“Wir nutzen ja nur fertige Tools — wir entwickeln keine KI.” Das höre ich oft, wenn ich mit KMU über den EU AI Act spreche. Und meistens stimmt der Satz. Aber er beantwortet die falsche Frage.
Der EU AI Act fragt nicht, ob du KI entwickelst. Er fragt, ob du KI in einem bestimmten Kontext einsetzt. Und dieser Kontext bestimmt, ob auf dich Pflichten zukommen — unabhängig davon, ob das Tool von Microsoft, einem deutschen Softwarehaus oder einem Startup stammt.
Bis August 2026 müssen die meisten dieser Pflichten erfüllt sein. Was genau gilt für wen — und was es kostet, wenn nicht — das schauen wir uns jetzt konkret an.
Was schon jetzt gilt — und was ab August 2026 neu kommt
Wichtige Vorbemerkung: Der EU AI Act ist kein Gesetz, das erst 2026 startet. Er ist bereits in Kraft — seit August 2024. Er rollt nur schrittweise aus.
Februar 2025 (bereits in Kraft): Verbotene KI-Praktiken sind untersagt. Wer Social Scoring betreibt, manipulative KI einsetzt oder Menschen unbewusst steuert, riskiert heute schon Bußgelder.
August 2025 (bereits in Kraft): Regeln für sogenannte GPAI-Modelle (allgemeine KI-Modelle wie GPT-4 oder Claude) sowie Governance-Strukturen und Kompetenzpflichten für Mitarbeitende.
August 2026 (kommt): Die vollständigen Pflichten für Hochrisiko-KI-Systeme gelten. Das ist der Stichtag, auf den sich die meisten beziehen.
August 2027: Hochrisiko-Systeme, die schon vor August 2026 im Betrieb waren und unter regulierte Produktkategorien (Medizinprodukte, Fahrzeuge etc.) fallen, bekommen noch ein Jahr extra.
Die vier Risikoklassen — eine Landkarte
Der EU AI Act teilt KI-Systeme in vier Stufen ein. Nicht nach Intelligenz oder Komplexität, sondern nach möglichen Auswirkungen auf Menschen.
Stufe 1: Verbotene KI
Diese Systeme sind grundsätzlich untersagt — ohne Ausnahmen für Unternehmen:
- Social Scoring: KI, die Menschen nach Verhalten, sozialem Status oder persönlichen Merkmalen bewertet und daraus Benachteiligungen ableitet
- Manipulative KI: Systeme, die Entscheidungen unterbewusst beeinflussen, Schwächen ausnutzen oder Verhalten gegen den eigenen Willen steuern
- Biometrische Echtzeitüberwachung im öffentlichen Raum (mit sehr engen Ausnahmen für Strafverfolgung)
- Emotionserkennung im Arbeitsumfeld und in Bildungseinrichtungen
- Predictive Policing auf Basis persönlicher Merkmale
Für die meisten Unternehmen: kein Thema. Wer aber Mitarbeiter per Kamera auf Emotionen scannt, muss aufpassen.
Stufe 2: Hochrisiko-KI
Das ist die zentrale Kategorie für den Mittelstand. “Hochrisiko” bedeutet nicht gefährlich — sondern: Das System trifft oder beeinflusst Entscheidungen, die erhebliche Folgen für Personen haben können.
Konkrete Bereiche, die Hochrisiko auslösen:
Personalwesen — Bewerbungsfilterung, Kandidaten-Ranking, Leistungsbewertung, Kündigung, Gehaltsanalysen. Das betrifft HR-Software mit KI-Funktionen wie Personio oder Greenhouse ebenso wie eigenentwickelte Scoring-Systeme. Wie KI-Bewerbersichtung in der Praxis aussieht und welche Transparenzanforderungen gelten, zeigt unser Use Case KI-gestützte Bewerbersichtung.
Kreditwürdigkeit und Bonitätsprüfung — automatisierte Kreditentscheidungen, Ausfallrisiko-Scoring, Leasingbewilligung.
Bildung und Berufsausbildung — Tools, die Zugangsentscheidungen steuern, Prüfungsleistungen bewerten oder Lernpfade individualisieren und beeinflussen.
Kritische Infrastruktur — Energie, Wasser, Verkehr, digitale Infrastruktur.
Wesentliche private und öffentliche Dienste — KI-gestützte Entscheidungen über Versicherungsleistungen, Sozialhilfe, Gesundheitsversorgung. Für Versicherungsunternehmen zeigt unser Use Case Automatisierte Schadensmeldung typische Fallstricke.
Strafverfolgung, Migration, Justiz — für die meisten Unternehmen irrelevant, aber als Vollständigkeit erwähnt.
