Der EU AI Act ist seit August 2024 in Kraft. Die meisten KMU haben das registriert, aber wenig unternommen. Verständlich — die Verordnung umfasst 180 Artikel und fühlt sich an wie Regulierung für Konzerne. Ist sie aber nicht. Wer KI-Systeme einsetzt, bereitstellt oder entwickelt, ist betroffen. Punkt.
Dieser Artikel konzentriert sich auf fünf Pflichten, die für österreichische und deutsche KMU ab 2026 tatsächlich Relevanz haben — ohne den gesamten Normtext aufzurollen.
1. Klarheit darüber, welche Risikostufe Ihre KI-Systeme haben
Der AI Act arbeitet mit vier Risikostufen: inakzeptables Risiko (verboten), Hochrisiko, begrenztes Risiko und minimales Risiko. Die Verbote gelten seit Februar 2025. Alles andere staffelt sich.
Für KMU ist die entscheidende Frage: Fällt meine KI in die Hochrisiko-Kategorie? Anhang III der Verordnung listet die Bereiche: Beschäftigung und Personalverwaltung, Kreditwürdigkeitsbewertung, biometrische Kategorisierung, kritische Infrastruktur und weitere.
Typisches Beispiel: Ein Steuerberater mit 15 Mitarbeitenden, der ein KI-Tool zur automatisierten Dokumentenklassifikation einsetzt — wahrscheinlich kein Hochrisiko. Derselbe Betrieb, der KI zur Vorauswahl von Bewerbungen nutzt — sehr wahrscheinlich Hochrisiko nach Anhang III, Nr. 4.
Mein Rat: Erstellen Sie eine einfache Systemliste. Für jedes KI-System eine Zeile, drei Spalten: Einsatzzweck, betroffene Personen, Risikostufe nach AI Act. Das dauert einen halben Tag und schafft die Grundlage für alles Weitere.
2. Transparenzpflicht bei bestimmten KI-Interaktionen
Artikel 50 AI Act verpflichtet Betreiber, Nutzer zu informieren, wenn sie mit einem KI-System interagieren — insbesondere bei Chatbots und synthetischen Inhalten.
Konkret: Wer einen KI-gestützten Kundenservice betreibt, muss kenntlich machen, dass kein Mensch antwortet. Das gilt auch dann, wenn der Chatbot gut klingt. Ausnahme: Der Nutzer weiß es offensichtlich.
Für KMU mit eigenem Website-Chat oder automatisierten E-Mail-Antworten bedeutet das: eine kurze, sichtbare Kennzeichnung. Keine Raketenwissenschaft. Aber wer das vergisst, riskiert Beanstandungen — die Aufsichtsbehörden werden ab 2026 aktiver.
Häufiges Muster: Ein Handwerksbetrieb mit 30 Mitarbeitenden schaltet einen KI-Assistenten für Terminanfragen auf der Website. Transparenzpflicht gilt. Umsetzung: ein Satz im Chat-Fenster, der die KI-Natur des Systems benennt. Fertig.
3. Grundlegende Dokumentationspflichten für Hochrisiko-KI
Wer tatsächlich Hochrisiko-KI einsetzt, hat ab 2. August 2026 substanzielle Dokumentationspflichten. Artikel 11 und 18 verlangen technische Dokumentation und eine Aufzeichnung automatischer Protokolle (Logs).
Das klingt aufwändig. Ist es auch — aber nicht unmöglich. Was konkret gefordert wird:
- Beschreibung des Systems und seines Verwendungszwecks
- Angaben zum Trainingsprozess (bei selbst entwickelten Systemen)
- Angaben zu Leistungsgrenzen und bekannten Risiken
- Maßnahmen zur menschlichen Aufsicht
- Aufzeichnungen über den Betrieb (Logs)
Für KMU, die Hochrisiko-KI nicht selbst entwickeln, sondern einkaufen, gilt: Der Anbieter muss die technische Dokumentation liefern. Verlangen Sie das vertraglich. Wer einen EU-konformen Anbieter wählt, hat die Dokumentationspflicht für den technischen Teil bereits erfüllt — Sie müssen nur Ihren Einsatzkontext dokumentieren.
Beispielhaft: Ein Personaldienstleister mit 40 Mitarbeitenden, der ein KI-gestütztes Matching-Tool eines Softwareanbieters nutzt, muss dokumentieren, wie er das System einsetzt, wer es überwacht und welche Entscheidungen Menschen vorbehalten bleiben. Das ist ein Dokument von drei bis fünf Seiten — kein Jahrhundertprojekt.
4. Menschliche Aufsicht organisieren und nachweisen
Artikel 14 AI Act verlangt für Hochrisiko-KI, dass Menschen das System wirksam beaufsichtigen können. Nicht theoretisch — tatsächlich.
