DigitalwerkCoburg

EU AI Act 2026: Was oberfränkische KMU jetzt zur KI-Compliance wissen müssen

Der EU AI Act tritt am 2. August 2026 in seine Hauptphase. Welche KI-Tools betroffen sind, welche Pflichten KMU erfüllen müssen und was Sie jetzt tun sollten.

EU AI Act KI-Compliance Künstliche Intelligenz KMU Recht & Regulierung

Der EU AI Act ist die erste umfassende KI-Regulierung der Welt — und sie betrifft längst nicht mehr nur Konzerne. Seit dem 2. Februar 2025 sind die ersten Verbote und die KI-Kompetenzpflicht in Kraft. Am 2. August 2026 folgt die Hauptphase mit weitreichenden Pflichten für Hochrisiko-KI-Systeme, Transparenzanforderungen und behördlichen Aufsichtsstrukturen.

Für oberfränkische KMU klingt das zunächst nach einem Thema für Großkonzerne. Tatsächlich ist es das Gegenteil: Wer ChatGPT für Angebotstexte nutzt, Microsoft 365 Copilot in Outlook freigeschaltet hat oder Bewerbermanagement-Software einsetzt, ist nach EU-Recht ein „Betreiber“ (engl. „Deployer“) eines KI-Systems — und hat eigene Pflichten zu erfüllen. Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes machen das Thema auch für mittelständische Betriebe in Coburg, Bamberg und Kronach handfest relevant.

Dieser Artikel zeigt Ihnen klar und ohne Juristen-Deutsch, welche KI-Tools in welche Risikoklasse fallen, welche Pflichten heute schon gelten, was im August 2026 dazukommt — und welche sieben Schritte Sie in den nächsten 100 Tagen umsetzen sollten, um rechtssicher aufgestellt zu sein.

Was ist der EU AI Act — und wen betrifft er wirklich?

Der EU AI Act (Verordnung 2024/1689) ist seit dem 1. August 2024 in Kraft und das weltweit erste umfassende KI-Gesetz. Er reguliert künstliche Intelligenz nach einem risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte, Gesundheit oder Sicherheit, desto strenger die Auflagen. Im Gegensatz zur DSGVO, die jedes Unternehmen mit personenbezogenen Daten betrifft, knüpft der AI Act an die konkrete Funktion eines Systems an — nicht an die Daten, die es verarbeitet.

Die vier Risikoklassen im Überblick

Der EU AI Act unterscheidet vier Stufen, die über Pflichten und Sanktionen entscheiden:

  1. Verbotene KI-Praktiken (unacceptable risk): Vollständig untersagt. Beispiele: Social Scoring durch Behörden, Emotionserkennung am Arbeitsplatz, manipulative Subliminal-Techniken.
  2. Hochrisiko-KI (high risk): Erlaubt, aber streng reguliert. Beispiele: Bewerber-Screening, Kreditscoring, KI in Medizinprodukten.
  3. Begrenztes Risiko (limited risk): Transparenzpflichten — Nutzer müssen wissen, dass sie mit einer KI interagieren. Beispiel: Chatbots, KI-generierte Inhalte.
  4. Minimales Risiko (minimal risk): Keine spezifischen Auflagen. Beispiel: Spam-Filter, Rechtschreibkorrektur, Suchvorschläge.

Über 85 Prozent aller in KMU eingesetzten KI-Tools fallen in die Kategorien „begrenztes“ oder „minimales“ Risiko. Hochrisiko-Anwendungen sind im typischen Mittelstand selten — die häufigste Ausnahme ist der Einsatz von KI im Bewerbermanagement.

Anbieter vs. Betreiber — warum diese Unterscheidung über Ihre Pflichten entscheidet

Der EU AI Act unterscheidet klar zwischen Anbietern (Entwickler oder Vertreiber von KI-Systemen) und Betreibern (Unternehmen, die ein KI-System für ihre Geschäftszwecke einsetzen). Diese Rollenverteilung entscheidet über den gesamten Pflichtenkatalog.

