AI Act Pflichten für KMU 2026: Was Sie jetzt tun müssen
Kurz zusammengefasst: Alle KMU müssen sich bis August 2026 an die Pflichten des AI Act (KI-VO 2024/1689) halten. Die zentrale Pflicht für Betreiber: Personal schulen, Risiken dokumentieren und menschliche Aufsicht gewährleisten. Verstöße kosten bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes. Es gibt jedoch KMU-Erleichterungen und Regulatory Sandboxes. Die gute Nachricht: Mit einer strukturierten Checkliste lässt sich die Compliance systematisch umsetzen.
Was ist der AI Act (KI-Verordnung)?
Der AI Act ist die Verordnung (EU) 2024/1689 – die erste verbindliche KI-Regulierung der Welt. Sie ist direkt in allen EU-Mitgliedstaaten gültig, ohne dass nationale Umsetzungsgesetze nötig sind. Das macht die Compliance für deutsche KMU zur unmittelbaren Anforderung.
Der AI Act verfolgt einen risikogestuften Ansatz:
- Verbotene Praktiken (Art. 5): KI-Systeme mit inakzeptablem Risiko – zum Beispiel Biometrische Echtzeit-Erkennung ohne begründete Verdacht, manipulative KI, Sozialkredit-Systeme.
- Hochrisiko-Systeme (Art. 6, Anhang I & III): KI mit signifikantem Risiko für Grundrechte – etwa KI in Recruitment, Bonität, medizinischen Geräten, kritischer Infrastruktur.
- Allgemeine KI-Systeme (GPAI, Art. 53–59): Große Sprachmodelle wie ChatGPT, Copilot. Neue Kategorie mit eigenständigen Transparenz- und Dokumentationspflichten.
- KI-Betreiber (Art. 4): Wer KI nutzt – alle anderen Systeme – unterliegt Basis-Pflichten ab August 2026.
KMU-Info: Der Digital Omnibus Act (verschoben April 2024) hat eine Verzögerung gebracht: Hochrisiko-Systeme verschieben sich von August 2026 auf Dezember 2027. KMU haben also bis dahin Zeit für komplexe Hochrisiko-Systeme. Aber Art. 4 (Betreiber-Pflichten) und Art. 5 (Verbote) gelten bereits.
Welche Fristen gelten für KMU?
Der AI Act hat ein gestaffelt umgesetztes Inkrafttreten. Hier die wichtigsten Daten:
| Datum | Geltungsbereich | Was muss ich tun? |
|---|---|---|
| Februar 2025 | Art. 5 – Verbotene Praktiken | Verwendung verbotener KI-Systeme sofort stoppen. Überprüfung bestehender KI-Tools. |
| August 2025 | GPAI-Pflichten (Art. 53–59) | Falls Sie große Sprachmodelle selbst trainieren: Dokumentation, Sicherheitstests, Sicherheitsberichte einleiten. |
| August 2026 | Art. 4 – KI-Kompetenz & Betreiber-Pflichten | ZENTRAL FÜR KMU: Personal schulen, KI-Risiken dokumentieren, menschliche Aufsicht etablieren. Gilt für ALLE, die KI nutzen. |
| Dezember 2027 | Hochrisiko-Systeme (Art. 6) | Wenn Ihre KI unter Hochrisiko fällt (Recruitment, Kreditvergabe, kritische Infrastruktur): Technische Compliance, Impact Assessment, Überwachung. |
Bin ich als KMU betroffen?
Ja – wenn Sie KI nutzen. Das ist die zentrale Botschaft. Der AI Act gilt nicht nur für KI-Anbieter (z.B. Softwareunternehmen), sondern auch für Betreiber – und das sind Sie, wenn Sie:
- ChatGPT, Copilot oder andere LLMs in Ihrer Arbeit einsetzen
- KI-gestützte HR-Tools für Recruiting oder Leistungsbewertung nutzen
- Automatisierte Buchhaltungs- oder Betrugserkennung einsetzen
- KI für Kundenanalyse, Preisgestaltung oder Empfehlungen verwenden
- Biometrische oder automatisierte Überwachung in Ihrer Facility einsetzen
Markt-Realität: Eine Studie der OECD (2025) belegt, dass ca. 700.000 deutsche KMU bereits KI-Tools einsetzen – von Textgeneration bis zur Fraud-Detection. Die meisten wissen jedoch nicht, dass sie als Betreiber unter den AI Act fallen.