Ein Textgenerator für Marketing-E-Mails ist kein Hochrisiko. Ein HR-Tool, das deine Shortlist der Bewerbenden erstellt und dem du dann meist folgst, könnte es sein.
Stufe 3: Begrenzte Risiken
Hier gelten Transparenzpflichten — aber keine vollständige Konformitätsbewertung:
- Chatbots und KI-Assistenten: Nutzer müssen wissen, dass sie mit einer KI sprechen
- Deepfake-Generatoren: Erzeugte Bilder und Videos müssen als KI-generiert gekennzeichnet sein
- Emotionserkennungssysteme außerhalb von Arbeit und Bildung
Für viele Unternehmen relevant: Der KI-Chatbot auf der Website fällt in diese Kategorie. Kennzeichnungspflicht, fertig.
Stufe 4: Minimale Risiken
Alles andere: Spamfilter, KI-Empfehlungsalgorithmen, Content-Generatoren für Marketing, KI in Spielen. Keine spezifischen Pflichten aus dem EU AI Act. Freiwillige Verhaltenskodizes sind möglich, aber nicht verpflichtend.
Bußgelder: Drei Stufen, nicht eine
Hier liegt einer der häufigsten Fehler in Berichten über den EU AI Act: Die Strafen werden pauschal als “bis zu 30 Millionen Euro” dargestellt. Das stimmt so nicht — es gibt drei Stufen.
Stufe 1 — Verbotene KI einsetzen: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes (je nachdem, was höher ist).
Für ein Unternehmen mit 50 Millionen Euro Umsatz wären das bis zu 3,5 Millionen Euro — schon bei einem einzigen Verstoß gegen die Verbote.
Stufe 2 — Verstöße gegen Hochrisiko-Anforderungen: Bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.
Stufe 3 — Falsche oder irreführende Angaben: Bis zu 7,5 Millionen Euro oder 1,5 Prozent des weltweiten Jahresumsatzes.
Für KMU gilt: Die Obergrenze ist jeweils der niedrigere der beiden Werte — also kein Fall, in dem 7 Prozent Umsatz mehr als 35 Millionen Euro ergeben würden. Aber “Erleichterungen für KMU” bedeutet nicht, dass kleine Unternehmen nicht haften.
Anbieter oder Betreiber — wer hat welche Pflichten?
Das ist die zweite große Verwechslung. Der EU AI Act unterscheidet klar:
Anbieter (Provider): Wer das Hochrisiko-System entwickelt und auf den Markt bringt. Trägt die Hauptlast: technische Dokumentation, Konformitätsbewertung, EU-Datenbankregistrierung.
Betreiber (Deployer): Wer ein fertiges Hochrisiko-System im eigenen Unternehmen einsetzt. Leichtere Pflichten — aber keine null.
Was Betreiber konkret tun müssen:
- Sicherstellen, dass das System nur für seinen vorgesehenen Zweck eingesetzt wird
- Mitarbeiter schulen, die mit dem System arbeiten
- Menschliche Aufsicht gewährleisten — es muss jemanden geben, der Entscheidungen prüfen und übersteuern kann
- Vorfälle und ernsthafte Risiken an den Anbieter und gegebenenfalls an Behörden melden
- Protokolle aufbewahren (Logging-Daten, mindestens 6 Monate)
Die KMU-Checkliste für August 2026
Kein rechtliches Handbuch — aber ein strukturierter Startpunkt, der die häufigsten Lücken schließt.
Schritt 1: KI-Inventar Liste alle KI-Systeme auf, die dein Unternehmen nutzt oder plant einzusetzen. Auch Drittanbieter-Software. Auch “integrierte KI” in Excel-Tabellen oder CRM-Systemen.
Schritt 2: Kontextcheck Für jedes System: In welchem der oben genannten Hochrisiko-Bereiche läuft es? Trifft es Entscheidungen über Personen, die erhebliche Konsequenzen haben?
Schritt 3: Grauzonen klären Bei Unsicherheit: Eher vorsichtig einordnen. Die Kosten einer falschen “Kein Hochrisiko”-Einschätzung sind deutlich höher als ein übervorsichtiger Compliance-Aufwand.
Schritt 4: Anbieter befragen Für jedes potenzielle Hochrisiko-Tool: Anfrage an den Anbieter schriftlich, ob er AI-Act-konform ist und welche Dokumentation er bereitstellt. Seriöse Anbieter haben Antworten. Wer schweigt, ist ein Warnsignal.
Schritt 5: Interne Verantwortung klären Wer ist für KI-Compliance zuständig? Ohne Namen und Mandat passiert nichts. Das kann der Datenschutzbeauftragte, die IT-Leitung oder ein eigener KI-Beauftragter sein.
