Sie nutzen Microsoft Copilot? ChatGPT für E-Mails? Einen Chatbot auf Ihrer Website? Dann sind Sie Betreiber eines KI-Systems im Sinne des EU AI Act. Auch mit 10 Mitarbeitern. Auch als Handwerksbetrieb.
Viele unserer Kunden in Nordhessen waren überrascht, als wir das beim Erstgespräch erwähnt haben. "Wir? KI?" Ja, Sie. Die EU-KI-Verordnung ist seit August 2024 in Kraft, erste Pflichten gelten seit Februar 2025, und die nächste Frist steht am 2. August 2026. Wer bis dahin nichts unternommen hat, riskiert Bußgelder von bis zu 35 Millionen Euro.
Klingt drastisch? Ist es auch. Aber keine Panik. Für die meisten KMU ist das Thema mit überschaubarem Aufwand lösbar. Hier erfahren Sie, was wirklich auf Sie zukommt.
Die 5 Irrtümer die wir am häufigsten hören
"Das betrifft nur große Konzerne"
Falsch. Der AI Act schaut nicht auf die Unternehmensgröße, sondern auf das Risiko des KI-Systems. Ein Schreinerbetrieb mit 8 Leuten, der ein KI-Tool zum Bewerber-Screening nutzt, hat die gleichen Pflichten wie Siemens. Entscheidend ist was die KI tut, nicht wer sie einsetzt.
"Wir nutzen gar keine KI"
Das hören wir oft. Und dann zählen wir auf: Copilot in Outlook, Teams-Transkription, ChatGPT für Textentwürfe, DeepL zum Übersetzen, Spam-Filter, Lead Scoring im CRM, automatisierte Buchhaltung. Alles KI-Systeme im Sinne der Verordnung. Bei den meisten Unternehmen sind es 5 bis 10 Tools, ohne dass irgendjemand "KI" dazu gesagt hätte.
"Microsoft kümmert sich doch um die Compliance"
Teilweise. Microsoft ist als Anbieter verantwortlich für die Entwicklung. Aber Sie als Betreiber haben eigene Pflichten: Mitarbeiter schulen, Kunden informieren, Dokumentation führen. Die Compliance Ihres Software-Anbieters ersetzt Ihre eigene nicht. Das überrascht viele.
"Wir haben doch noch bis August 2026 Zeit"
Die Schulungspflicht nach Artikel 4 gilt seit dem 2. Februar 2025. Wer Mitarbeiter mit KI-Tools arbeiten lässt ohne sie geschult zu haben, ist jetzt schon nicht konform. Ebenso die verbotenen KI-Praktiken nach Artikel 5. August 2026 ist nur die nächste Stufe, nicht der Start.
"Das regelt die IT-Abteilung"
Der AI Act betrifft HR, Rechtsabteilung, Marketing, Geschäftsführung und Einkauf. Mindestens. Wenn Ihre Marketingabteilung KI-generierte Texte veröffentlicht, wenn HR ein KI-Tool zur Vorsortierung nutzt, wenn der Einkauf neue Software beschafft - überall greifen Pflichten. Das ist kein IT-Thema.
Die vier Risikoklassen
Der AI Act sortiert KI-Systeme in vier Stufen. Je höher das Risiko, desto strenger die Regeln.
Verboten (gilt bereits): Social Scoring, Emotionserkennung am Arbeitsplatz, unterschwellige Manipulation, biometrische Massenüberwachung. Klingt exotisch, aber Emotionserkennung steckt in manchen HR-Tools die Videointerviews auswerten. Prüfen Sie das.
Hochrisiko (ab August 2026): KI die über Menschen entscheidet. Bewerber-Screening, Personalbeurteilung, Kreditvergabe. Hier brauchen Sie Konformitätsbewertung, CE-Kennzeichnung, Dokumentation und vor allem: einen Menschen der drüberschaut.
Begrenztes Risiko (ab August 2026): Chatbots, KI-Telefonassistenten, KI-generierte Inhalte. Hier gilt eine Transparenzpflicht. Ihre Kunden müssen wissen dass sie mit einer KI sprechen.
Minimales Risiko (keine Pflichten): Spam-Filter, Übersetzungstools, Empfehlungsalgorithmen. Die große Mehrheit der Tools die KMU einsetzen fällt hierunter.
