„Wir nutzen doch nur ChatGPT.“ Diesen Satz höre ich oft. Er klingt harmlos — und er ist es meistens auch. Aber er ist kein Freifahrtschein. Der EU AI Act unterscheidet nicht danach, ob ein Unternehmen KI entwickelt oder nur nutzt. Er unterscheidet nach Risikoklasse, Anwendungsfall und Konsequenz.

Das Gute: Die meisten KMU fallen nicht in die Hochrisiko-Kategorie. Das Schlechte: Dokumentations- und Governance-Pflichten treffen fast jeden — und werden regelmäßig unterschätzt.

Was das konkret bedeutet und was jetzt zu tun ist, kläre ich hier.

Vier Risikoklassen — eine kurze Einordnung

Der AI Act teilt KI-Systeme in vier Klassen ein. Die Klasse bestimmt, welche Pflichten gelten.

Verbotene KI

Systeme, die grundlegende Rechte verletzen: Social Scoring durch Behörden, biometrische Massenüberwachung in Echtzeit, manipulative KI ohne Bewusstsein der Betroffenen. Für KMU in der Praxis kaum relevant — aber wichtig zu kennen.

Hochrisiko-KI

Systeme in sensiblen Bereichen: Personalentscheidungen, Kreditwürdigkeit, kritische Infrastruktur, Bildung, Strafverfolgung. Hier gelten strenge Anforderungen: Konformitätsbewertung, Transparenzpflichten, menschliche Aufsicht, umfangreiche Dokumentation.

Begrenzt riskante KI

Chatbots, generative Systeme, Deepfakes. Die Kernpflicht: Transparenz. Nutzer müssen wissen, dass sie mit KI interagieren.

Minimales Risiko

Spam-Filter, KI-basierte Produktempfehlungen, einfache Automatisierungen. Keine besonderen Pflichten — aber auch hier gilt: wer es einsetzt, sollte es dokumentiert haben.

Welche KMU-Anwendungen fallen in welche Klasse?

Abstrakte Kategorien helfen wenig. Konkrete Beispiele helfen mehr.

HR-Screening mit KI-Unterstützung → Hochrisiko

Wer KI nutzt, um Bewerbungen vorzuselektieren, Eignung zu bewerten oder Kündigungsentscheidungen vorzubereiten, fällt unter die Hochrisiko-Kategorie. Das gilt auch dann, wenn ein Mensch die finale Entscheidung trifft — solange das System die Entscheidungsgrundlage beeinflusst. Konsequenz: Konformitätsbewertung, Bias-Prüfung, vollständige Dokumentation des Systems.

Kundenservice-Bot → begrenzt riskant

Ein Chat-Assistent auf der Website, der Anfragen beantwortet oder weiterleitet, fällt in die begrenzte Risikoklasse. Die zentrale Pflicht: Nutzer müssen erkennen können, dass sie mit einer KI kommunizieren. Ein diskreter Hinweis „Dieser Chat wird durch KI unterstützt“ reicht in den meisten Fällen aus.

Interne Wissensbasis mit KI-Suche → minimales Risiko

Ein internes Tool, das Dokumente durchsucht und Zusammenfassungen liefert, ist in der Regel minimal riskant. Keine besonderen Pflichten — aber eine kurze interne Dokumentation darüber, was das System tut, welche Daten es nutzt und wer dafür zuständig ist, ist trotzdem sinnvoll.

Die entscheidende Frage ist immer: Trifft oder beeinflusst das System Entscheidungen, die Menschen direkt betreffen? Je mehr das zutrifft, desto höher die Risikoklasse.

Fristen 2025–2027: Was wann gilt

2026 ist also das Jahr, in dem die Uhr für viele KMU wirklich zu ticken beginnt. Wer jetzt anfängt, hat noch genug Zeit für einen strukturierten Ansatz. Wer wartet, macht Compliance zur Feuerwehrübung.

Die 5 Pflichten, die fast jedes KMU betreffen

Selbst wenn das eigene Unternehmen keine Hochrisiko-KI einsetzt: Diese fünf Anforderungen gelten für nahezu alle, die KI geschäftlich nutzen.

1. Transparenz

Nutzer müssen wissen, wenn sie mit KI interagieren. Das gilt für Chatbots genauso wie für KI-generierte Inhalte. Keine versteckte Automatisierung, keine KI, die vorgibt, ein Mensch zu sein.

2. Dokumentation

Welche KI-Systeme werden eingesetzt? Zu welchem Zweck? Wer ist verantwortlich? Welche Daten werden verarbeitet? Das muss schriftlich vorliegen — nicht ausformuliert in einem 50-seitigen Bericht, aber nachvollziehbar und abrufbar.

3. Kompetenznachweis

Der AI Act fordert, dass Mitarbeiter, die KI-Systeme einsetzen, ein grundlegendes Verständnis davon haben, was das System tut und was es nicht tut. KI-Literacy ist keine Kür mehr — sie ist Pflicht. Das gilt besonders für Führungskräfte, die Entscheidungen auf Basis von KI-Ausgaben treffen.

4. Risikobewertung

Bevor ein KI-System produktiv genutzt wird, braucht es eine Einschätzung: Welche Risiken entstehen durch den Einsatz? Was passiert, wenn das System falsch liegt? Wer kontrolliert das? Für Nicht-Hochrisiko-Systeme reicht eine schlichte, aber ehrliche Einschätzung. Für Hochrisiko-Systeme ist ein formales Risikomanagementsystem Pflicht.

