News
🚀 Professionelle Websites in 2–7 Tagen — jetzt kostenlos beraten lassen! ⭐ 5.0 Google-Bewertung — über 30 zufriedene Kunden in DE, AT & CH 📢 Google Ads Management — sofort auf Seite 1 erscheinen 🎯 Mehr Kunden, mehr Anfragen — kostenlose Beratung sichern! 💡 Website + Google Ads + SEO = maximale Sichtbarkeit für Ihr Business ⚡ Ergebnisse garantiert — oder Geld zurück
08.07.2026 9 Min Lesezeit

EU AI Act ab August 2026: Was KMU jetzt tun müssen

Am 2. August 2026 greifen die Hochrisiko-Regeln des EU AI Act — auch für kleine Unternehmen. Wer KI-Tools im Recruiting, in der Bonitätsprüfung oder Kundenbewertung einsetzt, braucht ab dann dokumentierte Prozesse. Dieser Artikel zeigt, was konkret zu tun ist.

Was der EU AI Act für KMU bedeutet

Der EU AI Act ist seit dem 1. August 2024 in Kraft. Die Übergangsfrist für die meisten Bestimmungen endet am 2. August 2026 — in weniger als vier Wochen. Ab diesem Datum gelten strenge Pflichten für sogenannte Hochrisiko-KI-Systeme, und zwar nicht nur für Tech-Konzerne.

Auch ein Handwerksbetrieb mit 15 Mitarbeitern, der ein KI-gestütztes Bewerbertool nutzt, fällt unter die Verordnung. Auch eine Steuerberatungskanzlei, die automatisierte Bonitätsscores ihrer Mandanten erstellt. Auch ein Online-Shop, der KI-basierte Kreditentscheidungen trifft.

Der entscheidende Punkt: Es geht nicht darum, ob Sie KI entwickeln — es reicht, wenn Sie ein Hochrisiko-KI-System betreiben. Und genau das tun viele KMU bereits, oft ohne es zu wissen.

Info

Laut Anhang III des EU AI Act fallen acht Anwendungsbereiche unter die Hochrisiko-Kategorie, darunter HR-Tools, Bonitätsprüfung, Bildungsbewertung und biometrische Identifikation. Die vollständige Liste ist unter ai-act-law.eu einsehbar.

Welche KI-Anwendungen als Hochrisiko gelten

Nicht jede KI-Nutzung ist betroffen. ChatGPT für E-Mails oder Canva mit KI-Bildgenerierung fallen nicht unter Hochrisiko. Die Verordnung zielt auf Systeme, deren Entscheidungen Grundrechte, Gesundheit oder wirtschaftliche Existenz von Menschen beeinflussen können.

Für KMU in Deutschland sind vor allem diese Bereiche relevant:

HR und Recruiting: Wenn ein KI-Tool Bewerbungen vorsortiert, Kandidaten-Scores erstellt oder Vorauswahlen trifft — egal ob als Plugin in Ihrem Bewerbermanagement oder als eigenständige Software.

Kreditwürdigkeit und Bonitätsprüfung: Wenn Sie KI-gestützte Systeme einsetzen, die über Zahlungsfähigkeit oder Kreditvergabe entscheiden — auch indirekt, etwa bei automatisierten Lieferantenbewertungen.

Zugang zu Dienstleistungen: Wenn KI darüber entscheidet, welcher Kunde welches Angebot bekommt, welche Versicherungskonditionen gelten oder wer priorisiert behandelt wird.

