Process Vision
← KI-News
Allgemein

EU AI Act 2026: Welche Pflichten für KMU jetzt konkret gelten

Die meisten Unternehmen im Mittelstand nutzen längst KI: ChatGPT für E-Mails, Copilot in Microsoft 365, einen Chatbot auf der Website, ein Tool für die Bewerbervorauswahl. Damit fallen sie unter den EU AI Act – die europäische KI-Verordnung, die seit 2025 schrittweise in Kraft tritt. Die gute Nachricht vorweg: Für die meisten KMU bedeuten die Pflichten keine Sonderabteilung und kein Compliance-Großprojekt. Sondern drei nüchterne Aufgaben, die sich gut in einem Nachmittag beginnen lassen.

Im Mai 2026 hat die EU mit dem sogenannten Digital Omnibus einige Fristen verschoben. Das hat für Verunsicherung gesorgt – und für die falsche Annahme, man könne das Thema jetzt aufschieben. Kann man nicht. Denn genau die Pflichten, die normale KMU betreffen, sind von der Verschiebung gar nicht berührt.

Was der EU AI Act 2026 tatsächlich verlangt

Der AI Act stuft KI-Systeme nach Risiko ein und knüpft daran unterschiedliche Pflichten. Der Zeitplan sieht Mitte 2026 so aus:

  • Seit 2. Februar 2025: Bestimmte Praktiken sind verboten (etwa Social Scoring). Und – für alle relevant – es gilt die Pflicht zur KI-Kompetenz der Mitarbeitenden nach Artikel 4.
  • Seit 2. August 2025: Transparenz- und Dokumentationspflichten für Anbieter von Allzweck-KI-Modellen (GPAI), dazu die Governance-Strukturen der Aufsicht.
  • Ab August 2026: Die Transparenzpflichten für Systeme mit begrenztem Risiko greifen – konkret die Kennzeichnung von Chatbots und KI-generierten Inhalten.
  • Verschoben: Die vollen Anforderungen an Hochrisiko-Systeme nach Anhang III (etwa Software für Bewerberauswahl oder Kreditscoring) gelten nun ab Dezember 2027 statt August 2026; für KI, die in regulierte Produkte eingebettet ist, ab August 2028.

Der Punkt, den man leicht übersieht: Verschoben wurde die Hochrisiko-Ebene. Die Pflichten, die praktisch jedes Unternehmen treffen – KI-Kompetenz und Kennzeichnung – bleiben. Wer wartet, spart also nichts, sondern sammelt Rückstand.

Schritt 1: Die Risikoklasse Ihrer Systeme bestimmen

Bevor Sie über Maßnahmen nachdenken, brauchen Sie eine Übersicht: Welche KI setzen wir überhaupt ein, in welchem Prozess, mit welchen Daten? Diese Inventur ist der Kern der ganzen Sache. Ordnen Sie jedes System einer der vier Stufen zu:

  • Verboten: Praktiken wie manipulative Systeme oder Social Scoring. Für KMU faktisch kein Thema.
  • Hochrisiko: etwa KI in der Personalauswahl, bei Kreditentscheidungen oder in der Zugangskontrolle. Hier gelten die strengen, jetzt verschobenen Pflichten – prüfen Sie, ob eines Ihrer Tools darunterfällt.
  • Begrenztes Risiko: Chatbots und generative KI. Hier greift vor allem die Kennzeichnungspflicht.
  • Minimales Risiko: der Großteil der Alltags-Tools. Keine besonderen Pflichten, aber KI-Kompetenz gilt trotzdem.

In der Praxis liegen bei den meisten unserer Kunden über 90 Prozent der Anwendungen in den unteren beiden Stufen. Die eigentliche Arbeit steckt nicht in der Bürokratie, sondern darin, den Überblick erst einmal herzustellen. Wenn Sie dabei ohnehin Ihre Abläufe durchleuchten, lohnt sich der Blick über die reine Compliance hinaus – eine KI-Prozessanalyse deckt neben den Risiken auch die ungenutzten Automatisierungspotenziale auf.

Transparenz- und Kennzeichnungspflichten

Wer mit einem Chatbot kommuniziert, muss erkennen können, dass ein System und kein Mensch antwortet. Und wer Texte, Bilder oder Videos mit KI erzeugt und veröffentlicht, muss diese als KI-generiert kennzeichnen – besonders bei Inhalten, die als echt missverstanden werden könnten. Diese Transparenzpflichten sind für KMU der spürbarste Teil des AI Act.

