Zum Inhalt springen
22+ Projekte erfolgreich umgesetzt 5,0★ Google Bewertung · Norddeutschland Kostenlose Erstberatung →
EU AI Act Compliance KMU DSGVO KI Regulation

EU AI Act 2026: Was KMU jetzt tun müssen — Risiko-Klassifizierung + Pflichten-Check

EU AI Act tritt 2026 stufenweise in Kraft. Was bedeutet das konkret für KMU? Risiko-Klassen, Pflichten, Bußgelder, Compliance-Checkliste.

Ronni Wordel
6 Min. Lesezeit
EU AI Act 2026: Was KMU jetzt tun müssen — Risiko-Klassifizierung + Pflichten-Check

Der EU AI Act ist die weltweit erste umfassende KI-Regulierung — und sie betrifft auch KMU. Ab Februar 2025 sind erste Verbote in Kraft, ab August 2026 greifen die Pflichten für General-Purpose-AI-Modelle, ab August 2027 die volle Anwendbarkeit auf Hochrisiko-Anwendungen. Dieser Artikel zeigt: Wer ist betroffen, was sind die Pflichten, wie hoch sind die Bußgelder, und welche Compliance-Schritte sollte ein KMU jetzt unternehmen.

Der zeitliche Stufenplan

DatumWas tritt in Kraft
2. Februar 2025Verbote von KI-Praktiken (Social Scoring, manipulative KI, biometrische Identifikation)
2. August 2025Pflichten für Anbieter von General-Purpose-AI (GPAI) wie OpenAI, Anthropic, Google
2. August 2026Pflichten für Hochrisiko-KI-Systeme aus Anhang III (z.B. Bewerbungs-KI, Kreditscoring)
2. August 2027Volle Anwendbarkeit auf Hochrisiko-Systeme aus Anhang I (Medizinprodukte, Spielzeug, Aufzüge mit KI)

Stand 14. Mai 2026: Wir sind in der Übergangs-Phase. Verbote sind aktiv, GPAI-Pflichten gelten seit August 2025, Hochrisiko-Pflichten sind in 3 Monaten fällig.

Die 4 Risiko-Klassen

Der EU AI Act klassifiziert KI-Systeme nach Risiko. Je höher das Risiko, desto strenger die Pflichten.

1. Unannehmbares Risiko — VERBOTEN

Diese Systeme dürfen in der EU nicht angeboten werden:

  • Social Scoring (wie in China)
  • Manipulative KI (subliminal beeinflussend)
  • Echtzeit-Biometrie im öffentlichen Raum (mit wenigen Ausnahmen für Strafverfolgung)
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen

KMU-Relevanz: Faktisch keine. KMU bauen solche Systeme typisch nicht.

2. Hochrisiko — STRENG REGULIERT

Systeme aus Anhang III des AI Acts. Dazu zählen:

  • KI in der Personalauswahl (CV-Screening, Bewerbungs-Bewertung)
  • Kreditscoring und Kreditwürdigkeitsprüfung
  • KI im Bildungsbereich (Prüfungsbewertung, Zulassungsverfahren)
  • KI in kritischen Infrastrukturen (Strom, Wasser, Verkehr)
  • KI in der Strafrechtspflege und Migrationsverwaltung

KMU-Relevanz: Hoch, wenn Sie HR-Software mit KI-Komponente nutzen, im Finanzdienstleistungssektor sind, oder Bildungsangebote mit KI-Bewertung anbieten.

Pflichten bei Hochrisiko:

  • Risikomanagement-System
  • Daten-Governance + Qualitätsprüfung
  • Technische Dokumentation
  • Aufzeichnungspflichten (Logging)
  • Transparenz + Information an Nutzer
  • Menschliche Aufsicht (Human-in-the-Loop)
  • Genauigkeit + Robustheit + Cybersicherheit
  • Konformitätsbewertung + CE-Kennzeichnung

3. Begrenztes Risiko — TRANSPARENZ-PFLICHTEN

  • Chatbots (Nutzer müssen wissen, dass sie mit KI sprechen)
  • Generative KI (Deepfake-Kennzeichnung)
  • Emotionserkennung außerhalb Arbeit/Bildung

KMU-Relevanz: DIES IST DIE HAUPTKATEGORIE FÜR DIE MEISTEN KMU. Wer einen ChatGPT-basierten Chatbot auf der Website hat, einen KI-Termin-Bot nutzt oder generative KI für Bilder einsetzt, fällt hierunter.