✓ Tun

  • KI-Tools-Inventar erstellen
  • Anbieter nach AI-Act-Konformität fragen
  • Schulungsnachweis dokumentieren
  • Menschliche Aufsicht zuweisen

✗ Lassen

  • Abwarten bis Prüfung kommt
  • Annehmen dass nur Tech-Firmen betroffen sind
  • KI-Nutzung verschweigen
  • Ohne Dokumentation weitermachen

Die fünf konkreten Pflichten für KMU-Betreiber

Wer ein Hochrisiko-KI-System betreibt — und „betreiben" heißt: es unter eigener Verantwortung einsetzen — muss ab dem 2. August 2026 fünf Pflichten erfüllen:

1. KI-Kompetenznachweis: Alle Mitarbeiter, die mit dem KI-System arbeiten, müssen nachweislich geschult sein. Das BSI verlangt dokumentierte Schulungen zu Risiken, Grenzen und korrekter Anwendung des Systems. Ein einfacher Hinweis „nutzt Tool X" reicht nicht.

2. Menschliche Aufsicht: Jede Entscheidung, die das KI-System trifft und die einen Bewerber, Kunden oder Bürger betrifft, muss von einem qualifizierten Menschen überprüft und gegebenenfalls überschrieben werden können. Vollautomatische Ablehnungen ohne menschliche Kontrolle sind nicht mehr zulässig.

3. Technische Dokumentation: Sie müssen nachweisen können, welches System Sie einsetzen, welche Daten es verarbeitet, wie Entscheidungen zustande kommen und welche Maßnahmen gegen Diskriminierung getroffen wurden. Die Dokumentation muss für das BSI jederzeit abrufbar sein.

4. Logging und Nachvollziehbarkeit: Das System muss automatische Protokolle (Logs) erstellen, die aufbewahrt werden. Diese Logs müssen zeigen, wann welche Entscheidung getroffen wurde und auf welcher Datengrundlage.

5. Risikomanagement: Es muss ein dokumentiertes Risikomanagement existieren — kein 50-seitiges Konzept, aber eine nachvollziehbare Beschreibung der identifizierten Risiken und der Gegenmaßnahmen.

Pflichten-Checkliste

  • ✓ KI-Inventar aller eingesetzten Systeme erstellt
  • ✓ Hochrisiko-Einstufung geprüft (Anhang III)
  • ✓ Mitarbeiter-Schulung dokumentiert
  • ✓ Menschliche Aufsichtsperson benannt
  • ✓ Technische Dokumentation beim Anbieter angefordert
  • ✓ Logging aktiviert und Aufbewahrungsfrist definiert
  • ✓ Risikobewertung verschriftlicht

Was das BSI ab August prüft

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutschland die zuständige Marktüberwachungsbehörde für den AI Act. Das BSI hat angekündigt, ab August 2026 aktiv zu prüfen — nicht erst bei Beschwerden, sondern proaktiv.

Die Behörde kann:

  • Bußgelder verhängen: Bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes — wobei für KMU und Start-ups jeweils der niedrigere Betrag gilt.
  • Den Betrieb untersagen: Das BSI kann die Nutzung eines KI-Systems stoppen, bis die Compliance hergestellt ist.
  • Rückrufe anordnen: In schweren Fällen kann das System vollständig vom Markt genommen werden.

Realistisch betrachtet: Das BSI wird nicht am 3. August bei jedem Friseursalon klingeln. Die ersten Prüfungen werden sich auf offensichtliche Hochrisiko-Anwendungen konzentrieren — große HR-Plattformen, Finanzdienstleister, öffentliche Verwaltung. Aber: Wer bei einer Beschwerde (etwa eines abgelehnten Bewerbers) keine Dokumentation vorweisen kann, hat ein Problem.

Info

Das KI-MIG (KI-Marktinnovationsgesetz) ist das deutsche Durchführungsgesetz zum EU AI Act. Es konkretisiert Zuständigkeiten und Bußgeldrahmen auf nationaler Ebene. Details unter advisori.de.

Praktischer 4-Wochen-Plan für KMU

Vier Wochen sind nicht viel, aber ausreichend für die Grundlagen. Hier ein realistischer Fahrplan:

Woche 1 — Inventar erstellen: Listen Sie alle KI-Tools auf, die in Ihrem Unternehmen eingesetzt werden. Nicht nur die offensichtlichen (ChatGPT, Copilot), sondern auch eingebettete KI in Ihrer Buchhaltungssoftware, Ihrem CRM oder Bewerbermanagement. Fragen Sie jeden Abteilungsleiter direkt.