KMU mit unter 50 Mitarbeitern sind in der Regel ausschließlich Betreiber, weil sie KI-Tools von externen Anbietern wie OpenAI, Microsoft, Google oder Personio einsetzen. Als Betreiber müssen Sie keine Konformitätsbewertungen durchführen oder technische Dokumentationen erstellen — diese Pflichten liegen beim Anbieter. Ihre Aufgabe ist es, das KI-System bestimmungsgemäß zu nutzen, Transparenz zu schaffen und Mitarbeitende zu schulen.

Vorsicht ist geboten, wenn Sie KI-Funktionen in Ihre eigene Software integrieren oder anpassen — etwa über die OpenAI-API in Ihrem Kundenportal. Dann können Sie zum Anbieter werden, und der Pflichtenkatalog ändert sich erheblich. Wer eine individuelle KI-Lösung entwickeln lassen möchte, sollte diese rechtliche Einordnung von Anfang an mitdenken.

Welche Fristen gelten 2026 — und was kommt noch?

Der EU AI Act tritt nicht auf einen Schlag in Kraft, sondern in mehreren Stufen über drei Jahre. Diese gestaffelte Einführung gibt Unternehmen Vorbereitungszeit — und macht es zugleich schwer, den Überblick zu behalten.

Datum Was tritt in Kraft? Wer ist betroffen?
2. Februar 2025 Verbotene KI-Praktiken, KI-Kompetenzpflicht (Art. 4) Alle Unternehmen, die KI einsetzen
2. August 2025 GPAI-Pflichten, Aufsichtsstrukturen, Sanktionsregime Anbieter von Allzweck-KI (z.B. OpenAI, Anthropic)
2. August 2026 Hochrisiko-KI nach Annex III, Transparenzpflichten, Konformitätsbewertung Anbieter & Betreiber von Hochrisiko-KI
2. August 2027 Hochrisiko-KI in regulierten Produkten (Annex I) Hersteller von Medizinprodukten, Maschinen, Spielzeug etc.

Der 2. August 2026 — warum das Datum kritisch ist

Der 2. August 2026 ist der Stichtag, an dem der größte Teil des EU AI Acts vollständig anwendbar wird. Ab diesem Tag gelten die detaillierten Pflichten für Hochrisiko-KI-Systeme nach Annex III, die meisten Transparenzpflichten für KI-generierte Inhalte sowie die regulären Sanktionsmechanismen. Wer bis dahin kein KI-Inventar, keine dokumentierte Schulung und keine schriftliche Nutzungsleitlinie hat, riskiert bei einer behördlichen Anfrage einen Compliance-Mangel.

Für die meisten oberfränkischen KMU ist das nicht der Weltuntergang, aber es ist auch nicht trivial. 100 Tage Vorlauf reichen, um die Grundlagen sauber aufzusetzen — vorausgesetzt, Sie beginnen jetzt.

Welche KI-Tools fallen in welche Risikoklasse?

Die größte praktische Herausforderung für KMU ist die korrekte Einordnung der eingesetzten Tools. Die meisten Standard-Anwendungen sind unkritisch, aber einige Bereiche werden regelmäßig falsch eingeschätzt.

Verbotene Anwendungen — was Sie auf keinen Fall einsetzen dürfen

Seit dem 2. Februar 2025 sind acht KI-Praktiken in der EU vollständig verboten. Für KMU besonders relevant sind drei davon:

  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. Tools, die in Echtzeit erkennen wollen, ob ein Mitarbeiter gestresst, müde oder unkonzentriert ist, sind verboten — außer aus medizinischen oder Sicherheitsgründen.
  • Social Scoring auf Basis von Verhalten oder persönlichen Eigenschaften. Systeme, die Personen aufgrund ihres sozialen Verhaltens benachteiligen, sind nicht erlaubt.
  • Ungezieltes Scraping biometrischer Daten aus dem Internet zum Aufbau von Gesichtserkennungsdatenbanken.

