boringai.

// Pillar 2 · KI-Workflows · Cornerstone · 20. Mai 2026

EU AI Act 2026: Was SHK-Mittelstand bis 2. August 2026 wissen muss.

// Kurz-Antwort

Am 2. August 2026 wird der EU AI Act für die meisten Anwendungen voll wirksam. Für SHK-Betriebe relevant sind vor allem Transparenz-Pflichten bei KI-Voice-Agenten, Daten-Governance und ein klares Tool- Inventar. Mit fünf konkreten Schritten ist Compliance machbar — wir bauen das in unsere Workflows compliance-by-design ein.

Was ist der EU AI Act eigentlich?

Die Verordnung (EU) 2024/1689 — kurz EU AI Act — regelt seit 1. August 2024 EU-weit, wie KI- Systeme entwickelt, verkauft und eingesetzt werden dürfen. Der Ansatz: Risiko-basiert. Je gefährlicher ein KI-System für Grundrechte oder Sicherheit, desto strenger die Pflichten.

Vier Risiko-Klassen:

  • Verboten (Art. 5) — z. B. Social-Scoring durch Behörden, Manipulation gefährdeter Personen. Diese Anwendungen sind seit 2. Februar 2025 EU-weit untersagt.
  • Hoch-Risiko (Anhang III) — z. B. KI in Personalrekrutierung, Bildung, Justiz, kritischer Infrastruktur. Strenge Pflichten zu Risiko-Management, Transparenz, Daten-Governance, menschlicher Aufsicht.
  • Limitiertes Risiko (Art. 50) — Chatbots, Voice-Agenten, Deepfakes. Pflicht zur Transparenz: Nutzer müssen wissen, dass sie mit KI interagieren.
  • Minimales Risiko — Spam-Filter, Such- Algorithmen ohne personenbezogene Profilbildung. Keine expliziten Pflichten, freiwillige Codes of Conduct empfohlen.

Parallel gibt es seit August 2025 separate Pflichten für General-Purpose-AI (GPAI)-Provider — also OpenAI, Anthropic, Google, Meta. Die treffen aber primär die Modell-Anbieter, nicht dich als SHK-Betrieb, der diese Modelle einsetzt.

Was am 2. August 2026 konkret in Kraft tritt

Aug 2026 ist der „Hauptanwendungstermin" der Verordnung. Volle Wirksamkeit für:

  • Transparenz-Pflichten (Art. 50) — alle Chatbots, Voice-Agenten und KI-generierten Inhalte müssen als solche kennzeichnen.
  • High-Risk-AI-Pflichten (Annex III) — wenn du HR-KI für Bewerber-Screening einsetzt, KI für Kredit- Bewertung oder kritische Infrastruktur-Komponenten, gelten Risiko-Management, technische Dokumentation, menschliche Aufsicht.
  • Marktaufsichts-Strukturen — nationale Behörden überwachen, in Deutschland federführend BNetzA mit BSI-Unterstützung.
  • Strafrahmen nach Art. 99 — wirksam ab diesem Datum für die meisten Verstöße.

Was noch nicht voll greift: Hoch-Risiko-AI in Annex-II- Produkten (Maschinen, Spielzeug, Medizinprodukte) — diese Regeln werden erst 2. August 2027 vollständig wirksam.

Welche KI-Anwendungen im SHK-Betrieb sind betroffen?

Praxis-Mapping für typische SHK-Workflows:

  • Voice-Agent / KI-Telefon — Limited-Risk (Art. 50). Pflicht: Anrufer müssen erkennen, dass sie mit einem KI-System sprechen. Der Hinweis kann am Anfang erfolgen („Hier ist die KI-Annahme von Firma X — wie kann ich helfen?") oder durch offensichtliches Verhalten.
  • Booking-Bot / Termin-Koordination — meist Limited-Risk, gleiche Transparenz-Pflicht. Wenn der Bot aufgrund individueller Profile entscheidet (z. B. Premium-Kunde bevorzugen), kann es in High-Risk rutschen — dann Risiko-Management nötig.
  • Angebots-Automatisierung — meist Minimal-Risk (Standard-Positionen-Befüllung, keine Diskriminierung). Keine zusätzlichen Act-Pflichten, DSGVO bleibt aber zentral.
  • HR-Tools mit KI (Lebenslauf-Screening, Termin-Vergabe für Bewerber) — High-Risk nach Annex III Nr. 4. Voll-Programm: Risiko-Management, Aufsicht, Dokumentation. Für SHK-Betriebe selten relevant, weil Recruiting meist manuell — aber sobald automatisiert vorgesortiert wird, Vorsicht.
  • Material-Bestellung / Lager-KI — meist Minimal-Risk. Kein Bezug zu Grundrechten.

