KI 23. Februar 2026 · Milan Cák

AI Act in der Praxis: Was ein KMU 2026 wissen muss

EU-Verordnung 2024/1689 für KMU: 4 Risikostufen, konkrete Use Cases, Human Oversight, Strafen bis 35 Mio. EUR. Praktischer Compliance-Leitfaden.

Die Verordnung des Europäischen Parlaments und des Rates (EU) 2024/1689 über künstliche Intelligenz – bekannt als AI Act – trat am 1. August 2024 in Kraft. 2026 werden ihre Schlüsselverpflichtungen für alle Unternehmen aktiviert, die KI einsetzen oder mit ihr arbeiten. Strafen reichen bis zu 35 Millionen EUR oder 7 % des weltweiten Umsatzes (je nachdem, was höher ist). Für KMU bedeutet der AI Act konkrete Verpflichtungen, von denen die meisten Unternehmen bisher nichts ahnen. Gehen wir durch, was Sie tatsächlich wissen müssen – ohne juristisches Kauderwelsch.

Warum der AI Act auch kleinere Unternehmen betrifft

Verbreiteter Mythos: „Der AI Act ist für OpenAI und große KI-Firmen, uns betrifft er nicht.“ Das Gegenteil ist wahr. Der AI Act unterscheidet drei Rollen:

Providers – Entwickler/Anbieter von KI-Systemen (OpenAI, Anthropic, auch Softwarefirmen aus der Slowakei und Deutschland)
Deployers – Unternehmen, die KI nutzen (Ihre HR-Abteilung mit KI-Assistant)
Importers / Distributors – Unternehmen, die KI vertreiben

Wenn Sie im Unternehmen ChatGPT, Claude, Microsoft Copilot, Gemini oder ein HR/CRM-System mit KI-Funktionalität nutzen, sind Sie ein Deployer. Und Deployer haben Verpflichtungen – insbesondere bei KI-Systemen mit hohem Risiko.

4 Risikostufen von KI-Systemen – was wo hingehört

Der AI Act klassifiziert KI-Systeme in 4 Kategorien nach Risiko.

Stufe 1: Inakzeptables Risiko (verboten)

Was hierher gehört: Social Scoring von Bürgern (chinesisches Modell), unterschwellige Manipulationstechniken, Emotionserkennung am Arbeitsplatz (!), biometrische Kategorisierung nach Rasse/politischen Ansichten, Echtzeit-Ferngerichtete Biometrie im öffentlichen Raum.

Was bedeutet das für KMU: Sie können kein KI-System einsetzen, das:

Den emotionalen Zustand der Mitarbeiter im Open Space erkennt (auch wenn Sie wollten)
Mitarbeiter nach politischen Ansichten bewertet
Manipulative Werbung auf Basis schutzbedürftiger Gruppen erstellt (Kinder, depressive Menschen)

Wirksamkeit: Ab 2. Februar 2025.

Stufe 2: Hohes Risiko

Was hierher gehört (für KMU relevant):

KI im HR – CV-Screening, Leistungsbewertung, Entscheidungen über Einstellung/Beförderung
KI in Krediten / Credit Scoring
KI in der Notenbewertung im Bildungswesen
KI in der Entscheidung über Sozialleistungen
KI in der kritischen Infrastruktur (Energie, Wasser)

Was bedeutet das für KMU: Wenn Sie KI für die automatische Vorsortierung von Lebensläufen nutzen, müssen Sie:

Human Oversight haben (Mensch muss vor jeder wichtigen Entscheidung im Loop sein)
Den Betrieb protokollieren (Log)
Bewerber informieren, dass KI verwendet wird
Risk Management System haben (DPIA + KI-Risikobewertung)
Qualität der Trainingsdaten sicherstellen (no Bias)

Wirksamkeit: Hauptwelle 2. August 2026.

Stufe 3: Begrenztes Risiko – Transparenz

Was hierher gehört:

Chatbots (müssen sich als KI identifizieren)
Deepfake – generierte Bilder/Videos müssen gekennzeichnet sein
KI-Systeme, die Emotionen/Biometrie erkennen (außerhalb von Hochrisiko-Fällen)

Was bedeutet das für KMU: Wenn Sie auf der Website einen KI-Chatbot haben, müssen Sie eindeutig schreiben „Sie kommunizieren mit einem KI-Assistenten“. Wenn Sie KI für die Erstellung von Marketing-Fotografien verwenden (Deepfake-ähnlich), müssen sie gekennzeichnet sein.

Wirksamkeit: 2. August 2026.

Stufe 4: Minimales Risiko (die meisten KIs)

Was hierher gehört: Spam-Filter, KI in Spielen, Empfehlungsalgorithmen, KI-Assistent im Texteditor, automatische Rechnungskategorisierung, Cashflow-Anomalien, prädiktive Bestandsmodelle.

Was bedeutet das für KMU: Keine Verpflichtungen über DSGVO hinaus. Können Sie ohne Einschränkungen nutzen. Aber auch hier ist eine interne KI-Policy gut.