Pflichten:

  • Klare Kennzeichnung: „Sie chatten mit einer KI” oder „Dieses Bild wurde mit KI generiert”
  • Transparenz: Welcher Anbieter, welches Modell, welche Daten verarbeitet?
  • Bei generativer KI: Inhalte müssen technisch als KI-erzeugt markierbar sein (Watermarking, soweit möglich)

4. Minimales Risiko — KEINE PFLICHTEN

  • Spam-Filter
  • KI in Videospielen
  • KI in Empfehlungs-Algorithmen ohne hohe Personalisierung

KMU-Relevanz: Falls Sie nur einfache KI-Tools nutzen (z.B. Grammatik-Korrektur, Übersetzung), gibt es keine spezifischen Pflichten — DSGVO bleibt aber relevant.

Bußgelder — Was kostet ein Verstoß?

Verstoß-ArtMaximale Strafe
Verbotene KI-Praktikenbis 35 Mio. € oder 7 % Jahresumsatz
Pflichtverletzung bei Hochrisiko-Systemenbis 15 Mio. € oder 3 % Jahresumsatz
Falsche Informationenbis 7,5 Mio. € oder 1 % Jahresumsatz

KMU-spezifisch: Bußgelder werden in „Promille des Jahresumsatzes” berechnet — kleinere Unternehmen werden also nicht in Millionenhöhe abgestraft, aber 30k € bei 10M Umsatz ist schon empfindlich.

Compliance-Checkliste für KMU

Schritt 1: KI-Inventar erstellen

Welche KI-Systeme nutzen Sie? Liste mit:

  • Name (z.B. „ChatGPT-Plus”, „GitHub Copilot”)
  • Zweck (z.B. „Customer-Support-Chatbot”, „Code-Generierung”)
  • Risiko-Klasse (siehe oben)
  • Anbieter + EU-Datenresidenz
  • Datentyp (PII? Sensible Daten?)

Schritt 2: Risiko-Klassifizierung pro System

Pro KI-System einordnen: Begrenztes Risiko (häufigster Fall) → Hochrisiko (selten, aber teuer) → Verboten (sehr selten).

Schritt 3: Pflichten ableiten

Für jedes Begrenztes-Risiko-System: Transparenz-Kennzeichnung umsetzen. Beispiele:

  • Chatbot: „Hallo! Ich bin ein KI-Assistent. Bei komplexen Fragen leite ich dich an einen Menschen weiter.”
  • Generierte Bilder: „Dieses Bild wurde mit KI erstellt.”
  • E-Mail-Generator: „Diese Antwort wurde mit Unterstützung von KI erstellt.”

Schritt 4: Datenschutz-Folgenabschätzung (DSFA) — wenn nötig

Bei sensiblen Daten + KI-Verarbeitung: DSFA gemäß Art. 35 DSGVO. EU AI Act + DSGVO überlappen hier.

Schritt 5: Verträge mit KI-Anbietern prüfen

  • AVV (Auftragsverarbeitungsvertrag) vorhanden?
  • EU-Datenresidenz garantiert?
  • Schulungs-Daten-Nutzung deaktiviert? (Bei ChatGPT Enterprise + Claude API ist das Standard)
  • Audit-Rechte bei Provider?

Schritt 6: Mitarbeiter-Schulung

Ab Februar 2025 gilt: Mitarbeiter, die KI-Systeme einsetzen oder nutzen, müssen geschult sein. Dokumentierte EU-AI-Act-Schulung ist Pflicht. Bei webAION bieten wir Halbtags-Workshops an (790 € pauschal).

Schritt 7: Audit-Trail dokumentieren

Bei Hochrisiko: Logging aller KI-Entscheidungen. Bei Begrenztes-Risiko: Nachweis der Transparenz-Kennzeichnung.

