Gilt der EU AI Act auch für kleine Unternehmen?

Ja, der EU AI Act gilt grundsätzlich für alle Unternehmen, die KI-Systeme in der EU einsetzen, bereitstellen oder entwickeln – unabhängig von der Unternehmensgröße. Allerdings gibt es für Kleinstunternehmen (weniger als 10 Mitarbeiter, weniger als 2 Mio. € Umsatz) vereinfachte Anforderungen. Entscheidend ist vor allem die Risikoklasse des eingesetzten KI-Systems.

Was sind die Strafen bei Verstößen gegen den EU AI Act?

Die Bußgelder sind gestaffelt nach Schwere des Verstoßes: Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei verbotenen KI-Praktiken, bis zu 15 Mio. € oder 3 % bei Verstößen gegen Hochrisiko-Anforderungen, und bis zu 7,5 Mio. € oder 1,5 % bei falschen Angaben gegenüber Behörden.

Welche KI-Systeme fallen unter die Hochrisiko-Kategorie?

Hochrisiko-KI-Systeme sind unter anderem: KI in der Personalentscheidung (Bewerbermanagement, Leistungsbewertung), KI-gestützte Kreditvergabe, KI in der Strafverfolgung, KI für kritische Infrastrukturen (Energie, Wasser, Transport) sowie KI in Bildung und Berufsausbildung. Für viele dieser Bereiche gelten bereits ab August 2026 strenge Dokumentations- und Transparenzpflichten.

Was muss ich tun, wenn ich ChatGPT oder Copilot im Unternehmen einsetze?

Der Einsatz von General Purpose AI-Tools wie ChatGPT oder Microsoft Copilot fällt meist unter die Kategorie 'geringes Risiko' – mit vergleichsweise wenigen Pflichten. Als Unternehmen müssen Sie jedoch sicherstellen, dass Mitarbeiter über den KI-Einsatz informiert sind (Transparenzpflicht), dass keine personenbezogenen Daten unkontrolliert verarbeitet werden (DSGVO-Konformität), und dass KI-generierte Inhalte als solche erkennbar sind, wenn dies für Nutzer relevant ist.

KI-Strategie

EU AI Act: Was der Mittelstand jetzt wissen und tun muss

20. März 2026 8 Min. Lesezeit Daniel Gnann

      Das Wichtigste in Kürze: Der EU AI Act ist in Kraft – und betrifft auch KMU. Wer KI-Systeme einsetzt, entwickelt oder vermarktet, muss je nach Risikoklasse Dokumentations-, Transparenz- und Kontrollpflichten erfüllen. Die kritischen Fristen laufen 2026. Jetzt ist der richtige Zeitpunkt für eine Bestandsaufnahme.
    

Inhaltsverzeichnis

Was ist der EU AI Act?
Die vier Risikoklassen im Überblick
Was gilt konkret für KMU?
Dokumentations- und Transparenzpflichten
Fristen und Zeitplan 2026
Bußgelder: Was droht bei Verstößen?
5 Schritte zur AI-Act-Compliance
Wie VerdaGen beim AI Act hilft

1. Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Regulierungsgesetz. Er wurde im Juli 2024 im Amtsblatt der EU veröffentlicht und tritt schrittweise in Kraft. Ziel ist es, einen einheitlichen rechtlichen Rahmen für KI-Systeme in der EU zu schaffen – mit klaren Anforderungen an Sicherheit, Transparenz und Verantwortlichkeit.

Anders als die DSGVO, die primär den Umgang mit personenbezogenen Daten regelt, adressiert der AI Act die KI-Systeme selbst – unabhängig davon, ob personenbezogene Daten verarbeitet werden. Er unterscheidet zwischen verschiedenen Akteuren: Herstellern (die KI entwickeln), Betreibern (die KI in ihrem Unternehmen einsetzen) und Nutzern.

Für den deutschen Mittelstand besonders relevant: Auch wer ausschließlich KI-Systeme von Drittanbietern (z.B. Microsoft Copilot, SAP AI, ChatGPT Enterprise) einsetzt, ist als "Betreiber" den Anforderungen des AI Acts unterworfen.

