SimpleAct Logo
Zurück zum BlogAugust 2026 im Blick: Wer seine KI-Tools nicht kennt, wird für sie bezahlen
Sonstiges

August 2026 im Blick: Wer seine KI-Tools nicht kennt, wird für sie bezahlen

ChatGPT, Copilot, Canva AI, Recruiting-Tools, CRM-Systeme – fünf KI-Tools, die fast jedes Unternehmen nutzt. Aber in welche Risikoklasse fallen sie nach dem EU AI Act? Wir ordnen ein – praxisnah und ohne Juristendeutsch.

16. März 2026
Yannick | SimpleAct Team
8 Min. Lesezeit
EU AI ActKI-ComplianceRisikoklassen

Zielgruppe: IT-Leiter, Datenschutzbeauftragte, Geschäftsführer im Mittelstand


Hand aufs Herz: Wissen Sie, wie viele KI-Tools gerade in Ihrem Unternehmen laufen?

Die meisten, die wir fragen, zögern kurz – und sagen dann so etwas wie: „ChatGPT nutzen ein paar Leute, und Copilot haben wir gerade ausgerollt." Wenn wir dann gemeinsam hinschauen, sind es plötzlich acht, zehn oder zwölf Systeme. Canva AI im Marketing, ein KI-Feature im CRM, ein Recruiting-Tool, das „irgendwas mit KI macht."

Das ist kein Vorwurf. Das ist Alltag in deutschen Unternehmen.

Aber genau dieser Alltag wird ab dem 2. August 2026 zum regulatorischen Thema. Denn dann greift der EU AI Act – die weltweit erste umfassende KI-Verordnung – in voller Breite. Unternehmen müssen auf Anfrage nachweisen können, welche KI-Systeme sie einsetzen, wie diese genutzt werden und ob die Nutzung zulässig ist. Wer das nicht kann, riskiert empfindliche Bußgelder.

In diesem Beitrag nehmen wir uns die fünf KI-Tools vor, die wir in deutschen Unternehmen am häufigsten antreffen – und ordnen sie in die Risikoklassen des EU AI Act ein. Nicht abstrakt, sondern so, wie es in der Praxis wirklich aussieht.


Kurz erklärt: So funktioniert die Risikoeinstufung

Bevor wir in die einzelnen Tools einsteigen, lohnt sich ein kurzer Blick auf das Grundprinzip. Der EU AI Act arbeitet mit einem risikobasierten Ansatz und teilt KI-Systeme in vier Kategorien ein – je nachdem, wie stark sie in das Leben von Menschen eingreifen können.

Unannehmbares Risiko – Hier ist Schluss. KI-Systeme, die Menschen manipulieren oder Social Scoring betreiben, sind schlicht verboten. Das gilt bereits seit Februar 2025.

Hohes Risiko (High Risk) – KI, die über Menschen entscheidet: im Recruiting, in der Medizin, bei der Kreditvergabe. Für diese Systeme gelten die strengsten Anforderungen – von der technischen Dokumentation bis zur menschlichen Aufsicht.

Begrenztes Risiko (Limited Risk) – KI, die mit Menschen interagiert oder Inhalte erzeugt. Die zentrale Pflicht: Transparenz. Nutzer müssen wissen, dass sie es mit KI zu tun haben.

Minimales Risiko – Der Großteil aller KI-Anwendungen. Kaum zusätzliche Auflagen, aber seit Februar 2025 gilt trotzdem: Wer KI nutzt, muss seine Mitarbeiter entsprechend schulen (Art. 4, KI-Kompetenz).

Was viele übersehen: Nicht die Technologie bestimmt die Risikoklasse, sondern der Einsatzkontext. Dasselbe Tool kann je nach Verwendungszweck ganz unterschiedlich eingestuft werden. Ein Bilderkennungsalgorithmus, der Katzenfotos sortiert, ist etwas völlig anderes als einer, der Bewerbungsfotos bewertet.


1. ChatGPT – der stille Dauerbrenner

Typischer Einsatz: Marketingtexte, E-Mail-Entwürfe, Zusammenfassungen, Brainstorming, Code-Unterstützung

Risikoklasse: Begrenztes Risiko (Limited Risk) – meistens

Wenn es ein KI-Tool gibt, das wirklich überall angekommen ist, dann ChatGPT. In der Marketingabteilung, im Vertrieb, bei den Entwicklern – und ja, auch in der Geschäftsführung. Oft wird es offiziell genutzt, manchmal aber auch einfach still und heimlich (Stichwort: Shadow AI).

Für die Standard-Nutzung – Texte schreiben, Ideen sammeln, etwas zusammenfassen – fällt ChatGPT unter „begrenztes Risiko." Das klingt erstmal entspannt, heißt aber trotzdem: Sie müssen dokumentieren, dass es genutzt wird, und transparent machen, wo KI-generierte Inhalte zum Einsatz kommen.

