"Der EU AI Act gilt für alle Unternehmen, die KI nutzen." Das stimmt. Aber in der Praxis hat nicht jeder die gleichen Pflichten - und schon gar nicht zu den gleichen Zeitpunkten. Hier ist ein konkreter Leitfaden mit realen Beispielen, um genau zu wissen, was Sie vor dem 2. August 2026 betrifft.
Die zentrale Frage: Handelt es sich um ein "KI-System" im Sinne der Verordnung?
Bevor wir überhaupt über Risikoniveaus sprechen, müssen Sie wissen, ob Ihr Tool unter die rechtliche Definition eines "KI-Systems" fällt. Der EU AI Act definiert ein KI-System als:
Ein maschinenbasiertes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie betrieben werden kann und in der Lage ist, Ausgaben wie Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte zu erzeugen, die physische oder virtuelle Umgebungen beeinflussen.
Konkret: Wenn Ihr Tool vorhersagt, empfiehlt, entscheidet oder Inhalte generiert - ist es wahrscheinlich ein KI-System im Sinne der Verordnung. Software, die rein auf festen Regeln basiert (ohne maschinelles Lernen oder probabilistische Modelle), ist in der Regel ausgeschlossen.
Die 4 Kategorien: Was sich für jede ändert
Verbotene Praktiken - in Kraft seit dem 2. Februar 2025
Diese Anwendungen sind verboten. Kein Aufschub, keine mögliche Verschiebung.
Konkrete Beispiele:
- Ein System, das die Kaufentscheidungen eines Nutzers unterschwellig manipuliert (KI-gestützte Dark Patterns)
- Ein Social-Scoring-Tool, das Bürger anhand ihres Gesamtverhaltens bewertet
- Ein System zur Echtzeit-Gesichtserkennung im öffentlichen Raum zu Überwachungszwecken (außer streng kontrollierten Strafverfolgungsausnahmen)
- Tools, die die psychologischen Schwächen von Nutzern ausnutzen, um ihr Verhalten zu beeinflussen
Für KMU: Dieser Bereich ist selten ein direktes Thema. Prüfen Sie aber Ihre Marketing- und erweiterten Personalisierungstools.
Hochrisiko-Systeme (Anhang III) - Deadline verschoben auf den 2. Dezember 2027*
Dies sind die am stärksten regulierten Systeme. Anhang III listet 8 spezifische Bereiche auf. Wenn Ihr Tool in einen dieser Bereiche fällt, sind die Pflichten erheblich: Risikobewertung, technische Dokumentation, obligatorische menschliche Aufsicht, Registrierung in der EU-Datenbank.
Häufigste Fälle für KMU:
| Tool | Hochrisiko? | Warum |
|---|---|---|
| Lebenslauf-Screening / ATS mit KI-Scoring | Ja | Anhang III - Beschäftigung und Arbeitskräftemanagement |
| Kreditscoring oder Finanzeignungs-Tool | Ja | Anhang III - Zugang zu wesentlichen Finanzdienstleistungen |
| Schüler- / Studentenbewertungssystem | Ja | Anhang III - Bildung und Berufsausbildung |
| Medizinisches Diagnoseunterstützungs-Tool | Ja | Anhang III - Gesundheitsversorgung |
| Einfaches Lead-Scoring-CRM | Nein | Keine Entscheidung, die Grundrechte betrifft |
| Marketing-Content-Generierungstool | Nein | Begrenztes Risiko (nur Transparenz) |
| Kunden-Service-Chatbot | Nein | Begrenztes Risiko (nur Transparenz) |
* Wenn der Digital Omnibus vor August 2026 formell angenommen wird. Andernfalls bleibt die Deadline der 2. August 2026.
Begrenztes Risiko - Transparenzpflicht zum 2. August 2026 (fest)
Dies ist die häufigste Kategorie für KMU. Sie betrifft alle Systeme, die mit Nutzern in Kontakt stehen und Inhalte generieren oder menschliche Interaktion simulieren.
Hauptpflicht: Den Nutzer darüber informieren, dass er mit einer KI interagiert.
