Gilt der EU AI Act auch für KMU?

Ja. Der EU AI Act gilt unabhängig von der Unternehmensgröße für alle, die KI-Systeme in der EU bereitstellen, einsetzen oder importieren. Für KMU gibt es zwar Erleichterungen bei Audits und Konformitätsbewertungen, aber keine generelle Ausnahme.

Ab wann gelten die Regeln des EU AI Act?

Die Verbote für unzulässige Praktiken gelten seit Februar 2025. Pflichten für General-Purpose-AI (GPAI) wie ChatGPT oder Claude gelten seit August 2025. Hochrisiko-KI-Systeme müssen ab August 2026 die vollständigen Anforderungen erfüllen – mit Übergangsfristen bis 2027 für bestimmte Altsysteme.

Was ist die AI-Literacy-Pflicht?

Artikel 4 des AI Act verpflichtet Unternehmen seit Februar 2025, ihren Mitarbeitenden ein ausreichendes KI-Verständnis zu vermitteln, sobald diese mit KI-Systemen arbeiten. Das betrifft auch KMU, die intern ChatGPT, Copilot oder KI-Automationen nutzen.

Muss ich meine Chatbots als KI kennzeichnen?

Ja. KI-Systeme, die direkt mit Menschen interagieren – z. B. Chatbots, Voice Agents oder E-Mail-Responder – unterliegen einer Transparenzpflicht (Artikel 50). Nutzer müssen erkennen können, dass sie mit einer KI kommunizieren.

EU AI Act KMU 2026: Compliance für KI-Automationen

Der EU AI Act ist keine ferne Drohung mehr. Seit Februar 2025 gelten die Verbote, seit August 2025 die Pflichten für allgemeine KI-Modelle wie ChatGPT oder Claude, und ab August 2026 folgen die vollständigen Anforderungen an Hochrisiko-Systeme. Viele KMU unterschätzen, dass sie längst betroffen sind – sei es durch einen Chatbot auf der Website, eine KI-Lead-Klassifizierung oder simple Prompt-Templates in internen Tools.

Dieser Artikel ist kein juristisches Gutachten, sondern ein pragmatischer Leitfaden: Was verlangt die KI-Verordnung konkret von einem mittelständischen Unternehmen, das KI-Automationen einsetzt? Wir zeigen die fünf Schritte, mit denen Sie Ihre bestehenden Workflows AI-Act-fest machen – bevor die erste Abmahnung kommt.

Kurz zusammengefasst

Der EU AI Act gilt für alle Unternehmen, nicht nur Konzerne.
KMU profitieren von Erleichterungen, aber nicht von Ausnahmen.
Die AI-Literacy-Pflicht gilt bereits seit Februar 2025.
Chatbots, Voice Agents und KI-Scoring sind meist direkt betroffen.
Wer seine Automationen sauber dokumentiert, ist bereits halb compliant.

Was regelt der EU AI Act überhaupt?

Die KI-Verordnung der EU folgt einem risikobasierten Ansatz: Nicht jedes KI-System wird gleich reguliert, sondern nach seinem Schadenspotenzial. Die Verordnung definiert vier Risikoklassen – von unzulässig bis minimal. Je höher das Risiko, desto strenger die Pflichten.

Risikoklasse	Beispiele	Pflichten
Unzulässig	Social Scoring, manipulative Systeme, biometrische Kategorisierung	Verboten
Hochrisiko	Bewerber-Screening, Kredit-Scoring, Medizinprodukte, kritische Infrastruktur	Konformitätsbewertung, Risiko-Management, Dokumentation, Audit
Begrenztes Risiko	Chatbots, Voice Agents, Deepfakes, Emotionserkennung	Transparenzpflicht (Kennzeichnung)
Minimal	Spam-Filter, Empfehlungsalgorithmen, KI in Videospielen	Freiwillige Codes of Conduct

Für die meisten KMU-Automationen ist die entscheidende Kategorie begrenztes Risiko: Chatbots, KI-gestützte E-Mail-Antworten, Voice Agents und generierte Inhalte. Wer jedoch KI für Personalentscheidungen, Bonitätsprüfungen oder sicherheitsrelevante Prozesse einsetzt, landet schnell im Hochrisiko-Bereich.

Der Zeitplan: Was gilt ab wann?