Der Aufwand ist überschaubar: ein Hinweis im Chatfenster, ein Kennzeichnungsvermerk unter KI-erstellten Beiträgen, eine interne Regel, wann und wie gekennzeichnet wird. Wenn Sie KI-Systeme neu einführen oder auf der Website betreiben, sollte diese Kennzeichnung von Anfang an mitgedacht sein. Genau darauf achten wir, wenn wir als KI-Agentur Chatbots oder generative Anwendungen für unsere Kunden umsetzen.

KI-Kompetenz nach Artikel 4: die Pflicht, die schon gilt

Artikel 4 verlangt seit Februar 2025, dass Mitarbeitende, die mit KI arbeiten, über ausreichende KI-Kompetenz verfügen. Das ist keine Formalie und lässt sich nicht durch eine Software erledigen. Gemeint ist, dass Ihr Team versteht, was die eingesetzten Systeme können, wo ihre Grenzen liegen und wo Vorsicht geboten ist – etwa beim Umgang mit personenbezogenen Daten oder bei der Prüfung von KI-Ausgaben.

Diese Pflicht besteht heute, ohne Übergangsfrist, und sie ist der häufigste blinde Fleck. Viele Unternehmen haben KI-Tools freigegeben, aber niemanden dafür geschult. Eine praxisnahe KI-Schulung zum EU-KI-Gesetz deckt beides ab: Sie erfüllt die Anforderung aus Artikel 4 und macht Ihr Team gleichzeitig produktiver im Umgang mit den Werkzeugen, die es ohnehin nutzt.

Dokumentation und menschliche Aufsicht

Für Systeme mit geringem Risiko müssen Sie kein umfangreiches Compliance-Dossier führen. Sinnvoll ist trotzdem eine schlanke Dokumentation: Welche KI setzen wir wofür ein, welche Risikoklasse haben wir zugeordnet, wer ist verantwortlich, wie kennzeichnen wir? Ein zweiseitiges Dokument genügt in den meisten Fällen – und es ist genau das, was Sie brauchen, wenn eine Behörde oder ein Kunde nachfragt.

Dazu gehört das Prinzip der menschlichen Aufsicht: KI-Ergebnisse werden nicht ungeprüft übernommen. Eine erstellte E-Mail, ein generierter Vertragsentwurf, eine Vorauswahl von Bewerbungen – am Ende schaut ein Mensch darüber und trägt die Verantwortung. Das ist weniger eine juristische als eine organisatorische Frage: Legen Sie fest, an welchen Stellen kontrolliert wird.

Was das für 90 Prozent der KMU praktisch heißt

Reduziert man den EU AI Act auf das, was ein durchschnittliches mittelständisches Unternehmen wirklich tun muss, bleiben drei Aufgaben:

  • Inventur: Auflisten, welche KI im Haus genutzt wird, und jeder Anwendung eine Risikoklasse zuordnen.
  • Schulung: Die Mitarbeitenden für den Umgang mit diesen Systemen fit machen – die KI-Kompetenz nach Artikel 4.
  • Saubere Prozesse: Kennzeichnung, eine schlanke Dokumentation und klare Kontrollpunkte im Alltag verankern.

Das ist kein Bürokratiemonster, sondern gute Betriebshygiene. Unternehmen, die diese drei Punkte abgearbeitet haben, gehen deutlich gelassener in Audits und Kundenanfragen – und nutzen KI meist auch schlicht besser, weil sie wissen, was sie tun.

Der nächste Schritt

Dieser Beitrag ordnet die Lage ein, ersetzt aber keine Rechtsberatung für Ihren konkreten Einzelfall. Wenn Sie wissen möchten, welche Ihrer Systeme unter welche Stufe fallen und wo Sie ansetzen sollten, klären wir das am schnellsten im Gespräch. In einem kostenfreien Erstgespräch schauen wir gemeinsam auf Ihre KI-Nutzung und benennen die konkreten nächsten Schritte – nüchtern und ohne Panik. Vereinbaren Sie Ihr Erstgespräch mit Process Vision aus Zwickau.

Quellen