Forgeron3
Anmelden Demo
/ Sicherheit27. April 20268 Min. Lesezeit

AI Act: Was wirklich auf Ihr Unternehmen zutrifft

Der Text ist in Kraft, die Sanktionen kommen. Die Mehrheit Ihrer internen Anwendungen bleibt im minimalen Risiko — vorausgesetzt, Sie haben das auf dem Papier belegt, bevor man Sie danach fragt.

F3
Das Forgeron3-TeamMarseille & Paris

Die vier Risikostufen, klar erklärt

  • Unannehmbares Risiko — verboten, Punkt. Allgemeines Social Scoring, gezielte Verhaltensmanipulation, biometrische Echtzeit-Erkennung im öffentlichen Raum außerhalb von Sicherheitsausnahmen. Betrifft sehr wenige klassische französische Unternehmen.
  • Hohes Risiko — erlaubt, aber unter strengen Pflichten: Folgenabschätzung, Protokollierung, menschliche Aufsicht, technische Dokumentation. Betrifft KI-Systeme im Personalwesen (CV-Filterung), in der Bildung (Benotung), beim Kreditzugang, in kritischen Infrastrukturen, in der Justiz, im Migrationswesen.
  • Begrenztes Risiko — Transparenzpflichten. Ihre Nutzer müssen wissen, dass sie mit einer KI interagieren (Chatbot, Assistent), und dass ein generierter Inhalt generiert ist (Deepfake, synthetisches Bild).
  • Minimales Risiko — keine spezifischen Pflichten. Die große Mehrheit der internen KMU-Anwendungen fällt hierunter: Dokumentensuche, Schreibhilfe, Meeting-Zusammenfassung, automatische Klassifizierung.
Das WesentlicheDie Mehrheit der KMU, Steuerkanzleien und Kommunen positionieren sich im minimalen oder begrenzten Risiko. Das hohe Risiko betrifft sehr spezifische Anwendungen (automatisiertes HR, Scoring, Zugang zu Rechten). Die Falle: unbemerkt ins hohe Risiko zu rutschen — eine automatisierte CV-Filterung genügt.

Wer in Ihrer Organisation wirklich betroffen ist

Für ein KMU ist der einzige Fall, der sofortige Aufmerksamkeit verdient, die automatisierte Filterung von Bewerbungen. Sobald eine KI Lebensläufe filtert oder Kandidaten bewertet, fallen Sie ins hohe Risiko. Wenn Sie diese unbemerkt über ein ATS einsetzen, das “die KI” still integriert hat, tragen Sie die Verantwortung des Betreibers.

Für eine Steuerkanzlei bleibt die Hilfe beim Verfassen, bei der Recherche in der Doktrin oder bei der internen Dokumentenanalyse im minimalen Risiko. Die Grenze verschiebt sich, wenn Sie Ihren Mandanten eine KI anbieten, die anstelle Ihrer Mandanten Entscheidungen trifft (Risikobewertung, Solvenz-Score).

Für eine Kommune liegt der Fokus auf dem Zugang zu Rechten und öffentlichen Leistungen. Ein Assistent, der Bürger zu Verwaltungsverfahren berät, bleibt im begrenzten Risiko (Transparenz). Eine KI, die Anträge auf Sozialhilfe oder Wohnungszuteilung vor-sortieren würde, käme ins hohe Risiko.

Zeitplan 2026-2027 — was wann greift

  • Februar 2025 — Verbote des unannehmbaren Risikos, bereits angewandt.
  • August 2025 — Pflichten für Allzweck-Modelle (GPAI): Transparenz zu Trainingsdaten, Steuerung systemischer Risiken. Betrifft Anbieter, nicht Betreiber.
  • August 2026 — allgemeine Anwendung auf alle KI-Systeme, einschließlich der Transparenzpflichten auf Betreiberseite (begrenztes Risiko).
  • August 2027 — Inkrafttreten der Pflichten für hochriskante Systeme, die bereits vor 2026 in Betrieb sind.