Die Fristen des EU AI Act gelten gestaffelt – wer heute (2026) glaubt, Zeit bis 2027 zu haben, irrt. Die wichtigsten Meilensteine:

Februar 2025: Verbot unzulässiger Praktiken + AI-Literacy-Pflicht (Art. 4)
August 2025: Pflichten für General-Purpose-AI-Anbieter (GPAI) – z. B. OpenAI, Anthropic, Google. Auch: Sanktionen, Governance, Behörden-Benennung.
August 2026: Vollständige Pflichten für Hochrisiko-KI nach Anhang III – z. B. HR-Software, Kredit-Scoring
August 2027: Übergangsfristen für Bestandssysteme und bestimmte Produkt-KI (Anhang I)

Für ein typisches mittelständisches Unternehmen mit KI-Automationen heißt das: Die AI-Literacy-Pflicht und die Transparenzpflicht für Chatbots sind schon heute bindend. Wer Hochrisiko-Anwendungen betreibt, muss bis August 2026 eine formale Konformitätsbewertung vorweisen können.

Für wen gilt der AI Act – auch für mein KMU?

Kurze Antwort: Ja, mit sehr hoher Wahrscheinlichkeit. Der AI Act kennt zwei Hauptrollen: Provider (wer ein KI-System entwickelt oder vermarktet) und Deployer (wer ein KI-System im eigenen Betrieb einsetzt). Jedes KMU, das einen Chatbot anbietet, ChatGPT für Kundenkommunikation nutzt oder KI-basierte Lead-Qualifizierung fährt, fällt mindestens in die zweite Kategorie.

Die gute Nachricht: Für KMU gibt es Erleichterungen. Zum Beispiel geringere Gebühren bei Konformitätsbewertungen, vereinfachte Dokumentations-Vorlagen und nationale Regulatory Sandboxes (in Deutschland durch die Bundesnetzagentur koordiniert). Aber es gibt keine generelle Ausnahme: Pflichten wie AI Literacy und Transparenz gelten unabhängig von der Unternehmensgröße.

Welche Pflichten treffen typische KMU-Automationen?

Chatbots und Voice Agents

Jeder Chatbot auf Ihrer Website und jeder Voice Agent im Service ist transparenzpflichtig (Art. 50). Nutzer müssen eindeutig erkennen können, dass sie mit einer KI kommunizieren – spätestens beim ersten Kontakt. Ein kleiner Hinweis „Dieser Assistent wird KI-gestützt betrieben" reicht aus, muss aber klar sichtbar sein.

KI-Scoring für Bewerbungen oder Kredite

Hier wird es ernst: Wer KI zur Vorauswahl von Bewerbern, zur Bonitätsprüfung oder für Zugangsentscheidungen einsetzt, bewegt sich im Hochrisiko-Bereich. Das bedeutet unter anderem: schriftliche Risiko-Management-Strategie, lückenlose Dokumentation der Trainingsdaten, menschliche Aufsicht bei jeder Entscheidung, Konformitätsbewertung vor Inbetriebnahme.

E-Mail-Klassifizierung und Ticket-Routing

Die meisten KI-Automationen im Backoffice – automatische E-Mail-Sortierung, Ticket-Zuweisung, Rechnungsextraktion – fallen in die Kategorie begrenztes Risiko oder sogar minimales Risiko. Hier genügt in der Regel eine saubere Dokumentation dessen, was die Automation tut. Die volle Transparenzpflicht greift nur, wenn Endnutzer direkt mit der Ausgabe interagieren.

KI-generierter Content (Text, Bild, Video)

Wer KI-generierte Inhalte veröffentlicht, muss sie kennzeichnen, sofern sie Personen, Ereignisse oder Aussagen darstellen, die real wirken sollen – insbesondere Deepfakes. Für Marketing-Visuals oder synthetische Social-Media-Posts gelten Kennzeichnungspflichten nach Art. 50 Abs. 4.