Kunden-Service-Chatbot
Hat Ihre Website einen virtuellen Assistenten? Sie müssen dem Nutzer klar anzeigen, dass er mit einer KI spricht. In den meisten Fällen reicht eine einfache Einleitungsnachricht: "Hallo, ich bin ein virtueller Assistent..."
KI-generierte Inhalte
Wenn Sie KI nutzen, um Artikel, E-Mails, Produktbeschreibungen oder andere für die Öffentlichkeit bestimmte Inhalte zu erstellen, müssen Sie angeben, dass dieser Inhalt von einer KI produziert oder unterstützt wurde. Die genauen Modalitäten hängen vom Inhaltstyp ab.
Deepfakes und synthetische Inhalte
Durch KI manipulierte oder generierte Bilder, Videos oder Audio: Kennzeichnungspflicht. Dies ist der Bereich des Code of Practice, der derzeit finalisiert wird (erwartet Juni 2026).
Minimales Risiko - keine spezifische Pflicht zum 2. August 2026
Die große Mehrheit der alltäglichen KI-Tools fällt in diese Kategorie. Zum 2. August 2026 gilt keine spezifische Regulierungspflicht.
Beispiele:
- Ihr E-Mail-Spam-Filter
- Rechtschreib- und Grammatikprüfer (Grammarly, LanguageTool...)
- Maschinelle Übersetzungstools (DeepL, Google Translate)
- Inhaltsempfehlungen auf Plattformen
- KI-basierte SEO-Optimierungstools
- Planungs- und Produktivitätstools (KI in Notion, Slack...)
Die übergreifende Pflicht: KI-Kompetenztraining
Unabhängig von Ihrer Risikokategorie gilt ab dem 2. August 2026 eine Pflicht für alle Unternehmen: KI-Kompetenztraining (AI Literacy) für Mitarbeiter, die KI-Systeme nutzen oder beaufsichtigen.
Diese Pflicht erfordert kein komplexes Zertifizierungsprogramm. Sie bedeutet, dass Ihre Teams verstehen müssen:
- Was die KI, die sie nutzen, tatsächlich tut
- Ihre Grenzen und potenziellen Verzerrungen
- Wann und wie sie ihr menschliches Urteilsvermögen einsetzen sollen
Ein internes Dokument, eine Sensibilisierungssitzung oder eine Verfahrensnotiz können einen ersten konformen Schritt darstellen.
Der besondere Fall der SaaS-Tools, die Sie nutzen
Eine häufige Frage: "Mein SaaS-Tool nutzt KI. Bin ich verantwortlich?"
Die Antwort lautet: teilweise. Der SaaS-Anbieter ist als Anbieter für die Compliance des KI-Systems verantwortlich. Aber Sie haben als Betreiber eigene Pflichten:
- Überprüfen, ob die von Ihnen genutzten Hochrisiko-Systeme konform sind
- Ihre Endnutzer über die KI-Nutzung informieren
- Menschliche Aufsicht über wichtige Entscheidungen aufrechterhalten
- Nutzungsprotokolle aufbewahren, sofern erforderlich
In der Praxis: Fragen Sie Ihre SaaS-Anbieter nach ihrer AI-Act-Compliance-Dokumentation. Gute Anbieter haben sie bereits vorbereitet oder sind dabei, sie vorzubereiten.
Zusammenfassung: Was Sie zum 2. August 2026 betrifft
| Situation | Pflicht zum 2. August 2026 |
|---|---|
| Sie nutzen einen Chatbot | Angeben, dass es eine KI ist |
| Sie generieren Inhalte mit KI | KI-Unterstützung angeben |
| Sie haben Mitarbeiter, die KI nutzen | KI-Kompetenztraining |
| Sie nutzen ein automatisiertes CV-Screening-Tool | Hochrisiko-Compliance (möglicher Aufschub bis Dez. 2027) |
| Sie nutzen einen Spam-Filter | Nichts Spezifisches |
| Sie nutzen DeepL oder ein Übersetzungstool | Nichts Spezifisches |
Nicht sicher, in welche Kategorie Ihre Tools fallen? AiCompliBot analysiert Ihre KI-Systeme in 5 Minuten und nennt Ihnen Ihre genauen Pflichten - kostenlos.