Zum Hauptinhalt springen
Kostenlose Diagnose

Glossar

25 Schlüsseldefinitionen der Verordnung

Pflichten

24 detaillierte Artikel mit Fristen

Zeitplan

Wichtige Termine von 2025 bis 2027

Diagnose

Identifizieren Sie Ihre Pflichten in 3 Minuten

KMU-Konformität

Prüfen Sie Ihre AI-Act-Pflichten in 30 Sekunden

Europäische Souveränität

100% in Frankreich gehostet

KI-Assistent

Kontextuelle KI mit abschnittsübergreifendem Gedächtnis

Dokumentenerstellung

Anhang-IV-konformer Text per KI generiert

Diagnose

Automatische Klassifizierung Ihres Systems

Versionierung

Vollständige Rückverfolgbarkeit Ihrer Projekte

Multi-Client

Multi-Client-Verwaltung für Agenturen

PDF-Export

Professionelle PDFs für das Audit

PreiseBlogAnmelden
ai act pmeconformité ai act 2026obligations déployeur ai actclassification risques ia

AI Act und KMU: Was Sie tun müssen, um vor August 2026 compliant zu sein

13. März 20269 min15
AI Act und KMU: Was Sie tun müssen, um vor August 2026 compliant zu sein

Auf einen Blick

Am 2. August 2026 treten die Pflichten des AI Acts für Hochrisiko-KI-Systeme und Transparenzregeln vollständig in Kraft. KMU sind nicht ausgenommen — ob sie KI-Systeme entwickeln oder nutzen, sie haben konkrete Verpflichtungen zu erfüllen. Ein praxisnaher Leitfaden zur Vorbereitung vor der Frist.

Wenn es um die Einhaltung des AI Acts (Verordnung EU 2024/1689) geht, dominieren große Technologiekonzerne häufig die Diskussion. KMU neigen dazu zu glauben, dass diese Regulierung sie nicht betrifft — zumindest noch nicht. Das ist ein Irrtum, der teuer werden kann.

Am 2. August 2026 treten die Pflichten für Hochrisiko-KI-Systeme und Transparenzanforderungen in Kraft. Ein KMU, das eine KI-gestützte HR-Plattform, ein Kreditscoring-Tool, einen Kundenservice-Chatbot oder ein automatisiertes Bewerbungsauswahlsystem nutzt, ist — ob es das weiß oder nicht — ein Betreiber im Sinne des AI Acts. Die Pflichten gelten für es.

KMU und AI Act: Wer ist genau betroffen?

Der AI Act unterscheidet zwei Hauptrollen:

  • Der Anbieter: die Stelle, die ein KI-System entwickelt und in Verkehr bringt
  • Der Betreiber: die Stelle, die ein KI-System im Rahmen einer beruflichen Tätigkeit nutzt

Die große Mehrheit der KMU sind Betreiber. Sie haben das KI-Modell nicht entwickelt — sie haben ein SaaS-Abonnement abgeschlossen, ein Tool in ihr CRM integriert oder eine API angebunden. Das befreit sie jedoch nicht. Artikel 26 der Verordnung definiert ihre Pflichten präzise.

Einige KMU sind auch Anbieter — jene, die Software mit eingebetteter KI entwickeln und vermarkten. In diesem Fall sind die Anforderungen deutlich umfangreicher (technische Dokumentation gemäß Anhang IV, CE-Kennzeichnung, Registrierung in der EU-Datenbank). Dieser Artikel konzentriert sich auf das häufigste Szenario: das KMU als Betreiber.

Schritt 1 — Inventarisieren Sie Ihre KI-Systeme

Sie können nicht compliant werden, was Sie nicht identifiziert haben. Die erste konkrete Maßnahme ist die Erstellung eines vollständigen Inventars aller in Ihrem Unternehmen genutzten KI-Systeme:

  • HR-Software mit automatischem Scoring (Personalauswahl, Leistungsbewertung)
  • Kundentools mit integriertem Chatbot oder generativer KI
  • Kreditscoring- oder Finanzanalysesysteme
  • Tools zur Mitarbeiterüberwachung oder Arbeitsanalyse
  • Alle SaaS-Lösungen, die in ihrer Dokumentation „KI", „Machine Learning" oder „prädiktiv" erwähnen

Notieren Sie für jedes identifizierte Tool: den Namen des Anbieters, die genaue KI-Funktion, die verarbeiteten Daten und die betroffenen Personen.

Schritt 2 — Klassifizieren Sie die Risiken

Nach Fertigstellung des Inventars klassifizieren Sie jedes System nach den Risikoniveaus des AI Acts:

  • Inakzeptables Risiko (verboten): allgemeines Social Scoring, unterschwellige Manipulation, bestimmte biometrische Verwendungen
  • Hohes Risiko (Anhang III): KI in der Personalauswahl, Mitarbeiterverwaltung, Zugang zu wesentlichen Dienstleistungen, Bildung
  • Begrenztes Risiko: Chatbots, generative Tools, Deepfakes — Transparenzpflichten gelten (Artikel 50)
  • Minimales Risiko: Spam-Filter, Inhaltsempfehlungen — keine spezifischen Pflichten

Die Klassifizierung bestimmt die Intensität Ihrer Pflichten. Ein KI-gestütztes Bewerbungsscreening-Tool fällt in die Kategorie „hohes Risiko" (Anhang III, Abschnitt 4): die geltenden Anforderungen sind erheblich.