Diese Verbote betreffen typische KMU-Workflows praktisch nie. Trotzdem lohnt ein kritischer Blick: Manche „Mitarbeiter-Wellness“-Tools oder Schul-Software bewegen sich in der Grauzone zur Emotionserkennung.

Hochrisiko-Systeme — hier wird es ernst

Hochrisiko-KI ist der Bereich, in dem die meisten Pflichten greifen. Annex III des EU AI Acts listet acht Anwendungsbereiche, die für KMU relevant werden können:

  • Bewerber-Screening und automatisierte Personalauswahl
  • Mitarbeiter-Bewertung, Beförderungs- und Kündigungsentscheidungen
  • Kreditwürdigkeitsprüfung von Privatpersonen
  • Risikobewertung in der Lebens- und Krankenversicherung
  • Zugang zu öffentlichen Leistungen oder Bildung

In oberfränkischen KMU trifft das vor allem auf KI-gestütztes Bewerbermanagement zu — Tools wie HireVue, Personio AI Hiring oder bestimmte LinkedIn-Funktionen. Wer solche Systeme einsetzt, hat als Betreiber zusätzliche Pflichten: Logging der Systemaktivität, Sicherstellung menschlicher Aufsicht, Information der betroffenen Personen und in vielen Fällen eine Datenschutz-Folgenabschätzung.

Begrenztes Risiko — Transparenz reicht aus

In diese Kategorie fallen die meisten KI-Tools, die KMU täglich nutzen: Chatbots, KI-generierte Texte und Bilder, Voice-Cloning. Hier verlangt der EU AI Act ausschließlich Transparenz. Konkret heißt das: Wenn auf Ihrer Website ein Chatbot Kunden bedient, muss erkennbar sein, dass es kein Mensch ist. Wenn Sie einen Marketingtext mit ChatGPT erstellen und veröffentlichen, ist das in der Regel unproblematisch — eine Kennzeichnungspflicht greift erst bei Deepfakes (manipulativ wirkenden, täuschend echten Bildern oder Videos).

Minimales Risiko — keine Auflagen

Spam-Filter, Rechtschreibkorrektur, intelligente Suchvorschläge, Übersetzungstools wie DeepL und die meisten Funktionen in Microsoft 365 Copilot fallen in diese Kategorie. Hier verlangt der EU AI Act keine spezifischen Auflagen — die KI-Kompetenzpflicht aus Artikel 4 gilt aber trotzdem für alle Mitarbeitenden, die diese Tools nutzen.

Welche Pflichten haben KMU als Betreiber konkret?

Für Betreiber von KI-Systemen — und das sind die meisten KMU — sind drei Pflichtenbereiche besonders wichtig: Kompetenz, Transparenz und Dokumentation.

KI-Kompetenzpflicht (Art. 4) — gilt seit Februar 2025

Die KI-Kompetenzpflicht ist die wichtigste Pflicht für Sie, weil sie unabhängig von der Risikoklasse für jedes eingesetzte KI-System gilt. Artikel 4 des EU AI Acts verpflichtet Betreiber, ein „angemessenes KI-Verständnis“ bei allen Mitarbeitenden sicherzustellen, die KI-Systeme nutzen oder von deren Ergebnissen betroffen sind.

In der Praxis bedeutet das: Sie müssen Schulungsmaßnahmen durchführen und dokumentieren. Konkrete Inhalte schreibt der Gesetzgeber nicht vor — entscheidend ist die Verhältnismäßigkeit. Ein 8-Personen-Betrieb, der ChatGPT für Angebotstexte nutzt, kommt mit einer 60-minütigen Mitarbeiterschulung und einer schriftlichen Nutzungsleitlinie aus. Ein Personalbüro, das KI-gestütztes Bewerbermanagement einsetzt, braucht differenziertere Schulungsinhalte und eine Wiederholung mindestens jährlich.

