Kurze Antwort: Artikel 22 des EU AI Act verpflichtet alle Betreiber hochriskanter KI-Systeme zu konkreten organisatorischen Maßnahmen: Schulung der Mitarbeitenden, menschliche Aufsicht sicherstellen, Protokollierung und bei bestimmten Systemen eine Grundrechte-Folgenabschätzung. KMU ohne explizite Hochrisiko-KI sind in vielen Fällen nicht direkt betroffen — aber die Grenze ist oft unklarer als gedacht.
Krótka odpowiedź: Artykuł 22 AI Act nakłada na wszystkich operatorów systemów AI wysokiego ryzyka konkretne obowiązki organizacyjne: szkolenie pracowników, zapewnienie nadzoru ludzkiego, prowadzenie protokołów i — w przypadku określonych systemów — ocenę skutków dla praw podstawowych. MŚP bez wyraźnych systemów wysokiego ryzyka często nie są bezpośrednio dotknięte — ale granica jest zwykle mniej jasna niż się wydaje.
Quick answer: Article 22 of the EU AI Act obligates all operators of high-risk AI systems to take concrete organisational measures: train staff, ensure human oversight, maintain logs, and for certain systems conduct a fundamental rights impact assessment. SMEs without explicit high-risk AI are often not directly affected — but the boundary is usually less clear than it seems.
Réponse rapide : L'article 22 du Règlement européen sur l'IA impose à tous les opérateurs de systèmes d'IA à haut risque des mesures organisationnelles concrètes : former le personnel, garantir une supervision humaine, tenir des registres et, pour certains systèmes, réaliser une évaluation d'impact sur les droits fondamentaux. Les PME sans IA à haut risque explicite ne sont souvent pas directement concernées — mais la frontière est généralement moins nette qu'il n'y paraît.

Was Artikel 22 wirklich sagt — ohne Juristendeutsch

Der EU AI Act unterscheidet zwischen Anbietern (die ein KI-System entwickeln oder vermarkten) und Betreibern (die ein KI-System in ihrem Betrieb einsetzen). Als KMU sind Sie in aller Regel Betreiber — nicht Anbieter.

Artikel 22 regelt genau diese Betreiberrolle für hochriskante KI-Systeme. Und das ist der entscheidende Punkt: nicht jedes KI-System ist hochriskant. Die meisten KMU nutzen KI-Tools, die nicht unter diese Kategorie fallen.

Wichtig

Hochriskante KI-Systeme sind in Anhang III des EU AI Act abschließend aufgelistet. Dazu gehören unter anderem: KI für Personalentscheidungen, KI für Kreditvergabe, biometrische Systeme. Allgemeine Produktivitätstools wie ChatGPT oder Copilot gelten in der Regel nicht als hochriskant — es sei denn, Sie setzen sie explizit für Hochrisiko-Zwecke ein.

Die 5 Pflichten aus Artikel 22 im Klartext

Wenn Sie ein hochriskantes KI-System betreiben, verpflichtet Sie Artikel 22 zu folgenden Maßnahmen:

1. Geeignete technische und organisatorische Maßnahmen

Sie müssen sicherstellen, dass das KI-System so genutzt wird, wie der Anbieter es vorgesehen hat. Das bedeutet: keine Zweckentfremdung, keine Nutzung außerhalb der definierten Anwendungsfälle. In der Praxis: eine interne Nutzungsrichtlinie für jedes eingesetzte KI-System.

2. Menschliche Aufsicht sicherstellen

Hochriskante KI-Entscheidungen dürfen nicht vollautomatisch ablaufen. Es muss immer eine qualifizierte Person geben, die das Ergebnis des KI-Systems überprüft, bevor es wirksam wird. Das gilt besonders bei KI in der Personalentscheidung oder Kreditvergabe.

3. Protokollierung

Sie müssen die Ausgaben des KI-Systems protokollieren, soweit das technisch möglich ist. Ziel: Nachvollziehbarkeit im Nachhinein. Wann hat das System was entschieden? Welche Eingaben lagen vor?

4. Information der betroffenen Personen

Personen, die von einer KI-gestützten Entscheidung betroffen sind, müssen informiert werden. Das gilt insbesondere für Bewerber, Kreditnehmer oder Versicherungsnehmer, deren Profil von einem KI-System bewertet wurde.