2. Die vier Risikoklassen im Überblick

Der EU AI Act ordnet KI-Systeme in vier Risikoklassen ein. Die Klasse bestimmt, welche Pflichten gelten:

Verbotene KI (Inakzeptables Risiko)

Soziales Scoring durch Behörden
Manipulative KI-Systeme
Biometrische Echtzeit-Überwachung im öffentlichen Raum (mit Ausnahmen)
Emotionserkennung am Arbeitsplatz

Hochrisiko-KI (Strenge Anforderungen)

KI in der Personalentscheidung
KI-gestützte Kreditvergabe
KI in kritischer Infrastruktur
Medizinprodukte mit KI
KI in Bildung und Prüfungen

Begrenztes Risiko (Transparenzpflichten)

Chatbots (müssen als KI erkennbar sein)
KI-generierte Texte / Deepfakes
Emotionserkennungssysteme

Minimales Risiko (Keine Pflichten)

KI-Spam-Filter
KI in Videospielen
KI-Empfehlungssysteme (Netflix etc.)
Die meisten internen Automatisierungstools

Für die meisten Mittelständler gilt: Der Großteil der eingesetzten KI-Systeme (interne Automatisierung, Chatbots, Produktivitätstools) fällt in die Kategorien "begrenzt" oder "minimal" – mit überschaubaren Anforderungen. Kritisch wird es, sobald KI in Personalentscheidungen, Kreditvergabe oder Sicherheitssystemen eingesetzt wird.

3. Was gilt konkret für KMU?

Der AI Act unterscheidet nicht grundsätzlich nach Unternehmensgröße – er unterscheidet nach Rolle und Risikoklasse des KI-Systems. Dennoch gibt es Erleichterungen für Kleinstunternehmen (weniger als 10 Mitarbeiter, unter 2 Mio. € Umsatz) bei bestimmten Dokumentationspflichten.

Als Mittelständler sind Sie in der Regel Betreiber – d.h. Sie setzen KI-Systeme ein, die von anderen entwickelt wurden. Als Betreiber tragen Sie Verantwortung für:

Die zweckgemäße Nutzung des KI-Systems (entsprechend der Herstelleranweisungen)
Menschliche Aufsicht und Überwachung bei Hochrisiko-Systemen
Datenschutz und Datensicherheit beim Betrieb
Protokollierung und Dokumentation bei Hochrisiko-KI
Information der Mitarbeiter über den KI-Einsatz

Achtung: Wer ein KI-System an den eigenen Geschäftsfall anpasst (z.B. ein LLM für unternehmensspezifische Zwecke feinabstimmt oder mit eigenen Daten betreibt), kann als "Hersteller" eingestuft werden – mit deutlich weitreichenderen Pflichten.

4. Dokumentations- und Transparenzpflichten im Überblick

Für Betreiber von Hochrisiko-KI-Systemen

Risikobewertung: Dokumentierter Prozess zur Bewertung des KI-Risikos
Technische Dokumentation: Zweck, Leistungsgrenzen, Trainingsdaten (vom Hersteller bereitstellen lassen)
Protokollierung: Automatische Logs der KI-Entscheidungen aufbewahren (mind. 6 Monate bei Hochrisiko)
Menschliche Aufsicht: Klare Prozesse, wer wann eingreift
Mitarbeiterinformation: Betroffene Mitarbeiter müssen über den KI-Einsatz informiert sein

Für Betreiber von Chatbots und KI-generierten Inhalten

Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren
KI-generierte Texte, Bilder und Videos müssen als solche gekennzeichnet sein (gilt ab gewissen Schwellwerten)

5. Fristen und Zeitplan 2026

Aug 2024

AI Act in Kraft getreten Veröffentlichung im EU-Amtsblatt, Beginn der Übergangsfrist.

Feb 2025

Verbote für inakzeptables Risiko in Kraft Verbotene KI-Praktiken (biometrische Echtzeit-Überwachung, Social Scoring etc.) sind seit Februar 2025 untersagt.

Aug 2025

GPAI-Regeln und KI-Kompetenzpflicht Regeln für allgemeine KI-Modelle (GPAI, wie GPT-4) gelten. Unternehmen müssen sicherstellen, dass Mitarbeiter über ausreichende KI-Kompetenz verfügen.

