Die Verordnung (EU) 2024/1689 — besser bekannt als EU AI Act — tritt seit Februar 2025 schrittweise in Kraft. Ab dem 2. August 2026 gelten die meisten Pflichten für alle Unternehmen, die in Europa KI einsetzen — auch für KMU.
Dennoch haben mehr als 60 % der europäischen KMU noch nicht mit ihrer Compliance begonnen. Dieser Leitfaden erklärt ohne Fachjargon, was Sie tun müssen — und warum jetzt handeln die beste Strategie ist.
Wen betrifft der EU AI Act?
Der EU AI Act gilt für jede Organisation, die in der Europäischen Union KI-Systeme entwickelt, in Verkehr bringt oder einsetzt — unabhängig von ihrer Größe.
Konkret betrifft Ihr KMU diese Verordnung, wenn Sie:
- Einen KI-gestützten Kundenservice-Chatbot nutzen
- Ein Recruiting-Tool mit automatischer Bewertung integriert haben
- Software zur Datenanalyse oder Prognose einsetzen
- Generative KI-Tools verwenden (Texterstellung, Übersetzung, Code)
- Eine KI-integrierte Anwendung entwickelt haben oder entwickeln ließen
Mit anderen Worten: Wenn Sie KI auf irgendeine Weise in Ihrer beruflichen Tätigkeit einsetzen, sind Sie höchstwahrscheinlich betroffen.
Anbieter oder Betreiber: Was ist der Unterschied?
Die Verordnung unterscheidet zwei Hauptrollen:
Der Anbieter (Provider) ist derjenige, der ein KI-System entwickelt und auf den Markt bringt. Wenn Sie ein SaaS-Produkt mit integrierter KI erstellt haben, sind Sie Anbieter. Die Pflichten sind am umfangreichsten: technische Dokumentation (Anhang IV), CE-Kennzeichnung, Registrierung in der EU-Datenbank.
Der Betreiber (Deployer) ist derjenige, der ein KI-System im Rahmen seiner beruflichen Tätigkeit einsetzt. Die große Mehrheit der KMU sind Betreiber — sie nutzen SaaS-Tools oder KI-APIs, ohne sie selbst entwickelt zu haben. Die Pflichten sind verhältnismäßig: menschliche Aufsicht, Nutzerinformation, Protokollierung.
Einige KMU sind sowohl Anbieter als auch Betreiber: zum Beispiel eine Agentur, die KI-Tools für ihre Kunden entwickelt UND intern KI-Tools nutzt.
Die 4 Risikoklassen gemäß Anhang III
Der EU AI Act klassifiziert KI-Systeme in vier Kategorien, vom höchsten zum geringsten Risiko:
🚫 Inakzeptables Risiko (verboten seit Februar 2025)
Diese Praktiken sind schlicht verboten:
- Unterschwellige Beeinflussung von Verhalten
- Ausnutzung von Schwachstellen (Alter, Behinderung)
- Allgemeine soziale Bewertung durch Behörden
- Echtzeit-Gesichtserkennung in öffentlichen Räumen (mit begrenzten Ausnahmen)
🔴 Hohes Risiko (strenge Pflichten — Frist August 2026)
Hochrisikosysteme gemäß Anhang III umfassen insbesondere:
- Recruiting-Software und automatisiertes Lebenslauf-Screening
- Kreditbewertungssysteme
- Medizinische Entscheidungsunterstützungssysteme
- Systeme zur Schulleistungsbewertung
- Von Strafverfolgungsbehörden genutzte Tools
Für diese Systeme sind die Pflichten umfangreich: Risikobewertung, technische Dokumentation, obligatorische menschliche Aufsicht, Registrierung in der EU-Datenbank.
🟡 Begrenztes Risiko (Transparenzpflichten)
Chatbots, Deepfakes und KI-generierte Inhalte fallen in diese Kategorie. Die Hauptpflicht ist Transparenz: Nutzer müssen wissen, dass sie mit einer KI interagieren.