Welche Tools betrifft das konkret?
| Tool | Ihr Einsatz | Risikoklasse |
|---|---|---|
| Microsoft Copilot | Textvorschläge, Meetings | Minimal bis begrenzt |
| ChatGPT, Claude, Gemini | Texte, Recherche | Minimal bis begrenzt |
| Teams-Transkription | Protokolle | Begrenzt (Transparenz) |
| KI im Recruiting | Bewerber filtern | Hochrisiko |
| Chatbot auf der Website | Kundenservice | Begrenzt (Transparenz) |
| CRM mit KI | Lead Scoring | Begrenzt bis hoch |
| DeepL | Übersetzungen | Minimal |
Was jetzt konkret zu tun ist
Sofort (gilt schon seit Februar 2025)
- Alle KI-Tools im Unternehmen auflisten. Jede Abteilung befragen, nicht nur die IT
- Schulungskonzept erstellen und erste Schulungen durchführen. Dokumentieren.
- Eine interne KI-Richtlinie aufsetzen. Eine A4-Seite reicht: Was ist erlaubt, was nicht, wer entscheidet
Bis Mai 2026
- Jedes Tool einer Risikoklasse zuordnen
- Einen KI-Verantwortlichen benennen
- SaaS-Anbieter nach AI-Act-Compliance fragen
- Transparenzmaßnahmen vorbereiten (Chatbot-Hinweise, Kennzeichnungen)
Bis August 2026
- Transparenzpflichten umsetzen: Jede KI-Interaktion mit Kunden kennzeichnen
- KI-generierte Inhalte markieren
- Bei Hochrisiko-Systemen: volle Dokumentation, Risikomanagement, menschliche Aufsicht
- Regelmäßiges Monitoring einrichten
Die Bußgelder
| Verstoß | Höchststrafe |
|---|---|
| Verbotene KI-Praktiken | 35 Mio. EUR oder 7 % Jahresumsatz |
| Hochrisiko-Pflichten | 15 Mio. EUR oder 3 % Jahresumsatz |
| Falsche Angaben an Behörden | 7,5 Mio. EUR oder 1 % Jahresumsatz |
Für KMU gilt der jeweils niedrigere Wert. Trotzdem: Die DSGVO-Höchststrafe liegt bei 20 Millionen oder 4 %. Der AI Act geht darüber hinaus.
Wer kontrolliert das in Deutschland?
Das KI-MIG wurde im Februar 2026 vom Bundeskabinett beschlossen. Die Bundesnetzagentur wird zentrale Aufsichtsbehörde, für den Finanzsektor bleibt die BaFin zuständig. Es wird Regulatory Sandboxes geben, in denen KMU und Startups KI-Systeme unter vereinfachten Bedingungen testen können. Priorisierten Zugang gibt es für kleine Unternehmen.
Für die meisten KMU ist das machbar
Ehrlich gesagt: Der AI Act klingt schlimmer als er für die meisten Unternehmen ist. Wenn Sie keine KI für Personalentscheidungen oder Kreditvergabe einsetzen, beschränken sich Ihre Pflichten auf drei Dinge:
- Mitarbeiter schulen (Pflicht seit Feb 2025)
- KI-Interaktionen kennzeichnen (ab August 2026)
- Wissen, welche KI-Systeme wo laufen
Das ist machbar. Ohne Berater, ohne fünfstellige Budgets, ohne Panik. Und wenn es doch komplexer wird, sind wir da.
Häufige Fragen
Gilt das auch für Firmen außerhalb der EU?
Wenn KI-Systeme auf dem EU-Markt angeboten werden oder deren Ergebnisse hier genutzt werden, dann ja. Gleiches Prinzip wie bei der DSGVO.
Wir nutzen nur ChatGPT für interne Texte. Müssen wir trotzdem was tun?
Mindestens die Schulungspflicht. Mitarbeiter die ChatGPT nutzen brauchen ein dokumentiertes Kompetenzniveau. Plus: klare Regeln welche Daten reindürfen. Kundennamen und Geschäftsgeheimnisse gehören nicht in ChatGPT.
Betreiber oder Anbieter - was sind wir?
Wer fertige Tools einsetzt (Copilot, ChatGPT, etc.) ist Betreiber. Wer KI-Systeme entwickelt oder unter eigenem Namen vertreibt, kann zum Anbieter werden. Das zieht deutlich höhere Pflichten nach sich. Im Zweifel klären wir das gemeinsam.
Was passiert realistisch wenn wir nichts tun?
Die BNetzA wird voraussichtlich erstmal auf Aufklärung setzen, nicht auf Strafen. Aber: Wer dokumentiert zeigt dass er sich kümmert, steht besser da als wer das Thema ignoriert hat. Die Bußgelder sind Höchstgrenzen, keine Standardsätze. Guter Wille zählt.
Stand: März 2026. Für verbindliche rechtliche Einschätzungen empfehlen wir einen spezialisierten Rechtsanwalt.