EU AI Act für KMU 2026: Was du wirklich tun musst (Checkliste)

TL;DR · in 60 Sekunden

Der EU AI Act ist seit August 2024 in Kraft, die meisten Pflichten greifen ab August 2026. Für deutsche KMU heißt das konkret: Wer KI in Geschäftsprozessen einsetzt (auch nur ChatGPT für Kundenanfragen), muss ab dann die Risikoklasse jedes KI-Systems dokumentieren, Transparenzpflichten erfüllen und bei hohem Risiko technische und organisatorische Maßnahmen vorhalten. Die meisten KMU-Anwendungen fallen unter „Limited Risk" oder „Minimal Risk" — und das ist mit überschaubarem Aufwand machbar. Die Checkliste unten zeigt, was wirklich zu tun ist, ohne Panik-Marketing.

Disclaimer zuerst — was dieser Artikel ist und nicht ist

Dieser Artikel ist keine Rechtsberatung. Wir sind n8n-Agentur, nicht Anwaltskanzlei. Was wir hier schreiben, basiert auf:

• der konsolidierten Fassung der KI-VO (Verordnung (EU) 2024/1689),
• den Orientierungshilfen der DSK (Datenschutzkonferenz) und des EU AI Office,
• konkreter Compliance-Arbeit, die wir mit FlowBrain-Mandanten in 2026 umsetzen.

Wenn dein Anwendungsfall in YMYL-Branchen (Gesundheit, Recht, Bildung, Personalauswahl, Kreditvergabe) fällt: holt euch zusätzlich eine spezialisierte Datenschutz-/Compliance-Beratung. Diese Artikel-Inhalte ersetzen das nicht.

Die wichtigsten Daten im Überblick

Für die meisten KMU ist das relevante Datum 02. August 2026. Wer bis dahin nicht weiß, in welche Klasse seine KI-Anwendungen fallen, hat ein Problem.

Die vier Risikoklassen — wo dein KI-Einsatz wirklich liegt

Der EU AI Act sortiert KI-Systeme in vier Klassen. Hier nur die KMU-relevanten Auszüge:

Klasse 1 · Unzulässig (verboten)

• Social Scoring durch öffentliche Stellen
• Manipulative KI, die Verhaltensänderungen erzwingt
• Biometrische Echtzeit-Identifikation in öffentlichen Räumen (mit Ausnahmen)

Für 99,9 % der KMU nicht relevant — das ist Stand-der-Polizei-Diskussion.

Klasse 2 · High-Risk (Hauptaufwand)

Diese Anwendungen betreffen KMU am ehesten:

• HR & Personalauswahl: KI, die Lebensläufe filtert, Kandidaten scort, Probezeit-Entscheidungen vorbereitet
• Kreditvergabe: KI-basierte Bonitätsprüfung
• Bildung: automatische Prüfungsbewertung
• Sicherheits-Komponenten in regulierten Produkten

Wenn du KI hierfür einsetzt: vollständige Konformitätsbewertung, technische Dokumentation, Risk-Management-System, menschliche Aufsicht, Transparenzbericht, EU-Registrierung.

Das ist real Aufwand. Plane 20.000–60.000 € einmalig und laufende Wartung der Dokumentation.

Klasse 3 · Limited Risk (Transparenz-Pflicht)

Hier landen die meisten KMU-Anwendungen:

• Chatbots (Kunden müssen wissen, dass sie mit KI sprechen)
• Deepfakes / KI-generierte Inhalte (müssen als solche gekennzeichnet sein)
• Emotion-Recognition / Biometrik (Kennzeichnungspflicht)

Pflicht: Transparenz-Hinweis. Dem Nutzer muss klar sein, dass KI im Spiel ist.

Klasse 4 · Minimal Risk (kaum Pflichten)

Alles andere. Auch Lead-Triage mit KI, E-Mail-Klassifikation, Spam-Filter, RAG-Systeme für interne Dokumente — wenn keine personenbezogenen Entscheidungen automatisiert getroffen werden.

