Ab wann sind KMU betroffen?

Seit August 2025 gelten Verbote für bestimmte KI-Systeme (verbotene Praktiken). Ab August 2026 greifen die strengeren Pflichten für Hochrisiko-KI-Systeme. Transparenzpflichten für Chatbots und KI-generierte Inhalte gelten seit August 2025.

Was ist ein 'Betreiber' im Sinne des EU AI Acts?

Als Betreiber gilt jede natürliche oder juristische Person, die ein KI-System für eigene berufliche Zwecke einsetzt. Das betrifft KMU, die kommerzielle KI-Tools (z.B. KI-Recruiting-Software, KI-Chatbots, Prognose-Tools) verwenden — auch wenn sie keine KI selbst entwickeln.

EU AI Act

EU AI Act für KMU:
Was jetzt gilt — und was zu tun ist.

Q: Was bedeutet 'EU AI Act Readiness' — und wie erreiche ich sie?

EU AI Act Readiness bedeutet: Ihr Unternehmen hat eine Übersicht aller genutzten KI-Systeme, kennt deren Risikoklassen, hat Zuständigkeiten geregelt und einfache Governance-Strukturen etabliert. Der erste Schritt ist ein KI-Inventar — in der Regel umsetzbar in 2–5 Tagen.

Q: Brauchen wir dafür einen Anwalt?

Für die operative Umsetzung (KI-Inventar, Governance-Strukturen, interne Policies) nicht zwingend. Für verbindliche Rechtspflichten, Vertragsgestaltung und Haftungsfragen empfehlen wir spezialisierte IT-Anwälte. Wir begleiten den organisatorischen und strategischen Teil — keine Rechtsberatung.

Q: Müssen Unternehmen den Einsatz von ChatGPT und anderen KI-Tools intern regeln?

Ja. Wer ChatGPT, Microsoft Copilot oder andere KI-Tools für berufliche Zwecke nutzt, gilt als Betreiber im Sinne des EU AI Acts — unabhängig davon, ob die KI selbst entwickelt wurde. Das bedeutet Transparenzpflichten, DSGVO-Anforderungen und bei bestimmten Tools Dokumentationspflichten. Eine interne KI-Policy, die regelt was erlaubt ist, wer zuständig ist und wie Mitarbeitende informiert werden, ist rechtlich und organisatorisch notwendig. Eine tragfähige Grundstruktur lässt sich in der Regel in 2–4 Wochen etablieren.

Praxisnah erklärt: Risikoklassen, Zeitplan und drei konkrete Schritte für KMU im EU-Regulierungsraum — ohne Juristendeutsch, ohne Monster-Projekt.

EU AI Act-Check anfragen → KI-Readiness prüfen

„Nicht fehlende Technologie ist das Problem — sondern fehlende Klarheit darüber, wer KI einsetzt, wer es verantwortet und warum."

ForgeSteer — Unsere Haltung zum EU AI Act

Rechtlicher Hinweis: Diese Seite dient der allgemeinen Orientierung und ersetzt keine Rechtsberatung. Für verbindliche Pflichten empfehlen wir spezialisierte Anwälte für IT- und Technologierecht.

Zeitplan

Was wann gilt

Der EU AI Act wird stufenweise verbindlich — hier die wichtigsten Meilensteine für KMU.

August 2024

In Kraft

AUG
2024

EU AI Act tritt in Kraft

Die Verordnung wurde offiziell verabschiedet. Unternehmen haben ab jetzt Zeit, sich vorzubereiten. Erste Definitionen und Geltungsbereiche werden verbindlich.

August 2025

Jetzt wirksam

AUG
2025

Verbote + Transparenzpflichten verbindlich

Verbote für KI-Praktiken wie Social Scoring sind durchsetzbar. Transparenzpflichten für Chatbots gelten. Alle Unternehmen müssen KI-Kompetenz sicherstellen.

August 2026

Vorbereitung jetzt

AUG
2026

Hochrisiko-KI Pflichten (Anhang I)

Strenge Anforderungen für KI in Recruiting, Kreditbewertung und sicherheitskritischen Bereichen werden durchgesetzt. Dokumentations- und Governance-Pflichten für Betreiber greifen vollständig.