Schritt 3 — Erfüllen Sie Ihre Betreiberpflichten

Für als hochriskant eingestufte Systeme verpflichtet Artikel 26 die Betreiber zu:

  • Effektive menschliche Aufsicht: wichtige Entscheidungen des Systems müssen von einer kompetenten Person überprüft, angefochten und korrigiert werden können. Diese Aufsicht muss real sein, nicht nur formal.
  • Protokollaufbewahrung: Sie müssen die vom KI-System automatisch erzeugten Protokolle im Einklang mit Ihren rechtlichen Verpflichtungen aufbewahren, um die Rückverfolgbarkeit im Streit- oder Prüfungsfall zu gewährleisten.
  • Nutzung gemäß Anbieteranweisungen: Sie dürfen das System nicht über seinen vorgesehenen Verwendungszweck hinaus einsetzen. Wenn der Anbieter bestimmte Verwendungen in seiner Dokumentation einschränkt, sind diese Einschränkungen für Sie verbindlich.
  • Information betroffener Personen: jede Person, die einer Entscheidung unterliegt, die durch ein Hochrisiko-KI-System getroffen oder beeinflusst wurde, muss darüber informiert werden (Artikel 50 und Artikel 26(6)).
  • Grundrechte-Folgenabschätzung (Artikel 27): für Behörden und bestimmte Betreiber wesentlicher Dienste verpflichtend. Prüfen Sie, ob dies für Ihren Sektor gilt.

Schritt 4 — Verwalten Sie die Transparenz für alle anderen Systeme

Auch wenn keines Ihrer Systeme als hochriskant eingestuft wird, gilt Artikel 50 für alle Tools, die mit Menschen interagieren oder Inhalte erzeugen:

  • Ein Chatbot auf Ihrer Website muss Nutzerinnen und Nutzern klar mitteilen, dass sie mit einer KI kommunizieren
  • Ein Inhaltsgenerierungstool (Texte, Bilder, Videos) muss darauf hinweisen, dass der Inhalt KI-generiert ist
  • Jeder Sprachsyntheseinhalt, der eine menschliche Stimme imitiert, muss als solcher gekennzeichnet sein

Diese Transparenzpflichten werden von KMU häufig unterschätzt, gelten aber ab dem 2. August 2026 — unabhängig vom Risikoniveau des Systems.

Schritt 5 — Sprechen Sie mit Ihren SaaS-Anbietern

Als Betreiber haben Sie das Recht — und die Verantwortung —, sicherzustellen, dass die von Ihnen genutzten Tools selbst compliant sind. Stellen Sie Ihren Anbietern konkret diese Fragen:

  • Ist Ihr System gemäß AI Act als hochriskant klassifiziert?
  • Verfügen Sie über technische Dokumentation gemäß Anhang IV?
  • Welche Trainingsdaten wurden verwendet und wie sind diese dokumentiert?
  • Welche Mechanismen zur menschlichen Aufsicht stellen Sie Ihren Kunden zur Verfügung?
  • Sind Sie für Hochrisikosysteme in der EU-Datenbank registriert?

Ein Anbieter, der diese Fragen nicht beantworten kann, stellt ein Compliance-Risiko für Ihr Unternehmen dar. Dies sollte in Ihren Verträgen festgehalten werden.

Was riskieren Sie, wenn Sie nichts unternehmen?

Der AI Act sieht ein abgestuftes Sanktionsregime vor:

  • Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken (Artikel 99(1))
  • Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes bei Nichteinhaltung der Pflichten für Hochrisikosysteme
  • Bis zu 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes bei unrichtigen Angaben gegenüber Behörden

Für KMU sieht die Verordnung ausdrücklich vor, dass die Aufsichtsbehörden Größe und verfügbare Ressourcen der Organisation berücksichtigen. Eine automatische Ausnahme gibt es jedoch nicht: Ein KMU kann die Regulierung nicht ignorieren — es kann lediglich von einer verhältnismäßigen Durchsetzung profitieren.

Wo konkret anfangen?

Die gute Nachricht: Sie brauchen kein dediziertes Rechtsteam, um anzufangen. Drei Maßnahmen genügen, um den Prozess einzuleiten:

  1. Inventar — listen Sie alle Ihre SaaS-Tools auf und fragen Sie, ob jedes eine KI-Komponente enthält
  2. Klassifizierung — bestimmen Sie für jedes identifizierte Tool das Risikoniveau gemäß Anhang III
  3. Dokumentation — beginnen Sie, Ihre Entscheidungen, Aufsichtsprozesse und Austausch mit Anbietern zu dokumentieren

Diese drei Schritte lassen sich innerhalb weniger Tage abschließen. Sie bilden das Fundament jeder soliden Compliance-Akte — und den Beweis, im Fall einer Prüfung, dass Sie vor der Frist in gutem Glauben gehandelt haben.

Die AiActo AI-Act-Diagnose führt Sie durch diese Klassifizierung und generiert automatisch die ersten Elemente Ihrer Compliance-Akte, abgestimmt auf Ihr Profil als Betreiber oder Anbieter.

Diesen Artikel teilen

Ähnliche Artikel

AI Act August 2026: Was sich für Hochrisiko-KI-Systeme und Transparenzpflichten ändert
ai act août 2026systèmes ia haut risqueobligations ai act

AI Act August 2026: Was sich für Hochrisiko-KI-Systeme und Transparenzpflichten ändert

Am 2. August 2026 treten die AI Act-Verpflichtungen für Hochrisiko-KI-Systeme (Anhang III) und Transparenzregeln (Artikel 50) in Kraft. Hier erfahren Sie, was sich konkret für Anbieter und Betreiber ändert und wie Sie sich vorbereiten können.

9. Februar 202610 min