eu-konform.ai
← Alle Artikel | Compliance

AI Act Pflichten für KMUs – Die praktische Checkliste

Transparenzpflichten ab August 2026, Hochrisiko ab Dezember 2027: 7 AI-Act-Anforderungen für KMUs. Checkliste mit Praxis-Tipps – aktualisiert nach Digital Omnibus (Mai 2026).

eu-konform.ai Redaktion · · 8 Min. Lesezeit · Aktualisiert: 30. Mai 2026

Update Mai 2026 – Digital Omnibus on AI: Durch den Digital Omnibus wurden die Hochrisiko-Fristen auf Dezember 2027 (Annex III) bzw. August 2028 (Annex I) verschoben. Die Transparenzpflichten (Art. 50) bleiben beim 2. August 2026. Art. 4 (KI-Kompetenz) ist jetzt eine Empfehlung statt Pflicht. Die KMU-Erleichterungen wurden auf Small Mid-Caps erweitert.

Der EU AI Act gilt stufenweise: Transparenzpflichten ab August 2026, Hochrisiko-Pflichten ab Dezember 2027. Für kleine und mittlere Unternehmen (KMUs) und Small Mid-Caps (bis 750 Mitarbeiter / 150 Mio. EUR Umsatz) bedeutet das: Wer Künstliche Intelligenz nutzt – und das tun mittlerweile die meisten – muss bestimmte Pflichten erfüllen. Sonst drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Klingt dramatisch? Ist es auch. Aber die gute Nachricht: Durch den Digital Omnibus haben Sie für die Hochrisiko-Compliance deutlich mehr Zeit. Und für die meisten KMUs sind die Anforderungen überschaubar – wenn man weiß, was zu tun ist.

Betrifft mich der AI Act überhaupt?

Kurze Antwort: Ja, sehr wahrscheinlich.

Der AI Act gilt für jedes Unternehmen, das in der EU KI-Systeme einsetzt (als “Betreiber”) oder entwickelt (als “Anbieter”). Und “KI-Systeme” ist weit gefasst.

Nutzen Sie eines der folgenden Tools? Dann sind Sie betroffen:

  • ChatGPT, Claude, Gemini für Texterstellung oder Kundenservice
  • Microsoft Copilot in Office oder Windows
  • DeepL für Übersetzungen
  • Midjourney, DALL-E für Bildgenerierung
  • HubSpot, Salesforce mit KI-gestütztem Lead-Scoring
  • Recruiting-Software mit automatischer Bewerbervorauswahl
  • Buchhaltungssoftware mit KI-gestützter Belegerfassung

Die Liste ist lang. Der AI Act unterscheidet nicht nach Unternehmensgröße – er unterscheidet nach Risiko.

Die 4 Risikoklassen – wo steht Ihr KI-Einsatz?

Der AI Act teilt KI-Systeme in vier Risikoklassen ein:

1. Verbotene KI-Praktiken

Bestimmte KI-Anwendungen sind ab Februar 2025 komplett verboten. Dazu gehören Social Scoring, manipulative Systeme und biometrische Echtzeit-Überwachung in öffentlichen Räumen. Für die meisten KMUs irrelevant, aber wichtig zu kennen.

2. Hochrisiko-KI

Hier wird es für einige KMUs relevant: KI-Systeme in den Bereichen Personalwesen (Bewerberauswahl, Leistungsbewertung), Kreditwürdigkeit, Versicherungsprämien, Bildung oder kritische Infrastruktur gelten als Hochrisiko. Die Pflichten sind umfangreich: Risikomanagement, technische Dokumentation, menschliche Aufsicht, Registrierung.

3. KI mit begrenztem Risiko (Limited Risk)

Hierunter fallen Chatbots, KI-generierte Texte und Bilder. Die häufigste Kategorie für KMUs. Hauptpflicht: Transparenz – Sie müssen offenlegen, dass KI im Spiel ist.

4. Minimales Risiko

Spam-Filter, Rechtschreibprüfung, einfache Empfehlungssysteme. Keine besonderen Pflichten – aber ein KI-Inventar schadet trotzdem nicht.

Die 7 Pflichten, die jedes KMU kennen muss

1. KI-Inventar erstellen

Was: Dokumentieren Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden.

Praxis-Tipp: Gehen Sie systematisch vor – IT, Marketing, HR, Vertrieb, Buchhaltung. Fragen Sie in jeder Abteilung: “Welche Tools nutzt ihr, die irgendwas automatisch entscheiden, erstellen oder analysieren?”

Sie werden überrascht sein, wie viele KI-Tools bereits im Einsatz sind.

2. Risikoklassifizierung durchführen

Was: Ordnen Sie jedes KI-System einer der vier Risikoklassen zu.

Praxis-Tipp: Für die meisten Office-KI-Tools (ChatGPT, Copilot, DeepL) landen Sie bei “begrenztes Risiko” oder “minimales Risiko”. Kritisch wird es bei HR-Tools und allem, was automatisierte Entscheidungen über Menschen trifft.

3. Transparenzpflichten umsetzen

Was: Wenn KI Inhalte erzeugt oder mit Menschen interagiert, muss das kenntlich gemacht werden.

Konkret:

  • Chatbot auf der Website? → Muss als KI erkennbar sein
  • KI-generierte Texte im Marketing? → Kennzeichnen (zumindest intern dokumentieren)
  • Automatisierte E-Mail-Antworten? → Empfänger informieren

4. KI-Kompetenz (Art. 4) – Empfehlung statt Pflicht

Was: Art. 4 empfiehlt, dass Mitarbeiter, die mit KI arbeiten, ein “ausreichendes Maß an KI-Kompetenz” haben. Durch den Digital Omnibus (Mai 2026) wurde Art. 4 von einer durchsetzbaren Pflicht zu einer Empfehlung herabgestuft – Bußgelder entfallen.