5. Grundrechte-Folgenabschätzung (für bestimmte Betreiber)

Für bestimmte öffentlich tätige Betreiber und Betreiber in regulierten Bereichen gilt zusätzlich: vor Inbetriebnahme eines hochriskanten KI-Systems muss eine Grundrechte-Folgenabschätzung durchgeführt werden. Für die meisten privaten KMU ist das noch kein Thema — aber es kommt.

Typischer Fehler

Viele KMU glauben: „Wir haben keine KI — uns betrifft das nicht." Die Realität: KI ist bereits im Haus. Bewerberscreening über LinkedIn Recruiter, automatische Bonitätsprüfung im ERP, Chatbot im Kundenservice — all das kann je nach Nutzung unter Hochrisiko-Kategorien fallen. Die erste Frage ist nicht „Haben wir KI?" sondern „Wofür nutzen wir KI?"

Was das für KMU-Geschäftsführer praktisch bedeutet

Die gute Nachricht: Als KMU-Geschäftsführer müssen Sie nicht Jurist werden. Aber Sie müssen drei Fragen beantworten können:

  1. Welche KI-Systeme nutzen wir? — Eine vollständige KI-Inventur ist der erste Schritt. Wie Sie das angehen, zeigen wir hier.
  2. Fallen diese unter Hochrisiko-Kategorien? — Das lässt sich mit Anhang III des EU AI Act und einem einfachen Selbst-Check klären.
  3. Haben wir die nötigen Maßnahmen getroffen? — Nutzungsrichtlinie, Aufsichtsprozess, Protokollierung. Nicht kompliziert, aber dokumentiert.

Das Zeitfenster: Wann müssen Sie handeln?

Der EU AI Act gilt seit August 2024, mit gestaffelten Fristen. Für die meisten Bestimmungen zu hochriskanten KI-Systemen gilt seit August 2026 die volle Anwendungspflicht. Das klingt weit weg — ist es aber nicht. Audits und Behördenanfragen können deutlich früher kommen.

Besonders relevant: Ab Februar 2025 gelten bereits die Anforderungen aus Artikel 4 (KI-Kompetenzpflicht). Unternehmen, die noch keine KI-Schulungen durchgeführt haben, sind bereits in der Verantwortung. Mehr zu Artikel 4 lesen Sie hier.

Empfehlung

Starten Sie mit einer KI-Inventur: Was nutzen wir? Für was? Wer hat Zugriff? Das dauert in einem KMU typischerweise 2–4 Stunden und liefert die Grundlage für alle weiteren Entscheidungen. Ohne diese Grundlage ist jede Compliance-Maßnahme reine Spekulation.

Was passiert, wenn Sie nichts tun?

Der EU AI Act sieht bei schwerwiegenden Verstößen Bußgelder von bis zu 3% des weltweiten Jahresumsatzes vor. Für KMU mit 5 Mio. € Umsatz wären das bis zu 150.000 €. Hinzu kommen mögliche zivilrechtliche Haftungsansprüche von betroffenen Personen.

Realistischer als Bußgelder sind kurzfristig jedoch: Reputationsschäden bei Kunden, die nach Ihrer KI-Praxis fragen. Und das ist schnell passiert — Bewerber, Kreditnehmer, Lieferanten werden zunehmend informierter.

Fazit: Artikel 22 ist keine Raketenwissenschaft

Wer nicht Zulieferer von KI-Systemen ist und keine Hochrisiko-Anwendungen betreibt, hat heute noch Handlungsspielraum. Nutzen Sie ihn. Die drei Schritte sind klar: Inventarisieren, klassifizieren, dokumentieren. Alles andere baut darauf auf.

ForgeSteer begleitet KMU genau in dieser Phase — vom Quick Scan bis zur belastbaren KI-Governance-Struktur. Ohne Compliance-Kauderwelsch, ohne Enterprise-Overhead.

Co naprawdę mówi Artykuł 22 — bez prawniczego żargonu

AI Act rozróżnia między dostawcami (tworzącymi lub wprowadzającymi system AI na rynek) a operatorami (wdrażającymi system AI w swoim przedsiębiorstwie). Jako MŚP jesteście państwo z reguły operatorem — nie dostawcą.

