EU AI Act für KMU:
Alles was Sie 2026 wissen müssen.
Zeitplan, Risikoklassen, Betreiberpflichten, Artikel 4 KI-Kompetenzpflicht — und alle weiterführenden Artikel. Der zentrale Leitfaden für Unternehmen im EU-Regulierungsraum.
Kurze Antwort: Der EU AI Act gilt seit August 2024 in Kraft. Verbote und Transparenzpflichten greifen seit August 2025 — die wichtigste Deadline für KMU ist der 2. August 2026, ab dem Betreiberpflichten für Hochrisiko-KI und die KI-Kompetenzpflicht (Artikel 4) vollständig wirksam sind. KMU brauchen drei Dinge: ein KI-Inventar, eine Risikoklassifizierung und eine Governance-Grundstruktur.
Was ist der EU AI Act?
Der EU Artificial Intelligence Act (EU AI Act) ist die erste umfassende KI-Regulierung der Welt. Er trat im August 2024 in Kraft und betrifft — anders als oft angenommen — nicht nur KI-Entwickler und Anbieter, sondern auch alle Unternehmen, die KI-Systeme für berufliche Zwecke einsetzen (Betreiber).
Als Betreiber gilt laut EU AI Act jede natürliche oder juristische Person, die ein KI-System unter eigener Verantwortung einsetzt. Das trifft auf praktisch jedes KMU zu, das ChatGPT, KI-Recruiting-Tools, Prognose-Software oder andere KI-Anwendungen nutzt — unabhängig davon, ob die KI selbst entwickelt wurde.
Ein KI-System ist laut EU AI Act ein maschinenbasiertes System, das für einen oder mehrere Zwecke aus Eingaben Ausgaben wie Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte generiert — und das dabei die physische oder virtuelle Umwelt beeinflussen kann. Das schließt Large Language Models (ChatGPT, Gemini, Claude), KI-gestützte Analyse-Tools, automatische Entscheidungssysteme und ähnliche Anwendungen ein.
Der Zeitplan im Überblick
Der EU AI Act tritt stufenweise in Kraft. Für KMU sind drei Zeitpunkte entscheidend:
EU AI Act tritt formell in Kraft. 24 Monate Übergangsfrist für die meisten Pflichten beginnt.
Verbote für inakzeptable KI-Systeme in Kraft. Transparenzpflichten für Chatbots (Nutzer müssen wissen, dass sie mit KI sprechen).
Hochrisiko-Pflichten, Artikel 4 KI-Kompetenzpflicht und alle Betreiberpflichten nach Artikel 22 treten in Kraft. Die wichtigste Deadline für KMU.
Hochrisiko-Systeme nach Anhang I (bestimmte Produktsicherheitsbereiche) werden ebenfalls vollständig reguliert.
Strategisches Zeitfenster: Wer bis Ende 2025 mit dem Aufbau von KI-Governance beginnt, ist bis zum 2. August 2026 deutlich besser aufgestellt als Unternehmen, die erst dann reagieren. Authority und Strukturen lassen sich nicht in zwei Wochen aufbauen.
Die vier Risikoklassen
Der EU AI Act klassifiziert KI-Systeme in vier Risikoklassen. Die Klasse bestimmt, welche Pflichten für Betreiber gelten:
Soziales Scoring, biometrische Echtzeitüberwachung im öffentlichen Raum, manipulative KI-Systeme.
Vollständiges Verbot. Gilt seit August 2025.
KI in Personalentscheidungen, Kreditvergabe, Bildungszugang, kritischer Infrastruktur, Biometrie (nicht verboten), Rechtspflege.
Umfangreiche Pflichten: Risikomanagement, Datendokumentation, Transparenz, menschliche Aufsicht.
Chatbots, Deepfake-Generatoren, KI-generierte Inhalte (Texte, Bilder, Videos für Öffentlichkeit).
Transparenzpflichten: Nutzer müssen über KI-Interaktion informiert werden. Kennzeichnungspflicht für KI-generierte Inhalte.
KI-Spam-Filter, Standard-KI-Marketing-Tools, KI-gestützte Textverarbeitung für internen Einsatz, Empfehlungsalgorithmen ohne kritische Entscheidungen.
Keine Pflichten, freiwillige Verhaltenskodizes empfohlen.
