abb. 1 · Mindest-Aufwand für AI-Act-Compliance im Mittelstands-Vertrieb. Eigene Schätzung auf Basis von Compliance-Beratungs-Mustern, Mai 2026.

Was im August passiert (und was nicht)

Der 2. August ist kein Stichtag, an dem das Telefon klingelt. Die Marktüberwachung baut sich auf, die Behörden arbeiten sich ein, die ersten Audits laufen ab Herbst. Die vollen Hochrisiko-Pflichten wurden ohnehin durch den sogenannten Digital Omnibus bis Dezember 2027 verschoben. Wer bis August ein KI-Register, eine Risiko-Einstufung, dokumentierte Schulungen und benannte Verantwortliche vorzeigen kann, hat 80 Prozent der Pflichten im Griff. Laut DIHK-Umfrage 2026 sorgen sich 50 Prozent der Mittelständler ohnehin um Datenschutz, 53 Prozent misstrauen Nicht-EU-Anbietern. Beides sind keine Hemmnisse – beides sind Argumente für Sortier-Arbeit.

Die Mittelstands-Mehrheit hat das längst verstanden. Die KfW zählt für 2026 rund 20 Prozent KI-Nutzer im Mittelstand – fünfmal so viele wie vor sechs Jahren. Die Frage ist nur, ob die Compliance-Arbeit mit der Tool-Einführung Schritt hält. 83 Tage sind nicht viel. Aber genug, wenn man jetzt anfängt. Wer wartet, lernt im Herbst zwei Wahrheiten gleichzeitig: dass die Behörde langsamer arbeitet als gedacht – und dass der Wettbewerber, der seine Hausaufgaben gemacht hat, schneller ist.