Wichtige Unterscheidung:
- KI-Anbieter = Unternehmen, das KI entwickelt/trainiert (z.B. OpenAI, Anthropic)
- KI-Betreiber = Unternehmen, das KI nutzt (das sind Sie, wenn Sie ChatGPT im Unternehmen einsetzen)
- Distributor = Vermittler zwischen Anbieter und Betreiber (z.B. Cloud-Anbieter)
Für KMU-Betreiber (die meisten) beginnt die Compliance mit Art. 4 im August 2026.
Die 5 wichtigsten Pflichten für KMU-Betreiber
1. Schulung und KI-Kompetenz (Art. 4, Abs. 1)
Mitarbeiter, die KI nutzen, müssen geschult sein. Das erfordert kein PhD – es reicht fundiertes Grundwissen über Funktionsweise, Risiken und Grenzen der eingesetzten KI. Dokumentieren Sie: Wer wurde wann geschult? Welche Inhalte? Ein jährliches Refresh ist sinnvoll.
2. Risikoklassifizierung und Dokumentation
Sie müssen das Risiko jedes KI-Systems dokumentieren – nicht als 100-seitige Studie, sondern als pragmatische Risikoanalyse:
- Welche Daten nutzt die KI?
- Wer ist betroffen (Kunden, Mitarbeiter, Geschäftspartner)?
- Welche Grundrechte könnten verletzt werden (Fairness, Datenschutz, Menschenwürde)?
- Ist das System hochrisikoreich (laut AI Act, Art. 6)?
Resultat: Eine Risikoklasse (niedrig, mittel, hoch, verboten) für jedes System.
3. Transparenzpflicht (Art. 50)
Nutzer müssen wissen, dass sie mit KI interagieren. Wenn Ihre KI Entscheidungen über Menschen trifft (z.B. bei Recruiting, Kreditvergabe, HR-Bewertungen), muss die KI offengelegt werden. Beispiel: Chatbots müssen sich als KI vorstellen, nicht als Mensch.
4. Menschliche Aufsicht und Override-Möglichkeit
Mitarbeiter müssen KI-Entscheidungen überprüfen und ablehnen können – insbesondere bei Hochrisiko-Systemen. Vollautomatische Entscheidungen ohne menschliche Prüfung sind nicht erlaubt.
5. Dokumentation und Nachweisfähigkeit
Behörden müssen im Fall einer Kontrolle Ihre Compliance nachweisen können. Das bedeutet:
- Inventar aller eingesetzten KI-Systeme
- Dokumentation von Schulungen
- Risikoanalysen und Maßnahmen
- Logs von Entscheidungen (bei Hochrisiko-Systemen)
KMU-Tipp: Sie müssen nicht jede Compliance-Maßnahme selbst entwickeln. Ihre KI-Anbieter (OpenAI, Microsoft, Google) haben oft schon Compliance-Dokumentation bereitgestellt. Nutzen Sie diese und ergänzen Sie mit Ihren unternehmenseigenen Prozessen.
Welche Bußgelder drohen?
Die Strafverfolgung regelt Art. 99 AI Act. Die Bußgelder sind nicht zu unterschätzen:
- Art. 5 (Verbotene Praktiken): bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes (je höher)
- Art. 6 (Hochrisiko-Verstöße): bis zu 30 Millionen Euro oder 6 % Jahresumsatz
- Art. 4 (Betreiber-Pflichten): bis zu 10 Millionen Euro oder 2 % Jahresumsatz
- Mangelnde Kooperation mit Behörden: bis zu 20 Millionen Euro oder 4 % Jahresumsatz
Beispiel für ein KMU mit 5 Millionen Euro Jahresumsatz:
- Verstoß gegen Art. 5 (Verbot): bis zu 350.000 Euro
- Verstoß gegen Art. 4 (Schulung/Dokumentation): bis zu 100.000 Euro
Es gibt keine spezielle „KMU-Ausnahme" bei den Bußgeldern, aber Gerichte berücksichtigen Verhältnismäßigkeit. Ein KMU mit 5 Mio. Euro Umsatz wird nicht wie ein Konzern mit 50 Mio. Euro bestraft. Dennoch: Ignorieren ist keine Option.
Enforcement-Realität (April 2026): Die National Regulatory Authorities (NRAs) bauen ihre Kapazitäten erst auf. 2026–2027 wird der Fokus auf Anbieter und Hochrisiko-Systeme liegen. Aber KMU-Betreiber sollten nicht darauf spekulieren, dass sie nicht kontrolliert werden – die Quote steigt.
