Der 2. August 2026 ist kein abstraktes Datum mehr. Laut Vinspire-Leitfaden zur EU AI Act Umsetzung und dem Exponent-Überblick für DACH-KMU greift an diesem Tag für Hochrisiko-KI-Systeme das vollständige Anforderungsset des EU AI Act: Konformitätsbewertung, Risikomanagementsystem, menschliche Aufsicht, Logging und technische Dokumentation. Für KMU, die KI in Recruiting, Kreditwürdigkeitsprüfung, Bildung, Personalbeurteilung oder kritischer Infrastruktur einsetzen, sind das keine Empfehlungen, sondern Pflichten mit Bußgeldrahmen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.
Sieben Wochen sind wenig Zeit für eine vollständige Compliance-Aufstellung. Die meisten KMU wissen noch nicht einmal, welche ihrer KI-Systeme überhaupt als Hochrisiko einzustufen sind. Genau dort beginnt die sinnvolle Arbeit: nicht mit Rechtsdokumenten, sondern mit einer ehrlichen Auflistung aller KI-Systeme im Unternehmen.
Warum die meisten KMU-Anwendungen kein Hochrisiko auslösen
Die wichtigste Nachricht zuerst: Textassistenten für Angebote, Chatbots für FAQ-Anfragen, Spamfilter, Textverarbeitung und Empfehlungsalgorithmen fallen laut AI Act in die Klasse minimales oder begrenztes Risiko. Für sie gelten hauptsächlich Transparenzpflichten. Kunden müssen erkennen, dass sie mit einer KI interagieren. Das erfordert keinen Konformitätscheck und keine technische Dokumentation im Sinne des Anhangs IV.
Hochrisiko bedeutet konkret: KI-gestützte Personalauswahl oder Bewerbungsfilterung, automatisiertes Kreditscoring für Kreditentscheidungen, KI in Bildungseinrichtungen für Lernerfolgsbeurteilung, KI zur Klassifizierung von Menschen nach sensiblen Merkmalen, oder KI in sicherheitskritischen Systemen. Wer eines dieser Systeme betreibt, ist als Deployer betroffen und hat Pflichten auch dann, wenn er das System nicht selbst entwickelt hat, sondern nur nutzt.
Das KI-Inventar: Erste Priorität in den nächsten sieben Wochen
- Schritt 1 — Liste aller KI-Systeme: Wer nutzt welches Tool für welche Aufgabe? Textassistenten, eingebettete Copilot-Funktionen, automatisierte Bewerbungsfilter, externe Scoringdienste, HR-Software mit Entscheidungsunterstützung.
- Schritt 2 — Risikoklassifizierung: Für jede Anwendung fragen: Verarbeitet sie Daten über Personen und beeinflusst dabei Entscheidungen über Beschäftigung, Kredit, Bildung oder Strafverfolgung? Wenn ja, Hochrisiko prüfen.
- Schritt 3 — Deployer-Pflichten: Für jedes Hochrisiko-System: Ist ein Risikomanagementsystem vorhanden? Gibt es Logging? Ist menschliche Aufsicht definiert? Sind Mitarbeitende informiert?
- Schritt 4 — Lieferantendokumentation: Für jedes Hochrisiko-System den Anbieter nach Konformitätserklärung und technischer Dokumentation fragen. Anbieter von Hochrisiko-Systemen tragen eigene Pflichten; als Deployer braucht man den Nachweis.
- Schritt 5 — Sofortmassnahme: Für Systeme ohne klare Risikoklassifizierung und ohne Dokumentation eine pragmatische Zwischenlösung einbauen: menschliche Prüfung der KI-Ausgaben vor jeder Entscheidung mit Personenbezug.
Dieser Plan ist kein vollständiges Compliance-Programm. Er ist der Mindesteinstieg, um in sieben Wochen nicht unvorbereitet da zu stehen. Ein vollständiger Compliance-Aufbau mit rechtlicher Prüfung, Aufsichtsbehördenregistrierung und Risikomanagementsystem dauert länger. Aber ein KI-Inventar und eine erste Risikoklassifizierung sind intern leistbar.
Die AI Literacy Pflicht ist bereits geltendes Recht
Weniger diskutiert, aber seit Februar 2025 in Kraft ist Artikel 4 des AI Act: Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das bedeutet nicht, dass jede Mitarbeiterin Informatikerin werden muss. Es bedeutet, dass Menschen, die mit KI-Ausgaben arbeiten, die Grenzen, Risiken und Prüfpflichten des Systems kennen müssen.
Für KMU ist das ein konkreter Auftrag: Schulen Sie, wie interne KI-Tools genutzt werden, welche Ausgaben kritisch zu prüfen sind, wo KI keine Entscheidung treffen darf, und wer bei Problemen zuständig ist. Das lässt sich in einem halbtägigen Workshop abdecken. Wer das noch nicht gemacht hat, sollte es in den nächsten Wochen nachholen.
Was passiert, wenn Unternehmen nichts tun
Für KMU, die kein Hochrisiko-System einsetzen und keine verbotenen Praktiken nutzen, ist das Risiko bis August 2026 überschaubar. Die eigentliche Durchsetzung der Hochrisiko-Anforderungen beginnt ab diesem Datum, aber die Behörden werden voraussichtlich zunächst auf klare Verstösse fokussieren, nicht auf Unternehmen, die guten Willens an der Umsetzung arbeiten.
Anders ist das für Unternehmen, die wissen oder wissen sollten, dass sie ein Hochrisiko-System einsetzen, aber bisher keine Schritte unternommen haben. Dort besteht echtes Haftungsrisiko, besonders wenn eine Entscheidung mit Personenbezug angefochten wird und das Unternehmen keine Dokumentation vorweisen kann.
Die KMU-Entscheidung für diese Woche
Der wichtigste Schritt ist das KI-Inventar. Nicht ein Audit, nicht eine Rechtsberatung, nicht eine neue Software. Eine ehrliche Liste aller KI-Systeme im Unternehmen mit Zweck, Nutzenden, Eingabedaten und Ausgabewirkung. Diese Liste ist die Grundlage für alles weitere und lässt sich in einer bis zwei Stunden erstellen. Wer sie danach mit den Hochrisiko-Kriterien des AI Act vergleicht, weiss sehr schnell, ob August ein Aktionsdatum ist oder ein Beobachtungsdatum.
Das könnte dich auch interessieren
Nächster Schritt
Was heisst das für KI-Regeln und Nachweise?
- Nutzung sichtbar machen: Welche Teams nutzen welche KI-Tools?
- Daten und Freigaben klären: Was darf in ChatGPT, Copilot oder andere Tools?
- Nachweise vorbereiten: Regeln, Rollen und Unterweisung dokumentieren.
DACH-Hinweis: 10min KI Brief bleibt für KMU im gesamten DACH-Raum lesbar; konkrete Praxisangebote sind zuerst CH-first formuliert.