Heute, 24. März 2026, debattiert der Bundestag die erste Lesung des deutschen KI-Umsetzungsgesetzes. Das ist kein abstraktes Brüsseler Thema mehr – es ist jetzt Bundestags-Realität. Und die August-2026-Deadline für Hochrisiko-KI-Systeme rückt damit in ein neues Stadium.
Was heute im Bundestag passiert – und warum es für Ihr KMU relevant ist
Deutschland setzt den EU AI Act in nationales Recht um. Die erste Lesung im Bundestag ist der formelle Startschuss für den Gesetzgebungsprozess. Bis August 2026 müssen Unternehmen, die sogenannte “Hochrisiko-KI-Systeme” einsetzen, diese registriert, dokumentiert und konform betrieben haben. Verstösse: bis zu 30 Millionen Euro Bussgelder oder 6% des weltweiten Jahresumsatzes.
Das klingt nach Grosskonzernen. Ist es aber nicht.
Welche KMU-Tools unter Hochrisiko fallen könnten
Viele KMU haben bereits KI-Tools im Einsatz, ohne zu wissen, dass diese unter die Hochrisiko-Kategorie fallen könnten. Laut EU AI Act sind das unter anderem:
- KI-gestütztes Recruiting: Systeme, die Bewerbungen automatisch vorfiltern oder bewerten (z.B. KI in Personio, Workday, oder externe Screening-Tools)
- Leistungsbewertungssysteme: Software, die Mitarbeiterleistungen automatisiert analysiert oder dokumentiert
- Kreditentscheidungs-Tools: Systeme, die bei der Bonitätsprüfung oder Kreditvergabe KI einsetzen
- Sicherheitsrelevante Steuerung: KI in Produktionsanlagen oder sicherheitskritischen Prozessen
Besonders HR-Systeme stehen im Fokus. Wer ein Tool nutzt, das Bewerbungen automatisch nach Keywords filtert oder Mitarbeiterdaten auswertet, sollte seinen Anbieter jetzt konkret fragen: Fällt dieses System unter den EU AI Act? Welche Dokumentation liegt vor?
Die 3-Punkte-Checkliste für KMU-Entscheider
1. Inventur jetzt: Erstellen Sie eine Liste aller KI-Tools, die in Ihrem Unternehmen eingesetzt werden – offiziell und inoffiziell. Fragen Sie auch in den Abteilungen nach, die Sie nicht täglich sehen.
2. Anbieter befragen: Fragen Sie für jedes Tool konkret: Ist dieses System im EU AI Act als Hochrisiko eingestuft? Welche Konformitätsdokumentation ist geplant? Bis wann? Anbieter, die diese Fragen nicht beantworten können, sind ein Risiko.
3. Dokumentation aufbauen: Auch wenn Ihre Tools nicht unter Hochrisiko fallen, ist eine interne Dokumentation (welche KI, welcher Zweck, wer verantwortlich) bereits gute Praxis – und vorbereitung für zukünftige Prüfungen.
Was jetzt realistisch ist
Fünf Monate bis August klingt nach Zeit. Ist es aber nicht, wenn Anbieter-Zertifizierungen ausstehen, interne Prozesse angepasst werden müssen und Mitarbeitende einzubeziehen sind. Wer heute anfängt, hat Puffer. Wer im Juli anfängt, hat Stress.
Der 10-Minuten-KI-Brief bringt Ihnen jede Woche eine konkrete Handlungsempfehlung – auch zur AI Act Compliance. Kein Juristendeutsch, nur umsetzbare Schritte für DACH-KMU.