Human Oversight – was bedeutet das wirklich

„Human in the Loop“ ist im AI Act ein Schlüsselkonzept. Es genügt nicht, dass die KI eine Entscheidung vorschlägt und der Mensch OK klickt. Folgendes muss sichergestellt sein:

Fähigkeit des Menschen zu verstehen, was die KI ausgibt (keine Blackbox)
Fähigkeit einzugreifen – überschreiben, abbrechen, stoppen
Schulung der Personen, die mit KI arbeiten
Prozessdokumentation – wer, wann, wie kontrolliert hat

Konkretes Beispiel: Im Recruiting-Unternehmen verwenden Sie KI zur Bewertung von Lebensläufen. Bewerbern mit niedrigem Score können Sie keine automatische Absage senden. Jeden Lebenslauf muss ein HR-Manager sehen, der die Möglichkeit hat, die KI-Bewertung abzulehnen.

6 konkrete KI-Use-Cases im KMU und ihre Klassifikation

Use Case	Risikostufe	Verpflichtungen
Rechnungskategorisierung (OCR + KI)	Minimal	Keine (nur DSGVO)
Chatbot auf der Website	Begrenzt	Transparenz
KI im CRM – Lead-Score	Minimal	Keine besonderen
KI für CV-Screening beim Recruiting	Hoch	Human Oversight + DPIA + Log + Info
KI für Leistungsbewertung der Mitarbeiter	Hoch	Human Oversight + DPIA + Log
ChatGPT/Claude für Texterstellung	Minimal	Interne KI-Policy

Tipp: Wenn Sie sich bei der Klassifikation unsicher sind, verwenden Sie einen einfachen Test: „Trifft die KI eine Entscheidung, die direkt die Arbeit, Karriere, Finanzen oder Grundrechte einer konkreten Person beeinflusst?“ Wenn ja – wahrscheinlich hohes Risiko.

Praktische KI-Policy für KMU – das Minimum, das Sie 2026 brauchen

Jedes Unternehmen, das KI nutzt (und 2026 wird das jedes sein), sollte eine kurze interne KI-Policy haben. Empfohlener Inhalt:

Liste genehmigter KI-Tools (Whitelist)
Verbot, sensible / Kundendaten in öffentliche KI (ChatGPT Free) einzugeben – nur in Enterprise-Versionen mit DPA
Transparenzregel: KI-generierter Inhalt muss gekennzeichnet sein
Human Review vor Veröffentlichung / Versand an Kunden
Liste der KI-Use-Cases mit Risikoklassifikation (alle 6 Monate aktualisieren)
Schulung mindestens einmal jährlich
Kontakt – wer im Unternehmen für KI-Fragen zuständig ist (DPO oder delegierter Manager)

Modulario stellt KI-Funktionen (Belegkategorisierung, Anomalien, Assistent) auf Stufe minimalen und begrenzten Risikos mit voller Transparenz und Human Oversight bereit. Mehr auf der KI-Seite und in der Sicherheitsdokumentation.

Strafen – was es Sie kosten kann

Der AI Act definiert 3 Strafstufen:

Verstoß	Maximum	Für wen
Verwendung verbotener KI-Praktiken	35 Mio. EUR / 7 % Umsatz	Alle
Nichterfüllung der Pflichten bei Hochrisiko-KI	15 Mio. EUR / 3 % Umsatz	Providers, Deployers
Bereitstellung falscher Informationen an den Regulator	7,5 Mio. EUR / 1 % Umsatz	Alle

Für KMU klingt das abstrakt, aber Regulatoren bestätigen, dass sie proportional bestrafen werden – die typische Strafe für ein KMU wird im Bereich von 10.000 – 100.000 EUR erwartet, was für ein Unternehmen mit 20 Personen existenzbedrohend ist.

Checkliste für KMU für 2026

Machen Sie ein Audit aller KI-Tools, die im Unternehmen verwendet werden (einschließlich Schatten-IT)
Klassifizieren Sie jedes nach Risikostufe
Schreiben Sie eine 1-seitige KI-Policy und kommunizieren Sie sie an das Team
Heben Sie den Zugriff auf öffentliche KI-Tools (ChatGPT Free) für sensible Daten auf
Aktualisieren Sie die DSGVO-Dokumentation – DPIA für KI-Nutzung
Bei Recruiting / HR-KI: Etablieren Sie einen formalen Human-Oversight-Prozess
Kennzeichnen Sie Chatbots und KI-generierten Inhalt auf der Website
Fügen Sie KI-Schulung zum Onboarding hinzu

Fazit

Der AI Act ist keine existenzielle Bedrohung für KMU – er ist ein Rahmen, der Kunden und Mitarbeiter vor KI-Missbrauch schützt. Die meisten KMU-KI-Anwendungen (OCR, Kategorisierung, Text-Assistenten) fallen in das minimale Risiko und erfordern nicht mehr als eine interne Policy und Schulung. Risikobereiche (HR, Scoring) erfordern Human Oversight und Dokumentation.

Nutzen Sie KI und möchten sicher sein, dass Sie mit dem AI Act konform sind? Sehen Sie sich an, wie Modulario KI angeht oder buchen Sie eine kostenlose 30-minütige Beratung. Wir gehen gemeinsam Ihren KI-Stack durch und bereiten Ihnen eine maßgeschneiderte Compliance-Checkliste vor.