Woche 2 — Hochrisiko-Check: Gleichen Sie Ihre Liste mit Anhang III des AI Act ab. Die meisten Tools fallen nicht unter Hochrisiko. Wenn doch: Kontaktieren Sie den Anbieter und fordern Sie die technische Dokumentation an. Seriöse Anbieter haben diese bereits vorbereitet.

Woche 3 — Schulung und Aufsicht: Erstellen Sie eine einfache Schulungsunterlage für die Mitarbeiter, die mit Hochrisiko-Systemen arbeiten. Benennen Sie eine Aufsichtsperson pro System. Dokumentieren Sie beides schriftlich — Datum, Teilnehmer, Inhalte.

Woche 4 — Dokumentation zusammenführen: Fassen Sie Inventar, Risikobewertung, Schulungsnachweise und Aufsichtszuständigkeiten in einem Ordner zusammen. Digital reicht, aber es muss abrufbar sein. Testen Sie: Könnten Sie bei einer BSI-Anfrage innerhalb von 48 Stunden alles vorlegen?

Was die meisten KMU falsch einschätzen

Drei Irrtümer begegnen uns regelmäßig:

„Wir nutzen ja gar keine KI." Doch, wahrscheinlich schon. Wenn Ihre Buchhaltungssoftware automatische Zahlungserinnerungen priorisiert, Ihr CRM Lead-Scores berechnet oder Ihr Bewerbertool Lebensläufe vorsortiert — das ist KI. Nicht jede davon fällt unter Hochrisiko, aber wissen sollten Sie es.

„Das betrifft nur große Unternehmen." Der AI Act unterscheidet nicht nach Unternehmensgröße, sondern nach Risikokategorie des eingesetzten Systems. Ein Einzelunternehmer, der ein Hochrisiko-KI-System betreibt, hat dieselben Pflichten wie ein DAX-Konzern. Nur die Bußgelder sind gedeckelt.

„Unser Anbieter kümmert sich darum." Teilweise richtig: Der Anbieter (Provider) hat eigene Pflichten — etwa die CE-Kennzeichnung und technische Konformität. Aber die Betreiberpflichten (Schulung, Aufsicht, Logging) liegen bei Ihnen. Sie können sie nicht vollständig an den Anbieter delegieren.

Was KMU jetzt konkret tun sollten

Der EU AI Act ist kein Grund zur Panik, aber ein Grund zum Handeln. Die gute Nachricht: Für die meisten KMU ist der Aufwand überschaubar, weil die wenigsten tatsächlich Hochrisiko-Systeme betreiben. Die schlechte Nachricht: Wer es nicht prüft, kann das nicht wissen — und Unwissenheit schützt nicht vor Bußgeldern.

Drei Sofortmaßnahmen, die jedes KMU diese Woche umsetzen kann:

1. KI-Inventar erstellen — 30 Minuten, eine Tabelle, alle Tools auflisten 2. Anhang III gegenlesen — 15 Minuten, die acht Hochrisiko-Kategorien mit der eigenen Liste abgleichen 3. Anbieter kontaktieren — eine E-Mail pro Hochrisiko-Tool mit der Frage: „Sind Sie AI-Act-konform? Können Sie die technische Dokumentation bereitstellen?"

Wer diese drei Schritte erledigt, hat die kritischste Lücke geschlossen: das Nicht-Wissen. Alles Weitere — Schulungen, Dokumentation, Aufsichtsstrukturen — lässt sich darauf aufbauen.

Bereit für den AI Act?

Sie wollen wissen, ob Ihre KI-Tools unter die Hochrisiko-Kategorie fallen? Wir prüfen Ihren Tech-Stack und erstellen eine klare Handlungsempfehlung — kostenlos und unverbindlich.

"Kostenlose KI-Analyse anfragen" →