Seit dem 2. Februar 2026 sind die ersten Vorschriften des EU AI Act unmittelbar anwendbar — auch für kleine und mittelständische Unternehmen. Während Großkonzerne längst Compliance-Teams aufgestellt haben, herrscht bei vielen Selbstständigen und KMU noch Unsicherheit: Was gilt für mich? Wo droht ein Bußgeld? Und reicht es, ChatGPT einfach weiter zu nutzen?
Was ab Februar 2026 gilt
Der EU AI Act ist seit August 2024 in Kraft, wird aber gestaffelt scharfgestellt. Seit Februar 2026 gelten verbindlich:
- Verbot bestimmter KI-Praktiken (z. B. Social Scoring, manipulative Systeme, Emotionserkennung am Arbeitsplatz)
- AI Literacy Pflicht: Unternehmen müssen sicherstellen, dass Mitarbeitende, die KI einsetzen, ausreichend geschult sind
- Transparenzpflichten für generative KI-Inhalte (Texte, Bilder, Videos müssen als KI-generiert kenntlich gemacht werden, sofern relevant)
Ab August 2026 folgen die Pflichten für sogenannte General-Purpose-AI-Modelle (z. B. GPT, Claude, Gemini) — die treffen vor allem die Anbieter, mittelbar aber auch Unternehmen, die diese Modelle integrieren.
Welche KI-Anwendungen sind in welcher Risikoklasse?
Der AI Act unterscheidet vier Risikoklassen. Für KMU besonders relevant:
| Risikoklasse | Beispiele | Pflichten für KMU |
|---|---|---|
| Verboten | Social Scoring, manipulative Werbung, Emotionserkennung im HR-Kontext | Schlicht nicht einsetzen |
| Hochrisiko | KI für Bewerber-Auswahl, Kreditscoring, kritische Infrastruktur | Konformitätsbewertung, Dokumentation, menschliche Aufsicht |
| Begrenztes Risiko | Chatbots, Deepfakes, KI-generierte Inhalte | Transparenzpflicht (Kennzeichnung) |
| Minimales Risiko | Spamfilter, Office-Assistenz, Übersetzungs-KI | Kaum Pflichten — aber AI Literacy gilt |
Praxis-Hinweis: Die meisten KMU bewegen sich im Bereich „begrenztes” oder „minimales Risiko”. Pflichten gibt es trotzdem — vor allem rund um Transparenz und Schulung.
Drei Punkte, die Selbstständige jetzt prüfen sollten
1. KI-Inventur
Jedes Unternehmen sollte eine kurze Übersicht haben: Welche KI-Tools werden eingesetzt? Wofür? Wer hat Zugriff? Diese Liste ist die Grundlage für alle weiteren Compliance-Schritte — und sie hilft, doppelte Lizenzen und Schatten-IT zu reduzieren.
2. AI Literacy: Schulung statt Bauchgefühl
Die AI-Literacy-Pflicht ist neu und wird gerne unterschätzt. Sie verlangt nicht, dass jeder Mitarbeitende ein Data-Science-Studium absolviert — aber dass dokumentiert werden kann, dass die eingesetzten Personen wissen, was die Tools können, wo deren Grenzen liegen und welche Risiken (Halluzinationen, Datenschutz, Urheberrecht) bestehen.
Ein einfacher interner Schulungsleitfaden reicht in den meisten Fällen aus.
3. Transparenz bei KI-Inhalten
Wer Texte, Bilder oder Videos KI-generiert oder substanziell mit KI bearbeitet, sollte diese kenntlich machen, wenn sie öffentlich zugänglich sind und das Publikum sonst getäuscht würde. Das ist keine Pflicht für jeden internen Newsletter, aber für Marketing- und PR-Inhalte zunehmend relevant.
Schnittstelle zur DSGVO: Wo es teuer werden kann
Der AI Act ersetzt die DSGVO nicht — er ergänzt sie. In der Praxis kommen die meisten Bußgelder bei KI-Einsatz nicht aus dem AI Act, sondern aus der DSGVO:
- Personenbezogene Daten in Prompts (z. B. Kundennamen in ChatGPT eingeben) ohne Rechtsgrundlage
- Fehlender AV-Vertrag mit dem KI-Anbieter
- Drittstaaten-Übermittlung in die USA ohne SCC oder EU-US Data Privacy Framework
Wichtig: Der AI Act sieht für die schwersten Verstöße Bußgelder bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes vor. Für KMU realistischer sind die DSGVO-Bußgelder, aber auch die summieren sich bei systematischen Verstößen schnell auf fünfstellige Beträge.
Welche Tools sind „sicher”?
Eine pauschale Antwort gibt es nicht — die meisten gängigen KI-Tools sind grundsätzlich nutzbar, wenn die Konfiguration stimmt. Wichtig ist:
- EU- oder DACH-Hosting prüfen. Viele Anbieter haben mittlerweile EU-Regionen oder dedizierte Daten-Residency-Optionen.
- AV-Vertrag abschließen. Pflicht, sobald personenbezogene Daten verarbeitet werden.
- Daten-Trainings-Opt-out aktivieren. Bei den meisten Business-Tarifen kann die Nutzung der Eingaben für Modelltraining unterbunden werden.
Was im Alltag jetzt zu tun ist
| Aufgabe | Aufwand | Frist |
|---|---|---|
| KI-Inventur erstellen | 1–2 Stunden | sofort |
| AV-Verträge mit KI-Anbietern prüfen | 2–4 Stunden | sofort |
| Mitarbeiter-Schulung dokumentieren | 1 Tag | bis Sommer 2026 |
| Transparenzhinweise auf Marketing-Material ergänzen | laufend | sofort |
| Hochrisiko-Anwendungen identifizieren | je nach Branche | bis August 2026 |
Fazit
Für die meisten Selbstständigen und KMU im DACH-Markt ist der AI Act kein Showstopper, sondern eine Aufforderung zu klarem Aufräumen: Welche Tools nutzen wir, mit welchen Daten, mit welcher Rechtsgrundlage? Wer diese drei Fragen sauber beantworten kann, ist 2026 ausreichend aufgestellt — und vermeidet später teure Nachjustierungen.