Často kladené otázky

Was ist der AI Act und für wen gilt er 2026?

Der AI Act ist die EU-Verordnung 2024/1689 über künstliche Intelligenz, in Kraft seit 1.8.2024. Er gilt für drei Rollen: Provider (KI-Entwickler wie OpenAI, Anthropic), Deployer (Firmen, die KI nutzen wie ChatGPT, Copilot in HR/CRM) und Importeure/Distributoren. Wenn Ihre Firma ChatGPT, Microsoft Copilot, Gemini oder ein HR-System mit KI-Funktion nutzt, sind Sie Deployer mit konkreten Pflichten. Die Hauptwelle der Pflichten tritt am 2. August 2026 in Kraft.

Welche Strafen gibt es für AI Act-Verstöße?

Drei Stufen: (1) Verbotene KI-Praktiken - bis 35 € Mio. oder 7 % des weltweiten Umsatzes (was höher ist). (2) Verletzung von Hochrisiko-Pflichten (HR-KI, Credit Scoring) - bis 15 € Mio. oder 3 % des Umsatzes. (3) Falsche Auskünfte an Regulatoren - bis 7,5 € Mio. oder 1 % des Umsatzes. Für ein KMU mit 5 € Mio. Umsatz kann das 150.000-350.000 € bedeuten. Strafen verhängt die nationale Behörde - in Deutschland voraussichtlich die BNetzA, in der Slowakei die KI-Aufsichtsbehörde im Aufbau.

Welche KI-Systeme sind durch den AI Act verboten?

Seit 2.2.2025 verboten: Social Scoring von Bürgern (chinesisches Modell), unterschwellige Manipulationstechniken, Emotionserkennung am Arbeitsplatz, biometrische Kategorisierung nach Rasse/politischer Meinung, Echtzeit-Fernbiometrie im öffentlichen Raum. Für KMU am wichtigsten: Sie dürfen kein KI-System einsetzen, das den emotionalen Zustand von Mitarbeitern im Open-Space erkennt, Bewertung nach politischen Ansichten vornimmt oder manipulative Werbung an gefährdete Gruppen (Kinder, Depression) richtet.

Welche KI-Systeme gelten als „hohes Risiko“ laut AI Act?

KMU-relevant: (1) KI in HR - CV-Screening, Leistungsbewertung, Einstellungs-/Beförderungsentscheidungen. (2) Credit Scoring. (3) Notenbewertung in der Bildung. (4) Entscheidungen über Sozialleistungen. (5) KI in kritischer Infrastruktur (Energie, Wasser). Für Hochrisiko-KI müssen Sie: Human Oversight sicherstellen, Betrieb loggen, betroffene Personen informieren, DPIA + KI-Risikobewertung führen, Qualität der Trainingsdaten ohne Bias sichern. Wirksam 2. August 2026.

Was muss eine Firma tun, wenn sie einen KI-Chatbot auf der Website nutzt?

KI-Chatbot ist „begrenztes Risiko“ - Transparenzpflicht. Konkret: (1) klare Kennzeichnung „Sie kommunizieren mit einem KI-Assistenten“ beim ersten Kontakt, (2) Möglichkeit zur Eskalation an einen Menschen, (3) wenn der Chatbot personenbezogene Daten sammelt, gilt DSGVO + AI Act, (4) wenn er Deepfake-ähnliche Inhalte erzeugt (Marketing-Fotos), müssen diese gekennzeichnet sein. Wirksam 2. August 2026. Nichteinhaltung = Strafe bis 15 € Mio. oder 3 % des Umsatzes.

Was bedeutet Human Oversight im AI Act?

„Human in the Loop“ ist das Schlüsselkonzept. Es genügt nicht, dass die KI eine Entscheidung vorschlägt und ein Mensch OK klickt. Erforderlich: (1) Mensch versteht den KI-Output (keine Black Box), (2) Möglichkeit, Entscheidung vor Anwendung abzulehnen/anzupassen, (3) Möglichkeit, das System in Echtzeit zu stoppen, (4) klare Verantwortung - wer in der Organisation für die Entscheidung haftet. Für HR-KI im CV-Screening bedeutet das, dass jede Ablehnung vor dem Versand an den Kandidaten durch einen Menschen muss.

Wie bereitet man sich auf AI Act-Compliance in einem KMU vor?

Praktischer 5-Schritte-Plan: (1) KI-System-Inventar - Liste aller KI-Tools, die die Firma nutzt (ChatGPT, Copilot, KI in ERP/CRM/HR). (2) Risikoklassifizierung - kategorisieren Sie jedes System in die 4 AI Act-Stufen. (3) Für hohes Risiko - DPIA + KI-Risikobewertung, Dokumentation, Human Oversight Workflow. (4) Für begrenztes Risiko - Transparenzhinweise, Chatbot-Kennzeichnung. (5) Interne KI-Policy + Mitarbeiterschulung. KMU-Kosten: 5.000-15.000 € einmalig + 2.000-5 €.000 €/Jahr.