Für die meisten KMU gilt: Die Mehrheit der genutzten KI-Tools fällt in Klasse 1 (minimal) oder Klasse 2 (begrenzt). Aber: KI-Tools für Personalentscheidungen oder Kreditbewertung können Hochrisiko sein — und das überrascht viele Unternehmen.
Betreiberpflichten nach Artikel 22
Als Betreiber eines Hochrisiko-KI-Systems müssen KMU laut Artikel 22 EU AI Act folgende Maßnahmen umsetzen:
- Risikomanagementsystem: Bewertung und Dokumentation der spezifischen Risiken des eingesetzten KI-Systems für Ihr Unternehmen.
- Menschliche Aufsicht: Sicherstellung, dass Entscheidungen des Hochrisiko-KI-Systems von Menschen überwacht und korrigiert werden können.
- Logging und Monitoring: Aufzeichnung der Funktionsweise und Ergebnisse des KI-Systems über den gesamten Betriebszeitraum.
- Transparenz gegenüber Betroffenen: Natürliche Personen, die von einer Hochrisiko-KI-Entscheidung betroffen sind, müssen informiert werden.
- Datenschutz-Konformität: Die Nutzung des KI-Systems muss mit DSGVO-Anforderungen vereinbar sein.
- Interne Zuständigkeit: Klare Regelung, wer intern für das KI-System verantwortlich ist.
Kurze Antwort zu Artikel 22: KMU mit Hochrisiko-KI-Systemen müssen sechs Pflichten erfüllen: Risikobewertung, menschliche Aufsicht, Logging, Transparenz, Datenschutz und interne Zuständigkeit. Wer gute Governance aufgebaut hat, erfüllt diese Pflichten als natürlichen Nebeneffekt.
Artikel 4: Die KI-Kompetenzpflicht
Artikel 4 des EU AI Acts ist die wichtigste und oft unterschätzte Pflicht für KMU-Betreiber. Er verpflichtet alle Betreiber von KI-Systemen dazu, dass ihre Mitarbeitenden ausreichend KI-Kompetenz besitzen, um die genutzten Systeme sicher und verantwortungsvoll einzusetzen.
Was das konkret bedeutet:
- Schulungen für KI-Nutzer: Mitarbeitende, die KI-Tools einsetzen, müssen die Grenzen, Risiken und korrekte Nutzung kennen.
- Interne KI-Richtlinie: Schriftliche Regelung, was erlaubt ist, was verboten ist und wie mit KI-Outputs umzugehen ist.
- Dokumentation: Nachweis, dass Schulungen stattgefunden haben und Kompetenz vorhanden ist.
- Anpassung an den jeweiligen Einsatzbereich: Ein Marketing-Mitarbeitender braucht andere KI-Kompetenzen als jemand in der Personalentscheidung.
Artikel 4 gilt für alle Betreiber — nicht nur für Hochrisiko-KI. Das bedeutet: Auch wer "nur" ChatGPT für die interne Kommunikation nutzt, fällt unter diese Pflicht.
Die drei entscheidenden Schritte zur EU AI Act Readiness
Für die meisten KMU ist EU AI Act Readiness kein Monster-Projekt — es sind drei konkrete Schritte:
- Schritt 1 — KI-Inventar erstellen: Welche KI-Systeme werden wo, von wem und wofür eingesetzt — offiziell und inoffiziell? Diese Bestandsaufnahme ist die Basis. Erfahrungsgemäß tauchen bei KMU 3-5 KI-Tools auf, von denen die Führung nichts wusste. Zeitaufwand: 2–5 Tage.
- Schritt 2 — Risikoklassifizierung: Jedes KI-System den vier Risikoklassen zuordnen. Für Hochrisiko-Systeme: Zuständigkeit klären, Dokumentation starten, Monitoring einrichten. Für alle anderen: Transparenzpflichten prüfen. Zeitaufwand: 1–2 Wochen.
- Schritt 3 — Governance-Grundstruktur: Eine interne KI-Policy, klare Zuständigkeiten und ein kurzes Onboarding für alle KI-Nutzer. Minimale Struktur, die tatsächlich gelebt wird. Zeitaufwand: 2–4 Wochen.
Ab August 2026 können Aufsichtsbehörden Verstöße sanktionieren. Bei Hochrisiko-Verstößen bis zu 15 Mio. € oder 3% des Jahresumsatzes. Wichtiger als die Geldbuße ist das Reputationsrisiko: Kunden, Partner und Lieferanten werden zunehmend nach EU AI Act Readiness fragen. KMU ohne Governance werden Ausschreibungen verlieren.
