STIMMWERK KI-Systeme · Mittelstand
KI & Recht Mittelstand

EU AI Act 2026: Was Kanzleien, Handwerker und KMU jetzt konkret tun müssen

Der EU AI Act ist seit August 2024 in Kraft — und viele Mittelständler fragen sich: Betrifft mich das? Die kurze Antwort: Ja, aber weniger als Sie denken. Dieser Praxisratgeber zeigt, was wirklich gilt, was entspannt angegangen werden kann — und was ab August 2026 Pflicht ist.

SM
Sadhu Meewes
· · 9 Min. Lesezeit

1. EU AI Act Zeitplan — was gilt ab wann?

Der EU AI Act (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten. Er gilt nicht auf einmal — sondern gestaffelt. Für die meisten KMU ist der entscheidende Termin: August 2026.

Feb. 2025

Verbote für inakzeptable KI

Social Scoring, manipulative KI, biometrische Kategorisierung — für KMU in der Regel nicht relevant.

Aug. 2026 ⚠️

Transparenzpflichten (Art. 52) + Hochrisiko-KI-Pflichten

KI-Systeme die mit Menschen interagieren müssen sich als KI zu erkennen geben. Hochrisiko-KI: umfangreiche Dokumentationspflichten.

Aug. 2027

Vollständige Anwendung für alle KI-Systeme

Alle Regelungen gelten vollumfänglich — einschließlich bestehender Systeme.

Wichtig für Stimmwerk-Kunden

Ab August 2026 müssen KI-Telefonassistenten sich gegenüber Anrufern als KI zu erkennen geben. Stimmwerk konfiguriert das bereits heute standardmäßig — Sie sind bereits compliant, ohne weiteren Aufwand.

2. Die vier Risikostufen: Wo stehen Ihre KI-Systeme?

Der EU AI Act klassifiziert KI-Systeme in vier Stufen. Die meisten KMU-Anwendungen fallen in die untersten zwei Stufen — mit minimalen Pflichten.

Inakzeptables Risiko — VERBOTEN

Social Scoring durch Behörden, manipulative Beeinflussung, biometrische Echtzeit-Überwachung im öffentlichen Raum. Für KMU nicht relevant.

Hohes Risiko — umfangreiche Pflichten

KI für Kreditentscheidungen, Personalentscheidungen mit rechtlichen Auswirkungen, medizinische Diagnose, Strafverfolgung. Dokumentationspflicht, Konformitätsbewertung, CE-Kennzeichnung. Selten für Standard-KMU relevant.

Begrenztes Risiko — Transparenzpflicht

KI-Chatbots, KI-Telefonassistenten, KI-generierte Inhalte. Hauptpflicht: Nutzer informieren, dass sie mit einer KI interagieren (Art. 52). Ab August 2026.

Minimales Risiko — keine spezifischen Pflichten

KI-Spam-Filter, KI-Empfehlungssysteme, KI-gestützte Suche. Die meisten KI-Tools die KMU täglich nutzen (ChatGPT für E-Mails etc.) fallen hier rein.

3. Was das konkret für KMU bedeutet

Haufe fasst es für den HR-Bereich treffend zusammen: "KI im Personalwesen — Recap und Update zur KI-VO" (April 2026). Die Botschaft: Die meisten KMU sind Nutzer (Deployer) von KI — nicht Entwickler. Für Nutzer gelten deutlich geringere Pflichten als für Anbieter.

80%

der KI-Anwendungen in KMU fallen in die Kategorien "begrenztes" oder "minimales" Risiko — keine Hochrisiko-Pflichten

1 Pflicht

Für die meisten KMU bleibt es bei einer konkreten Pflicht ab August 2026: Transparenz gegenüber Nutzern bei Interaktion mit KI

Als Nutzer (Deployer) eines KI-Systems wie einem Telefonassistenten müssen Sie:

  • Anrufer/Nutzer darüber informieren, dass sie mit einer KI interagieren
  • Grundlegende Informationen zu Ihrem KI-System in der Datenschutzerklärung dokumentieren
  • Sicherstellen, dass der KI-Anbieter eine Konformitätserklärung für sein System hat

Was Sie als KMU-Nutzer nicht müssen: Technische Dokumentation erstellen, Konformitätsbewertungen durchführen, CE-Kennzeichnung beantragen. Das ist Aufgabe des KI-Anbieters.

4. Voice-AI und Telefonassistenten unter dem AI Act

KI-Telefonassistenten fallen unter Artikel 52 EU AI Act — die Transparenzpflicht. Konkret bedeutet das: Der Assistent muss sich zu Beginn des Gesprächs als KI zu erkennen geben.

Stimmwerk Voice-AI ist already compliant

  • Der Assistent identifiziert sich beim Anruf: "Guten Tag, hier ist Lisa, der KI-Assistent von [Kanzleiname]..."
  • Alle Gesprächsdaten verbleiben auf deutschen Servern (Hetzner) — DSGVO-konform
  • Auftragsverarbeitungsvertrag (AVV) wird standardmäßig gestellt
  • Keine autonomen Entscheidungen mit rechtlicher Wirkung — kein Hochrisiko-System

5. Checkliste: Was KMU jetzt tun sollten

Bis August 2026 haben Sie noch Zeit — aber die Vorbereitung dauert keine Wochen. Mit dieser Checkliste sind Sie in einem Nachmittag compliant:

KI-Systeme im Unternehmen inventarisieren

Welche Tools nutzen Sie mit KI? ChatGPT, Telefonassistent, KI-Mailfilter, Recruiting-Tools?