Praxis-Tipp: Dokumentieren Sie jede Schulung mit Datum, Inhalt und Teilnehmerliste. Die IHK Oberfranken-Bayreuth bietet kostenlose KI-Sprechstunden, in denen auch Schulungsformate besprochen werden.

Transparenz gegenüber Mitarbeitenden und Kunden

Wenn Sie KI in Bereichen einsetzen, die Mitarbeitende oder Kunden direkt betreffen, gelten zusätzliche Hinweispflichten. Mitarbeitende müssen vor dem Einsatz von KI am Arbeitsplatz informiert werden — bei betriebsratspflichtigen Unternehmen ist das auch eine Mitbestimmungsfrage. Kunden müssen erkennen können, wann sie mit einem KI-Chatbot kommunizieren oder wann ein Inhalt KI-generiert ist.

Drei konkrete Beispiele, wie das aussehen kann:

  • Im Impressum oder in der Datenschutzerklärung den Einsatz von KI-Tools auflisten
  • Auf Chatbot-Seiten einen sichtbaren Hinweis: „Sie chatten mit unserem KI-Assistenten“
  • In der Bewerbungsphase informieren, wenn KI an der Vorauswahl beteiligt ist

Hochrisiko-KI: Logging, menschliche Aufsicht, Datenschutz-Folgenabschätzung

Wenn Sie ein Hochrisiko-System nach Annex III einsetzen — etwa KI-Bewerberauswahl —, kommen ab dem 2. August 2026 weitere Pflichten dazu: Sie müssen die Nutzung des Systems über mindestens sechs Monate protokollieren, eine qualifizierte Person mit der Aufsicht beauftragen und in vielen Fällen eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Diese Pflichten lassen sich nicht an den Anbieter abwälzen — sie liegen bei Ihnen als Betreiber.

Wenn Sie den Verdacht haben, dass eines Ihrer Tools in die Hochrisiko-Kategorie fällt, sollten Sie das frühzeitig prüfen. Eine strukturierte KI-Compliance-Beratung klärt diese Frage in der Regel innerhalb weniger Stunden.

Was kosten Verstöße — und wie wird kontrolliert?

Der EU AI Act sieht ein dreistufiges Sanktionsregime vor, das sich an der Schwere des Verstoßes orientiert. Maßgeblich ist jeweils der höhere Wert aus festem Bußgeldrahmen oder Prozentsatz des weltweiten Jahresumsatzes.

Verstoßart Maximales Bußgeld Beispiel
Verbotene KI-Praktiken (Art. 5) 35 Mio. € oder 7 % Jahresumsatz Einsatz von Emotionserkennung am Arbeitsplatz
Verstoß gegen Hochrisiko-Pflichten 15 Mio. € oder 3 % Jahresumsatz Fehlendes Logging bei KI-Bewerberauswahl
Falsche Auskünfte gegenüber Behörden 7,5 Mio. € oder 1 % Jahresumsatz Unvollständige Antwort auf Behördenanfrage

Verhältnismäßigkeit für KMU — der niedrigere Wert zählt

Für kleine und mittlere Unternehmen sieht Artikel 99 Absatz 6 des EU AI Acts eine wichtige Ausnahme vor: Bei KMU wird der niedrigere der beiden Werte angesetzt — also entweder das feste Bußgeld oder der Prozentsatz, je nachdem, was geringer ist. Das ist eine bewusste Privilegierung des Mittelstands, die das Risiko existenzbedrohender Strafen erheblich reduziert. Trotzdem bleiben sechsstellige Bußgelder im Bereich des Möglichen.

Wer ist Aufsichtsbehörde in Deutschland und Bayern?

In Deutschland ist seit dem 2. August 2025 die Bundesnetzagentur die zentrale Aufsichtsbehörde für den EU AI Act. Sie bündelt die nationale Marktüberwachung und koordiniert mit Bundesbehörden wie dem BSI und den Datenschutzaufsichtsbehörden der Länder. In Bayern ist zusätzlich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) für datenschutzrechtliche Aspekte zuständig — und damit für viele KMU der erste Ansprechpartner, weil KI-Compliance und DSGVO-Compliance eng verflochten sind.

