EU AI Act: Mehr Zeit, aber neue Pflichten für KMU

Der Anruf, der diesen Post ausgelöst hat

Letzte Woche, Dienstagnachmittag, ruft mich ein Bauunternehmer aus dem Schwarzwald an. 42 Mitarbeiter, drei Poliere, eine Sekretärin, die seit drei Monaten ChatGPT für Angebotsentwürfe nutzt. Seine Frage: “Ich habe gelesen, der AI Act wird verschoben. Heißt das, ich kann das Thema ignorieren?”

Kurze Antwort: Nein.

Lange Antwort: Genau dafür schreibe ich diesen Post. Am 7. Mai 2026 haben sich EU-Parlament und Rat auf Vereinfachungen und neue Fristen für den AI Act geeinigt. Die Schlagzeilen klingen nach Entwarnung. Wer aber genauer hinschaut, sieht: Es ist eine Atempause, kein Freifahrtschein. Und für KMU, die KI längst im Alltag nutzen — Chatbot auf der Website, KI-Sortierung im Bewerbungs-Postfach, ChatGPT für Texte — verschieben sich vor allem die Termine, nicht die Pflichten.

Was ich erst falsch verstanden habe

Mein erster Reflex, als ich die Pressemitteilung gelesen habe: “Gut, Hochrisiko-Pflichten erst ab 2. Dezember 2027 — da haben meine Kunden eineinhalb Jahre Luft.” Ich habe das einem Mandanten so geschrieben. War nicht ganz falsch, aber irreführend.

Denn die Verschiebung betrifft den Hochrisiko-Teil. Die Transparenzpflichten nach Artikel 50 — also “Sag deinen Kunden, wenn sie mit einem Bot reden” oder “Kennzeichne KI-generierte Bilder” — die gelten weiterhin ab 2. August 2026. Das sind keine zwei Monate mehr.

Die Watermarking-Pflicht für generative KI wurde auf den 2. Dezember 2026 verschoben. Auch nicht weit weg.

Und das Bußgeld-Niveau steht unverändert im Text: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken. Für einen Mittelständler mit 12 Millionen Umsatz wären 7 % schon 840.000 Euro. Bei einem Handwerksbetrieb mit 2 Millionen Umsatz immer noch 140.000.

Ich musste dem Mandanten am nächsten Tag eine zweite Mail schreiben. Das war unangenehm.

Was wirklich passiert — und für wen

Der AI Act unterscheidet vier Risiko-Klassen: verboten, hochriskant, begrenztes Risiko, minimal. 90 % aller KMU-Anwendungen, die ich in den letzten Monaten gesehen habe, landen in den unteren zwei Kategorien. Das ist die gute Nachricht.

Die schlechte: Ein paar typische KMU-Anwendungen kippen in den Hochrisiko-Bereich. Konkret:

• Bewerberauswahl mit KI-Vorsortierung. Wenn dein HR-Tool Lebensläufe automatisch rankt oder rausfiltert, ist das Hochrisiko. Egal, ob du 5 oder 500 Bewerbungen im Jahr hast.
• Mitarbeiterbewertung oder Schichtplanung mit KI. Wenn ein Algorithmus mitbestimmt, wer welche Schicht bekommt oder wer befördert wird — Hochrisiko.
• Kreditwürdigkeitsprüfung bei Kunden. Auch wenn du nur dein Forderungsmanagement automatisiert hast.

Was nicht Hochrisiko ist (Stand jetzt):

• ChatGPT/Claude für interne Texte, Angebote, E-Mails
• Ein Chatbot, der FAQ beantwortet (aber Transparenzpflicht: Hinweis, dass es ein Bot ist)
• KI-gestützte Bildbearbeitung
• Übersetzungstools
• Automatisierte Buchhaltungsvorschläge, solange ein Mensch entscheidet

Die EU plant außerdem, die KMU-Erleichterungen auf “Small Mid-Caps” auszuweiten: bis zu 750 Beschäftigte und 150 Millionen Euro Umsatz. Zur Erinnerung — die normale EU-KMU-Definition liegt bei unter 250 Mitarbeitern und höchstens 50 Millionen Umsatz oder 43 Millionen Bilanzsumme. Für gefühlt jeden Mittelständler, mit dem ich rede, ist das relevant.