Richtig spannend wird es, wenn ChatGPT plötzlich für sensible Aufgaben genutzt wird. Bewerbungsunterlagen zusammenfassen? Kundenbeschwerden analysieren? Dann kann sich die Risikoklasse schnell verschieben – und damit auch die Anforderungen.

Unser Tipp: Erfassen Sie ChatGPT als KI-System, definieren Sie klare Nutzungsrichtlinien (vor allem: welche Daten dürfen rein?) und schulen Sie Ihre Mitarbeiter. Das ist kein Riesenaufwand – aber es muss gemacht werden.


2. Microsoft 365 Copilot – die KI, die schon überall sitzt

Typischer Einsatz: E-Mails zusammenfassen, Präsentationen erstellen, Daten in Excel analysieren, Meeting-Protokolle in Teams

Risikoklasse: Begrenztes Risiko (Limited Risk) – bei normaler Office-Nutzung

Copilot ist ein besonderer Fall, weil er so tief in die Microsoft-Welt eingebettet ist. Er sitzt in Outlook, PowerPoint, Excel, Teams – und greift dabei auf Unternehmensdaten zu, die in SharePoint und OneDrive liegen. Für die typische Büroarbeit fällt er unter begrenztes Risiko.

Das eigentliche Thema bei Copilot ist aber weniger die Risikoklasse und mehr die Frage: Auf welche Daten hat dieses Tool eigentlich Zugriff? Viele Unternehmen stellen erst nach dem Rollout fest, dass Copilot Dokumente findet, von denen manche Mitarbeiter gar nichts wissen sollten. Das ist primär ein Datenschutzthema (DSGVO), aber für die KI-Dokumentation nach EU AI Act ist es genauso relevant.

Unser Tipp: Erfassen Sie Copilot zentral, prüfen Sie Ihre Berechtigungskonzepte und schauen Sie regelmäßig, ob sich am Einsatzkontext etwas verändert hat. Gerade bei Copilot passiert das schneller, als man denkt – weil Microsoft ständig neue Features nachliefert.


3. Canva AI / Adobe Firefly – wenn Marketing auf KI trifft

Typischer Einsatz: Social-Media-Grafiken, Präsentationsdesign, KI-generierte Bilder, Hintergrundentfernung

Risikoklasse: Begrenztes Risiko (Limited Risk)

In fast jeder Marketing-Abteilung, die wir kennen, wird inzwischen mit KI-gestützten Design-Tools gearbeitet. Canva AI und Adobe Firefly sind die Platzhirsche – sie generieren Bilder, entfernen Hintergründe, erstellen Designvorschläge auf Basis von Textbeschreibungen.

Beide fallen unter „begrenztes Risiko", weil sie synthetische Inhalte erzeugen. Und hier gibt es eine Pflicht, die viele unterschätzen: KI-generierte Inhalte müssen gekennzeichnet werden. Das klingt simpel, ist in der Praxis aber oft lückenhaft. Wer stellt sicher, dass das Social-Media-Team jedes KI-generierte Bild als solches markiert? Wer prüft das bei Werbematerialien?

Unser Tipp: Erstellen Sie eine einfache interne Richtlinie zur Kennzeichnung – und schulen Sie Ihr Marketing-Team. Das ist kein großer Aufwand, aber es schafft Klarheit. Und dokumentieren Sie Canva AI / Firefly natürlich als KI-System.


4. KI im Recruiting – hier wird es ernst

Typischer Einsatz: Automatisiertes Screening von Bewerbungen, KI-gestützte Vorauswahl, Videoanalyse, Matching-Algorithmen

Risikoklasse: Hohes Risiko (High Risk)

Jetzt kommen wir zum Punkt, an dem viele aufhorchen. Der EU AI Act stuft KI-Systeme im Recruiting ausdrücklich als Hochrisiko ein – und zwar immer dann, wenn sie Entscheidungen über Einstellungen, Beförderungen oder Kündigungen beeinflussen. Das steht explizit in Anhang III der Verordnung.

Warum so streng? Weil KI hier über die Lebensgrundlage von Menschen mitentscheidet. Und weil algorithmische Vorurteile (Bias) in Recruiting-Tools mittlerweile gut dokumentiert sind. Ein System, das bestimmte Bewerbergruppen systematisch benachteiligt, wäre nicht nur unfair – es wäre ein Grundrechtsverstoß.

Für Unternehmen bedeutet das: Wenn Sie ein KI-gestütztes Recruiting-Tool nutzen (egal ob HireVue, Personio AI, Softgarden oder ein anderes), müssen Sie die strengsten Anforderungen des EU AI Act erfüllen. Risikomanagementsystem, technische Dokumentation, Datenqualitätsprüfung, menschliche Aufsicht – das volle Programm.