Die Faustregel: Alles, was direkt mit Kunden oder Mitarbeiter-Profilen interagiert, ist mindestens Limited-Risk. Alles, was Personalentscheidungen automatisiert, ist High-Risk. Alles im Maschinen-Raum (Materialwirtschaft, Disposition ohne Personen-Profile) ist meist Minimal-Risk.

5 Compliance-Schritte für SHK-Inhaber

Konkret, in dieser Reihenfolge, jeder Schritt unter einem Tag Aufwand für einen 10-Mann-Betrieb:

  1. Tool-Inventar erstellen. Liste aller KI-Anwendungen, die du oder dein Team nutzt: ChatGPT-Pro, Voice-Agent, Booking-Bot, KI-Tools im Bürokraft-Workflow, Outlook-Copilot, Buchhaltung-AI. Pro Tool: Name, Anbieter, Zweck, betroffene Personengruppen, Datenfluss.
  2. Risk-Klassifizierung. Pro Tool: Welche Risiko-Klasse nach AI Act? Bei Unklarheit konservativ klassifizieren (eine Stufe höher). Voice-Agent ist Limited-Risk, HR-Screening High-Risk, Spam-Filter Minimal-Risk.
  3. Transparenz-Hinweise einbauen. Voice- Agent-Begrüßung mit KI-Hinweis. Booking-Bot-Footer-Notiz („Antwort generiert mit KI-Unterstützung"). Auf Website wo sinnvoll KI-Nutzung deklarieren — wir machen das z. B. in unserer Editorial-Policy sichtbar.
  4. Daten-Governance + AVV. Mit jedem AI- Provider eine Auftragsverarbeitungs-Vereinbarung (AVV) nach Art. 28 DSGVO abschließen. Bei US-Anbietern: prüfen, ob EU-Standardvertragsklauseln oder Data Privacy Framework (DPF)-Zertifizierung greifen. Hetzner, Cal.eu, Resend haben das alle — sauber dokumentiert.
  5. Dokumentation + jährliche Review. Tool- Inventar + Risk-Klassifizierung + AVV-Liste an einem Ort. Jährlich reviewen, bei neuen Tools sofort aktualisieren. Bei Audit-Anfrage von Marktaufsicht hast du in 30 Minuten eine vollständige Antwort.

Was bedeutet das für unsere Workflows bei boringai.?

Wir machen Compliance-by-design — heißt: die fünf Schritte sind in unseren Implementation-Workflows eingebaut, nicht separater Aufwand. Konkret:

  • Voice-Agenten mit Standard-KI-Hinweis am Gesprächs-Anfang. Eskalation zu Mensch bei komplexen Anfragen. AVV mit allen Stack-Komponenten (Telefonie- Provider, Speech-to-Text, LLM, Booking-System).
  • Booking-Workflows ohne KI-getriebene Diskriminierung (keine Premium-Bevorzugung in Termin-Algorithmus). Limited-Risk-Compliance built-in.
  • Datenfluss-Doku als Teil der Übergabe- Dokumentation. Du bekommst sie schwarz auf weiß: Welche Daten gehen wohin, welcher Provider hat welchen AVV, wo sind die Eskalations-Pfade.
  • EU-Hosting per default — Hetzner Falkenstein, Cal.eu, Resend (DPF + EU-SCC). Keine US-Cloud-Roulette.
  • Transparenz-Snippets für Website + Workflows. Wir liefern die Bausteine, du baust sie ein oder wir machen's für dich im Setup.

Was wir nicht machen: Rechtsberatung. Den finalen Compliance-Check macht dein Anwalt oder Datenschutz-Beauftragter. Wir liefern den technischen Setup, saubere Doku, AVV-Listen — der Anwalt bestätigt am Ende.

Was kostet Compliance-Setup — und greift Förderung?