Praxis-Realität für KMU — keine Massenkontrollen, aber rechtssichere Dokumentation nötig

Anders als bei der DSGVO sind bei KMU keine flächendeckenden Kontrollen zu erwarten. Die Bundesnetzagentur wird ihre Kapazitäten zunächst auf systemkritische Anwendungen und Großanbieter konzentrieren. Realistisch werden KMU vor allem dann ins Visier kommen, wenn ein Mitarbeiter, Bewerber oder Kunde Beschwerde einreicht oder im Rahmen einer DSGVO-Prüfung KI-Tools auffallen.

Welche 7 Schritte zur EU-AI-Act-Compliance sollten KMU bis August 2026 umsetzen?

Eine vollständige KI-Compliance lässt sich in sieben übersichtlichen Schritten herstellen. Für die meisten KMU ist der Aufwand kalkulierbar — gerechnet wird mit 10 bis 30 Personenstunden für die Erstaufstellung, je nach Tool-Vielfalt.

1. KI-Inventar erstellen

Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen aktiv sind. Vergessen Sie nicht die „unsichtbaren“ Tools wie Microsoft 365 Copilot, KI-Funktionen in Outlook, Zoom-AI-Companion oder integrierte Chatbots auf Ihrer Website. Erfassen Sie pro Tool: Name, Anbieter, Einsatzbereich, Nutzergruppe und Datentypen.

2. Risikoklasse pro Tool bestimmen

Ordnen Sie jedes Tool aus Schritt 1 einer der vier Risikoklassen zu. Im Zweifel hilft die Frage: „Trifft dieses System Entscheidungen über Personen oder bewertet es deren Eigenschaften?“ Falls ja, gehört es vermutlich zu Hochrisiko und braucht eine genaue Prüfung.

3. KI-Kompetenz im Team aufbauen und dokumentieren

Erstellen Sie ein einfaches Schulungsformat für die wichtigsten Tools — eine 60-minütige Präsenz- oder Online-Schulung mit Wissensabfrage genügt für die meisten KMU. Dokumentieren Sie jede Schulung mit Datum, Teilnehmern und Inhalten. Wiederholungsschulungen mindestens einmal jährlich einplanen.

4. Auftragsverarbeitungsverträge (AVV) und EU-Server prüfen

Stellen Sie für jedes Tool sicher, dass ein Auftragsverarbeitungsvertrag vorliegt und die Datenverarbeitung möglichst auf europäischen Servern läuft. Bei US-Anbietern wie OpenAI oder Microsoft ist das Standard-Datenschutzniveau seit dem EU-US Data Privacy Framework wieder gegeben — trotzdem sollten Sie die Verträge dokumentieren.

5. Transparenz-Hinweise für Kunden und Mitarbeitende erarbeiten

Ergänzen Sie Ihre Datenschutzerklärung um einen Abschnitt zum KI-Einsatz. Versehen Sie Chatbots auf Ihrer Website mit einem deutlichen Hinweis. Informieren Sie Bewerber, wenn KI in der Vorauswahl eingesetzt wird. Bei betriebsratspflichtigen Unternehmen den Betriebsrat einbinden.

6. KI-Nutzungsleitlinie schriftlich fixieren

Eine 2- bis 3-seitige Nutzungsleitlinie regelt, welche KI-Tools im Unternehmen erlaubt sind, welche Daten eingegeben werden dürfen und welche Verantwortlichkeiten gelten. Diese Leitlinie wird von allen Mitarbeitenden gegengezeichnet — das schafft Rechtssicherheit für beide Seiten.

7. Verantwortliche Person benennen

Auch wenn der EU AI Act für KMU keinen formalen „KI-Beauftragten“ vorschreibt, sollten Sie eine Person benennen, die für KI-Compliance zuständig ist. Das kann der Geschäftsführer, der IT-Leiter oder der Datenschutzbeauftragte sein. Wichtig ist, dass die Verantwortung klar definiert und intern kommuniziert ist.

