){kind=logo}
Ihre OCR liest Rechnungen aus, ein Modell kategorisiert Ausgaben, ein Anomalie-Detektor markiert ungewöhnliche Lieferantenbeträge – damit sind Sie kein KI-Entwickler – aber im Sinne des EU AI Act ein Betreiber von KI-Systemen. Und damit treffen Sie ab dem August 2026 konkrete Pflichten, von denen viele in deutschen Finanzteams noch nicht wahrgenommen werden.
Gleichzeitig kursiert viel Halbwissen: Vom „Bußgeld bis 35 Millionen Euro für jedes KI-Tool" bis zum „Verbot von OCR-Software ohne Zulassung". Beides ist falsch. Dieser Artikel sortiert, was tatsächlich auf Finanzteams zukommt, was bereits seit Februar 2025 gilt – und welche fünf Dokumentationspflichten Sie bis August 2026 verankert haben sollten.
Die Stichtage und was sie wirklich bedeuten
Der EU AI Act ist in der Verordnung (EU) 2024/1689 geregelt. Er trat im August 2024 in Kraft, gilt aber gestaffelt: Seit Februar 2025 sind verbotene Praktiken untersagt und – wichtig für jeden Anwender – Artikel 4 zur KI-Kompetenz ist scharfgestellt. Im August 2025 traten die Pflichten für Anbieter von General-Purpose-AI hinzu. Der nächste große Meilenstein ist August 2026 mit den Vorgaben für Hochrisiko-Systeme nach Anhang III und den Transparenzpflichten nach Artikel 50. Die vollständige Anwendbarkeit folgt im August 2027.
Für Finanzteams ist die entscheidende Differenzierung nicht der Stichtag, sondern die Einordnung Ihrer eingesetzten Software. Hier wird in der öffentlichen Diskussion am häufigsten überzeichnet.
)
Was in der Finanzsoftware tatsächlich Hochrisiko ist und was nicht
Anhang III des AI Act listet die Hochrisiko-Anwendungsfälle abschließend auf. Im Finanzkontext ist relevant: Anhang III Nr. 5 Buchstabe b erfasst KI-Systeme zur Kreditwürdigkeitsprüfung natürlicher Personen sowie zur Bonitätsbewertung. Das betrifft Banken, FinTechs und Kreditgeber – nicht aber die typische OCR-, Kategorisierungs- oder Ausgabenmanagement-Funktion in einem mittelständischen Finanzteam.
Konkret bedeutet das: Eine KI, die Eingangsrechnungen ausliest und Buchungsvorschläge macht, ist kein Hochrisiko-System. Auch ein Anomalie-Detektor, der Ausreißer im Lieferantenverhalten markiert, fällt nicht automatisch unter Anhang III. Anders sieht es aus, wenn Ihr Unternehmen mit Hilfe von KI Mitarbeiterbewertungen, Personalentscheidungen oder Kreditentscheidungen gegenüber Endkunden automatisiert – das wären Hochrisiko-Fälle nach anderen Anhang-III-Punkten.
Die praktische Konsequenz: Für die meisten mittelständischen Finanzteams gelten nicht die schweren Hochrisiko-Pflichten aus Artikel 26 (Risikomanagementsysteme, kontinuierliche Überwachung, Konformitätsbewertung). Sondern eine schlankere, aber dennoch verbindliche Liste – allen voran Artikel 4 und Artikel 50.
KI-Kompetenz: bereits geltende Pflicht
Seit dem 02.02.2025 verpflichtet Artikel 4 des AI Act jeden Anbieter und Betreiber dazu, sicherzustellen, dass die mit KI-Systemen befassten Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Der Geltungsbereich ist universell: Schwellenwerte oder Hochrisiko-Einstufungen spielen keine Rolle.
Für ein Finanzteam, das OCR oder KI-gestützte Kategorisierung einsetzt, heißt das konkret: Die Mitarbeitenden, die mit diesen Funktionen arbeiten, müssen die Funktionsweise grundlegend verstehen, die Grenzen der Systeme einschätzen können (etwa: Wann markiert die KI Ausreißer fälschlich? Was passiert bei unleserlichen Belegen?) und wissen, wann eine menschliche Prüfung notwendig ist.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die BaFin haben dazu erste Orientierungshilfen veröffentlicht. Eine formale Schulungsverpflichtung mit Stundenvorgabe gibt es nicht – aber Sie müssen dokumentieren können, dass Ihre Mitarbeitenden eine angemessene Kompetenz haben. Das ist der praktisch wichtigste Punkt für 2026.
