AI Act Pflichten für KMU 2026: Was Sie jetzt tun müssen
Kurz zusammengefasst: Die Pflichten des AI Act (KI-VO 2024/1689) greifen gestaffelt: KI-Kompetenz (Art. 4) und Verbote (Art. 5) gelten seit Februar 2025. Transparenzpflichten (Art. 50) ab August 2026; Watermarking (Art. 50 Abs. 2) ab Dezember 2026. Hochrisiko-Pflichten (Anhang III) ab Dezember 2027 — jeweils durch den am 7. Mai 2026 beschlossenen Digital Omnibus verschoben (vorbehaltlich finaler Annahme). Verstöße kosten bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes. Es gibt KMU-Erleichterungen und Regulatory Sandboxes. Die gute Nachricht: Mit einer strukturierten Checkliste lässt sich die Compliance systematisch umsetzen.
Wenig Zeit? Finden Sie in 3 Minuten heraus, wo Sie stehen.
Der kostenlose 25-Punkte-Check zeigt Ihnen sofort, welche AI-Act-Pflichten Sie bereits erfüllen und wo Handlungsbedarf besteht.
Kostenlosen Selbst-Audit starten →Was ist der AI Act (KI-Verordnung)?
Der AI Act ist die Verordnung (EU) 2024/1689 – die erste verbindliche KI-Regulierung der Welt. Sie ist direkt in allen EU-Mitgliedstaaten gültig, ohne dass nationale Umsetzungsgesetze nötig sind. Das macht die Compliance für deutsche KMU zur unmittelbaren Anforderung.
Der AI Act verfolgt einen risikogestuften Ansatz:
- Verbotene Praktiken (Art. 5): KI-Systeme mit inakzeptablem Risiko – zum Beispiel Biometrische Echtzeit-Erkennung ohne begründete Verdacht, manipulative KI, Sozialkredit-Systeme.
- Hochrisiko-Systeme (Art. 6, Anhang I & III): KI mit signifikantem Risiko für Grundrechte – etwa KI in Recruitment, Bonität, medizinischen Geräten, kritischer Infrastruktur.
- Allgemeine KI-Systeme (GPAI, Art. 51–56): Große Sprachmodelle wie ChatGPT, Copilot. Neue Kategorie mit eigenständigen Transparenz- und Dokumentationspflichten.
- KI-Betreiber (Art. 4): Wer KI nutzt – alle anderen Systeme – unterliegt Basis-Pflichten seit Februar 2025 (Art. 4 KI-Kompetenz gilt bereits).
KMU-Info (Stand Mai 2026): Der Digital Omnibus wurde am 7. Mai 2026 von Rat und Parlament beschlossen. Die Hochrisiko-Frist (Anhang III) wurde auf Dezember 2027 verschoben, Transparenzpflichten (Art. 50) ab August 2026; Watermarking (Art. 50 Abs. 2) ab Dezember 2026. Anhang-I-Produkte auf August 2028. Regulatory Sandboxes ab August 2027. Art. 4 (KI-Kompetenz) und Art. 5 (Verbote) gelten unverändert seit Februar 2025.
Welche Fristen gelten für KMU?