Unser Tipp: Schauen Sie sich Ihre HR-Tools genau an. Oft steckt mehr KI drin, als auf den ersten Blick erkennbar ist. Ein „intelligentes Matching" oder „automatisierte Vorauswahl" ist in den meisten Fällen KI im Sinne des EU AI Act – und damit potenziell Hochrisiko.


5. CRM-Systeme mit KI – die unterschätzte Baustelle

Typischer Einsatz: Lead-Scoring, Kundensegmentierung, Churn-Prediction, automatisierte Kampagnen, Chatbots

Risikoklasse: Minimales bis begrenztes Risiko – mit Ausnahmen

Salesforce Einstein, HubSpot AI, Pipedrive Smart Features – fast jedes moderne CRM hat inzwischen KI-Funktionen eingebaut. Und die meisten Nutzer wissen gar nicht, wie viel KI eigentlich unter der Haube steckt.

Für die typische Marketing- und Vertriebsnutzung (Lead-Scoring, Segmentierung, Kampagnenoptimierung) liegt das Risiko im minimalen bis begrenzten Bereich. Das ändert sich aber schnell, wenn das CRM anfängt, Entscheidungen mit echten Auswirkungen auf Menschen zu treffen: automatische Kreditwürdigkeitsprüfungen, Preisdiskriminierung oder vollautomatisierte Ablehnungen.

Und dann sind da noch die Chatbots. Fast jedes CRM bietet inzwischen einen KI-Chatbot für den Kundenservice an. Der fällt mindestens unter begrenztes Risiko – und es muss für die Nutzer erkennbar sein, dass sie mit einer KI sprechen.

Unser Tipp: Machen Sie eine Bestandsaufnahme aller KI-Features in Ihrem CRM. Oft sind es mehr, als Sie denken. Und prüfen Sie konkret: Trifft das System irgendwo automatisierte Entscheidungen, die Personen betreffen?


Auf einen Blick: Die Risikoklassen im Überblick

KI-Tool Typischer Einsatz Risikoklasse Wichtigste Pflicht
ChatGPT Texte, Recherche, Code Begrenztes Risiko Transparenz & Kennzeichnung
Microsoft Copilot Office-Produktivität Begrenztes Risiko Transparenz & Datenzugriff
Canva AI / Adobe Firefly Design & Bildgenerierung Begrenztes Risiko Kennzeichnung synthetischer Inhalte
Recruiting-KI Bewerbungsscreening Hohes Risiko Vollständige Dokumentation & Aufsicht
CRM mit KI Lead-Scoring, Chatbots Minimal bis begrenzt Kontextabhängige Prüfung

Und jetzt? Der erste Schritt ist einfacher als gedacht

Wenn Sie diesen Beitrag bis hierhin gelesen haben, wissen Sie vermutlich schon mehr über die Risikoklassen als die meisten Ihrer Wettbewerber. Das ist gut – aber Wissen allein reicht nicht.

Die gute Nachricht: Die meisten KI-Tools im Unternehmensalltag fallen unter „minimales" oder „begrenztes Risiko." Das bedeutet kein monatelanges Compliance-Projekt, sondern strukturierte Dokumentation. Aber diese Dokumentation muss eben existieren – spätestens ab August 2026.

Und unabhängig von der Risikoklasse gilt schon jetzt: Unternehmen müssen wissen, welche KI-Systeme im Einsatz sind. Die Pflicht zur KI-Kompetenz (Art. 4) läuft bereits seit Februar 2025.

Der erste Schritt ist immer derselbe: Verschaffen Sie sich einen Überblick. Welche KI-Tools laufen bei Ihnen? In welchen Abteilungen? Für welche Zwecke?

Genau dafür haben wir SimpleAct gebaut. Unsere Plattform führt Sie durch den gesamten Prozess: KI-Systeme erfassen, regelbasiert einstufen, mit Compliance-Checklisten dokumentieren – und bei Bedarf einen fertigen Audit-Nachweis exportieren. In 2–3 Stunden haben Sie Ihre erste vollständige Dokumentation. Ohne Juristendeutsch, ohne Excel-Chaos.

Jetzt kostenlos starten →


Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die Risikoklassifizierung Ihrer KI-Systeme sollte immer anhand des konkreten Einsatzkontextes erfolgen. Bei Unsicherheiten empfehlen wir eine rechtliche Prüfung.


Über SimpleAct: SimpleAct ist eine deutsche Compliance-Plattform, die Unternehmen bei der strukturierten Dokumentation ihrer KI-Systeme nach EU AI Act unterstützt. Von der Erfassung über die Risikobewertung bis zum exportfähigen Audit-Nachweis – alles an einem Ort.

Mehr erfahren →

Tags

EU AI ActKI-ComplianceRisikoklassen
Y

Yannick | SimpleAct Team

Autor · SimpleAct Team

Zurück zum Blog
Arturs Nikitins
August 2026 im Blick: Wer seine KI-Tools nicht kennt, wird für sie bezahlen | SimpleAct Blog | SimpleAct