Welche Unterstützung gibt es in Oberfranken und Bayern?

Sie müssen die EU-AI-Act-Compliance nicht allein stemmen. Die Region Oberfranken bietet ein dichtes Netz an kostenlosen oder geförderten Beratungsangeboten — insbesondere für KMU.

Die IHK zu Coburg und die IHK Oberfranken-Bayreuth bieten regelmäßige KI-Sprechstunden, kostenlose Whitepaper und Webseminare zum EU AI Act. Die Beratung ist für Mitgliedsunternehmen kostenfrei und richtet sich gezielt an mittelständische Betriebe ohne eigene Rechtsabteilung.

Der Bayerische KI-Pakt des Bayerischen Wirtschaftsministeriums vernetzt Unternehmen, Hochschulen und Beratungsangebote. Über das Projekt KI-Transfer Plus können KMU geförderte Pilotprojekte umsetzen, die auch rechtliche Beratung umfassen.

Das Mittelstand-Digital Zentrum Franken bietet kostenlose Beratungssprechstunden zur Digitalisierung — auch zu KI-Strategie und Compliance. Da das Zentrum vom Bundesministerium für Wirtschaft und Klimaschutz gefördert wird, ist die Beratung komplett kostenfrei und ohne Verkaufsinteresse.

Wenn Sie eine schnellere, individuelle Begleitung suchen, hilft eine externe Beratung. Bei Digitalwerk Coburg unterstützen wir KMU bei der Aufstellung der KI-Inventur, der Risikoklassifizierung und der Erstellung praktikabler Nutzungsleitlinien — mit Fokus auf das, was wirklich relevant ist, ohne juristisches Übermaß.

Häufig gestellte Fragen zum EU AI Act für KMU

Gilt der EU AI Act auch für kleine Unternehmen ohne eigene KI-Entwicklung?

Ja, der EU AI Act gilt auch für kleine Unternehmen, sobald sie KI-Systeme einsetzen — selbst wenn die KI von externen Anbietern wie OpenAI, Microsoft oder Google stammt. Wer KI in seinem Unternehmen nutzt, gilt rechtlich als Betreiber (auf Englisch „Deployer“) und unterliegt damit eigenen Pflichten. Für die meisten KMU sind das vor allem die KI-Kompetenzpflicht nach Artikel 4 sowie Transparenz- und Dokumentationspflichten. Der Umfang ist deutlich geringer als bei Anbietern, aber er existiert.

Welche KI-Tools sind nach dem EU AI Act verboten?

Verboten sind unter anderem Social-Scoring-Systeme, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie ungezieltes Scraping biometrischer Daten aus dem Internet. Diese Verbote gelten seit dem 2. Februar 2025 und betreffen auch die bloße Nutzung solcher Systeme durch Unternehmen. Für typische KMU-Anwendungen wie ChatGPT, Microsoft Copilot oder Bewerbermanagement-Software spielen die Verbote in der Regel keine Rolle. Vorsicht ist allerdings bei Tools geboten, die Mitarbeiteremotionen oder -leistung in Echtzeit überwachen.

Was ist die KI-Kompetenzpflicht nach Artikel 4?

Die KI-Kompetenzpflicht verpflichtet Unternehmen seit dem 2. Februar 2025, ein angemessenes KI-Verständnis bei allen Mitarbeitenden sicherzustellen, die KI-Systeme nutzen oder von deren Ergebnissen betroffen sind. In der Praxis bedeutet das eine dokumentierte Schulung — etwa in Form einer internen Schulungsmaßnahme, eines Online-Kurses oder einer Richtlinie mit Wissenstest. Konkrete Inhalte sind nicht vorgeschrieben, aber das Niveau muss zur Rolle und zum eingesetzten Tool passen. Ein KMU mit ChatGPT-Nutzung kommt mit einer 1-stündigen Schulung und schriftlicher Nutzungsleitlinie aus.

