EU AI Act August 2026: Was KMU jetzt erledigen müssen

Deutsch 6 Min. Lesezeit
eu-ai-act compliance kmu

Komplettleitfaden → Den vollständigen Überblick über alle EU-AI-Act-Pflichten für KMU (Art. 4, 5, 26, 27, 50, Bußgelder, Anwendungsfahrplan) finden Sie in unserem Komplettleitfaden EU AI Act für KMU.

Der 2. August 2026 ist kein abstraktes Datum mehr. Ab dann erhalten die nationalen Behörden die Aufsichts- und Durchsetzungsbefugnisse, und die bereits anwendbaren Betreiberpflichten (KI-Kompetenz nach Art. 4 und Transparenz nach Art. 50) sind durchsetzbar, für alle Unternehmen, die KI-Systeme in Europa einsetzen.

Update (Digital Omnibus, Mai 2026): Die Pflichten für Hochrisiko-Systeme (Anhang III, z. B. HR oder Scoring) wurden auf den 2. Dezember 2027 verschoben, Anhang I (regulierte Produkte) auf den 2. August 2028. Durchsetzbar sind im August 2026 vor allem Art. 4 und Art. 50 sowie die Aufsichtsbefugnisse der Behörden.

Das betrifft nicht nur Tech-Konzerne oder KI-Anbieter, sondern jeden Betrieb, der intern ChatGPT, ein lokales Sprachmodell oder ein automatisches Klassifizierungssystem nutzt. Gemäß unserem Verständnis des Gesetzes trifft die Pflicht besonders die sogenannten Betreiber, also Unternehmen, die KI verwenden, ohne sie selbst entwickelt zu haben.

Für die meisten KMU ist das neu. Wer bis jetzt KI genutzt hat, ohne sich groß um Dokumentation zu kümmern, muss jetzt handeln. Dieser Artikel fasst zusammen, welche konkreten Schritte bis August 2026 anstehen, und erklärt, wie kAIra das gesamte Compliance-Paket fertig aufbereitet liefert.

Wer ist betroffen?

Das EU AI Act unterscheidet zwischen Anbietern (die KI entwickeln und vertreiben) und Betreibern (die KI in ihrem Unternehmen einsetzen). Als KMU, das ein Sprachmodell, ein Klassifizierungssystem oder ein automatisches Dokumentenwerkzeug nutzt, sind Sie gemäß unserem Verständnis ein Betreiber. Das gilt unabhängig davon, ob Sie Cloud-KI (ChatGPT, Claude, Gemini) oder eine lokale Lösung wie kAIra verwenden.

Auch Kleinstunternehmen sind nicht ausgenommen. Lediglich der Umfang der Pflichten variiert je nach Risikoklasse des eingesetzten Systems.

Die fünf wichtigsten Betreiberpflichten bis August 2026

1. KI-Kompetenz im Team sicherstellen (Art. 4)

Diese Pflicht gilt bereits seit dem 2. Februar 2025. Mitarbeitende, die KI-Systeme nutzen, müssen ein Grundverständnis für deren Funktionsweise, Grenzen und Risiken mitbringen. Das bedeutet keine technische Ausbildung, aber eine dokumentierte Einweisung. Im Rahmen des kAIra-Onboardings ist ein dedizierter Key-User-Schulungstag vorgesehen, der genau diesen Anforderungen entspricht.

2. Risikoklasse des Systems bestimmen

Nicht jedes KI-System trägt dasselbe Risiko. Das Gesetz unterscheidet grob drei Klassen:

  • Minimales Risiko: Automatische Zusammenfassung, Übersetzung, RAG-Suche, Meeting-Protokolle. Hier gelten die leichtesten Pflichten.
  • Begrenztes Risiko (Art. 50): Chatbots und andere KI-Systeme, die direkt mit Nutzern interagieren. Hier ist eine Transparenzkennzeichnung Pflicht.
  • Hohes Risiko (Anhang III): KI-gestützte Personalentscheidungen, Kreditvergabe, biometrische Auswertung. Hier greifen die schärfsten Vorschriften, inklusive Grundrechte-Folgenabschätzung.

Für die meisten kAIra-Anwendungen wie WikiHub, MailForge, Textus oder die automatische Dokumentensuche ist gemäß unserem Verständnis das minimale Risikoniveau zutreffend. TalentLens für HR-Entscheidungen fällt je nach Einsatz in die Hochrisikoklasse.

3. Menschliche Aufsicht benennen und nachweisen (Art. 26 Abs. 2)

Für jedes eingesetzte KI-System muss eine verantwortliche Person benannt sein, die Ausgaben überwacht, eingreifen kann und im Zweifelsfall den Betrieb unterbricht. Das muss dokumentiert sein: Wer überwacht welches System, mit welchen Befugnissen?

4. Transparenz gegenüber Mitarbeitenden und Nutzern sicherstellen (Art. 26 Abs. 7 / Art. 50)

Mitarbeitende, deren Arbeit durch KI-Systeme beeinflusst oder bewertet wird, müssen darüber informiert werden. Wo KI-generierte Inhalte nach außen gehen, ist eine Kennzeichnung Pflicht. Konkret bedeutet das: Disclaimer in automatisch generierten E-Mails, Protokollen oder Berichten, die als KI-Ausgabe erkennbar sein müssen.