August 2027

Vollständige Geltung

AUG
2027

Vollständige Geltung für alle Hochrisiko-KI

Alle verbleibenden Hochrisiko-KI-Systeme unterliegen dem vollständigen Anforderungsrahmen. Ab diesem Zeitpunkt ist die Übergangsfrist vollständig abgelaufen.

Risikoklassen

Die vier Kategorien — und was sie für KMU bedeuten

Der EU AI Act klassifiziert KI-Systeme nach Risikopotenzial. Je höher das Risiko, desto strenger die Anforderungen.

Unakzeptables Risiko

Verbotene KI-Praktiken

Diese KI-Systeme sind vollständig verboten und dürfen in der EU nicht eingesetzt werden.

Social Scoring durch Behörden
Manipulative KI, die Verhalten ausnutzt
Biometrische Echtzeit-Massenüberwachung

Verboten ab Aug. 2025

Hohes Risiko

Strenge Pflichten

Dokumentation, Transparenz, menschliche Aufsicht und Bewertung der Governance-Anforderungen sind verpflichtend.

KI in Recruiting & Personalentscheidungen
KI in Kreditbewertung & Versicherung
KI in kritischer Infrastruktur

Viele KMU betroffen

Begrenztes Risiko

Transparenzpflichten

Nutzer müssen informiert werden, wenn sie mit KI interagieren oder KI-generierte Inhalte sehen.

KI-Chatbots & virtuelle Assistenten
KI-generierte Texte, Bilder, Videos
Emotion Recognition Systeme

Ab Aug. 2025 wirksam

Minimales Risiko

Keine spezifischen Pflichten

Die meisten KI-Anwendungen fallen in diese Kategorie. Allgemeine Sorgfaltspflichten bleiben bestehen.

KI-Spamfilter & einfache Klassifikatoren
Produktempfehlungs-Algorithmen
KI-gestützte Suchhilfen

Freiwillige Verhaltenskodizes

So gehen Sie vor

Drei Schritte zur EU AI Act Readiness

Kein Monster-Projekt. Kein Anwaltsteam. Drei umsetzbare Schritte, die den größten Unterschied machen.

KI-Inventar erstellen

Welche KI-Systeme werden wo, von wem und wofür eingesetzt — offiziell und inoffiziell? Diese Bestandsaufnahme ist die Basis für alles Weitere. Überraschungen sind garantiert.

⏱ ca. 2–5 Tage

Risikoklassen & Zuständigkeiten

Jedes KI-System wird den vier Risikoklassen zugeordnet. Für jedes System ab begrenztem Risiko: Wer ist intern verantwortlich? Welche Dokumentation ist nötig? Wie werden Nutzer informiert?

⏱ ca. 1–2 Wochen

Governance-Grundstruktur

Eine interne KI-Policy, klare Zuständigkeiten und ein kurzes Onboarding für alle KI-Nutzer. Minimale Struktur, die tatsächlich gelebt wird.

⏱ ca. 2–4 Wochen

Weiterführende Ressourcen

EU AI Act Checkliste 19 konkrete Schritte zur Readiness — mit Zeitangaben und Zuständigkeiten Zur Checkliste → White Paper herunterladen Der vollständige EU AI Act Guide als PDF — kostenlos für KMU PDF herunterladen → Detaillierter Artikel EU AI Act 2026 für KMU — alles Wichtige kompakt erklärt Zum Artikel →

FAQ

Häufige Fragen

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen — unabhängig von ihrer Größe. KMU unter 250 Mitarbeitenden profitieren allerdings von reduzierten Anforderungen bei bestimmten Hochrisiko-KI-Systemen.

Ab wann sind KMU konkret betroffen?

Verbote und Transparenzpflichten gelten seit August 2025. Die strengeren Hochrisiko-Pflichten greifen ab August 2026. Transparenzpflichten für Chatbots (Nutzer müssen wissen, dass sie mit KI sprechen) sind bereits wirksam.

Bin ich Betreiber — auch wenn ich nur externe Tools nutze?

Ja. Als Betreiber gilt jeder, der ein KI-System für eigene berufliche Zwecke einsetzt — auch wenn er keine KI selbst entwickelt. Wer ein KI-Recruiting-Tool, einen KI-Chatbot oder ein Prognose-System nutzt, ist Betreiber.

Welche Strafen drohen bei Verstößen?

