Zum Inhalt
EA Projekt-Entwicklung Logo EA Projekt-Entwicklung

EU AI Act: Was KMU jetzt konkret tun müssen

Seit August 2026 greifen die zentralen Pflichten des EU AI Act, die Transparenz-Regeln und die Vorgaben für Hochrisiko-Systeme. Die volle Anwendung inklusive eingebetteter Hochrisiko-Produkte folgt im August 2027. Das heißt: Wer in der EU KI-Systeme einsetzt, hat dokumentierte Pflichten. Auch als Klein- oder Mittelbetrieb mit zwei oder fünfzehn Mitarbeitenden. Die gute Nachricht: Für die meisten KMU-Einsätze sind die Pflichten überschaubar. Die schlechte: Wer nichts dokumentiert, riskiert Bußgelder, die existenzbedrohend sein können.

Die Risiko-Klassen, in eine Minute erklärt

Der EU AI Act unterscheidet vier Risiko-Klassen:

  1. Verboten. Soziales Scoring, manipulative Systeme, biometrische Massenüberwachung. Für KMU praktisch nie relevant.
  2. Hochrisiko. KI für Personalentscheidungen, Bonitäts-Bewertungen, kritische Infrastruktur, Medizin, Schul-Bewertungen. Massive Pflichten: Risiko-Management, Datenqualität, technische Dokumentation, Konformitätsbewertung. Wer hier nicht ganz sicher ist, ob er reinfällt, sollte rechtlich prüfen lassen.
  3. Begrenztes Risiko. Chatbots, KI-Inhalte, Empfehlungssysteme. Hauptpflicht: Transparenz. Nutzer müssen wissen, dass sie mit KI sprechen oder KI-Inhalte sehen.
  4. Minimales Risiko. Spam-Filter, KI in Spielen, Standard-Office-KI. Keine spezifischen Pflichten, gute Praxis trotzdem empfohlen.

Die allermeisten KI-Einsätze im KMU-Alltag fallen in die letzten beiden Klassen.

Was Sie konkret tun müssen, wenn Sie ChatGPT, Copilot oder Claude einsetzen

Erstens, ein KI-Inventar führen. Listen Sie auf einer A4-Seite auf: Welche KI-Tools setzen wir ein, wofür, mit welchen Daten, wer ist verantwortlich? Excel reicht. Hauptsache, das Dokument existiert und ist aktuell. Bei einer Prüfung ist das die erste Frage.

Zweitens, Mitarbeitende sensibilisieren. Eine kurze Schulung, etwa zwei Stunden: Was darf in den ChatGPT-Eingabebox, was nicht. Personenbezogene Daten ohne Auftrags-Datenverarbeitung gehen nicht. Geschäftsgeheimnisse gehen nicht. Code-Snippets aus Kundenprojekten gehen nicht. Halten Sie die Schulung schriftlich fest.

Drittens, KI-generierte Medien richtig einordnen. Eine Kennzeichnungspflicht gilt vor allem für KI-erzeugte Bilder, Videos und Audio, also Deepfakes, und für KI-Texte zu Themen von öffentlichem Interesse ohne redaktionelle Prüfung. Ein normaler Blogartikel, den Sie selbst redigieren und für den Sie die Verantwortung tragen, ist davon ausgenommen, ebenso reine Hilfsfunktionen wie Korrektur. Für solche Texte ist eine dezente Kennzeichnung wie „Erstellt mit KI-Unterstützung, redaktionell geprüft" gute Praxis, aber keine Pflicht. Lassen Sie sich also keine pauschale Kennzeichnungspflicht für jeden Webseiten-Text einreden.

Viertens, bei Chatbots Transparenz. Wenn Ihre Site einen KI-Chatbot hat, muss der erste Satz lauten: „Hallo, ich bin ein automatisierter Assistent." Nicht: „Hallo, ich bin Anna und helfe Ihnen gerne weiter."

Was Sie nicht tun müssen (entgegen anderslautender Beratung)

  • Keine separate KI-Folgenabschätzung für Office-Tools mit Standard-Funktionen.
  • Kein eigener Datenschutzbeauftragter nur wegen KI, wenn Sie schon einen für DSGVO haben.
  • Keine ISO-27001-Zertifizierung als KMU mit minimalem oder begrenztem Risiko.
  • Keine teuren „EU AI Act Compliance-Pakete" für 5.000 € und mehr von Beratungs-Agenturen, wenn Sie nur ChatGPT zur Texterstellung nutzen.

Diese Punkte sind erst bei Hochrisiko-Anwendungen Pflicht. Beratungs-Agenturen verkaufen sie gerne pauschal, weil es lukrativ ist. Lassen Sie sich nicht ins Bockshorn jagen.

Wo es schnell teuer wird

  • Lebensläufe automatisch vorsortieren lassen. Wird zur Hochrisiko-Anwendung. Pflichten massiv. Nicht ohne Rechtsberatung.
  • Bonitäts-Checks per KI. Hochrisiko. Wer’s einsetzt, muss alle Pflichten erfüllen.
  • KI-Bewertung von Mitarbeitenden. Hochrisiko. Plus Betriebsrat. Plus DSGVO. Komplex.
  • Medizinische Diagnose- oder Therapie-Vorschläge. Hochrisiko, plus Medizinprodukt-Recht. Profi-Beratung Pflicht.

Was es kostet, sauber aufgestellt zu sein

Für einen Standard-KMU mit ChatGPT, Copilot oder ähnlichen Tools und ein paar KI-generierten Webseiten-Texten: 400 bis 900 € einmalig für ein kompaktes Setup.

Inkludiert ist: KI-Inventar erstellen, kurze Mitarbeitenden-Schulung, Anpassung der Datenschutz-Erklärung, Kennzeichnung von KI-Inhalten auf der Site, schriftliche Dokumentation. Das ist nach zwei Wochen erledigt und reicht für eine Prüfung.

Wer als Anwalt, Steuerberater, im medizinischen oder pädagogischen Bereich tätig ist, hat höhere Anforderungen. Hier arbeite ich mit Fach-Anwälten zusammen, Preis nach Aufwand.

Was als Nächstes passiert

Wenn Sie nicht sicher sind, ob Ihr KI-Einsatz EU-AI-Act-fest ist: 30 Minuten Erstgespräch, kostet nichts. 0699 1203 8521 oder office@projekt-entwicklung.at. Sie wissen danach, in welche Risiko-Klasse Sie fallen und was konkret zu tun ist.

Mehr zum DSGVO-Status auf der Seite DSGVO und EU AI Act für KMU bzw. im Beitrag Cookie-Banner-Theater.