Praxis-Tipp: Auch ohne Bußgeldrisiko sind Schulungen sinnvoll: Sie reduzieren Haftungsrisiken, sind bei Hochrisiko-Compliance (ab Dez. 2027) relevant und schaffen Klarheit im Team. Ein halbtägiger Workshop pro Jahr reicht. Wichtig: Dokumentieren, dass die Schulung stattgefunden hat.

5. Technische Dokumentation (nur Hochrisiko)

Was: Anbieter von Hochrisiko-KI müssen umfangreiche technische Dokumentation vorhalten.

Für KMU-Betreiber: Sie müssen nicht selbst dokumentieren, wie ChatGPT funktioniert – das ist OpenAIs Job. Aber Sie müssen dokumentieren, wie und wofür Sie es einsetzen.

6. Menschliche Aufsicht (nur Hochrisiko)

Was: Bei Hochrisiko-Systemen muss immer ein Mensch die Möglichkeit haben, einzugreifen.

Praxis-Tipp: Kein KI-System darf im Hochrisiko-Bereich vollautomatisch finale Entscheidungen treffen. Bewerber-Screening per KI? Okay – aber ein Mensch muss die Endentscheidung treffen und dokumentieren.

7. Überwachung & Meldepflichten (nur Hochrisiko)

Was: Betreiber von Hochrisiko-KI müssen Vorfälle dokumentieren und bei schwerwiegenden Vorfällen die Behörden informieren.

Erleichterungen für KMUs

Der AI Act ist nicht blind für die Realität kleiner Unternehmen. Mehrere Artikel sehen explizit Erleichterungen vor:

  • Sandbox-Zugang (Art. 57): Regulatorische Sandboxen müssen KMUs bevorzugt berücksichtigen
  • Tests unter Realbedingungen (Art. 62): Erleichterte Bedingungen und reduzierte Gebühren für KMUs
  • Bußgeld-Bemessung (Art. 99 Abs. 5): Unternehmensgröße und wirtschaftliche Leistungsfähigkeit werden bei Bußgeldern berücksichtigt
  • Unterstützungspflicht: Nationale Behörden müssen KMUs Beratung und Unterstützung anbieten (Erwägungsgründe 144–145)
  • Vereinfachte Dokumentation: Durch den Digital Omnibus auch für Small Mid-Caps (bis 750 Mitarbeiter / 150 Mio. EUR Umsatz) – nicht mehr nur für KMUs
  • Vereinfachte Grundrechte-Folgenabschätzung: Weniger bürokratischer Aufwand für kleinere Unternehmen

Aber: Die Erleichterungen gelten nur für die Dokumentation – nicht für die Substanz. Ein Hochrisiko-System bleibt Hochrisiko, egal wie klein das Unternehmen ist.

Was passiert, wenn ich nichts tue?

Drei Szenarien:

  1. Best Case: Nichts. Viele KMUs werden anfangs nicht kontrolliert – die Behörden konzentrieren sich auf Großunternehmen und offensichtliche Verstöße.

  2. Realistischer Case: Ein Kunde, Geschäftspartner oder Auftraggeber fragt nach Ihrer AI-Act-Compliance. Ohne Dokumentation stehen Sie schlecht da – besonders bei öffentlichen Ausschreibungen oder Großkunden mit eigener Compliance-Abteilung.

  3. Worst Case: Beschwerde, Prüfung, Bußgeld. Bei verbotenen Praktiken bis zu 35 Mio. €, bei Hochrisiko-Verstößen bis zu 15 Mio. €, bei Dokumentationsmängeln bis zu 7,5 Mio. € – jeweils bis zu 7%, 3% oder 1,5% des Jahresumsatzes.

Ihr Aktionsplan: Zwei Phasen

Phase 1: Transparenz bis August 2026 (dringend)

Jetzt (Juni–Juli 2026): → KI-Inventar erstellen. Jedes Tool erfassen. Risikoklasse vorläufig einordnen. → Transparenzhinweise einbauen: Chatbots kennzeichnen, KI-generierte Inhalte markieren. → Meldeprozesse für schwerwiegende Vorfälle einrichten.

Phase 2: Hochrisiko-Compliance bis Dezember 2027

Durch den Digital Omnibus haben Sie für die Hochrisiko-Pflichten deutlich mehr Zeit. Nutzen Sie sie sinnvoll:

→ Risikoklassifizierung finalisieren. Handlungsbedarf pro System identifizieren. → KI-Schulungen durchführen (Best Practice, relevant für Hochrisiko-Aufsicht). → Bei Hochrisiko: Risikomanagement-System aufbauen, technische Dokumentation erstellen, EU-Datenbank-Registrierung vorbereiten.

Fazit

Der AI Act ist kein Grund zur Panik – aber ein Grund zum Handeln. Die meisten KMUs kommen mit überschaubarem Aufwand durch, wenn sie jetzt anfangen. Wer wartet, riskiert nicht nur Bußgelder, sondern auch einen Wettbewerbsnachteil: Kunden und Partner werden AI-Act-Compliance zunehmend als Hygienefaktor betrachten.

Der erste Schritt? Wissen, welche KI-Systeme Sie einsetzen und in welche Risikoklasse sie fallen.


Genau dafür haben wir den KI-Kompass gebaut: In 5 Minuten wissen Sie, wo Sie stehen – kostenlos und ohne Registrierung.

Ist Ihr KI-Einsatz konform?

Kostenloser Risiko-Check in 5 Minuten – ohne Registrierung.

Jetzt prüfen