EU AI Act (KI-Verordnung): Der komplette Leitfaden für KMU
Kurz erklärt: Der EU AI Act — im Deutschen KI-Verordnung oder KI-VO — ist die Verordnung (EU) 2024/1689, die erste umfassende KI-Regulierung weltweit. Sie gilt seit dem 1. August 2024 unmittelbar in allen EU-Mitgliedstaaten und ordnet KI-Systeme nach Risiko in vier Klassen ein (verboten, hoch, begrenzt, minimal). Für KMU zentral: Wer KI nutzt, ist Betreiber — und die Pflicht zur KI-Kompetenz (Art. 4) gilt bereits seit dem 2. Februar 2025.
Wenig Zeit? Finden Sie in 15 Minuten heraus, wo Sie stehen.
Der kostenlose 25-Punkte-Selbst-Audit zeigt Ihnen sofort, welche Pflichten der KI-Verordnung Sie bereits erfüllen und wo Handlungsbedarf besteht.
Kostenlosen Selbst-Audit starten →Was ist der EU AI Act (KI-Verordnung)?
Der EU AI Act ist die Verordnung (EU) 2024/1689 — die erste verbindliche, umfassende Regulierung künstlicher Intelligenz weltweit. „AI Act", „KI-Verordnung" und „KI-VO" bezeichnen dasselbe Gesetz; „AI Act" ist der englische, „KI-Verordnung" der deutsche Begriff.
Als EU-Verordnung gilt sie unmittelbar in allen Mitgliedstaaten — es braucht kein nationales Umsetzungsgesetz. Für deutsche Unternehmen ist die Compliance damit eine direkte Anforderung, kein Zukunftsthema.
Die KI-Verordnung verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Sicherheit und Grundrechte, desto strenger die Pflichten.
Für wen gilt die KI-Verordnung?
Die Verordnung unterscheidet mehrere Rollen — entscheidend ist, welche Sie einnehmen:
- Anbieter (Provider): entwickelt oder trainiert KI-Systeme und bringt sie auf den Markt (z. B. OpenAI, Anthropic, Microsoft).
- Betreiber (Deployer): setzt KI-Systeme im eigenen Unternehmen ein. Das sind die meisten KMU — sobald Sie ChatGPT, Copilot, Gemini oder ein KI-Tool in der Buchhaltung, im Marketing oder im Recruiting nutzen.
- Einführer & Händler: bringen KI-Systeme aus Drittländern in die EU bzw. vertreiben sie.
KMU-Tipp: Sie müssen kein KI-Entwickler sein, um betroffen zu sein. Schon die Nutzung von KI macht Sie zum Betreiber — mit Pflichten nach Art. 4 (KI-Kompetenz), die bereits seit Februar 2025 gelten. Mehr dazu: ChatGPT im Unternehmen & der AI Act.
Die 4 Risikoklassen der KI-Verordnung
Jedes KI-System fällt in eine von vier Klassen — daran hängen die konkreten Pflichten:
| Risikoklasse | Bedeutung | Beispiele |
|---|---|---|
| Verboten (Art. 5) | Unannehmbares Risiko — generell untersagt | Social Scoring, manipulative KI, biometrische Echtzeit-Fernidentifizierung (mit engen Ausnahmen) |
| Hochrisiko (Art. 6, Anhang III) | Strenge Pflichten: Risikomanagement, Dokumentation, menschliche Aufsicht | KI im Recruiting, bei Kreditwürdigkeit, in kritischer Infrastruktur, im Gesundheitswesen |
| Begrenztes Risiko (Art. 50) | Transparenzpflichten | Chatbots, KI-generierte Texte/Bilder, Deepfakes — müssen als KI gekennzeichnet werden |
| Minimales Risiko | Keine besonderen Pflichten (freiwillige Kodizes) | Spamfilter, KI in Videospielen, einfache Empfehlungssysteme |
Eine systematische Einordnung Ihrer Systeme finden Sie im Ratgeber AI Act Risikoklassen für KMU sowie im praktischen KI-System-Check.
Welche Fristen gelten?
Die KI-Verordnung tritt gestaffelt in Kraft. Diese Termine sind für KMU relevant:
| Datum | Geltungsbereich | Bedeutung für KMU |
|---|---|---|
| 02.02.2025 | Art. 4 (KI-Kompetenz) & Art. 5 (Verbote) | Gilt bereits. Mitarbeitende schulen, verbotene Praktiken stoppen. |
| August 2025 | GPAI-Pflichten (Art. 51–56) | Relevant v. a. für Anbieter großer Sprachmodelle. |
| August 2026 | Transparenzpflichten (Art. 50) | Chatbots & KI-Inhalte kennzeichnen. |
| Dezember 2026 | Kennzeichnung/Watermarking (Art. 50 Abs. 2) | Maschinenlesbare Markierung KI-generierter Inhalte. |
| Dezember 2027 | Hochrisiko-Systeme (Anhang III) | Volle Pflichten, falls Hochrisiko-KI im Einsatz. |
Stand Juni 2026: Der Digital Omnibus wurde am 7. Mai 2026 beschlossen und hat mehrere Hochrisiko-Fristen verschoben (vorbehaltlich finaler Annahme). Den aktuellen Stand pflegen wir laufend: Digital Omnibus — Status & Fristen und AI Act Fristen 2025–2027.