Welche Strafen drohen bei Verstößen gegen den EU AI Act?

Verstöße werden in drei Stufen geahndet: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Millionen Euro oder 3 Prozent für Verstöße gegen Hochrisiko-Pflichten, und bis zu 7,5 Millionen Euro oder 1 Prozent für falsche Auskünfte gegenüber Behörden. Maßgeblich ist jeweils der höhere Betrag. Für KMU sieht der Gesetzgeber jedoch eine Verhältnismäßigkeitsregel vor — hier wird der niedrigere Betrag herangezogen. In Deutschland ist die Bundesnetzagentur seit August 2025 zentrale Aufsichtsbehörde.

Was muss ich als KMU bis August 2026 konkret umsetzen?

Bis zum 2. August 2026 sollten Sie ein KI-Inventar erstellen, jedes eingesetzte Tool einer Risikoklasse zuordnen und die KI-Kompetenz Ihrer Mitarbeitenden dokumentieren. Zusätzlich brauchen Sie eine schriftliche KI-Nutzungsleitlinie, geprüfte Auftragsverarbeitungsverträge mit Ihren KI-Anbietern und Transparenz-Hinweise gegenüber Kunden und Mitarbeitenden. Wenn Sie keine Hochrisiko-KI einsetzen — was auf die meisten KMU zutrifft — bleibt der Aufwand überschaubar. Eine kostenlose Erstberatung über die IHK Oberfranken oder einen externen KI-Berater hilft, das tatsächliche Risiko korrekt einzuschätzen.

Fazit: Compliance als Wettbewerbsvorteil, nicht als Bürokratiehürde

Der EU AI Act ist keine Bedrohung für oberfränkische KMU — er ist ein Anlass, den eigenen KI-Einsatz zu strukturieren und rechtssicher aufzustellen. Wer in den nächsten 100 Tagen ein KI-Inventar erstellt, Schulungen dokumentiert und eine Nutzungsleitlinie verschriftlicht, ist am 2. August 2026 deutlich besser aufgestellt als die meisten Wettbewerber.

Die wichtigsten Punkte zusammengefasst:

  1. Auch reine Nutzer von KI-Tools sind betroffen — als Betreiber haben Sie eigene Pflichten, auch wenn Sie keine KI selbst entwickeln.
  2. Die KI-Kompetenzpflicht (Art. 4) gilt seit Februar 2025 — eine dokumentierte Schulung ist die wichtigste Sofortmaßnahme.
  3. Der 2. August 2026 ist der Stichtag für Hochrisiko-Pflichten und vollständige Sanktionsmechanismen.
  4. Die meisten KMU-Tools fallen in „begrenztes“ oder „minimales“ Risiko — der Aufwand bleibt überschaubar.
  5. KMU profitieren von einer Verhältnismäßigkeitsregel beim Bußgeld — existenzbedrohende Strafen sind unwahrscheinlich.
  6. Sieben Schritte reichen für die Grundlagen-Compliance: Inventar, Risikoklasse, Schulung, AVV, Transparenz, Leitlinie, Verantwortlicher.

Sie nutzen KI-Tools in Ihrem Unternehmen und sind unsicher, ob Sie EU-AI-Act-konform aufgestellt sind? Wir beraten Sie gerne zur KI-Compliance — kostenlos und unverbindlich. Gemeinsam prüfen wir Ihren KI-Einsatz, klären die Risikoeinordnung und entwickeln eine schlanke, praktikable Compliance-Lösung für Ihren Betrieb.

Pascal Krason

Webentwickler & Inhaber bei Digitalwerk Coburg. Mehr erfahren →

Fragen zum Thema?

Ich berate Sie gerne persönlich. Vereinbaren Sie ein kostenloses Erstgespräch und wir besprechen, wie ich Ihnen weiterhelfen kann.

Erstgespräch vereinbaren
Jetzt Erstgespräch vereinbaren