Drei Baustellen beschäftigen 2026 fast jedes kleine und mittlere Unternehmen, oft gleichzeitig: KI ist vom Experiment zum Alltagswerkzeug geworden, die Angriffe auf Firmen-IT nehmen zu, und mit E-Rechnung und NIS2 sind zwei Gesetze in Kraft, die Prozesse und Sicherheit nicht mehr als Kür durchgehen lassen. Dieser Beitrag sortiert die drei Themen: Was ist Pflicht, was ist Risiko, was lohnt sich zuerst.
Eine Sache vorweg: Du musst 2026 nicht alles auf einmal umbauen. Aber du solltest wissen, welche Fristen dich betreffen und wo dein Betrieb statistisch gesehen am verwundbarsten ist. Genau darum geht es hier.
KI im Betrieb: die Nutzung wächst schneller als die Regeln
Erst die Zahlen. Laut Bitkom nutzten im Herbst 2025 rund 36 Prozent der deutschen Unternehmen ab 20 Beschäftigten KI, fast doppelt so viele wie ein Jahr zuvor. Destatis kommt mit engerer Fragestellung auf 26 Prozent, das ifo Institut auf rund 41 Prozent. Die Spanne liegt an der Methodik, der Trend ist in allen drei Erhebungen derselbe: steil nach oben, auch bei kleineren Betrieben.
Typische Einsatzfelder in KMU sind Texte und Übersetzungen, Marketing, Kundenservice und Datenauswertung. Also die Arbeit, die neben dem eigentlichen Geschäft herläuft. Dass das funktioniert, sehen wir bei unseren eigenen Kunden. Dass es nicht von allein funktioniert, auch: Eine Workday-Erhebung von Ende 2025 kam zu dem Ergebnis, dass rund 40 Prozent der durch KI gesparten Zeit wieder in die Nachbesserung fehlerhafter Ergebnisse fließt. KI-Output ist ein Entwurf, kein Endprodukt. Wer das einplant, spart trotzdem. Wer es ignoriert, verschiebt die Arbeit nur nach hinten.
Was der AI Act von dir als Anwender verlangt (weniger, als du denkst)
Um den AI Act ranken sich viele Halbwahrheiten. Für ein KMU, das KI-Tools nutzt statt sie zu entwickeln, ist die Lage überschaubar:
Seit 2. Februar 2025 gilt Art. 4: Du musst dafür sorgen, dass dein Personal ausreichend KI-Kompetenz hat, abgestuft nach Aufgabe und Vorwissen. Kein Pflicht-Zertifikat, keine vorgeschriebene Schulungsform, kein „KI-Beauftragter". Eine dokumentierte interne Einweisung, die erklärt, was die Tools können und wo sie irren, erfüllt den Zweck.
Ab 2. August 2026 greifen die Transparenzpflichten aus Art. 50: Kunden müssen erkennen können, dass sie mit einem Chatbot sprechen. Deepfakes und KI-generierte Texte zu Themen von öffentlichem Interesse müssen gekennzeichnet sein. Wichtig für die Praxis: Interne Nutzung löst keine Kennzeichnungspflicht aus. Die KI-formulierte E-Mail, das Angebot, der interne Bericht: nichts davon muss einen KI-Stempel tragen.
Die Hochrisiko-Pflichten (zum Beispiel für KI in der Bewerberauswahl) sollten ursprünglich auch im August 2026 greifen. Der im Juni 2026 beschlossene Digital Omnibus hat diese Frist auf Dezember 2027 verschoben. Inhaltlich wurde nichts abgeschwächt, du hast nur mehr Zeit. Wer KI im Recruiting einsetzt oder das plant, sollte die Frist trotzdem jetzt auf dem Zettel haben.