Konkrete Range fürs Setup eines 10-Mann-SHK-Betriebs: niedrig-vierstellig für Tool-Inventar, Risk-Klassifizierung, Transparenz-Snippets, Doku-Vorlagen. Wenn Compliance Teil eines Workflow-Implementations ist (z. B. Voice-Agent-Setup mit AVV-Stack-Doku), wird's meist nicht separat abgerechnet — es ist Teil des Setups.

Förderung greift in vielen Fällen: Der Digitalbonus Bayern (bis 30.000 € Zuschuss) fördert Digitalisierungsvorhaben, zu denen Compliance-Setup als Teil eines KI-Workflows zählt. Beim BAFA-Programm für KI in KMU sind Beratungs-Module ähnlich anrechenbar. KfW 511/512 als Kredit-Programm steht bei größeren Vorhaben offen.

Antragstellung bleibt Kunden-Sache. Wir liefern technische Beschreibung, Math-Beleg, Tool-Inventar — alle Unterlagen, die der Antrag braucht.

Häufige Fragen zum EU AI Act in SHK-Betrieben

Brauche ich als SHK-Inhaber einen Datenschutz-Beauftragten wegen des EU AI Act?
Der EU AI Act selbst verlangt keinen DSB. Aber wer KI-Tools mit personenbezogenen Daten nutzt (Voice-Agent, Booking-Bot, HR-Software), unterliegt parallel der DSGVO — und Art. 37 DSGVO sieht einen DSB ab 20 Mitarbeitern oder bei umfangreicher Datenverarbeitung vor. Praktisch heißt das für viele SHK-Betriebe: nein, aber Datenschutz-Vereinbarung mit allen KI-Providern (AVV) ist Pflicht.
Was kostet Compliance-Setup für einen 10-Mann-SHK-Betrieb realistisch?
Range-Schätzung: niedrig-vierstellig für Tool-Inventar, Risk-Klassifizierung, Transparenz-Hinweise, Dokumentation. Hängt stark davon ab, ob du eine externe Beratung oder DIY-Pattern wählst. Compliance-by-design baut den Aufwand in den Workflow-Setup ein — separater Aufwand entsteht dann nicht. Was der Anwalt am Ende prüft, ist nochmal separat.
Was wenn ich ChatGPT direkt nutze — gilt der EU AI Act dann für mich?
Ja, aber als Deployer (Verwender), nicht als Provider. OpenAI ist Provider und trägt die GPAI-Provider-Pflichten. Du als Deployer hast schlankere Pflichten: Transparenz gegenüber betroffenen Personen, Daten-Governance, Aufzeichnung wesentlicher Entscheidungen, und bei High-Risk-Einsatz zusätzliche Dokumentation. Wer ChatGPT für Bürokram-Briefe nutzt, hat in der Regel Limited-Risk — ein Transparenz-Hinweis im Kunden-Kontakt reicht.
Gilt der EU AI Act auch für KI-Voice-Agenten am Telefon?
Ja. Voice-Agenten fallen unter Art. 50 AI Act (Transparenz-Pflicht): Anrufer müssen erkennen können, dass sie mit einem KI-System sprechen — entweder explizit angesagt oder offensichtlich aus dem Gespräch. Wir bauen das bei unseren Workflows standardmäßig ein: kurzer Hinweis am Gesprächs-Anfang, Eskalation zu Mensch bei Unsicherheit, AVV mit allen Stack-Komponenten.
Welche Strafen drohen bei Nicht-Einhaltung des EU AI Act?
Strafrahmen ist in Art. 99 AI Act geregelt: bis zu 35 Mio € oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Mio € oder 3 % für andere Verstöße, bis zu 7,5 Mio € oder 1 % für falsche Angaben. Für KMU gibt es eine Berücksichtigung der wirtschaftlichen Lage. Praktisch relevant für SHK-Mittelstand: bei korrektem Compliance-Setup geht das Risiko gegen null.

Quellen

// Disclaimer: Dieser Post ist kein Rechtsberatungs-Ersatz. Konkrete Compliance-Pflichten in deinem Betrieb klärst du mit Anwalt oder Datenschutz-Beauftragten. Wir liefern den technischen Setup. Stand: 20. Mai 2026.

Wenn du Compliance-by-design bei deinen KI-Workflows haben willst: 30 Minuten Erstgespräch oder vorher Bürokram-Audit starten.

N

Noah Kellner

Founder boringai. · schreibt selbst · keine Ghostwriter