Transparenz: wenn KI-Inhalte das Finanzteam erreichen
Ab August 2026 gilt zudem Artikel 50: Wer KI-generierte Inhalte einsetzt oder weiterleitet – etwa automatisch zusammengefasste Vertragsdokumente, KI-erstellte Reports oder generative Chatbots im Kundensupport – muss kenntlich machen, dass diese Inhalte KI-generiert sind. Für klassische OCR oder Anomalie-Erkennung greift Artikel 50 nicht, wohl aber für generative KI, die zunehmend in Finanzsoftware integriert wird (z. B. Vorschlagstexte für E-Mails an Lieferanten, automatisierte Memo-Erstellung).
Fünf Dokumentationspflichten, die Sie bis August 2026 verankert haben sollten
Im Alltag eines Finanzteams konkretisieren sich die Pflichten in fünf überschaubaren Punkten.
Erstens: Eine Inventarliste aller eingesetzten KI-Funktionen in Ihrer Finanzsoftware. Welche Tools enthalten KI-Komponenten? OCR, Kategorisierung, Anomalie-Erkennung, Approval-Empfehlungen, generative Funktionen? Diese Liste ist die Basis aller weiteren Schritte.
Zweitens: Eine Risikoeinschätzung je System. Für die meisten Mittelstands-Tools fällt diese kurz aus – „kein Hochrisiko nach Anhang III" mit Begründung. Aber sie muss explizit getroffen worden sein, nicht implizit angenommen.
Drittens: Eine KI-Kompetenz-Dokumentation für die betroffenen Mitarbeitenden. Das kann eine interne Kurzunterweisung sein, eine vom Softwareanbieter bereitgestellte Schulung oder eine schriftliche Einweisung in das jeweilige System. Wichtig ist die Nachvollziehbarkeit.
Viertens: Eine Anbieter-Compliance-Prüfung. Fordern Sie bei jedem Software-Anbieter, dessen Produkt KI enthält, eine Konformitätserklärung an. Seriöse Anbieter haben diese seit 2025 vorbereitet. Wenn ein Anbieter keine bereitstellt, ist das ein Warnsignal – nicht nur rechtlich, sondern auch für die Datenqualität.
Fünftens: Ein Eskalations- und Korrekturpfad für KI-Fehler. Wie wird gemeldet, wenn die OCR systematisch falsche Beträge auswirft oder der Anomalie-Detektor wiederholt Fehlalarme produziert? Wer entscheidet, ob ein System weiter genutzt wird? Diese Prozesse sollten schriftlich vorliegen.
Wo Spendesk im AI Act-Kontext ansetzt
Spendesk setzt KI gezielt für OCR-gestützte Belegerfassung, Kategorisierung und Anomalie-Erkennung ein – also in den Anwendungsbereichen, die nach aktueller Rechtslage nicht unter Anhang III des AI Act fallen. Die Konformitätsdokumentation für Betreiberpflichten nach Artikel 4 stellen wir auf Anfrage bereit, sodass Sie sie direkt in Ihre Dokumentationsstruktur übernehmen können.
Wie KI in der Buchhaltung praktisch eingeführt wird, beschreibt unser Leitfaden zu KI-Buchhaltung für KMU. Wie ein KI-natives Arbeitsumfeld konkret aussieht, zeigt der Erfahrungsbericht zu KI am Arbeitsplatz bei Spendesk.KI-Compliance im Finanzteam pragmatisch aufsetzen: Sehen Sie, wie Spendesk OCR, Anomalie-Erkennung und Approval-Workflows mit dokumentierter AI-Act-Konformität verbindet. Demo vereinbaren
Neugierig, wie Spendesk funktioniert?
Testen Sie eine interaktive Demo und erleben Sie Ausgabenkontrolle und Freigaben von Anfang bis Ende.
Kostenlose Tour starten){kind=logo}
)
)
)
)
)