Konkrete Beispiele für KMU

Beispiel 1: Handwerksbetrieb mit ChatGPT-Chatbot auf Website

  • Risiko-Klasse: Begrenztes Risiko
  • Pflichten: Klare Kennzeichnung „KI-Assistent”, Datenschutzerklärung erweitern, AVV mit OpenAI
  • Aufwand: 2-4 Stunden Setup

Beispiel 2: Personalberatung mit KI-CV-Screening

  • Risiko-Klasse: Hochrisiko (Anhang III)
  • Pflichten: Volle Compliance — Risikomanagement, Doku, Human-in-the-Loop, CE-Kennzeichnung
  • Aufwand: 4-12 Wochen Setup + laufende Dokumentation

Beispiel 3: Marketing-Agentur mit KI-Bildgenerierung (Midjourney, DALL·E)

  • Risiko-Klasse: Begrenztes Risiko
  • Pflichten: Kunden-Bilder als „KI-generiert” kennzeichnen
  • Aufwand: Workflow-Anpassung in Auslieferungs-Pipeline

Beispiel 4: KMU mit GitHub Copilot für Programmierer

  • Risiko-Klasse: Minimales Risiko (intern, kein Kundenbezug)
  • Pflichten: Keine spezifischen EU-AI-Act-Pflichten. Aber: Geschäftsgeheimnisse + GitHub Copilot Pro/Enterprise wegen Quellcode-Vertraulichkeit.

Was tun, wenn ich nicht weiß, in welche Klasse mein System fällt?

In einem EU-AI-Act-Audit (1.490 € einmalig, im KI-Kickstart-Tarif integriert) klassifizieren wir alle KI-Systeme Ihres Unternehmens, dokumentieren die Pflichten und liefern eine Compliance-Roadmap mit konkreten To-Dos.

Fazit

Der EU AI Act ist keine theoretische Bedrohung — er ist seit Februar 2025 schrittweise live. Für KMU gilt:

  1. Inventar erstellen (welche KI-Systeme nutze ich?)
  2. Risiko klassifizieren (meistens „Begrenztes Risiko” bei KMU)
  3. Transparenz umsetzen (Kennzeichnung von KI-Output)
  4. Verträge prüfen (AVV, EU-Residenz)
  5. Mitarbeiter schulen (dokumentierter Workshop)

Wer das jetzt vorbereitet, hat bis zur vollen Anwendbarkeit (August 2027) ausreichend Puffer. Wer wartet, riskiert Bußgelder und im schlimmsten Fall ein Verkaufsverbot.

Konkreter Einstieg: KI-Audit (490 € einmalig) — wir klassifizieren Ihre Systeme, dokumentieren die DSGVO + EU-AI-Act-Pflichten und liefern eine Roadmap. Oder direkt der KI-Workshop (790 €) für Ihr Team — inkl. EU-AI-Act-Teilnahmebestätigung für die Pflicht-Schulung.

Verwandte Themen

KI im eigenen Unternehmen einsetzen?

Multi-Provider-KI mit Claude, Gemini, ChatGPT und n8n — DSGVO-konform und pragmatisch. Im kostenlosen 15-Minuten-Erstgespräch klären wir, was sich für dich rechnet.

KI-Erstgespräch (kostenlos) KI-Pakete & Preise

Das könnte Sie auch interessieren

ChatGPT vs. Claude vs. Gemini: Welches KI-Modell für welche Aufgabe?

ChatGPT, Claude oder Gemini? Ein Decision-Tree mit acht typischen KMU-Aufgaben, dazu eine DSGVO-Uebersicht, welche Modelle für sensible Daten geeignet sind.

Mehr lesen

KI DSGVO-konform im Unternehmen einsetzen: Der komplette Leitfaden

KI im Unternehmen einführen und DSGVO-konform bleiben: Self-Hosted vs. EU-Cloud, rechtliche Pflichten, technische Maßnahmen und praktische Checkliste.

Mehr lesen

n8n vs. Make: Welches Automatisierungs-Tool passt für KMU?

n8n self-hosted vs. Make.com im ehrlichen Vergleich: DSGVO, Kosten bei 100.000 Operations, Workflow-Komplexität und Setup-Aufwand. Konkrete Empfehlung pro Use-Case.

Mehr lesen