Was jetzt konkret hilft

Ich mache das mit meinen Kunden in vier Schritten, und das dauert für einen 30-Mann-Betrieb etwa drei Stunden:

1. KI-Tool-Liste. Eine Excel-Tabelle. Spalten: Tool-Name, Wer nutzt es, Wofür, Welche Daten gehen rein. Bei dem Bauunternehmer waren das am Ende sieben Einträge — ChatGPT, DeepL, ein Microsoft-Copilot-Test, der Chatbot auf der Website, die Bewerber-Software, ein Foto-Aufmaß-Tool, und ein KI-Feature in der Buchhaltung, von dem niemand wusste, dass es eingeschaltet war.
2. Risiko-Einstufung pro Eintrag. Hochrisiko, begrenztes Risiko, minimal. Bei zwei Einträgen hatten wir Unsicherheit — die habe ich an einen Anwalt weitergegeben.
3. Anbieter-Dokumentation sammeln. Datenschutzerklärungen, AGB, Hinweise zur Trainingsdatennutzung. PDFs in einen Ordner, fertig.
4. Transparenz-Hinweise einbauen. Auf der Website beim Chatbot: “Sie chatten mit einem KI-Assistenten.” In E-Mail-Signaturen, wenn KI mitgeschrieben hat: ein kurzer Vermerk. Das kostet zehn Minuten, deckt aber Artikel 50 ab.

Was nicht funktioniert

Ehrlich gesagt: Generische Online-Checklisten haben bei keinem meiner Mandanten zu einem nutzbaren Ergebnis geführt. Die sind entweder zu allgemein (“Erstellen Sie ein KI-Inventar”) oder zu juristisch (“Prüfen Sie die Konformitätsbewertung nach Art. 43”).

Auch der Versuch, das ganze Thema komplett an die IT zu delegieren, geht schief. Die IT kennt die Tools, aber nicht den Einsatz. Der Vertrieb weiß, wofür er ChatGPT nutzt, vergisst aber, dass er dabei Kundennamen reinpastet. Das müssen Leute aus verschiedenen Ecken gemeinsam aufschreiben.

Und: Die Einigung vom 7. Mai ist noch nicht final beschlossen. Der Text kann sich noch ändern. Wer jetzt teure Beratung für die finale Compliance bucht, zahlt eventuell doppelt.

Warum sich der Aufwand lohnt

Drei Stunden für die Tool-Liste, eine Stunde für die Transparenz-Hinweise, vielleicht ein Anwalts-Termin für die Grauzonen. Macht für die meisten Betriebe einen Tagessatz. Dafür hast du im August 2026, wenn Artikel 50 scharfgeschaltet wird, eine saubere Akte. Und falls 2027 die Hochrisiko-Pflichten kommen, weißt du, ob du betroffen bist.

Was du dir damit erkaufst, ist nicht nur Compliance. Es ist Klarheit, was im eigenen Laden überhaupt läuft. Bei dem Bauunternehmer aus dem Schwarzwald haben wir nebenbei rausgefunden, dass die Sekretärin auf der unbezahlten kostenlosen ChatGPT-Version Angebotskalkulationen reinkopiert hat. Das war kein AI-Act-Problem — das war ein DSGVO-Problem. Die Verschiebung des AI Act ändert daran nichts.

Wenn du wissen willst, wo dein Betrieb steht: Ein 30-Minuten-Erstgespräch bei mir kostet nichts und endet mit einer ehrlichen Einschätzung, kein Verkaufsgespräch. Termin buchen.