Empfehlung: freiwilliger Code of Conduct (z.B. nach EU-Vorlage), aber keine Pflicht.

Wo deine KMU-KI realistisch landet

Aus unserer Compliance-Arbeit mit FlowBrain-Mandanten (Sanitärbetrieb, Restaurant, Physio-Praxis, Steuerkanzlei, Pflegedienst und vergleichbare KMU-Cases) zeichnet sich folgendes Muster ab:

• Klasse 4 (Minimal Risk): der mit Abstand größte Anteil — Lead-Triage mit Pseudonymisierung, E-Mail-Klassifikation, interne RAG-Systeme für Wissens-Dokumente, Mahnwesen-Vorstufe
• Klasse 3 (Limited Risk): typisch Chatbots auf Kunden-Websites — Pflicht ist hier nur die Transparenz-Kennzeichnung
• Klasse 2 (High-Risk): selten, aber real bei HR-Filtern oder Bonitätsbewertung — dort entsteht der eigentliche Compliance-Aufwand
• Klasse 1 (verboten): in der KMU-Praxis bislang kein realer Fall

Konkret heißt das: Wer als KMU ChatGPT für Lead-Triage oder Mail-Klassifikation einsetzt, landet fast immer in Klasse 4. Die Arbeit dort ist überschaubar — siehe Checkliste unten.

Die 12-Punkte-Checkliste für KMU

A · Bestandsaufnahme (Schritt 1–3)

1. Liste aller KI-Anwendungen erstellen

Alles auflisten, was KI nutzt: ChatGPT-Konten, KI-Funktionen in vorhandenen Tools (HubSpot AI, Microsoft Copilot, DeepL Pro), eigene Workflows mit OpenAI/Anthropic-API, KI-Chatbots, KI in Buchhaltungssoftware. Vergessen wird oft: KI in eingekauften Drittsystemen.

2. Klassifikation pro Anwendung

Jede Anwendung in eine der vier Risikoklassen einsortieren. Bei Unsicherheit: Tendenz zu höherer Klasse, dann mit Anwalt prüfen.

3. AVV-Status prüfen

Mit welchem Anbieter (OpenAI, Anthropic, Microsoft) habt ihr AVV? Ohne AVV läuft nichts.

B · Transparenz (Schritt 4–6)

4. Chatbot-Hinweise

Wenn ihr Chatbots habt: deutlicher Hinweis „Sie sprechen mit einem KI-System" beim Start jeder Konversation.

5. KI-generierte Inhalte kennzeichnen

Wenn ihr KI-generierte Texte, Bilder oder Audio in Marketing oder Kundenkommunikation einsetzt: Kennzeichnung im Disclaimer oder Caption.

6. Datenschutzerklärung aktualisieren

Welche KI-Anbieter, welche Verarbeitungszwecke, welche Rechtsgrundlage. Standardklauseln aus dem Internet reichen nicht.

C · Schutzmaßnahmen (Schritt 7–9)

7. PII-Filter vor KI-Calls

Personenbezogene Daten nicht im Klartext an externe KI-Anbieter senden. Pseudonymisierung vorschalten. Wir nutzen dafür einen n8n Code-Node — Architektur erklärt im Pillar DSGVO-konforme KI-Automatisierung für KMU.

8. Audit-Log

Welche Anfrage ging wann an welche KI? Welche Antwort kam zurück? Mit pseudonymisierten Hashes, damit das Log selbst nicht zur DSGVO-Falle wird.

9. Menschliche Aufsicht definieren

Wer prüft KI-Vorschläge bevor sie raus gehen? Bei Lead-Triage: vorher Stichprobe, später Sample-basiert. Niemals „KI entscheidet, niemand schaut zu".