5. Vorfälle melden und Betrieb dokumentieren (Art. 26 Abs. 5)

Schwerwiegende Fehler eines KI-Systems, die zu Schäden führen, müssen an die nationale Marktüberwachungsbehörde gemeldet werden. Dafür brauchen Sie Betriebslogs, aus denen hervorgeht, welches Modell wann welche Ausgabe produziert hat. Die Pflicht zur Dokumentation ist kein Einmalereignis, sondern ein laufender Prozess.

Was viele KMU unterschätzen: die Dokumentationslast

Das Gesetz schreibt nicht nur vor, was zu tun ist, sondern auch, dass es nachweisbar dokumentiert ist. Wer kontrolliert wird und keine Unterlagen vorlegen kann, riskiert Bußgelder. Für große Konzerne gibt es Compliance-Abteilungen, die diese Arbeit übernehmen. Für ein KMU mit 20 oder 50 Mitarbeitenden ist das eine erhebliche Belastung, wenn man von null anfängt.

Genau hier liegt das praktische Problem: Die Pflichten sind bekannt, aber die Umsetzung kostet Zeit und Fachwissen, das intern oft nicht vorhanden ist.

Das kAIra Compliance-Paket: fertig vorausgefüllt

Im Rahmen des Pilotprojekts erstellt Freshlab für jeden Kunden ein vollständiges DOCX-Dokumentationspaket, das alle Pflichtdokumente für EU AI Act-konforme Betreiber enthält. Das Paket umfasst:

  1. Übersicht: Einführung in den EU AI Act, Zeitplan, Rollenverteilung (Anbieter / Betreiber)
  2. Risikoklassifizierung: Checkliste zu verbotenen Praktiken (Art. 5), Hochrisiko (Anhang III) und eingeschränktem Risiko (Art. 50)
  3. Modell-Datenblätter: Gemma 4, Nomic Embeddings, Whisper mit Lizenzinformationen und kAIra-spezifischen Nutzungshinweisen
  4. Betreiberpflichten: Checkliste je Risikoklasse zu KI-Kompetenz, Logging, menschlicher Aufsicht und Grundrechten
  5. Betriebshandbuch: Deployment, Datenfluss, Modell-Inferenz, Logging, Incident Response
  6. Transparenzhinweise: Muster-Disclaimer für Nutzer (Art. 50), Kennzeichnung von KI-Inhalten
  7. Pilotvertrag: Hardware, Laufzeit, Verantwortlichkeiten
  8. Auftragsverarbeitungsvertrag (AVV): DSGVO Art. 28, Freshlab als Auftragsverarbeiter

Felder wie Firmenname, KI-Beauftragter, Datenschutzbeauftragter, Risikoklasse, Modellnamen und Deployment-URL werden automatisch aus dem Kundenprofil übernommen. Was bleibt, ist das einmalige Befüllen der firmenspezifischen Angaben.

Die Risikoklasse wird einmalig im Config Manager gesetzt und automatisch in alle Dokumente übernommen. Für die meisten KMU-Anwendungen ist das minimale oder begrenzte Risikoniveau relevant, was den Aufwand erheblich reduziert.

Warum lokale KI die Compliance vereinfacht

Cloud-KI und lokale KI unterscheiden sich nicht nur beim Datenschutz, sondern auch beim Compliance-Aufwand. Bei Cloud-Diensten wie ChatGPT Business oder Google Vertex AI müssen Sie als Betreiber alle Deployer-Dokumente selbst erarbeiten, da der Cloud-Anbieter lediglich Modellinformationen liefert. Die gesamte Dokumentationspflicht liegt bei Ihnen.

Bei einem lokalen Open-Source-Modell (Gemma 4, Llama 3.3, Mistral) bleiben die Anbieter-Pflichten beim Modell-Hersteller. Sie nutzen das Modell unverändert und müssen keine eigenen Konformitätsbewertungen durchführen. Mit dem vorbefüllten Paket von Freshlab entfällt die aufwendige Eigenrecherche.

Was jetzt zu tun ist

Unabhängig davon, ob Sie kAIra bereits nutzen oder gerade evaluieren: Drei Dinge sollten Sie noch vor dem Sommer angehen.

Erstens: Inventur der KI-Systeme. Welche Anwendungen nutzen Sie heute, die auf einem Sprachmodell basieren? Das schließt eingebettete KI in bestehender Software mit ein.

Zweitens: Risikoklasse einschätzen. Für jede Anwendung klären, ob sie mit personenbezogenen Daten arbeitet, Entscheidungen beeinflusst oder nach außen kommuniziert.

Drittens: Zuständigkeiten intern klären. Wer ist KI-Beauftragter? Wer übernimmt die menschliche Aufsicht für welches System?

Wer bis dahin noch kein KI-System produktiv betreibt, hat die Chance, von Anfang an compliant zu starten. Das Freshlab-Pilotprojekt beinhaltet die gesamte Einrichtung, die Schulung und das fertige Compliance-Paket, sodass Sie in zwei Wochen online gehen und gleichzeitig den gesetzlichen Anforderungen entsprechen.

Sprechen Sie uns an, bevor der August-Stichtag zu knapp wird: Pilotprojekt anfragen.

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zur EU AI Act-Konformität empfehlen wir die Konsultation eines spezialisierten Rechtsanwalts.