Das bedeutet in der Praxis:
- Eine benannte Person ist für die KI-Aufsicht zuständig
- Diese Person versteht die Funktionsweise des Systems ausreichend
- Es gibt einen definierten Prozess, um KI-Ausgaben zu überprüfen und bei Bedarf zu übersteuern
- Entscheidungen mit erheblichen Auswirkungen auf Personen werden nicht vollautomatisch getroffen
Für KMU ist das der Teil, der am meisten Denkarbeit erfordert. Nicht wegen der Technik, sondern wegen der internen Organisation. Wer ist zuständig? Wie wird übersteuert? Was passiert bei offensichtlich falschen KI-Ausgaben?
Aus meiner Sicht ist das gleichzeitig der nützlichste Teil der Compliance-Arbeit. Wer diese Fragen beantwortet, hat automatisch ein besseres Verständnis seiner eigenen KI-Prozesse — unabhängig von der Regulierung.
Ein pragmatischer Einstieg: Schreiben Sie für jedes Hochrisiko-System eine halbe Seite. Wer schaut drauf? Wie oft? Was löst eine manuelle Überprüfung aus? Das ist der Kern des Aufsichtskonzepts.
5. Konformitätsbewertung und EU-Datenbank für Hochrisiko-KI
Hochrisiko-KI-Systeme müssen vor dem Inverkehrbringen oder der Inbetriebnahme eine Konformitätsbewertung durchlaufen (Artikel 43) und in der EU-Datenbank registriert werden (Artikel 71).
Wichtig für KMU-Betreiber: Diese Pflicht trifft primär die Anbieter — also jene, die das System entwickeln und auf den Markt bringen. Als Betreiber, der ein fertiges Produkt kauft, fällt die Konformitätsbewertung grundsätzlich beim Anbieter an.
Aber: Wenn Sie ein Standard-KI-Produkt für einen anderen Zweck einsetzen als ursprünglich vorgesehen, werden Sie zum Anbieter im Sinne des AI Acts. Dann greift die vollständige Pflicht.
Häufiges Muster: Ein Maschinenbauer mit 80 Mitarbeitenden kauft ein allgemeines KI-Planungstool und integriert es tief in den Fertigungsprozess, so dass es sicherheitsrelevante Entscheidungen trifft. Wenn dieser Einsatzzweck nicht der ursprünglichen Zweckbestimmung entspricht, ist der Maschinenbauer als Anbieter zu behandeln — mit allen Konsequenzen.
Prüfen Sie daher vertraglich: Für welchen Zweck ist das System zugelassen? Weicht Ihr Einsatz davon ab?
Was nicht dran ist: die häufigsten Missverständnisse
„Wir sind zu klein.” Größe ist kein Kriterium. KMU-Erleichterungen gibt es bei den Gebühren und bei bestimmten Fristen — nicht bei den inhaltlichen Pflichten.
„Wir nutzen nur ChatGPT.” Wer GPT-basierte Tools intern für administrative Aufgaben nutzt, ist in aller Regel im minimalen Risiko-Bereich. Wer damit Entscheidungen über Personen trifft — Einstellungen, Kredite, Sozialleistungen — ist es möglicherweise nicht mehr.
„Der Anbieter ist zuständig.” Für technische Dokumentation und Konformitätsbewertung: ja. Für den Einsatzkontext, die Aufsicht und die Transparenz gegenüber Nutzern: Sie.
Implementierungspfad: drei Schritte bis Mitte 2026
Schritt 1 — Inventar (jetzt, 2 bis 4 Stunden): Liste aller KI-Systeme im Unternehmen. Einsatzzweck, beteiligte Personen, vorläufige Risikostufe. Keine Perfektion nötig — Vollständigkeit zählt.
Schritt 2 — Klassifizierung (Q2 2026, 1 Tag): Für jedes System klären: Hochrisiko oder nicht? Bei Unklarheit: Rechtsberatung oder Fachanwalt mit AI-Act-Erfahrung hinzuziehen. Die Einstufung hat erhebliche Konsequenzen — hier nicht raten.
Schritt 3 — Maßnahmen umsetzen (Q2–Q3 2026): Für Nicht-Hochrisiko: Transparenzpflichten prüfen und umsetzen. Für Hochrisiko: Dokumentation erstellen, Aufsichtskonzept definieren, Anbieterverträge anpassen.
Der gesamte Aufwand für ein KMU ohne Hochrisiko-KI: realistisch 2 bis 3 Tage interne Arbeit plus allenfalls ein halber Tag externe Beratung. Für KMU mit Hochrisiko-KI: 5 bis 10 Tage, je nach Systemkomplexität.
Fazit
Der AI Act ist kein Papiertiger. Die Aufsichtsbehörden in Österreich und Deutschland bauen gerade Kapazitäten auf — ab 2026 wird kontrolliert. Aber die Compliance-Last für KMU ist handhabbar, wenn man strukturiert vorgeht.
Die fünf Pflichten — Risikoeinstufung, Transparenz, Dokumentation, menschliche Aufsicht, Konformitätsbewertung — sind kein Selbstzweck. Sie zwingen zu einem klareren Blick auf das, was KI im Unternehmen tatsächlich tut. Das ist, nüchtern betrachtet, kein schlechter Ausgangspunkt.