D · Dokumentation (Schritt 10–12)

10. Verarbeitungsverzeichnis (Art. 30 DSGVO)

Jede KI-Verarbeitung dort eintragen. Wenn ihr eines habt: ergänzen. Wenn nicht: jetzt anlegen.

11. Datenschutz-Folgenabschätzung (DSFA)

Bei „high-risk for rights and freedoms" Pflicht (DSGVO Art. 35). Wenn ihr KI in HR oder bei Kunden-Scoring einsetzt: DSFA dokumentieren.

12. Mitarbeiter-Schulung

„KI-Kompetenz im Unternehmen" ist nach Art. 4 EU AI Act selbst eine Pflicht. Mindestens einmal jährlich kurzes Briefing zu Risiken und richtigen Eingaben.

Was die meisten Berater nicht sagen

Drei Punkte, die in Marketing-Material zum EU AI Act verschwiegen werden:

1 · Die meisten Pflichten sind machbar

Wenn dein KI-Einsatz in Klasse 4 (Minimal Risk) liegt — was bei 75 % der KMU der Fall ist — bedeuten die Pflichten 2–4 Stunden Dokumentations-Aufwand einmalig + Mitarbeiter-Briefing. Keine 60.000-Euro-Beratungs-Projekte.

2 · GPAI-Modelle (Claude, GPT, Mistral) erledigen einen Teil für dich

Anthropic, OpenAI und Mistral müssen seit August 2025 selbst Pflichten als „General Purpose AI" erfüllen — Transparenz-Berichte, Trainingsdaten-Dokumentation, Risiko-Bewertung. Diese Berichte könnt ihr für eure eigene Dokumentation referenzieren, nicht neu erstellen.

3 · Die DSGVO ist strenger als der EU AI Act

In den meisten Fällen ist die DSGVO der schärfere Maßstab, nicht der AI Act. Wer DSGVO sauber gelöst hat (AVV, PII-Filter, Audit-Log, DSFA), hat den AI Act zu 80 % miterfüllt. Wer DSGVO ignoriert hat, wird zuerst dort fallen — nicht beim AI Act.

Sanktionen — was wirklich passieren kann

Die Strafen klingen dramatisch:

• Bei verbotener KI: bis 35 Mio. € oder 7 % Welt-Jahresumsatz
• Bei High-Risk-Verstößen: bis 15 Mio. € oder 3 % Umsatz
• Bei Bereitstellung falscher Informationen an Behörden: bis 7,5 Mio. € oder 1 % Umsatz (Art. 99 Abs. 5 KI-VO)

Realistisch für KMU: nationale Aufsichtsbehörden (in DE die Bundesnetzagentur in Koordination mit Datenschutzbehörden) werden nicht mit Höchstbußgeldern starten. Erwartbar: Beanstandungen, Nachforderungen, Korrekturanordnungen — bei wiederholten oder vorsätzlichen Verstößen dann Bußgelder im 5–6-stelligen Bereich.

Wichtiger als Strafvermeidung ist: Kunden-Vertrauen, AVV-Anforderungen von Geschäftskunden, Auftragsprüfungen — wer hier nicht liefern kann, verliert Aufträge.

Die Drei-Monate-Roadmap zur AI-Act-Konformität

Monat 1 · Bestandsaufnahme

• Liste aller KI-Anwendungen
• Klassifikation pro Anwendung
• AVV-Check je Anbieter
• DSB einbeziehen (intern oder extern)

Monat 2 · Technische Maßnahmen

• PII-Filter implementieren (für Workflow-Automatisierungen)
• Audit-Log einrichten
• Chatbot-Hinweise hinzufügen
• KI-Kennzeichnung in Marketing-Content

Monat 3 · Dokumentation + Schulung

• Verarbeitungsverzeichnis aktualisieren
• DSFA für relevante Anwendungen
• Mitarbeiter-Schulung (1–2 Stunden Workshop)
• Datenschutzerklärung erneuern

Wer das in drei Monaten ordentlich macht, ist zum 02.08.2026 sauber aufgestellt.