Das eigentliche KI-Risiko sitzt im eigenen Haus
Die spannendere Zahl steht in einer zweiten Bitkom-Erhebung vom Oktober 2025: Nur 23 Prozent der Unternehmen haben Regeln für den KI-Einsatz. Gleichzeitig nutzen Beschäftigte in wachsendem Umfang private KI-Accounts für Firmenarbeit, in 8 Prozent der Unternehmen ist das laut Studie weit verbreitet, in weiteren 17 Prozent gibt es Einzelfälle. Schatten-KI heißt das Phänomen. In der Praxis bedeutet es: Kundendaten landen in privaten ChatGPT-Konten, außerhalb jeder Auftragsverarbeitung, ohne dass jemand davon weiß.
Die Lösung ist keine Verbotskultur, sondern eine einseitige KI-Richtlinie: welche Tools freigegeben sind, welche Daten nie in ein KI-Tool gehören (Kundendaten, Gesundheitsdaten, Vertragsdetails), wer Output vor Veröffentlichung prüft. Das ist an einem Nachmittag geschrieben und erfüllt nebenbei einen Teil der Art.-4-Pflicht.
Falls du wissen willst, was KI-Tools speziell im Webdesign taugen und wo sie scheitern, haben wir das in einem eigenen Beitrag auseinandergenommen.
Cybersicherheit: warum „wir sind zu klein" 2026 nicht mehr zieht
Der BSI-Lagebericht 2025 dokumentiert 950 Ransomware-Angriffe im Berichtszeitraum, 80 Prozent davon gegen kleine und mittlere Unternehmen. Nicht gegen Konzerne. Gegen Betriebe wie deinen. Dazu kommen im Schnitt 119 neu entdeckte Software-Schwachstellen pro Tag, 24 Prozent mehr als im Vorjahr. Die Bitkom-Studie Wirtschaftsschutz 2025 beziffert den Schaden durch Cyberangriffe auf deutsche Unternehmen auf 202,4 Milliarden Euro im Jahr.
Warum trifft es so oft die Kleinen? Weil Angriffe automatisiert laufen. Niemand sucht sich deinen Betrieb persönlich aus. Scanner klappern Millionen Websites und Mailserver nach bekannten Lücken ab, und wer eine offene hat, ist dran.
Deine Website ist ein beliebtes Einfallstor
Für Unternehmen mit WordPress-Website (also die Mehrheit der KMU) lohnt ein Blick in den Patchstack-Report 2026: 11.334 neu entdeckte Schwachstellen im WordPress-Ökosystem allein 2025, ein Plus von 42 Prozent. Davon steckten 91 Prozent in Plugins, nur sechs Stück im WordPress-Kern. Und die unangenehmste Zahl: Stark angegriffene Lücken werden im Median 5 Stunden nach Bekanntwerden massenhaft ausgenutzt. „Ich update am Wochenende" ist damit keine Strategie, sondern ein offenes Fenster.
Was daraus folgt, ist unspektakulär und wirksam:
- Updates automatisieren oder per Wartungsvertrag abdecken, damit das 5-Stunden-Fenster nicht dein Problem ist
- Zwei-Faktor-Authentifizierung überall, wo es geht: Admin-Logins, E-Mail, Bank
- Backups nach der 3-2-1-Regel: drei Kopien, zwei Medien, eine davon außer Haus und offline, denn Ransomware verschlüsselt angeschlossene Backups gleich mit
- Passwort-Manager statt Passwort-Wiederverwendung
- Das Team regelmäßig für Phishing sensibilisieren, weil die meisten Angriffe mit einer Mail beginnen
Für Betriebe bis 50 Mitarbeiter gibt es außerdem den CyberRisikoCheck des BSI nach DIN SPEC 27076: ein standardisierter Sicherheits-Check durch zertifizierte IT-Dienstleister, in etwa einem Beratungstag erledigt, teilweise förderfähig. Ein guter, günstiger Startpunkt, wenn du nicht weißt, wo du stehst.
NIS2 gilt und erreicht dich auch unterhalb der Schwelle
Seit dem 6. Dezember 2025 ist das deutsche NIS2-Umsetzungsgesetz in Kraft. Direkt verpflichtet sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in 18 regulierten Sektoren, in Deutschland rund 30.000 Betriebe. Wenn du darunter liegst: keine Registrierungspflicht, keine Meldepflichten.
