eu-konform.ai
← Alle Artikel | Compliance

AI Act Pflichten für KMUs – Die praktische Checkliste

Ab August 2026 Pflicht: 7 AI-Act-Anforderungen, die jedes KMU erfüllen muss. Konkrete Checkliste mit Praxis-Tipps – ohne Juristendeutsch.

eu-konform.ai Redaktion · · 8 Min. Lesezeit

Ab dem 2. August 2026 gilt der EU AI Act vollständig. Für kleine und mittlere Unternehmen (KMUs) bedeutet das: Wer Künstliche Intelligenz nutzt – und das tun mittlerweile die meisten – muss bestimmte Pflichten erfüllen. Sonst drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Klingt dramatisch? Ist es auch. Aber die gute Nachricht: Für die meisten KMUs sind die Anforderungen überschaubar – wenn man weiß, was zu tun ist.

Betrifft mich der AI Act überhaupt?

Kurze Antwort: Ja, sehr wahrscheinlich.

Der AI Act gilt für jedes Unternehmen, das in der EU KI-Systeme einsetzt (als “Betreiber”) oder entwickelt (als “Anbieter”). Und “KI-Systeme” ist weit gefasst.

Nutzen Sie eines der folgenden Tools? Dann sind Sie betroffen:

  • ChatGPT, Claude, Gemini für Texterstellung oder Kundenservice
  • Microsoft Copilot in Office oder Windows
  • DeepL für Übersetzungen
  • Midjourney, DALL-E für Bildgenerierung
  • HubSpot, Salesforce mit KI-gestütztem Lead-Scoring
  • Recruiting-Software mit automatischer Bewerbervorauswahl
  • Buchhaltungssoftware mit KI-gestützter Belegerfassung

Die Liste ist lang. Der AI Act unterscheidet nicht nach Unternehmensgröße – er unterscheidet nach Risiko.

Die 4 Risikoklassen – wo steht Ihr KI-Einsatz?

Der AI Act teilt KI-Systeme in vier Risikoklassen ein:

1. Verbotene KI-Praktiken

Bestimmte KI-Anwendungen sind ab Februar 2025 komplett verboten. Dazu gehören Social Scoring, manipulative Systeme und biometrische Echtzeit-Überwachung in öffentlichen Räumen. Für die meisten KMUs irrelevant, aber wichtig zu kennen.

2. Hochrisiko-KI

Hier wird es für einige KMUs relevant: KI-Systeme in den Bereichen Personalwesen (Bewerberauswahl, Leistungsbewertung), Kreditwürdigkeit, Versicherungsprämien, Bildung oder kritische Infrastruktur gelten als Hochrisiko. Die Pflichten sind umfangreich: Risikomanagement, technische Dokumentation, menschliche Aufsicht, Registrierung.

3. KI mit begrenztem Risiko (Limited Risk)

Hierunter fallen Chatbots, KI-generierte Texte und Bilder. Die häufigste Kategorie für KMUs. Hauptpflicht: Transparenz – Sie müssen offenlegen, dass KI im Spiel ist.

4. Minimales Risiko

Spam-Filter, Rechtschreibprüfung, einfache Empfehlungssysteme. Keine besonderen Pflichten – aber ein KI-Inventar schadet trotzdem nicht.

Die 7 Pflichten, die jedes KMU kennen muss

1. KI-Inventar erstellen

Was: Dokumentieren Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden.

Praxis-Tipp: Gehen Sie systematisch vor – IT, Marketing, HR, Vertrieb, Buchhaltung. Fragen Sie in jeder Abteilung: “Welche Tools nutzt ihr, die irgendwas automatisch entscheiden, erstellen oder analysieren?”

Sie werden überrascht sein, wie viele KI-Tools bereits im Einsatz sind.

2. Risikoklassifizierung durchführen

Was: Ordnen Sie jedes KI-System einer der vier Risikoklassen zu.

Praxis-Tipp: Für die meisten Office-KI-Tools (ChatGPT, Copilot, DeepL) landen Sie bei “begrenztes Risiko” oder “minimales Risiko”. Kritisch wird es bei HR-Tools und allem, was automatisierte Entscheidungen über Menschen trifft.

3. Transparenzpflichten umsetzen

Was: Wenn KI Inhalte erzeugt oder mit Menschen interagiert, muss das kenntlich gemacht werden.

Konkret:

  • Chatbot auf der Website? → Muss als KI erkennbar sein
  • KI-generierte Texte im Marketing? → Kennzeichnen (zumindest intern dokumentieren)
  • Automatisierte E-Mail-Antworten? → Empfänger informieren

4. Schulung & KI-Kompetenz (Art. 4)

Was: Alle Mitarbeiter, die mit KI arbeiten, müssen ein “ausreichendes Maß an KI-Kompetenz” haben.