5. Menschliche Aufsicht

KI darf nicht unkontrolliert entscheiden. Für Systeme, die Konsequenzen für Menschen haben, muss klar geregelt sein, wer eingreift, wann eingegriffen wird und wie Entscheidungen übersteuert werden können. Das ist kein bürokratischer Zusatz — das ist gesunder Menschenverstand in Verfahren gegossen.

Schnittstelle zu DSGVO und NIS-2: Doppelarbeit vermeiden

Wer die DSGVO bereits ernst nimmt, hat einen Vorsprung. Viele Anforderungen des AI Act überschneiden sich mit bestehenden Datenschutzpflichten — und das lässt sich gezielt nutzen.

DSGVO und AI Act: Datenschutz-Folgenabschätzungen (DSFA) und KI-Risikobewertungen haben denselben Grundgedanken: systematisch durchdenken, was schiefgehen kann. Wer bereits DSFA-Prozesse hat, kann diese erweitern, statt von vorn zu beginnen. Besonders relevant: Transparenz- und Informationspflichten gelten in beiden Regelwerken — mit ähnlichem Inhalt, aber unterschiedlicher Rechtsgrundlage. Einmal aufsetzen, für beide nutzen. Mehr dazu im Artikel zu DSGVO-konformer KI.

NIS-2 und AI Act: Wer KI in kritischen oder wichtigen Einrichtungen einsetzt — Energie, Gesundheit, Transport, digitale Infrastruktur — muss beide Regelwerke im Blick haben. NIS-2 fordert Sicherheitsmaßnahmen und Meldepflichten. Der AI Act ergänzt das um Anforderungen an das KI-System selbst. Überschneidungen gibt es beim Risikomanagement, bei der Dokumentation und bei der Zuständigkeitsregelung. Sauber strukturiert, lässt sich das in einem gemeinsamen Governance-Rahmen abbilden. Mehr dazu im Artikel zu NIS-2.

Das Muster ist immer dasselbe: Wer Compliance als isolierte Aufgabe behandelt, zahlt dreimal. Wer einen gemeinsamen Rahmen aufbaut, zahlt einmal — und hat mehr davon.

Pragmatischer Startplan in 4 Schritten

Kein Projekt, kein Beratermarathon. Vier konkrete Schritte, die sich in den nächsten Wochen umsetzen lassen.

Schritt 1: KI-Bestandsaufnahme (1–2 Tage)

Welche KI-Systeme oder KI-gestützten Tools sind im Unternehmen im Einsatz — bewusst oder unbewusst? Das schließt SaaS-Produkte mit KI-Features ein: Microsoft Copilot, ChatGPT, Recruiting-Tools, CRM mit KI-Scoring. Einfach dokumentieren: Name, Zweck, eingesetzte Abteilung, Entscheidungsrelevanz.

Schritt 2: Risikoklasse bestimmen (halber Tag)

Für jedes identifizierte System die Frage stellen: Trifft es Entscheidungen über Menschen? In welchem Kontext? Die meisten Tools landen in begrenzt riskant oder minimal riskant. Wer unsicher ist, kann das mit unserem AI Act Kurzcheck in wenigen Minuten einordnen.

Schritt 3: Sofortmaßnahmen für bestehende Pflichten (1 Woche)

Transparenzhinweise für Chatbots und KI-generierte Inhalte einführen. Zuständigkeiten klären: Wer ist intern verantwortlich für welches System? Kurze Schulung oder Information der betroffenen Mitarbeiter zur KI-Literacy. Das sind keine großen Projekte — das sind Entscheidungen und kurze Texte.

Schritt 4: Governance-Struktur aufbauen (1–4 Wochen, je nach Größe)

Eine einfache KI-Richtlinie festlegen: Was darf eingesetzt werden, unter welchen Bedingungen, wer entscheidet darüber. Dokumentationsvorlage für neue KI-Systeme einführen. Risikobewertung in die Einführung neuer Tools integrieren — als feste Frage, nicht als Sonderprojekt.

Wer diese vier Schritte durchgeht, hat keine perfekte Compliance — aber eine ehrliche, nachvollziehbare Grundlage. Das ist der Unterschied zwischen vorbereitet und unvorbereitet, wenn eine Aufsichtsbehörde fragt.

Fazit: Nicht warten auf Hochrisiko

Die häufigste Fehleinschätzung ist diese: „Wir nutzen keine Hochrisiko-KI, also betrifft uns der AI Act kaum.“ Das stimmt nicht. Transparenz, Dokumentation, Kompetenz, Aufsicht — das sind Anforderungen, die unabhängig von der Risikoklasse gelten und die jetzt schon in Kraft sind oder in Kürze greifen.

Die gute Nachricht: Das lässt sich strukturiert angehen. Es braucht kein großes Projekt, keinen externen Berater für alles, keine monatelange Analyse. Es braucht eine klare Bestandsaufnahme, eine ehrliche Einordnung und ein paar konkrete Entscheidungen.

Wenn Sie das strukturiert und ohne Umwege angehen wollen, schauen wir uns das gemeinsam an. Ich helfe Ihnen, die richtigen Fragen zu stellen — und die richtigen Antworten zu dokumentieren.