Alle Artikel zum EU AI Act — Vertiefende Lektüre
ForgeSteer hat die umfangreichste deutschsprachige Artikel-Sammlung zum EU AI Act für KMU aufgebaut. Hier finden Sie alle Vertiefungsartikel im Überblick:
Der Einstiegsartikel: Was gilt seit August 2025, was kommt August 2026 und welche drei Schritte sind für KMU jetzt entscheidend.
Nicht Compliance-Details, sondern die strategischen Entscheidungen: Was muss die Führung delegieren, verantworten und freigeben?
Was Artikel 4 konkret fordert, wen es trifft und wie KMU die Kompetenzpflicht in der Praxis umsetzen — ohne übertriebenen Aufwand.
Die sechs Betreiberpflichten für Hochrisiko-KI — praxisnah erklärt: Risikobewertung, Logging, Transparenz und interne Zuständigkeit.
Wie Sie Ihre KI-Systeme korrekt klassifizieren — mit konkreten Beispielen für typische KMU-Anwendungen von ChatGPT bis KI-Recruiting.
Interaktiver Selbstcheck in 10 Fragen: Wie weit ist Ihr Unternehmen bei EU AI Act Readiness — mit konkreten nächsten Schritten.
Compliance fragt was rechtlich nötig ist — Governance fragt wie KI verantwortungsvoll geführt wird. Wer den Unterschied versteht, baut nachhaltiger.
Die interaktive Checkliste zum Abhaken: 19 konkrete Maßnahmen, die KMU auf dem Weg zur EU AI Act Readiness umsetzen müssen.
Häufige Fragen zum EU AI Act für KMU
Ja. Wer KI-Systeme für berufliche Zwecke einsetzt, ist Betreiber im Sinne des EU AI Acts — unabhängig davon, ob er die KI selbst entwickelt hat. Das betrifft KMU, die ChatGPT, KI-Recruiting-Tools, Prognose-Software oder andere KI-Anwendungen nutzen. KMU unter 250 Mitarbeitenden profitieren bei Hochrisiko-KI von reduzierten Anforderungen.
Der 2. August 2026 ist die wichtigste Deadline: Ab diesem Datum gelten vollständige Betreiberpflichten für Hochrisiko-KI-Systeme, inklusive Artikel 4 KI-Kompetenzpflicht und Artikel 22 Betreiberpflichten. Verbote und Transparenzpflichten für bestimmte KI-Systeme gelten bereits seit August 2025.
Artikel 4 verpflichtet Betreiber von KI-Systemen dazu, dass ihre Mitarbeitenden ausreichend KI-Kompetenz besitzen, um die genutzten KI-Systeme sicher und verantwortungsvoll einzusetzen. Das bedeutet: Schulungen, interne Richtlinien und Dokumentation — keine Raketenwissenschaft, aber konkreter Handlungsbedarf.
KI-Systeme in kritischen Bereichen wie Personalentscheidungen (KI-Recruiting), Kreditvergabe, Bildungszugang, Strafverfolgung, Infrastruktur oder Biometrie fallen in die Hochrisiko-Kategorie. Die meisten Standard-Tools (ChatGPT für Text, CRM-Analysen, Marketingautomation) sind minimal-risikoreich.
Bei Verstößen gegen Verbote: bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes. Bei anderen Verstößen: bis zu 15 Mio. € oder 3%. Für KMU gilt das Verhältnismäßigkeitsprinzip — die Aufsichtsbehörden sollen die Unternehmensgröße berücksichtigen. Dennoch: Das Risiko rechtfertigt proaktive Readiness.
Compliance fragt: Was müssen wir rechtlich tun? Governance fragt: Wie stellen wir sicher, dass KI in unserem Unternehmen verantwortungsvoll und effektiv eingesetzt wird? Governance ist breiter und nachhaltiger — wer gute Governance aufbaut, erfüllt Compliance als natürlichen Nebeneffekt.
Wo steht Ihr Unternehmen heute?
In 7–14 Tagen ermitteln wir Ihren EU AI Act Readiness-Status, erstellen ein KI-Inventar und entwickeln einen priorisierten 60–90-Tage-Fahrplan. Kein Monster-Projekt — ein klarer nächster Schritt.