Praxis-Tipp: Keine formelle Zertifizierung nötig – aber dokumentierte Schulungen. Ein halbtägiger Workshop pro Jahr kann reichen. Wichtig: Dokumentieren, dass die Schulung stattgefunden hat.

5. Technische Dokumentation (nur Hochrisiko)

Was: Anbieter von Hochrisiko-KI müssen umfangreiche technische Dokumentation vorhalten.

Für KMU-Betreiber: Sie müssen nicht selbst dokumentieren, wie ChatGPT funktioniert – das ist OpenAIs Job. Aber Sie müssen dokumentieren, wie und wofür Sie es einsetzen.

6. Menschliche Aufsicht (nur Hochrisiko)

Was: Bei Hochrisiko-Systemen muss immer ein Mensch die Möglichkeit haben, einzugreifen.

Praxis-Tipp: Kein KI-System darf im Hochrisiko-Bereich vollautomatisch finale Entscheidungen treffen. Bewerber-Screening per KI? Okay – aber ein Mensch muss die Endentscheidung treffen und dokumentieren.

7. Überwachung & Meldepflichten (nur Hochrisiko)

Was: Betreiber von Hochrisiko-KI müssen Vorfälle dokumentieren und bei schwerwiegenden Vorfällen die Behörden informieren.

Erleichterungen für KMUs

Der AI Act ist nicht blind für die Realität kleiner Unternehmen. Mehrere Artikel sehen explizit Erleichterungen vor:

  • Sandbox-Zugang (Art. 57): Regulatorische Sandboxen müssen KMUs bevorzugt berücksichtigen
  • Tests unter Realbedingungen (Art. 62): Erleichterte Bedingungen und reduzierte Gebühren für KMUs
  • Bußgeld-Bemessung (Art. 99 Abs. 5): Unternehmensgröße und wirtschaftliche Leistungsfähigkeit werden bei Bußgeldern berücksichtigt
  • Unterstützungspflicht: Nationale Behörden müssen KMUs Beratung und Unterstützung anbieten (Erwägungsgründe 144–145)

Aber: Die Erleichterungen gelten nur für die Dokumentation – nicht für die Substanz. Ein Hochrisiko-System bleibt Hochrisiko, egal wie klein das Unternehmen ist.

Was passiert, wenn ich nichts tue?

Drei Szenarien:

  1. Best Case: Nichts. Viele KMUs werden anfangs nicht kontrolliert – die Behörden konzentrieren sich auf Großunternehmen und offensichtliche Verstöße.

  2. Realistischer Case: Ein Kunde, Geschäftspartner oder Auftraggeber fragt nach Ihrer AI-Act-Compliance. Ohne Dokumentation stehen Sie schlecht da – besonders bei öffentlichen Ausschreibungen oder Großkunden mit eigener Compliance-Abteilung.

  3. Worst Case: Beschwerde, Prüfung, Bußgeld. Bei verbotenen Praktiken bis zu 35 Mio. €, bei Hochrisiko-Verstößen bis zu 15 Mio. €, bei Dokumentationsmängeln bis zu 7,5 Mio. € – jeweils bis zu 7%, 3% oder 1,5% des Jahresumsatzes.

Ihr 5-Schritte-Plan für die nächsten 4 Monate

Der AI Act gilt ab August 2026. Das klingt weit weg – aber Compliance aufzubauen braucht Zeit. Unser Vorschlag:

Monat 1: Bestandsaufnahme → KI-Inventar erstellen. Jedes Tool erfassen. Risikoklasse vorläufig einordnen.

Monat 2: Bewertung → Risikoklassifizierung finalisieren. Handlungsbedarf pro System identifizieren.

Monat 3: Umsetzung → Transparenzhinweise einbauen. Schulungen planen. Dokumentation starten.

Monat 4: Prüfung → Alles gegenchecken. Lücken schließen. Prozess für laufende Überwachung etablieren.

Fazit

Der AI Act ist kein Grund zur Panik – aber ein Grund zum Handeln. Die meisten KMUs kommen mit überschaubarem Aufwand durch, wenn sie jetzt anfangen. Wer wartet, riskiert nicht nur Bußgelder, sondern auch einen Wettbewerbsnachteil: Kunden und Partner werden AI-Act-Compliance zunehmend als Hygienefaktor betrachten.

Der erste Schritt? Wissen, welche KI-Systeme Sie einsetzen und in welche Risikoklasse sie fallen.

Genau dafür haben wir den KI-Kompass gebaut: In 5 Minuten wissen Sie, wo Sie stehen – kostenlos und ohne Registrierung.

Ist Ihr KI-Einsatz konform?

Kostenloser Risiko-Check in 5 Minuten – ohne Registrierung.

Jetzt prüfen
← Alle Artikel