Bei Verstößen gegen Verbote: bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes. Bei anderen Verstößen: bis zu 15 Mio. € oder 3%. Für KMU gilt das Verhältnismäßigkeitsprinzip — die tatsächliche Anwendung hängt von der Unternehmensgröße und dem Sachverhalt ab.

Was bedeutet 'EU AI Act Readiness'?

Ihr Unternehmen hat eine Übersicht aller genutzten KI-Systeme, kennt deren Risikoklassen, hat Zuständigkeiten geregelt und einfache Governance-Strukturen etabliert. Der erste Schritt — das KI-Inventar — ist oft in 2–5 Tagen umsetzbar.

Brauchen wir dafür einen Anwalt?

Für die operative Umsetzung — KI-Inventar, Governance-Strukturen, interne Policies — nicht zwingend. Für verbindliche Rechtspflichten und Haftungsfragen empfehlen wir IT-Anwälte. Wir begleiten den strategischen und organisatorischen Teil — keine Rechtsberatung.

Müssen wir den Einsatz von ChatGPT und anderen KI-Tools intern regeln?

Ja — und das ist einer der häufigsten blinden Flecken in KMU. Wer ChatGPT, Microsoft Copilot oder andere KI-Tools für berufliche Zwecke nutzt, gilt als Betreiber im Sinne des EU AI Acts — unabhängig davon, ob die KI selbst entwickelt wurde oder nicht. Das bedeutet: Transparenzpflichten gegenüber Nutzern, Datenschutzpflichten (DSGVO), und bei bestimmten Tools Dokumentationspflichten. Eine interne KI-Policy, die regelt was erlaubt ist, wer zuständig ist und wie Mitarbeitende informiert werden, ist sowohl rechtlich als auch kulturell notwendig. Praxiserfahrung zeigt: Eine tragfähige Grundstruktur lässt sich in 2–4 Wochen etablieren — ohne Vollzeitprojekt.

Wie lange dauert die EU AI Act Vorbereitung für ein KMU?

Weniger als die meisten erwarten — wenn man strukturiert vorgeht. Ein realistischer Zeitplan für KMU: KI-Inventar (alle genutzten KI-Systeme erfassen) in 2–5 Tagen; Risikoklassifizierung & Zuständigkeiten klären in 1–2 Wochen; Governance-Grundstruktur aufbauen (interne KI-Policy, Onboarding-Format, Dokumentation) in 2–4 Wochen. Summe: 6–10 Wochen für einen soliden Readiness-Stand — bei normaler Ressourcenlage ohne dediziertes Projektteam. Was die meisten aufhält: nicht die Komplexität der Anforderungen, sondern der fehlende erste strukturierte Schritt.

Weiterführende Ressourcen

EU AI Act Checkliste

19 konkrete Schritte zur EU AI Act Readiness — zum Abhaken und Dokumentieren.

KI & EU AI Act Glossar

Alle Fachbegriffe aus dem EU AI Act und der KI-Governance — verständlich erklärt.

EU AI Act für Geschäftsführer

Was CEOs und Geschäftsführer jetzt wissen und entscheiden müssen — kompakt erklärt.

Artikel 4: KI-Kompetenzpflicht

Was die KI-Kompetenzpflicht für KMU bedeutet und wer konkret handeln muss.

Artikel 22: Was KMU tun müssen

Hochrisiko-KI-Pflichten für Betreiber — praxisnah erklärt für den Mittelstand.

KI-Risikoklassifizierung für KMU

Wie Sie Ihre KI-Systeme korrekt den vier Risikoklassen zuordnen.

EU AI Act Selbstcheck

Interaktiver Selbstcheck: Wo steht Ihr Unternehmen beim EU AI Act — in 10 Fragen.

Copilot & EU AI Act

Microsoft Copilot, DSGVO und BetrVG §87: Was Unternehmen beim KI-Einsatz beachten müssen.

Nächster Schritt

Starten Sie mit dem
EU AI Act-Check.

In 15 Minuten analysieren wir gemeinsam, welche KI-Systeme Sie nutzen, welche Risikoklassen relevant sind und was als erstes zu tun wäre. Kostenlos, unverbindlich.

Erstgespräch vereinbaren → KI-Check starten

EU AI Act für KMU: Was jetzt gilt — und was zu tun ist.