Artykuł 22 reguluje dokładnie tę rolę operatora w odniesieniu do systemów AI wysokiego ryzyka. I to jest decydująca kwestia: nie każdy system AI jest wysokiego ryzyka. Większość MŚP korzysta z narzędzi AI, które nie należą do tej kategorii.

Ważne

Systemy AI wysokiego ryzyka są wyczerpująco wymienione w Załączniku III AI Act. Należą do nich między innymi: AI do decyzji personalnych, AI do oceny kredytowej, systemy biometryczne. Ogólne narzędzia produktywności jak ChatGPT czy Copilot z reguły nie są zaliczane do wysokiego ryzyka — chyba że używacie ich wyraźnie do celów wysokiego ryzyka.

5 obowiązków z Artykułu 22 po ludzku

Jeśli obsługujecie system AI wysokiego ryzyka, Artykuł 22 nakłada na was następujące obowiązki:

  1. Odpowiednie środki techniczne i organizacyjne — wewnętrzne wytyczne dotyczące użytkowania, żadnego nadużywania systemu poza określonymi przypadkami użycia.
  2. Zapewnienie nadzoru ludzkiego — żadnych w pełni automatycznych decyzji wysokiego ryzyka; wykwalifikowana osoba zawsze weryfikuje wynik przed jego wejściem w życie.
  3. Protokołowanie — dokumentowanie danych wejściowych i wyjściowych systemu AI dla celów weryfikacji.
  4. Informowanie osób, których dotyczy sprawa — kandydaci, kredytobiorcy i inne osoby oceniane przez AI muszą być informowane.
  5. Ocena skutków dla praw podstawowych — dla niektórych podmiotów publicznych i regulowanych sektorów: obowiązkowa przed uruchomieniem.

Typowy błąd

Wiele MŚP uważa: „Nie mamy AI — to nas nie dotyczy." Rzeczywistość: AI jest już w firmie. Screening aplikantów przez LinkedIn Recruiter, automatyczna ocena zdolności kredytowej w ERP, chatbot w obsłudze klienta — to wszystko może w zależności od zastosowania podpadać pod kategorie wysokiego ryzyka.

Co to oznacza praktycznie dla dyrektorów MŚP

Jako dyrektor MŚP musisz móc odpowiedzieć na trzy pytania: Jakich systemów AI używamy? Czy należą do kategorii wysokiego ryzyka? Czy podjęliśmy niezbędne środki — polityka użytkowania, proces nadzoru, protokołowanie?

Pełne obowiązki dla systemów AI wysokiego ryzyka obowiązują od sierpnia 2026. Obowiązek kompetencji z Artykułu 4 obowiązuje już od lutego 2025.

Sankcje za brak działania

AI Act przewiduje kary do 3% globalnego rocznego obrotu za poważne naruszenia. Dla MŚP z obrotem 5 mln € to nawet 150 000 €. Bardziej prawdopodobne krótkoterminowo: szkody reputacyjne u klientów pytających o wasze praktyki AI.

What Article 22 Actually Says — Without the Legal Jargon

The EU AI Act distinguishes between providers (who develop or market an AI system) and deployers (who use an AI system in their operations). As an SME, you are almost always a deployer — not a provider.

Article 22 regulates exactly this deployer role for high-risk AI systems. And that is the crucial point: not every AI system is high-risk. Most SMEs use AI tools that do not fall into this category.

Important

High-risk AI systems are exhaustively listed in Annex III of the EU AI Act. These include: AI for HR decisions, AI for credit scoring, biometric systems. General productivity tools like ChatGPT or Copilot are generally not considered high-risk — unless you explicitly deploy them for high-risk purposes.

The 5 Obligations from Article 22 in Plain Language

  1. Appropriate technical and organisational measures — internal usage policies, no use outside defined use cases.
  2. Human oversight — no fully automated high-risk decisions; a qualified person always reviews the AI output before it takes effect.
  3. Logging — document inputs and outputs of the AI system for traceability.
  4. Informing affected persons — applicants, borrowers, and others assessed by AI must be informed.
  5. Fundamental rights impact assessment — mandatory for certain public and regulated-sector deployers before going live.