5 konkrete Schritte, die jedes KMU jetzt tun sollte

Die folgenden fünf Schritte decken für die allermeisten mittelständischen Unternehmen den Großteil der AI-Act-Pflichten ab. Wir empfehlen, sie in dieser Reihenfolge abzuarbeiten – jede Stufe baut auf der vorigen auf.

inventory_2

1. KI-Inventur anlegen

Bevor Sie regulieren, müssen Sie wissen, wo überall KI eingesetzt wird. Die meisten KMU unterschätzen das drastisch: ChatGPT für Vertriebs-E-Mails, Copilot in Excel, KI-Funktionen im CRM, Smart-Filter im E-Mail-System, Transkription in Teams – alles zählt. Listen Sie jedes System mit Anbieter, Einsatzgebiet und verarbeiteten Daten auf. Dieser Katalog ist die Basis für alles Weitere und wird von Aufsichtsbehörden im Zweifel angefordert.

2. Risiko-Klassifizierung pro System

Für jedes System aus der Inventur bestimmen Sie die Risikoklasse. Die meisten Standard-Automationen (E-Mail-Routing, Rechnungsextraktion, Content-Generierung) landen in minimal oder begrenzt. Hochrisiko ist konkret definiert (Anhang III der Verordnung) – wer unsicher ist, konsultiert die KI-Bundesnetzagentur-Hotline oder die spezifische Leitlinie der EU-Kommission. Diese Einordnung bestimmt, welche Pflichten folgen.

visibility

3. Transparenzhinweise einbauen

Überall dort, wo eine KI direkt mit Menschen interagiert oder generierte Inhalte veröffentlicht, müssen klare Hinweise platziert sein. Das betrifft: Website-Chatbots, Voice Agents im Service, automatisierte E-Mail-Antworten an Externe, KI-generierte Bilder in Marketing-Material. Die Formulierung kann knapp sein („Automatisierte Antwort – gestützt durch KI"), muss aber vor der Interaktion erkennbar sein.

description

4. Dokumentation und Audit-Trail

Für jede produktive KI-Automation dokumentieren Sie: Zweck, Eingabedaten, Modell, Anbieter, Schwellenwerte, Eskalationspfade. Hochrisiko-Systeme benötigen zusätzlich ein vollständiges Risiko-Management-System nach Art. 9 und einen permanenten Audit-Trail. Wer Workflows in n8n, Make oder Power Automate orchestriert, hat den Audit-Trail bereits gratis: Jede Execution wird protokolliert, mit Ein- und Ausgaben nachvollziehbar.

groups

5. AI-Literacy-Schulung für Mitarbeitende

Art. 4 des AI Act verpflichtet Arbeitgeber, Mitarbeitenden die für ihre Rolle nötige KI-Kompetenz zu vermitteln – bei jedem, der mit KI-Systemen arbeitet. Das bedeutet konkret: regelmäßige Schulungen zu Grundlagen, Grenzen, Datenschutz und Fehlerquellen von KI. Eine 60-minütige Basisschulung plus rollenspezifische Vertiefungen reicht für die meisten KMU. Dokumentieren Sie Teilnahme und Inhalte.

Was KMU besonders häufig übersehen

Versteckte KI in bestehenden SaaS-Tools

Ihr CRM hat neuerdings eine „Lead-Score-AI"? Ihr HR-Tool filtert Bewerbungen automatisch vor? Ihr E-Mail-Client schlägt Antworten vor? Alle diese Features sind KI im Sinne der Verordnung. Prüfen Sie jeden Ihrer SaaS-Verträge: Welche neuen KI-Features wurden in den letzten 12 Monaten freigeschaltet – und in welche Risikoklasse fallen sie?

Die Schulungspflicht trifft auch „ChatGPT-Nutzer"

Viele Geschäftsführer denken, die AI-Literacy-Pflicht betreffe nur IT-Abteilungen, die selbst KI entwickeln. Tatsächlich gilt sie für jeden Mitarbeiter, der KI-Tools einsetzt – also auch den Vertriebskollegen, der mit ChatGPT Angebote formuliert, oder die Marketing-Managerin, die Midjourney nutzt. Ohne dokumentierte Schulung: Pflichtverstoß.

Auch Prompts sind Dokumentation

Ein häufig übersehener Punkt: Die von Ihnen verwendeten System-Prompts, RAG-Konfigurationen und Custom-GPTs sind Teil des KI-Systems. Sie gehören in die technische Dokumentation. Gerade bei selbstgebauten KI-Agenten in n8n oder Make müssen Sie die Logik nachvollziehbar festhalten – nicht nur für Compliance, sondern auch für Ihre eigene Zukunft.