Aber NIS2 hat einen Hebel, der auch kleinere Betriebe erreicht: Betroffene Unternehmen müssen ihre Lieferkette absichern und geben die Anforderungen vertraglich weiter. Wer als Zulieferer, IT-Dienstleister oder Softwareanbieter für ein reguliertes Unternehmen arbeitet, bekommt Sicherheitsfragebögen, Audit-Klauseln und Incident-Meldefristen in den nächsten Rahmenvertrag geschrieben. Die fünf Maßnahmen aus der Liste oben sind exakt das, wonach diese Fragebögen fragen. Wer sie umgesetzt hat, kann sie abhaken statt Aufträge zu verlieren.
Beim Datenschutz auf der Website bleibt die Lage 2026 im Kern unverändert, mit zwei erwähnenswerten Entwicklungen: Das VG Hannover hat im März 2025 bestätigt, dass Cookie-Banner eine „Alles ablehnen"-Schaltfläche auf der ersten Ebene brauchen, sonst sind die Einwilligungen unwirksam. Und das Rekord-Bußgeld gegen Vodafone (45 Millionen Euro, BfDI Juni 2025) zeigt, dass unkontrollierte Auftragsverarbeitung real sanktioniert wird. Prüf also, mit welchen Dienstleistern du AV-Verträge hast. Die Details zu Cookie-Bannern und Consent haben wir im Datenschutz-Beitrag ausführlich behandelt, für Shops gibt es eine eigene Checkliste.
Prozessautomatisierung: fang bei der Rechnung an
Wenn du 2026 genau einen Prozess automatisierst, nimm die Rechnungsstellung. Nicht weil es das größte Einsparpotenzial hätte, sondern weil der Gesetzgeber die Entscheidung abgenommen hat.
Die E-Rechnung kommt in drei Stufen
Die Fristen stehen im FAQ des Bundesfinanzministeriums:
| Stichtag | Was gilt |
|---|---|
| seit 1.1.2025 | Jedes inländische Unternehmen muss E-Rechnungen empfangen können. Ein E-Mail-Postfach genügt. |
| ab 1.1.2027 | Unternehmen mit über 800.000 € Vorjahresumsatz müssen im B2B E-Rechnungen ausstellen |
| ab 1.1.2028 | Ausstellungspflicht für alle Unternehmen im B2B |
Zwei Punkte werden dabei regelmäßig missverstanden. Erstens: Ein normales PDF ist keine E-Rechnung. Gültig sind strukturierte Formate nach EN 16931, also XRechnung oder ZUGFeRD ab Version 2.0.1. Zweitens: Kleinunternehmer sind von der Ausstellungspflicht ausgenommen, empfangen können müssen sie trotzdem.
Die Lücke ist real: Kurz vor Pflichtbeginn konnten laut Bitkom nur 45 Prozent der Unternehmen E-Rechnungen empfangen, und bei Betrieben mit 20 bis 99 Beschäftigten nutzt nur gut die Hälfte standardisierte Formate. Genau die Zielgruppe dieses Blogs hinkt also hinterher. Die gute Nachricht: Wer die Umstellung angeht, kann direkt den ganzen Prozess mitnehmen. Rechnung strukturiert erzeugen, automatisch an die Steuerkanzlei übergeben (über DATEV-Schnittstellen wie den Rechnungsdatenservice), Zahlungseingang abgleichen. Der Pendelordner zur Kanzlei entfällt ersatzlos.
Danach: die Strecke von der Anfrage zum Kunden
Nach der Rechnung lohnen sich die Prozesse mit dem meisten Hin und Her: Terminbuchung (statt E-Mail-Pingpong), die Übergabe von Website-Anfragen ins Kundensystem, Auftragsbestätigungen. Verzichte auf Fantasie-ROI-Rechnungen aus Agentur-Blogs und rechne selbst: Anzahl der Vorgänge pro Monat mal Minuten pro Vorgang. Wenn dabei mehr als ein Arbeitstag pro Monat herauskommt, lohnt der Blick auf Automatisierung.