FlowBrain-Hilfe — wo wir konkret unterstützen

Wir bauen die technische Seite der KI-VO-Compliance:

• PII-Filter-Architektur in n8n
• Audit-Log mit Hash-Pseudonymisierung in Supabase
• DSGVO-saubere KI-Workflows (Claude, Mistral)
• EU-Hosting auf Hostinger-VPS Frankfurt

Was wir nicht machen: Rechtsberatung, DSFA-Erstellung, Mitarbeiter-Schulung. Dafür haben wir Partner — Anwaltskanzleien und externe DSBs, die wir empfehlen können.

→ Erstgespräch buchen — KI-VO-Setup analysieren

→ DSGVO-konforme KI-Automatisierung für KMU

→ Die 12 besten KI-Tools für KMU 2026

→ Was ist n8n überhaupt?

Häufige Fragen

Gilt der EU AI Act für mich, wenn ich nur ChatGPT-Plus nutze?

Ja, auch dann. Die Pflichten gelten für den Einsatz von KI in deinem Unternehmen, egal wer der Anbieter ist. Bei ChatGPT-Plus bist du der „Deployer" im Sinne der KI-VO.

Was muss in der Datenschutzerklärung über KI stehen?

Welche KI-Tools genutzt werden, zu welchem Zweck, welche Rechtsgrundlage (meist Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse), wie lange Daten gespeichert werden, ob/wie sie an Drittländer übermittelt werden, wie Betroffene widersprechen können.

Brauche ich eine Datenschutz-Folgenabschätzung?

Wenn deine KI-Anwendung „hohes Risiko für Rechte und Freiheiten" hat: ja (Art. 35 DSGVO). Bei Lead-Triage mit pseudonymisierten Daten: meist nein. Bei automatischen HR-Entscheidungen: definitiv ja.

Was passiert, wenn ich am 02.08.2026 nicht konform bin?

Wahrscheinlich passiert kurzfristig nichts. Aufsichtsbehörden arbeiten Beschwerden und Anlassfälle ab, nicht flächig. Aber: Geschäftskunden werden in AVV-Prüfungen danach fragen, Audit-Bereitschaft wird Pflicht.

Reicht „wir nutzen DSGVO-konforme Tools" als Aussage?

Nein. „DSGVO-konform" ist kein Tool-Eigenschaft, sondern eine Verarbeitungs-Eigenschaft. Du als Verantwortlicher musst die Verarbeitung dokumentieren — nicht das Tool.

Welche KI-Tools sind im Sinne des AI Act problematisch?

Tools, die in Klasse 1 (verboten) fallen — z.B. Social-Scoring-Anbieter — kommt im KMU-Alltag nicht vor. Tools, die in Klasse 2 (High-Risk) fallen, sind selten. Die meisten KMU-Tools sind in Klasse 3 oder 4.

Wer ist in der EU dafür zuständig?

In Deutschland: koordinierte Aufsicht durch Bundesnetzagentur und Datenschutzbehörden. Auf EU-Ebene das EU AI Office in Brüssel.

Über den Autor

Alexander Burghart baut DSGVO- und KI-VO-konforme Workflows für deutsche KMU — von Handwerksbetrieb über Steuerkanzlei bis Pflegedienst. Inhaber FlowBrain, München-Schwabing. Setup: n8n self-hosted auf Hostinger-VPS Frankfurt, AVV inklusive, Festpreis nach Analyse ab 6.900 €. LinkedIn

Quellen

• Verordnung (EU) 2024/1689 (EU AI Act), konsolidierte Fassung 2026-04
• Datenschutzkonferenz (DSK) – Orientierungshilfe KI 2024
• EU AI Office – Implementierungsleitfäden 2025–2026
• Bundesnetzagentur – KI-VO-Vollzug Stand 2026-03
• FlowBrain-Compliance-Erfahrungen 2026 (anonymisierte KMU-Mandate)