Risikostufe pro System bestimmen

Interagiert das System mit Kunden/Mitarbeitern? Trifft es Entscheidungen mit rechtlicher Wirkung? → Risikostufe bestimmen

Transparenzpflicht sicherstellen (Art. 52)

Werden Nutzer darüber informiert dass sie mit KI interagieren? Wenn nein: KI-Anbieter anfragen ob das konfigurierbar ist.

Datenschutzerklärung um KI-Nutzung ergänzen

1–2 Absätze: welche KI-Systeme im Einsatz, Zweck, Rechtsgrundlage, Serverstandort. Anwalt gegenlesen lassen.

Konformitätserklärung von KI-Anbietern anfordern

Seriöse Anbieter stellen diese ab 2026. Stimmwerk stellt sie standardmäßig aus.

6. Besonderheiten für Kanzleien, Steuerberater und HR

Für bestimmte Branchen gibt es Besonderheiten, die über die allgemeinen KMU-Pflichten hinausgehen:

Anwaltskanzleien

Anwaltliche Verschwiegenheitspflicht (§ 43a BRAO) überlagert den AI Act — KI-Systeme die Mandantendaten verarbeiten brauchen zusätzlich zum AI Act einen AVV. Wenn KI Entscheidungen mit Rechtswirkung trifft (z.B. automatische Klagefristprüfung) → Hochrisiko-Einstufung möglich.

Steuerberater

Berufsrecht (StBerG) + DSGVO + AI Act. KI für reine Kommunikationsautomatisierung (Telefon, E-Mail) ist unkritisch. KI die Steuerdaten verarbeitet oder Buchungen erstellt → Risikobewertung notwendig. DATEV-Systeme: Pflichten liegen beim Anbieter DATEV.

Personalvermittler und HR

KI-gestütztes Recruiting ist besonders kritisch: Wenn KI-Systeme Einstellungsentscheidungen treffen (nicht nur unterstützen), kann Hochrisiko greifen. KI-Sprachagenten für Erstgespräche bei menschlicher Endentscheidung: minimales Risiko, nur Transparenzpflicht. Mehr dazu: Skill-based Hiring mit KI.

Handwerk und allgemeine KMU

KI-Telefonassistent für Auftragsannahme, Terminbuchung, Kundenservice: begrenztes Risiko, nur Transparenzpflicht. Keine Hochrisiko-Relevanz solange keine Kreditentscheidungen oder ähnliches automatisiert werden.

7. Häufige Fragen

Gilt der EU AI Act auch für kleine Unternehmen?
Ja, grundsätzlich. Für KMU die als "Nutzer" (Deployer) eingestuft werden, sind die Pflichten aber deutlich geringer als für Entwickler. Die meisten Standard-KMU-Anwendungen fallen in "begrenztes" oder "minimales" Risiko.
Was passiert wenn ich mich nicht an den AI Act halte?
Bußgelder können bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes betragen — aber das betrifft primär Anbieter von Hochrisiko-KI. Für KMU-Nutzer mit Transparenzpflichtverstößen sind deutlich geringere Sanktionen zu erwarten. Priorität: erstmal die einfachen Pflichten (Art. 52) umsetzen.
Ab wann gilt der EU AI Act in Deutschland?
In Kraft getreten: 1. August 2024. Transparenzpflichten (Art. 52) und Hochrisiko-Pflichten gelten ab August 2026. Vollständige Anwendung für alle Systeme ab August 2027.
Muss ich ChatGPT in der Datenschutzerklärung erwähnen?
Wenn Sie ChatGPT für interne Zwecke ohne Kundendaten nutzen: nein. Wenn Kundendaten oder personenbezogene Daten einfließen: ja, zumindest in der Datenschutzerklärung erwähnen und Rechtsgrundlage nennen. Im Zweifel Datenschutzbeauftragten oder Anwalt fragen.
Ist Stimmwerk AI Act-konform?
Ja. Stimmwerk-Voice-Agenten fallen unter "begrenztes Risiko" (Art. 52). Die Transparenzpflicht wird standardmäßig erfüllt: Der Agent identifiziert sich als KI. Server in Deutschland (Hetzner), AVV nach Art. 28 DSGVO wird gestellt. Ab August 2026 stellen wir eine Konformitätserklärung aus.

Quellen

  1. 1. EU AI Act — Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates. artificialintelligenceact.eu
  2. 2. Europäische Kommission: AI Act — Zusammenfassung der Risikoklassen (2024). digital-strategy.ec.europa.eu
  3. 3. Haufe HR: "KI im Personalwesen: Recap und Update zur KI-VO" — Seminar April 2026. haufe.de/personal
  4. 4. Bundesministerium für Wirtschaft und Klimaschutz: KI-Leitfaden für den Mittelstand 2025. bmwk.de
  5. 5. Bitkom: "EU AI Act — Was Unternehmen wissen müssen" (2024). bitkom.org
SM

Sadhu Meewes

Gründer, Stimmwerk Consulting

Gelernter Immobilienkaufmann, baut seit 2025 KI-Systeme für den Mittelstand. Stimmwerk automatisiert Kommunikation, Prozesse und Dokumentenverarbeitung für KMU im DACH-Raum — DSGVO-konform, auf deutschen Servern.

KI einsetzen — ohne Compliance-Kopfschmerzen.

Stimmwerk-Systeme sind von Anfang an DSGVO- und AI Act-konform konfiguriert. In einem kostenlosen 20-Minuten-Gespräch zeigen wir Ihnen was das konkret bedeutet.

Kostenlose Demo buchen
DSGVO-konform · AI Act compliant · Server Deutschland