Welche Pflichten haben KMU als Betreiber?
Für die meisten KMU stehen fünf Betreiber-Pflichten im Mittelpunkt:
- KI-Kompetenz (Art. 4): Wer KI nutzt, muss geschult sein — Grundwissen zu Funktion, Risiken und Grenzen. Siehe Schulungspflicht nach Art. 4.
- KI-Inventar: Überblick, welche KI-Systeme im Einsatz sind. Anleitung: KI-Inventar erstellen.
- Risikoklassifizierung: jedes System einer Risikoklasse zuordnen und dokumentieren.
- Transparenz (Art. 50): offenlegen, wenn Menschen mit KI interagieren oder Inhalte KI-generiert sind.
- Menschliche Aufsicht & Nachweisbarkeit: KI-Entscheidungen überprüfbar halten und die Compliance dokumentieren.
Eine Schritt-für-Schritt-Liste bietet die AI Act Checkliste für Betreiber. Wie sich KI-VO und DSGVO überschneiden, erklärt DSGVO und AI Act für KMU.
AI Act Compliance Kit
Fertige Vorlagen statt wochenlanger Eigenrecherche
KI-Inventar, Risikoklassifizierung, Schulungsnachweis, KI-Richtlinie und mehr — Firmenname einsetzen, fertig. Einmalkauf ab 149 €, kein Abo.
Vorlagen ansehen — ab 149 €Welche Bußgelder drohen?
Die Sanktionen regelt Art. 99 KI-VO:
- Verbotene Praktiken (Art. 5): bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes [Art. 99 Abs. 3 KI-VO]
- Betreiber-/Hochrisiko-Pflichten: bis zu 15 Mio. € oder 3 % Jahresumsatz; für KMU gilt der niedrigere Betrag [Art. 99 Abs. 4 i. V. m. Abs. 6 KI-VO]
- Falsche Angaben gegenüber Behörden: bis zu 7,5 Mio. € oder 1 % Jahresumsatz [Art. 99 Abs. 5 KI-VO]
Details & Rechenbeispiele: AI Act Bußgelder für KMU.
KI-Verordnung umsetzen — branchenspezifisch
Die Pflichten sind branchenübergreifend, die Praxis unterscheidet sich. Vertiefende Leitfäden:
- KI-Verordnung in der Medizin / Arztpraxis
- KI-Verordnung für Finanzdienstleister
- KI-Verordnung im Personalwesen (HR)
- KI-Verordnung im Handel
- KI-Verordnung im Handwerk
- KI-Verordnung für IT-Dienstleister
- AI Act für Steuerberater
Häufige Fragen zur KI-Verordnung
Ist „AI Act" dasselbe wie „KI-Verordnung"?
Ja. AI Act, KI-Verordnung und KI-VO bezeichnen alle die Verordnung (EU) 2024/1689. „AI Act" ist der englische, „KI-Verordnung" der deutsche Begriff.
Gilt der AI Act auch für kleine Unternehmen?
Ja. Die Verordnung gilt für jedes Unternehmen, das KI-Systeme einsetzt — unabhängig von der Größe. Die KI-Kompetenz-Pflicht nach Art. 4 gilt seit dem 2. Februar 2025 für alle Betreiber.
Wir nutzen „nur" ChatGPT — sind wir betroffen?
Ja. Wer ChatGPT, Copilot oder vergleichbare Tools im Unternehmen einsetzt, ist Betreiber im Sinne der KI-Verordnung und unterliegt den Betreiber-Pflichten (u. a. Art. 4 KI-Kompetenz).
Brauche ich dafür einen Anwalt?
Für die Grundpflichten nicht zwingend. Inventar, Risikoklassifizierung, Schulungsnachweis und KI-Richtlinie lassen sich mit strukturierten Vorlagen eigenständig erstellen. Bei Hochrisiko-Systemen oder Spezialfragen ist rechtliche Beratung sinnvoll.
Was ist der schnellste erste Schritt?
Eine Standortbestimmung: Der kostenlose Selbst-Audit zeigt in 15 Minuten anhand von 25 Prüfpunkten, wo Ihr Unternehmen steht.
Von der Theorie zur fertigen Dokumentation
Das AI Act Compliance Kit liefert alle Vorlagen für die Betreiber-Pflichten — Inventar, Risikoklassifizierung, Schulungsnachweis, KI-Richtlinie und mehr. Optimiert für deutsche KMU.
Vorlagen-Paket ansehen (ab 149 €)Stand: Juni 2026. Dieser Leitfaden dient der Information und ersetzt keine verbindliche Rechtsberatung. Maßgeblich ist der Text der Verordnung (EU) 2024/1689. Für Fragen zu Ihrer konkreten Situation konsultieren Sie bitte eine fachkundige Beratung.