Zum Hauptinhalt springen
FlowBrain LogoFlowBrain
← Alle Artikel
DSGVO9 Min Lesezeit

EU AI Act: Was KMU ab 2026 wirklich beachten müssen

Keine Panikmache — aber Klartext: Welche KI-Anwendungen reguliert sind und wie du compliant bleibst.

5. Februar 2026 · Alexander Burghart

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er ist seit August 2024 in Kraft und wird stufenweise angewendet:

  • Februar 2025: Verbotene KI-Praktiken gelten
  • August 2025: Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPT, Claude, etc.)
  • August 2026: Regeln für Hochrisiko-KI-Systeme

Warum sollte dich das interessieren? Weil der AI Act nicht nur für große Tech-Konzerne gilt. Auch wenn du als KMU KI-Tools nutzt — sei es ein Chatbot, ein Scoring-System oder KI-gestützte Automatisierung — bist du betroffen.

Die 4 Risikokategorien

Der AI Act teilt KI-Systeme in vier Kategorien ein:

1. Verbotene KI (ab Februar 2025)

KI-Systeme, die grundsätzlich verboten sind:

  • Social Scoring — Bewertung von Menschen basierend auf ihrem Sozialverhalten
  • Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen
  • Biometrische Kategorisierung nach Rasse, Religion, politischer Überzeugung
  • Unterschwellige Manipulation — KI, die Verhalten ohne Wissen der Person beeinflusst

Betrifft dich als KMU? Wahrscheinlich nicht. Es sei denn, du setzt KI ein, die Mitarbeiter oder Kunden verdeckt bewertet.

2. Hochrisiko-KI (ab August 2026)

KI-Systeme in sensiblen Bereichen:

  • Personal und Recruiting — KI, die Bewerbungen filtert oder bewertet
  • Kreditscoring — KI, die Kreditwürdigkeit beurteilt
  • Medizinische Diagnose — KI, die Diagnosen stellt oder unterstützt
  • Bildung — KI, die Prüfungen bewertet oder Studienplätze vergibt

Betrifft dich als KMU? Möglicherweise, wenn du KI im Recruiting einsetzt oder ein Scoring-System für Kunden nutzt.

3. KI mit Transparenzpflichten

KI-Systeme, die offengelegt werden müssen:

  • Chatbots — Der Nutzer muss wissen, dass er mit einer KI spricht
  • Deepfakes — Generierte Bilder, Videos oder Audio müssen als KI-generiert gekennzeichnet werden
  • KI-generierte Texte — Bei Texten zu öffentlichem Interesse (Nachrichten, Politik) muss die KI-Nutzung offengelegt werden

Betrifft dich als KMU? Ja, wenn du einen KI-Chatbot auf deiner Website einsetzt oder KI-generierte Inhalte veröffentlichst.

4. Minimales Risiko

Alle anderen KI-Anwendungen — keine besonderen Pflichten. Das betrifft die meisten KI-Anwendungen im Alltag:

  • E-Mail-Spamfilter
  • Rechtschreibprüfung
  • Produktempfehlungen in Online-Shops
  • Automatische Übersetzungen
  • n8n-Workflow-Automatisierungen (in den meisten Fällen)

Was musst du als KMU konkret tun?

Schritt 1: Bestandsaufnahme

Liste alle KI-Systeme auf, die du nutzt:

  • Welche KI-Tools setzt du ein? (ChatGPT, Claude, KI-Chatbot auf der Website, etc.)
  • Wofür nutzt du sie? (Kundenservice, Marketing, internes Wissen, etc.)
  • Werden personenbezogene Daten verarbeitet?
  • Treffen die KI-Systeme Entscheidungen über Menschen?

Schritt 2: Risikokategorie bestimmen

Für jedes KI-System: In welche Kategorie fällt es?

  • Die meisten KMU-Anwendungen fallen in Kategorie 4 (Minimales Risiko) — keine besonderen Pflichten
  • Wenn du einen KI-Chatbot nutzt → Kategorie 3 (Transparenzpflicht) — Kennzeichnung nötig
  • Wenn du KI im Recruiting nutzt → Kategorie 2 (Hochrisiko) — umfangreiche Dokumentation nötig

Schritt 3: Pflichten umsetzen

Für Kategorie 3 (Chatbot, KI-generierte Inhalte):

  • Kennzeichne den Chatbot deutlich: „Du sprichst mit einer KI"
  • Kennzeichne KI-generierte Bilder und Texte
  • Dokumentiere, welches KI-Modell du nutzt

Für Kategorie 2 (Hochrisiko):

  • Risikomanagementsystem einrichten
  • Datenqualität sicherstellen
  • Technische Dokumentation erstellen
  • Menschliche Aufsicht gewährleisten
  • Konformitätsbewertung durchführen

Schritt 4: DSGVO-Synergie nutzen

Wenn du bereits DSGVO-konform arbeitest, hast du einen Vorsprung:

  • Verzeichnis der Verarbeitungstätigkeiten → Erweitere es um KI-Systeme
  • Datenschutz-Folgenabschätzung (DSFA) → Gilt auch für Hochrisiko-KI
  • AVV-Verträge → Prüfe, ob deine KI-Anbieter einen AVV anbieten
  • Informationspflichten → Erweitere deine Datenschutzerklärung um KI-Nutzung

Strafen bei Verstößen

VerstoßHöchststrafe
Verbotene KI-Praktik35 Mio. € oder 7 % Jahresumsatz
Hochrisiko-Pflichten15 Mio. € oder 3 % Jahresumsatz
Transparenzpflichten7,5 Mio. € oder 1,5 % Jahresumsatz
Falsche Angaben7,5 Mio. € oder 1 % Jahresumsatz

Für KMU gelten reduzierte Bußgelder — aber auch die können existenzbedrohend sein.

Unser Ansatz bei FlowBrain

Wir bauen n8n-Automatisierungen mit KI (Claude, GPT). So stellen wir AI-Act-Konformität sicher:

  1. Keine Hochrisiko-Anwendungen — Unsere Workflows automatisieren Büroprozesse, keine Personalentscheidungen
  2. PII-Filter vor jedem KI-Call — Personenbezogene Daten werden maskiert, bevor sie an die KI gehen
  3. Transparenz — Wenn ein KI-Chatbot eingesetzt wird, wird er als solcher gekennzeichnet
  4. EU-Server — KI-Modelle werden über EU-Endpunkte angesprochen (Azure EU, Anthropic EU)
  5. Dokumentation — Jeder Workflow wird mit DSGVO- und AI-Act-Dokumentation ausgeliefert

Fazit: Kein Grund zur Panik

Der EU AI Act betrifft die meisten KMU nur minimal. Wenn du keine KI für Personalentscheidungen oder Kreditscoring nutzt, bist du in der Kategorie „Minimales Risiko" — und musst nur bei Chatbots die Kennzeichnungspflicht beachten.

Trotzdem lohnt es sich, jetzt eine Bestandsaufnahme zu machen. Die Fristen laufen, und wer vorbereitet ist, spart sich später Stress.

Du willst wissen, ob deine KI-Nutzung AI-Act-konform ist? Buche ein kostenloses Erstgespräch — wir prüfen deine Workflows und geben dir eine klare Einschätzung.

Bereit für weniger Büroarbeit?

Kostenloses Erstgespräch — 30 Minuten, konkrete Analyse deiner Automatisierungspotenziale.

Jetzt Erstgespräch buchen