Ihre KI-Systeme in fünf Schritten kartieren

  • 1. Auflisten. Alle Werkzeuge mit “KI”, “Assistent”, “generativ”, “Vorhersagemodell”, “automatisches Scoring”. Intern wie extern (SaaS). Einschließlich derer, die Sie nicht aktiv gewählt haben — ATS, Antispam, Marketing-Tools.
  • 2. Qualifizieren. Für jedes Werkzeug: Wozu dient es, wer ist der Endnutzer, welche Entscheidung beeinflusst es? Eine interne Dokumentensuche ≠ eine Kandidatenfilterung.
  • 3. Einstufen. Jedem Werkzeug ein Risikoniveau zuweisen, mit einer Zeile Begründung. Wenn das Werkzeug grenzwertig ist, behandeln Sie es bis zur Klärung als die nächsthöhere Stufe.
  • 4. Dokumentieren. Für Werkzeuge mit begrenztem oder höherem Risiko formalisieren: Wer ist verantwortlich, wie werden Nutzer informiert, wie wird menschliche Aufsicht ausgestaltet.
  • 5. Überarbeiten. Alle sechs Monate oder bei jedem neuen Werkzeug. Die Liste veraltet schnell.

Zur Konformität auf der Seite personenbezogener Daten siehe DSGVO und KI-Assistenten: Die Schlüssel zur Konformität.

Die realen Sanktionen

Der AI Act sieht verhältnismäßige Bußgelder vor, mit einer Obergrenze von 35 Millionen Euro oder 7 % des weltweiten Umsatzes für verbotene Praktiken — was in der Praxis fast niemanden betrifft. Für Verstöße gegen die Pflichten bei hochriskanten Systemen sinkt die Obergrenze auf 15 Mio. € oder 3 %. Für falsche Angaben gegenüber Behörden 7,5 Mio. € oder 1 %.

Wahrscheinlicher als die Geldbuße selbst: die Veröffentlichung der Entscheidung und der Reputationseffekt. Für Kommunen und öffentliche Akteure wiegt das politische Risiko ebenso schwer wie das finanzielle.

Was sich für Sie kaum ändert

Wenn Sie eine eingegrenzte KI-Assistenten-Plattform für Dokumentensuche, Schreibhilfe, Zusammenfassung, Dokumentenanalyse nutzen — ohne folgenreiche automatisierte Entscheidung — bleiben Sie im minimalen Risiko. Keine spezifischen Pflichten zu antizipieren, abgesehen von der grundlegenden Transparenz (“eine KI antwortet Ihnen”), die ohnehin von ehrlicher Praxis gedeckt ist.

Die eigentliche Arbeit beschränkt sich darauf, das zu dokumentieren, was Sie ohnehin tun, und es bei Bedarf vorlegen zu können.

Ersetzt der AI Act die DSGVO?

Nein. Der AI Act tritt zur DSGVO hinzu. Die DSGVO regelt personenbezogene Daten, der AI Act regelt KI-Systeme. Ein System kann DSGVO-konform und nicht AI-Act-konform sein — und umgekehrt. Beide gelten kumulativ.

Muss ein KMU eine KI-Beauftragte oder einen KI-Beauftragten benennen?

Keine formale Pflicht für Anwendungen mit minimalem Risiko. Für hochriskante Systeme in der Praxis ja: Es braucht jemanden, der gegenüber der Behörde (in Frankreich wahrscheinlich die CNIL) zu Dokumentation und menschlicher Aufsicht Auskunft gibt. Ein KMU kann diese Rolle dem DSB oder dem IT-Leiter übertragen.

Und wenn mein SaaS-Tool sagt, es sei “AI Act ready”?

Das ist ein Versprechen, kein Beweis. Die Verantwortung, Ihre Anwendung einzustufen und Ihren Einsatz zu dokumentieren, liegt bei Ihnen (dem Betreiber), nicht beim Anbieter. Verlangen Sie die mitgelieferte technische Dokumentation, lesen Sie sie und bewahren Sie sie auf.

Ihre Konformität absichern

Dreißig Minuten, um Ihre KI-Anwendungen zu kartieren und diejenigen zu identifizieren, die vorrangig dokumentiert werden sollten.

Demo buchen

Weiter lesen.

/ Sicherheit8 Min.

DSGVO und KI-Assistenten: Die Schlüssel zur Konformität

Auftragsverarbeitung Art. 28, DSFA, Rechte der Betroffenen. Die Methode, um sauber zu bleiben.

Lesen →
/ Sicherheit11 Min.

KI-Souveränität: Was das wirklich bedeutet

Das souveräne Greenwashing in sieben konkreten Punkten zerlegt.

Lesen →
/ Methode6 Min.

10 Fragen an Ihren KI-Anbieter

Hosting, Daten, Modelle, Vertrag, Reversibilität.

Lesen →