Praxisbeispiel: Wie eine dokumentierte n8n-Automation den AI Act erfüllt

Nehmen wir einen konkreten Fall: Ein KMU nutzt einen KI-Agenten in n8n, der eingehende Support-E-Mails klassifiziert und automatisch beantwortet. Wie sieht AI-Act-konforme Umsetzung aus?

Was der Workflow abdeckt

Transparenz: Die automatische Antwort startet mit einem Hinweis („Diese Antwort wurde KI-gestützt erstellt").
Audit-Trail: n8n protokolliert jede Execution – Input, Prompt, Modellantwort, Ausgabe. Für Jahre rückverfolgbar.
Human-in-the-Loop: Bei Unsicherheit oder kritischen Kategorien (Beschwerden, rechtliche Anfragen) geht das Ticket automatisch an einen Mitarbeiter.
Datenschutz: PII wird vor der LLM-Abfrage maskiert, sensible Anhänge gar nicht erst an externe Modelle gesendet.
Dokumentation: Der Workflow selbst ist die Dokumentation – Versionierung, Kommentare, Test-Runs inklusive.

Ergebnis: Das System landet sauber in der Kategorie begrenztes Risiko mit voller Transparenz-Compliance. Die Konformitätsprüfung beschränkt sich auf eine interne Dokumentation. Kein externer Audit, keine CE-Kennzeichnung, keine Einschaltung einer „Notified Body". Genau das ist der Punkt: Wer seine Automationen von Anfang an dokumentiert baut, hat die Hauptarbeit bereits erledigt.

Drei hartnäckige Mythen zum EU AI Act

Mythos 1: „Gilt nur für Tech-Konzerne"

Falsch. Der AI Act regelt nicht die Größe des Unternehmens, sondern den Einsatz des KI-Systems. Ein Handwerksbetrieb mit 15 Mitarbeitenden, der einen automatisierten Chatbot auf seiner Website betreibt, hat die gleichen Transparenzpflichten wie ein DAX-Konzern.

Mythos 2: „Wir nutzen nur ChatGPT, das ist OpenAIs Problem"

Halb richtig. OpenAI trägt als Provider seine Pflichten (GPAI-Verordnung, seit August 2025 aktiv). Aber sobald Sie ChatGPT in Ihrem Unternehmen einsetzen, sind Sie Deployer – und haben Ihre eigenen Pflichten: AI Literacy, Zweckdokumentation, gegebenenfalls Transparenz gegenüber Kunden.

Mythos 3: „Ich warte ab, bis es konkret wird"

Problematisch. Die Sanktionen sind empfindlich: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für unzulässige Praktiken. Selbst „einfache" Verstöße (z. B. fehlende AI Literacy) können bis 15 Millionen Euro kosten. Und die Aufsichtsbehörden bauen gerade Strukturen auf – 2027 wird ernsthaft kontrolliert.

Fazit: Dokumentation ist der halbe AI Act

Der EU AI Act wirkt auf den ersten Blick wie eine Hürde. In der Praxis ist er – zumindest für typische KMU-Automationen – ein Dokumentationsprojekt. Wer seine Workflows von Anfang an mit klaren Beschreibungen, Audit-Trails und Transparenzhinweisen baut, hat drei Viertel der Compliance erledigt.

Die echten Probleme entstehen dort, wo KI „versteckt" eingesetzt wird: in bestehenden SaaS-Produkten, in ungesteuerten Mitarbeiter-Prompts oder in unstrukturierten Automationen, bei denen niemand mehr weiß, was genau passiert. Genau das ist der Punkt, an dem Prozessautomatisierung mit Transparenz vom Nice-to-have zum Pflichtprogramm wird.

Unser Rat: Starten Sie mit der KI-Inventur. Einmal gemacht, wissen Sie, wo Sie stehen – und die weiteren Schritte ergeben sich fast von selbst.

AI-Act-Check für Ihre KI-Automationen

In einem kostenlosen Erstgespräch gehen wir gemeinsam Ihre bestehenden Automationen durch und klären, welche Pflichten konkret greifen – inklusive Inventur-Template und pragmatischem Umsetzungsplan.

Jetzt Erstgespräch vereinbaren

EU AI Act in der Praxis: Was KMU 2026 bei ihren Automationen jetzt tun müssen