Schritt 6: Technische Dokumentation beginnen Was tut das System? Welche Daten verarbeitet es? Wer hat Zugriff? Welche Tests wurden durchgeführt? Auch für zugekaufte Systeme musst du als Betreiber Grundlagen kennen und dokumentieren.
Schritt 7: Logging prüfen Protokolliert dein System seine Entscheidungen und Empfehlungen? Wenn nicht: Ist das beim Anbieter nachrüstbar? Protokollierung ist für Hochrisiko-Systeme Pflicht.
Schritt 8: Menschliche Aufsicht implementieren Wie kann eine Person die KI-Empfehlung prüfen, ablehnen oder übersteuern? Dieser Prozess muss klar definiert und bekannt sein — nicht nur theoretisch existieren.
Schritt 9: Betroffene informieren Wenn dein System Entscheidungen über Personen beeinflusst (z. B. Bewerber), müssen diese wissen, dass KI im Spiel ist. Transparenz ist Pflicht — kein Detail im Kleingedruckten.
Schritt 10: Mitarbeiter schulen Alle, die mit dem Hochrisiko-System arbeiten, müssen die Grundlagen kennen. Kein juristisches Seminar — aber: Was ist Hochrisiko? Was darf ich nicht tun? Was tue ich bei einem Fehler?
Schritt 11: Risikomanagement-Prozess aufbauen Kein einmaliger Check, sondern ein laufendes Verfahren. Wer überwacht, ob das System korrekt funktioniert? Wer reagiert, wenn etwas schiefläuft?
Schritt 12: Rechtliche Beratung einholen Für jedes System, das tatsächlich Hochrisiko sein könnte: Gespräch mit einem spezialisierten Anwalt. Die Bußgelder machen Beratungskosten schnell rentabel.
Was noch nicht final geklärt ist
Ehrlichkeit gehört dazu: Der EU AI Act lässt in der Praxis Fragen offen.
Die Klassifizierungsgrenzen sind nicht für alle Fälle eindeutig. Die Leitlinien der EU-Kommission helfen, aber Rechtsprechung gibt es kaum. Besonders bei “unterstützenden” Systemen — KI, die nur empfiehlt, aber der Mensch entscheidet — ist die Abgrenzung unscharf.
Die nationalen Aufsichtsbehörden wurden erst kürzlich eingerichtet. Wie aktiv sie prüfen werden und welche Praxisnähe sie zeigen, ist noch offen.
Trotzdem: Nichts zu tun ist keine sinnvolle Strategie. Wer bei einer ersten Prüfung zumindest nachweislich mit dem Inventar begonnen hat, steht besser da als jemand, der den Termin ignoriert hat.
Der Zusammenhang mit DSGVO
Viele Hochrisiko-KI-Anforderungen überschneiden sich mit dem, was die DSGVO ohnehin verlangt. Wer bereits Datenschutzprozesse aufgebaut hat, hat gute Grundlagen — besonders für Dokumentation und Transparenzpflichten.
Aber: Die KI-spezifischen Anforderungen kommen obendrauf. DSGVO-Konformität bedeutet nicht automatisch EU-AI-Act-Konformität.
Weiterführende Artikel
Einen kompakten Überblick speziell für den August-2026-Stichtag findest du in EU AI Act: Was ab August 2026 für dein Unternehmen gilt. Wenn du tiefer in die Frage einsteigen willst, welche Systeme genau unter Hochrisiko fallen, hilft Hochrisiko-KI nach dem EU AI Act: Was fällt darunter?. Für den breiteren Rechtsrahmen: KI und Recht — was Unternehmen 2026 beachten müssen.
Fazit
August 2026 ist in fünf Monaten. Das klingt nach genug Zeit — aber Inventar, Anbieterkommunikation, interne Abstimmung und Dokumentation brauchen Vorlauf.
Der wichtigste erste Schritt: Mach das Inventar. Welche KI-Systeme nutzt dein Unternehmen, und was tun sie konkret? Wer diese Frage beantwortet hat, weiß schnell, ob er mit minimalen Maßnahmen auskommt oder ob Handlungsbedarf besteht.
Die meisten KMU werden feststellen: Wir sind nicht besonders stark betroffen. Das aber weißt du erst, wenn du’s geprüft hast.
Wenn du über neue EU AI Act-Entwicklungen und praktische KI-Compliance-Tipps auf dem Laufenden bleiben möchtest, ist der KI-Syndikat-Newsletter der direkte Weg — ohne Fachjargon, einmal pro Woche.
Hinweis: Dieser Artikel ist allgemeine Information und kein Ersatz für rechtliche Beratung. Bei der konkreten Einstufung deiner KI-Systeme und bei Compliance-Fragen wende dich an einen spezialisierten Anwalt.