Bei den Werkzeugen ist der Hosting-Standort die erste Frage, nicht der Funktionsumfang. Zapier verarbeitet Daten in den USA, das ist ein Drittlandtransfer mit Prüfaufwand. Make bietet EU-Rechenzentren, n8n läuft auf Wunsch in Frankfurt oder auf deinem eigenen Server. Für Shop-Betreiber ist die Warenwirtschaft ohnehin die Automatisierungszentrale. Wie Buchhaltung, Versand und Zahlungsanbieter an JTL andocken, steht im Schnittstellen-Beitrag.
Datenmanagement: ein System, das die Wahrheit kennt
Automatisierung setzt voraus, dass deine Daten an einem Ort stimmen. In vielen Betrieben liegen Kundendaten in vier Systemen gleichzeitig: im E-Mail-Postfach, in einer Excel-Liste, im Rechnungsprogramm und im Kopf des Inhabers. Jede Automatisierung, die darauf aufsetzt, verteilt Fehler nur schneller.
Der erste Schritt ist unbequem, aber einmalig: ein führendes System bestimmen (CRM oder Warenwirtschaft), Altbestände bereinigen, und festlegen, dass neue Daten nur noch dort erfasst werden. Das hat nebenbei eine DSGVO-Dimension: Wer nicht weiß, in welchen Systemen Kundendaten liegen, kann Löschpflichten nach Art. 17 gar nicht erfüllen. Die DIN 66398 liefert dafür ein brauchbares Gerüst: Datenarten auflisten, Systeme zuordnen, Löschfristen ableiten. Für die meisten KMU passt das auf wenige Seiten.
Und der Klassiker unter den Fehlern, gern zitiert nach dem früheren Telefónica-Chef Thorsten Dirks: Wer einen schlechten Prozess digitalisiert, hat einen schlechten digitalen Prozess. Erst den Ablauf geraderücken, dann automatisieren. Die zweitgrößte Falle ist der Tool-Zoo: sieben Abos, die nicht miteinander reden, sind keine Digitalisierung, sondern verteilte Zettelwirtschaft mit monatlicher Abbuchung.
Deine To-do-Liste für die zweite Jahreshälfte 2026
- KI-Richtlinie schreiben (eine Seite): freigegebene Tools, verbotene Datenarten, Prüfpflicht für Output. Team einweisen und die Einweisung dokumentieren. Damit ist Art. 4 abgedeckt.
- Falls ein Chatbot auf deiner Website läuft oder geplant ist: Kennzeichnung bis 2. August 2026 einbauen.
- Website-Updates automatisieren oder vertraglich absichern. 2FA auf alle Admin-Zugänge, Backup-Konzept auf die 3-2-1-Regel prüfen.
- Wenn du für größere Unternehmen arbeitest: die fünf Basis-Maßnahmen umsetzen, bevor der erste NIS2-Sicherheitsfragebogen kommt.
- E-Rechnung: klären, ob dein Rechnungsprogramm XRechnung oder ZUGFeRD kann und wann deine Ausstellungspflicht greift (2027 oder 2028). Bei der Gelegenheit die DATEV-Übergabe automatisieren.
- Ein führendes System für Kundendaten bestimmen und die Excel-Nebenbuchhaltungen stilllegen.
Keiner dieser Punkte braucht ein Digitalisierungsprojekt mit Lenkungsausschuss. Die meisten sind in Tagen erledigt, nicht in Monaten. Und jeder einzelne senkt entweder ein reales Risiko oder spart wiederkehrende Arbeitszeit.
Wenn du bei einem der Punkte Unterstützung brauchst, von der sicheren Website über die Anbindung deines Kontaktformulars ans CRM bis zur Wartung mit automatischen Updates, dann melde dich. Wir schauen uns deinen Stand gemeinsam an, oft auch persönlich vor Ort: für Unternehmen aus Hockenheim, Mannheim, Heidelberg, Schwetzingen und der ganzen Metropolregion Rhein-Neckar.
Weiterlesen: Was KI-Tools im Webdesign 2026 können und Datenschutz & Cookie-Banner 2026.