Common mistake

Many SMEs believe: "We don't have AI — this doesn't affect us." The reality: AI is already in-house. Applicant screening via LinkedIn Recruiter, automated credit checks in your ERP, chatbot in customer service — all of this can fall under high-risk categories depending on how it is used.

What This Means Practically for SME Leaders

As an SME leader, you need to be able to answer three questions: What AI systems do we use? Do they fall under high-risk categories? Have we taken the necessary measures — usage policy, oversight process, logging?

Full obligations for high-risk AI systems apply from August 2026. The competency obligation from Article 4 has applied since February 2025.

Consequences of Inaction

The EU AI Act provides for fines of up to 3% of global annual turnover for serious violations. For an SME with €5M turnover, that is up to €150,000. More likely in the short term: reputational damage from customers asking about your AI practices.

Ce que dit réellement l'article 22 — sans jargon juridique

Le Règlement européen sur l'IA distingue les fournisseurs (qui développent ou commercialisent un système d'IA) et les déployeurs (qui utilisent un système d'IA dans leur activité). En tant que PME, vous êtes presque toujours déployeur — et non fournisseur.

L'article 22 réglemente précisément ce rôle de déployeur pour les systèmes d'IA à haut risque. Et c'est là le point décisif : tous les systèmes d'IA ne sont pas à haut risque. La plupart des PME utilisent des outils d'IA qui n'entrent pas dans cette catégorie.

Important

Les systèmes d'IA à haut risque sont listés de manière exhaustive dans l'Annexe III du Règlement sur l'IA. On y trouve notamment : l'IA pour les décisions RH, l'IA pour l'octroi de crédits, les systèmes biométriques. Les outils de productivité généraux comme ChatGPT ou Copilot ne sont généralement pas considérés comme à haut risque — sauf si vous les déployez explicitement à des fins à haut risque.

Les 5 obligations de l'article 22 en langage clair

Si vous exploitez un système d'IA à haut risque, l'article 22 vous impose les mesures suivantes :

1. Mesures techniques et organisationnelles appropriées

Vous devez vous assurer que le système d'IA est utilisé conformément aux préconisations du fournisseur. En pratique : pas de détournement d'usage, pas d'utilisation en dehors des cas définis. Cela implique une politique d'utilisation interne pour chaque système d'IA déployé.

2. Garantir la supervision humaine

Les décisions d'IA à haut risque ne peuvent pas être entièrement automatisées. Une personne qualifiée doit toujours vérifier le résultat du système d'IA avant qu'il ne prenne effet. Cela vaut particulièrement pour l'IA dans les décisions RH ou l'octroi de crédits.

3. Journalisation

Vous devez consigner les sorties du système d'IA, dans la mesure du possible sur le plan technique. L'objectif : la traçabilité a posteriori. Quand le système a-t-il pris quelle décision ? Quelles données d'entrée étaient disponibles ?

4. Information des personnes concernées

Les personnes affectées par une décision assistée par l'IA doivent en être informées. Cela concerne en particulier les candidats, les emprunteurs ou les assurés dont le profil a été évalué par un système d'IA.

5. Évaluation d'impact sur les droits fondamentaux (pour certains déployeurs)

Pour certains opérateurs publics et dans des secteurs réglementés, une évaluation d'impact sur les droits fondamentaux doit être réalisée avant la mise en service d'un système d'IA à haut risque. Pour la plupart des PME privées, cela n'est pas encore d'actualité — mais cela viendra.

Erreur fréquente

De nombreuses PME pensent : « Nous n'avons pas d'IA — cela ne nous concerne pas. » La réalité : l'IA est déjà présente dans votre entreprise. Présélection de candidats via LinkedIn Recruiter, vérification automatique de solvabilité dans l'ERP, chatbot au service client — tout cela peut, selon l'usage, relever des catégories à haut risque. La première question n'est pas « Avons-nous de l'IA ? » mais « À quoi utilisons-nous l'IA ? »

Ce que cela signifie concrètement pour les dirigeants de PME

La bonne nouvelle : en tant que dirigeant de PME, vous n'avez pas besoin de devenir juriste. Mais vous devez être en mesure de répondre à trois questions :

  1. Quels systèmes d'IA utilisons-nous ? — Un inventaire complet de l'IA constitue la première étape. Découvrez comment procéder ici.
  2. Relèvent-ils des catégories à haut risque ? — Cela peut être clarifié à l'aide de l'Annexe III du Règlement sur l'IA et d'un simple auto-diagnostic.
  3. Avons-nous pris les mesures nécessaires ? — Politique d'utilisation, processus de supervision, journalisation. Pas compliqué, mais documenté.