🟢 Minimales Risiko (keine spezifischen Pflichten)
Die große Mehrheit der alltäglichen KI-Tools (Spam-Filter, Inhaltsempfehlungen, Übersetzungstools) fällt in diese Kategorie. Es gelten keine spezifischen regulatorischen Pflichten.
Die Frist 2. August 2026: Was tritt in Kraft
Der Anwendungsplan ist schrittweise:
| Datum | Was tritt in Kraft |
|---|---|
| 2. Februar 2025 | Verbote (inakzeptables Risiko) + KI-Kompetenzpflicht |
| 2. August 2025 | Pflichten für GPAI-Modelle (Allzweck-KI) |
| 2. August 2026 | Transparenzpflichten (Art. 50) + Hochrisikosysteme (Anhang III) |
| 2. August 2027 | Hochrisikosysteme in regulierten Produkten (Anhang I) |
Die Frist 2. August 2026 ist die wichtigste für KMU. Sie betrifft Transparenzpflichten (für alle gültig) und Hochrisikosysteme gemäß Anhang III.
Der Digital Omnibus, eine politische Einigung vom 11. März 2026, schlägt eine maximale Verschiebung bis zum 2. Dezember 2027 für bestimmte Hochrisikosystem-Pflichten vor. Aber dieser Text ist noch kein geltendes Recht — und Transparenzpflichten (Art. 50) bleiben unverändert zum 2. August 2026.
Sanktionen bei Nichteinhaltung
Der EU AI Act sieht ein progressives Sanktionssystem vor:
- Bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes für verbotene Praktiken
- Bis zu 15 Mio. € oder 3 % des weltweiten Umsatzes bei Nichteinhaltung für Hochrisikosysteme
- Bis zu 7,5 Mio. € oder 1 % des weltweiten Umsatzes für ungenaue Informationen
Für KMU sieht die Verordnung ausdrücklich eine verhältnismäßige Durchsetzung vor (Artikel 62). Behörden werden Größe und Ressourcen der Organisation berücksichtigen. Eine vollständige Ausnahme gibt es jedoch nicht.
Wo anfangen? Die 3 prioritären Schritte
Schritt 1 — Inventarisieren Sie Ihre KI-Systeme
Listen Sie alle KI-integrierten Tools auf, die Sie nutzen oder entwickelt haben: HR-Software, CRM mit Scoring, Chatbots, Content-Generierungstools, KI-APIs. Fragen Sie sich: "Trifft diese Software Entscheidungen oder hilft sie mir, welche zu treffen?"
Schritt 2 — Bestimmen Sie Ihr Risikoniveau
Überprüfen Sie für jedes System, ob es in den Hochrisikokategorien des Anhangs III aufgeführt ist. Wenn Sie unsicher sind, beginnen Sie mit dem offiziellen Compliance Checker des Future of Life Institute — ein kostenloses Tool, das schnell feststellt, ob Ihr System im Anwendungsbereich liegt. AiCompliBot übernimmt dann und liefert Ihnen einen vollständigen Aktionsplan.
Schritt 3 — Bereiten Sie Ihre Dokumentation vor
Je nach Ihrer Rolle und Ihrem Risikoniveau müssen Sie möglicherweise menschliche Aufsicht implementieren, Ihre Nutzer über KI-Einsatz informieren oder eine Compliance-Akte anlegen. Beginnen Sie mit den Systemen mit dem höchsten Risiko.
Fazit: Jetzt handeln bedeutet Vorsprung gewinnen
Es bleiben 4 Monate bis zur Frist 2. August 2026. Das ist knapp — aber ausreichend, wenn Sie heute beginnen. KMU, die vorausplanen, verwandeln eine regulatorische Anforderung in einen Wettbewerbsvorteil: Sie gewinnen das Vertrauen ihrer Kunden, Partner und Investoren.
Der AiCompliBot-Fragebogen ermöglicht es Ihnen, Ihre Pflichten in 5 Minuten kostenlos zu identifizieren. Das ist der erste Schritt zu einer entspannten Compliance.