KMU-Erleichterungen im AI Act
Es gibt Entlastungen für KMU, auch wenn sie nicht im AI Act explizit „named" werden:
Regulatory Sandboxes (Art. 53)
Die EU und Mitgliedstaaten bieten Regulatory Sandboxes an – kontrollierte Umgebungen, in denen KMU neue KI-Systeme entwickeln und testen können, ohne sofort vollständige Compliance zu erfüllen. Deutschland hat 2025 die KI-Sandbox der Bundesnetzagentur gestartet. Das vereinfacht Tests.
EU-KMU-Leitfaden und praktische Ressourcen
Die EU-Kommission hat SME Guidelines veröffentlicht (2025), die Compliance praktisch erklären – nicht juristisch. Kostenlos unter digital-strategy.ec.europa.eu.
Vereinfachte Risikoanalyse
KMU können pragmatischere Risikoanalysen durchführen – nicht alle 1.000 Seiten eines Enterprise-Assessment, sondern ein fokussiertes Risikoregister: System → Daten → Betroffene → Grundrechts-Risiken → Maßnahmen.
Verhältnismäßigkeit bei Ressourcen
Der AI Act verlangt Maßnahmen, die für die Unternehmensgröße proportional sind. Eine 10-Personen-KMU muss nicht das gleiche Compliance-Team wie Siemens haben – aber die Dokumentation und Schulung muss existieren.
Checkliste: Die ersten 5 Schritte für KMU
-
Inventar erstellen: Welche KI-Systeme nutzen Sie aktuell?
- ChatGPT, Copilot, Gemini, Claude
- KI-Recruiting-Tools (LinkedIn Talent, Workable, SeekOut)
- KI-Buchhaltung / Fakturierung (z.B. KI-OCR, automatische Klassierung)
- Automatisierte Entscheidungssysteme (Fraud, Preisgestaltung, Scoring)
- Sonstige spezialisierte KI
-
Risikoklassifizierung: Für jedes System: Niedrig / Mittel / Hoch / Verboten?
- Nutzt die KI personenbezogene Daten?
- Trifft sie Entscheidungen über Menschen?
- Könnte sie Grundrechte verletzen?
-
Schulungsplan entwickeln: Wer nutzt KI? Schulen Sie mit Fokus auf:
- Wie funktioniert das Tool?
- Was sind Halluzinationen, Bias, Fehler?
- Datenschutz & Sicherheit
- Dokumentieren Sie Schulungen (Datum, Teilnehmer, Inhalte)
-
Dokumentation & Richtlinien: Erstellen Sie ein einfaches KI-Policy-Dokument:
- Welche Systeme dürfen genutzt werden?
- Welche nicht? (z.B. keine privaten Chats mit sensiblen Daten)
- Wer überprüft KI-Entscheidungen?
- Wie werden Fehler dokumentiert?
- Compliance-Verantwortung zuweisen: Benennen Sie eine Person oder einen Bereich (z.B. Datenschutz, IT-Leitung) als KI-Compliance-Kontakt.
Alle Vorlagen für die AI Act Compliance
Nutzen Sie das ki-compliance-kit.de Paket mit vordefinierten Schulungsmaterialien, Risikoanalyse-Templates, Dokumentationsvorlagen und checklisten – optimiert für deutsche KMU.
Zum Compliance Kit (ab 149 €)Fazit: Compliance ist machbar
Der AI Act klingt komplex, aber für KMU bedeutet er vor allem: Bewusstsein, Schulung und Dokumentation. Sie müssen nicht alle technischen Details verstehen, aber Sie müssen wissen, welche KI Sie einsetzen und welche Risiken damit verbunden sind.
Ihre konkrete Timeline:
- Jetzt (April 2026): Inventar erstellen, Risikoanalyse durchführen, Schulung planen
- Juni–Juli 2026: Schulungen durchführen, Dokumentation fertigstellen
- August 2026: Art. 4 (Betreiber-Pflichten) gelten – Sie müssen bereit sein
- 2026–2027: Hochrisiko-Systeme weiter optimieren; Dezember 2027 Deadline beachten
Mit Fokus und einer strukturierten Herangehensweise werden Sie die Compliance in Ihrer KMU erfolgreich umsetzen.
Stand: April 2026. Dieser Artikel dient der Informationszwecken und ersetzt keine verbindliche Rechtsberatung. Für spezifische Fragen zu Ihrer Situation konsultieren Sie bitte einen auf AI Act spezialisierten Rechtsanwalt oder nutzen Sie die Beratungsressourcen der EU-Kommission und der nationalen Regulierungsbehörden.