Le calendrier : quand devez-vous agir ?

Le Règlement sur l'IA est en vigueur depuis août 2024, avec des échéances échelonnées. Pour la plupart des dispositions relatives aux systèmes d'IA à haut risque, l'application complète est obligatoire depuis août 2026. Cela peut sembler lointain — mais ça ne l'est pas. Les audits et les demandes des autorités peuvent intervenir bien plus tôt.

Particulièrement important : depuis février 2025, les exigences de l'article 4 (obligation de compétence en IA) sont déjà en vigueur. Les entreprises qui n'ont pas encore formé leur personnel sont déjà en situation de responsabilité. En savoir plus sur l'article 4.

Recommandation

Commencez par un inventaire de l'IA : qu'utilisons-nous ? À quelles fins ? Qui y a accès ? Dans une PME, cela prend généralement 2 à 4 heures et fournit la base de toutes les décisions ultérieures. Sans cette base, toute mesure de conformité relève de la spéculation.

Que se passe-t-il si vous ne faites rien ?

Le Règlement sur l'IA prévoit des amendes pouvant atteindre 3 % du chiffre d'affaires annuel mondial pour les infractions graves. Pour une PME réalisant 5 M€ de chiffre d'affaires, cela représente jusqu'à 150 000 €. S'y ajoutent d'éventuelles actions en responsabilité civile de la part des personnes concernées.

À court terme, les conséquences les plus probables sont toutefois les atteintes à la réputation auprès de clients qui s'interrogent sur vos pratiques en matière d'IA. Et cela arrive vite — candidats, emprunteurs et fournisseurs sont de mieux en mieux informés.

Conclusion : l'article 22 n'est pas une science infuse

Si vous n'êtes pas fournisseur de systèmes d'IA et n'exploitez pas d'applications à haut risque, vous disposez encore d'une marge de manœuvre. Saisissez-la. Les trois étapes sont claires : inventorier, classifier, documenter. Tout le reste en découle.

ForgeSteer accompagne les PME précisément dans cette phase — du Quick Scan à une structure de gouvernance IA fiable. Sans jargon de conformité, sans lourdeur d'entreprise.

Weiterführende Artikel

KI & Governance

EU AI Act Artikel 4: Die KI-Kompetenzpflicht für Ihr Team

 KI & Governance

KI-Inventur im Unternehmen: Schritt-für-Schritt

 KI & Governance

KI-Governance Framework für KMU: Wie es wirklich geht

Powiązane artykuły

KI & Governance

AI Act Artykuł 4: Obowiązek kompetencji AI dla twojego zespołu

 KI & Governance

Inwentaryzacja AI w firmie: krok po kroku

 KI & Governance

ChatGPT w firmie legalnie: co muszą wiedzieć MŚP

Related Articles

AI & Governance

EU AI Act Article 4: The AI Competency Obligation for Your Team

 AI & Governance

AI Inventory in Your Company: Step by Step

 AI & Governance

AI Governance Framework for SMEs: How It Really Works

Articles connexes

IA & Gouvernance

Règlement sur l'IA, article 4 : l'obligation de compétence IA pour votre équipe

 IA & Gouvernance

Inventaire de l'IA en entreprise : guide pas à pas

 IA & Gouvernance

Cadre de gouvernance IA pour les PME : comment s'y prendre concrètement
VON ANJA ŻALIK — PASSEND ZU DIESEM ARTIKEL
Change Management bei KI-Einführung: Warum der Mensch zuerst kommt EU AI Act Artikel 4 und HR: Was die KI-Kompetenzpflicht für Führungskräfte bedeutet
ÜBER DEN AUTOR
Dariusz Piotr Żalik
Senior Partner — KI-Strategie & Umsetzung

Dariusz kennt den Moment, wenn KI bereits im Unternehmen läuft — aber niemand genau weiß, wie.