Aug 2026

Hochrisiko-KI-Anforderungen vollständig wirksam Alle Anforderungen für Hochrisiko-KI-Systeme (Anhang III) sind ab August 2026 vollständig durchzusetzen. Für Mittelständler mit HR- oder Kredit-KI: jetzt handeln.

Aug 2027

Vollständige Anwendung Der AI Act gilt in vollem Umfang für alle KI-Systeme und alle Akteure.

6. Bußgelder: Was droht bei Verstößen?

Die Sanktionen des AI Acts sind erheblich und gestaffelt:

Verbotene KI-Praktiken: Bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes
Verstöße gegen Hochrisiko-Anforderungen: Bis zu 15 Mio. € oder 3 % des Jahresumsatzes
Falsche Angaben gegenüber Behörden: Bis zu 7,5 Mio. € oder 1,5 % des Jahresumsatzes

Für KMU gilt: Bei der Bemessung sollen die wirtschaftlichen Verhältnisse berücksichtigt werden. Die Behörden können von Höchstgrenzen abweichen. Dennoch: Auch 1,5 % des Jahresumsatzes können für einen mittelständischen Betrieb schmerzhaft sein.

7. Fünf Schritte zur AI-Act-Compliance

KI-Inventar erstellen Erfassen Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden – von ChatGPT bis zur KI im ERP-System. Viele Unternehmen unterschätzen, wie viele KI-Funktionen bereits in bestehender Software stecken (Microsoft 365 Copilot, Salesforce Einstein, SAP AI etc.).

Risikoklassifizierung durchführen Ordnen Sie jedes identifizierte KI-System einer Risikoklasse zu. Fragen: Trifft das System Entscheidungen über Personen? In welchem Kontext? Welche Daten werden verarbeitet? Für die meisten mittelständischen KI-Anwendungen ist das Ergebnis: "begrenzt" oder "minimal".

Dokumentation aufbauen Für jedes Hochrisiko-System: Zweck dokumentieren, Herstellerdokumentation anfordern, Aufsichtsprozesse definieren. Für Chatbots: Transparenzhinweis implementieren. Für alle KI-Tools: interne Nutzungsrichtlinien erstellen.

Mitarbeiter schulen Der AI Act schreibt vor, dass Unternehmen sicherstellen müssen, dass Mitarbeiter die notwendige KI-Kompetenz besitzen (Art. 4). Konkret: Schulungen zu KI-Grundlagen, zu den eingesetzten Systemen und zu Grenzen und Risiken. Die VerdaGen Academy bietet Inhouse-Schulungen speziell für Mittelständler an.

Governance-Struktur etablieren Bestimmen Sie eine verantwortliche Person für KI-Compliance (muss kein Vollzeit-Job sein). Definieren Sie einen Prozess, wie neue KI-Tools vor dem Einsatz bewertet werden. Verankern Sie KI-Governance in der allgemeinen IT- und Datenschutzstrategie.

8. Wie VerdaGen.ai beim EU AI Act hilft

Compliance klingt bürokratisch – muss es aber nicht sein. Unser Ansatz: Pragmatismus statt Paragrafen-Alarm. Wir helfen Ihnen, die relevanten Anforderungen für Ihre konkrete KI-Nutzung zu identifizieren und mit minimalem Aufwand umzusetzen.

Das umfasst ein KI-Inventar-Workshop (halber Tag, alle eingesetzten KI-Systeme erfassen und klassifizieren), die Erstellung einer AI-Act-Compliance-Roadmap mit priorisierten Maßnahmen, sowie die Unterstützung bei der technischen Dokumentation für Hochrisiko-Systeme.

Wichtig: Wenn Sie bisher keine KI einsetzen, ist jetzt der ideale Zeitpunkt, eine KI-Strategie zu entwickeln, die von Anfang an compliant ist – statt eine bestehende Implementierung nachträglich anzupassen.

Kostenlose KI-Erstberatung & AI-Act-Check

In 30 Minuten klären wir, welche AI-Act-Anforderungen für Ihr Unternehmen relevant sind – und was Sie jetzt tun müssen, bevor die Fristen 2026 ablaufen.

Jetzt Gespräch vereinbaren

Daniel Gnann Geschäftsführer VerdaGen.ai · KI-Stratege & AI-Act-Berater · Zum Profil