Der AI Act hat ein gestaffelt umgesetztes Inkrafttreten. Hier die wichtigsten Daten:
| Datum | Geltungsbereich | Was muss ich tun? |
|---|---|---|
| Februar 2025 | Art. 5 – Verbotene Praktiken | Verwendung verbotener KI-Systeme sofort stoppen. Überprüfung bestehender KI-Tools. |
| August 2025 | GPAI-Pflichten (Art. 51–56) | Falls Sie große Sprachmodelle selbst trainieren: Dokumentation, Sicherheitstests, Sicherheitsberichte einleiten. |
| Februar 2025 | Art. 4 – KI-Kompetenz & Betreiber-Pflichten | ZENTRAL FÜR KMU (gilt bereits!): Personal schulen, KI-Risiken dokumentieren, menschliche Aufsicht etablieren. Gilt für ALLE, die KI nutzen. |
| Dezember 2026 | Transparenzpflichten (Art. 50, Omnibus) | Chatbot-Kennzeichnung, KI-generierte Inhalte offenlegen, Watermarking. |
| Dezember 2027 | Hochrisiko-Systeme Anhang III (Omnibus) | Wenn Ihre KI unter Hochrisiko fällt (Recruitment, Kreditvergabe, kritische Infrastruktur): Technische Compliance, Impact Assessment, Überwachung. |
| August 2028 | Hochrisiko Anhang I — Produkte (Omnibus) | KI als Sicherheitskomponente in Medizinprodukten, Maschinen etc. |
AI Act Compliance Kit
12 fertige Vorlagen — in 90 Minuten compliance-ready
KI-Inventar, Risikoklassifizierung, Schulungsnachweis, KI-Policy und mehr. Einmalkauf ab 149 €, kein Abo, sofort-Download.
Jetzt ansehen — ab 149 €Bin ich als KMU betroffen?
Ja – wenn Sie KI nutzen. Das ist die zentrale Botschaft. Der AI Act gilt nicht nur für KI-Anbieter (z.B. Softwareunternehmen), sondern auch für Betreiber – und das sind Sie, wenn Sie:
- ChatGPT, Copilot oder andere LLMs in Ihrer Arbeit einsetzen
- KI-gestützte HR-Tools für Recruiting oder Leistungsbewertung nutzen
- Automatisierte Buchhaltungs- oder Betrugserkennung einsetzen
- KI für Kundenanalyse, Preisgestaltung oder Empfehlungen verwenden
- Biometrische oder automatisierte Überwachung in Ihrer Facility einsetzen
Markt-Realität: Eine Studie der OECD (2025) belegt, dass ca. 700.000 deutsche KMU bereits KI-Tools einsetzen – von Textgeneration bis zur Fraud-Detection. Die meisten wissen jedoch nicht, dass sie als Betreiber unter den AI Act fallen.
Wichtige Unterscheidung:
- KI-Anbieter = Unternehmen, das KI entwickelt/trainiert (z.B. OpenAI, Anthropic)
- KI-Betreiber = Unternehmen, das KI nutzt (das sind Sie, wenn Sie ChatGPT im Unternehmen einsetzen)
- Distributor = Vermittler zwischen Anbieter und Betreiber (z.B. Cloud-Anbieter)
Für KMU-Betreiber (die meisten): Art. 4 (KI-Kompetenz) gilt bereits seit Februar 2025.
Die 5 wichtigsten Pflichten für KMU-Betreiber
1. Schulung und KI-Kompetenz (Art. 4, Abs. 1)
Mitarbeiter, die KI nutzen, müssen geschult sein. Das erfordert kein PhD – es reicht fundiertes Grundwissen über Funktionsweise, Risiken und Grenzen der eingesetzten KI. Dokumentieren Sie: Wer wurde wann geschult? Welche Inhalte? Ein jährliches Refresh ist sinnvoll.
2. Risikoklassifizierung und Dokumentation
Sie müssen das Risiko jedes KI-Systems dokumentieren – nicht als 100-seitige Studie, sondern als pragmatische Risikoanalyse:
- Welche Daten nutzt die KI?
- Wer ist betroffen (Kunden, Mitarbeiter, Geschäftspartner)?
- Welche Grundrechte könnten verletzt werden (Fairness, Datenschutz, Menschenwürde)?
- Ist das System hochrisikoreich (laut AI Act, Art. 6)?
Resultat: Eine Risikoklasse (niedrig, mittel, hoch, verboten) für jedes System.
3. Transparenzpflicht (Art. 50)
Nutzer müssen wissen, dass sie mit KI interagieren. Wenn Ihre KI Entscheidungen über Menschen trifft (z.B. bei Recruiting, Kreditvergabe, HR-Bewertungen), muss die KI offengelegt werden. Beispiel: Chatbots müssen sich als KI vorstellen, nicht als Mensch.
4. Menschliche Aufsicht und Override-Möglichkeit
Mitarbeiter müssen KI-Entscheidungen überprüfen und ablehnen können – insbesondere bei Hochrisiko-Systemen. Vollautomatische Entscheidungen ohne menschliche Prüfung sind nicht erlaubt.
5. Dokumentation und Nachweisfähigkeit
Behörden müssen im Fall einer Kontrolle Ihre Compliance nachweisen können. Das bedeutet:
- Inventar aller eingesetzten KI-Systeme
- Dokumentation von Schulungen
- Risikoanalysen und Maßnahmen
- Logs von Entscheidungen (bei Hochrisiko-Systemen)
KMU-Tipp: Sie müssen nicht jede Compliance-Maßnahme selbst entwickeln. Ihre KI-Anbieter (OpenAI, Microsoft, Google) haben oft schon Compliance-Dokumentation bereitgestellt. Nutzen Sie diese und ergänzen Sie mit Ihren unternehmenseigenen Prozessen.
Welche Bußgelder drohen?
Die Strafverfolgung regelt Art. 99 AI Act. Die Bußgelder sind nicht zu unterschätzen:
- Art. 5 (Verbotene Praktiken): bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes (je höher) [Art. 99 Abs. 3 KI-VO]
- Hochrisiko- und Betreiber-Pflichten (inkl. Art. 4, Art. 26): bis zu 15 Millionen Euro oder 3 % Jahresumsatz; für KMU gilt der niedrigere Betrag [Art. 99 Abs. 4 i.V.m. Abs. 6 KI-VO]
- Falsche oder irreführende Angaben gegenüber Behörden: bis zu 7,5 Millionen Euro oder 1 % Jahresumsatz [Art. 99 Abs. 5 KI-VO]
Beispiel für ein KMU mit 5 Millionen Euro Jahresumsatz:
- Verstoß gegen Art. 5 (Verbot): bis zu 350.000 Euro (7 % von 5 Mio. €)
- Verstoß gegen Art. 4 oder Art. 26 (Schulung/Dokumentation): bis zu 150.000 Euro (3 % von 5 Mio. €)
Es gibt keine spezielle „KMU-Ausnahme" bei den Bußgeldern, aber Gerichte berücksichtigen Verhältnismäßigkeit. Ein KMU mit 5 Mio. Euro Umsatz wird nicht wie ein Konzern mit 50 Mio. Euro bestraft. Dennoch: Ignorieren ist keine Option.
Enforcement-Realität (April 2026): Die National Regulatory Authorities (NRAs) bauen ihre Kapazitäten erst auf. 2026–2027 wird der Fokus auf Anbieter und Hochrisiko-Systeme liegen. Aber KMU-Betreiber sollten nicht darauf spekulieren, dass sie nicht kontrolliert werden – die Quote steigt.
KMU-Erleichterungen im AI Act
Es gibt Entlastungen für KMU, auch wenn sie nicht im AI Act explizit „named" werden:
Regulatory Sandboxes (Art. 57 ff.)
Die EU und Mitgliedstaaten bieten Regulatory Sandboxes an – kontrollierte Umgebungen, in denen KMU neue KI-Systeme entwickeln und testen können, ohne sofort vollständige Compliance zu erfüllen. Deutschland hat 2025 die KI-Sandbox der Bundesnetzagentur gestartet. Das vereinfacht Tests.
EU-KMU-Leitfaden und praktische Ressourcen
Die EU-Kommission hat SME Guidelines veröffentlicht (2025), die Compliance praktisch erklären – nicht juristisch. Kostenlos unter digital-strategy.ec.europa.eu.
Vereinfachte Risikoanalyse
KMU können pragmatischere Risikoanalysen durchführen – nicht alle 1.000 Seiten eines Enterprise-Assessment, sondern ein fokussiertes Risikoregister: System → Daten → Betroffene → Grundrechts-Risiken → Maßnahmen.
Verhältnismäßigkeit bei Ressourcen
Der AI Act verlangt Maßnahmen, die für die Unternehmensgröße proportional sind. Eine 10-Personen-KMU muss nicht das gleiche Compliance-Team wie Siemens haben – aber die Dokumentation und Schulung muss existieren.
Checkliste: Die ersten 5 Schritte für KMU
-
Inventar erstellen: Welche KI-Systeme nutzen Sie aktuell?
- ChatGPT, Copilot, Gemini, Claude
- KI-Recruiting-Tools (LinkedIn Talent, Workable, SeekOut)
- KI-Buchhaltung / Fakturierung (z.B. KI-OCR, automatische Klassierung)
- Automatisierte Entscheidungssysteme (Fraud, Preisgestaltung, Scoring)
- Sonstige spezialisierte KI
-
Risikoklassifizierung: Für jedes System: Niedrig / Mittel / Hoch / Verboten?
- Nutzt die KI personenbezogene Daten?
- Trifft sie Entscheidungen über Menschen?
- Könnte sie Grundrechte verletzen?
-
Schulungsplan entwickeln: Wer nutzt KI? Schulen Sie mit Fokus auf:
- Wie funktioniert das Tool?
- Was sind Halluzinationen, Bias, Fehler?
- Datenschutz & Sicherheit
- Dokumentieren Sie Schulungen (Datum, Teilnehmer, Inhalte)
-
Dokumentation & Richtlinien: Erstellen Sie ein einfaches KI-Policy-Dokument:
- Welche Systeme dürfen genutzt werden?
- Welche nicht? (z.B. keine privaten Chats mit sensiblen Daten)
- Wer überprüft KI-Entscheidungen?
- Wie werden Fehler dokumentiert?
- Compliance-Verantwortung zuweisen: Benennen Sie eine Person oder einen Bereich (z.B. Datenschutz, IT-Leitung) als KI-Compliance-Kontakt.
Alle Vorlagen für die AI Act Compliance
Nutzen Sie das ki-compliance-kit.de Paket mit vordefinierten Schulungsmaterialien, Risikoanalyse-Templates, Dokumentationsvorlagen und checklisten – optimiert für deutsche KMU.
Starter-Paket jetzt sichern (ab 149€)Fazit: Compliance ist machbar
Der AI Act klingt komplex, aber für KMU bedeutet er vor allem: Bewusstsein, Schulung und Dokumentation. Sie müssen nicht alle technischen Details verstehen, aber Sie müssen wissen, welche KI Sie einsetzen und welche Risiken damit verbunden sind.
Ihre konkrete Timeline:
- Jetzt (Mai 2026): Inventar erstellen, Risikoanalyse durchführen, Schulung planen
- Seit Februar 2025: Art. 4 (KI-Kompetenz) und Art. 5 (Verbote) gelten bereits — handeln Sie jetzt, falls noch nicht geschehen
- Ab Dezember 2026: Transparenzpflichten (Art. 50) — Chatbots kennzeichnen, KI-Inhalte offenlegen (Omnibus)
- Ab Dezember 2027: Hochrisiko-Systeme (Anhang III) vollständig compliant (Omnibus)
Mit Fokus und einer strukturierten Herangehensweise werden Sie die Compliance in Ihrer KMU erfolgreich umsetzen.
Weiterlesen
Stand: April 2026. Dieser Artikel dient der Informationszwecken und ersetzt keine verbindliche Rechtsberatung. Für spezifische Fragen zu Ihrer Situation konsultieren Sie bitte einen auf AI Act spezialisierten Rechtsanwalt oder nutzen Sie die Beratungsressourcen der EU-Kommission und der nationalen Regulierungsbehörden.
Weiterführende Artikel
Kostenloses Selbst-Audit: Wo steht Ihr Unternehmen?
25 Prüfpunkte mit Scoring — in 15 Minuten wissen Sie, ob Sie ein Problem haben.
Kostenloses Selbst-Audit starten →