EU AI Act für KMU — Pflicht-Guide 2026

Der EU AI Act (Verordnung (EU) 2024/1689 vom 13. Juni 2024) ist die weltweit erste umfassende gesetzliche Regulierung künstlicher Intelligenz. Er verpflichtet alle Unternehmen, die KI-Systeme in der EU einsetzen, entwickeln oder vermarkten — unabhängig von ihrer Größe oder ihrem Sitz. Das bedeutet: Auch ein Handwerksbetrieb mit 12 Mitarbeitenden in Kempten unterliegt dem EU AI Act, wenn er KI-Tools nutzt. Definition (direkt, Art. 3 EU AI Act): Ein KI-System ist ein maschinengestütztes System, das aus einer Reihe von Eingaben Ausgaben wie Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte erzeugt, die physische oder virtuelle Umgebungen beeinflussen können. In der Praxis bedeutet das: ChatGPT, KI-Chatbots auf der eigenen Website, automatisierte Bewerbungsfilter, KI-gestützte Kreditprüfungen und smarte Videoüberwachung fallen alle unter diese Definition. Wer ist betroffen? Laut Art. 2 EU AI Act gilt die Verordnung für: — Anbieter (Hersteller/Entwickler von KI-Systemen, auch in Drittstaaten wenn das System in der EU genutzt wird) — Betreiber (Unternehmen, die KI-Systeme im eigenen Betrieb einsetzen — das ist die Mehrheit der KMU) — Einführer und Händler von KI-Systemen — Betroffene Personen (nicht zur Compliance verpflichtet, aber als Schutzobjekt definiert) Laut einer Bitkom-Studie von 2025 wissen 64 % der deutschen KMU nicht, dass sie vom EU AI Act betroffen sind. Dabei nutzen laut Statista (2025) bereits 47 % der mittelständischen Unternehmen in Deutschland mindestens ein KI-Tool im operativen Betrieb — von KI-Chatbots über automatisierte Buchhaltungssoftware bis hin zu KI-gestützten HR-Tools. Besonders kritisch: Die Verordnung unterscheidet nicht nach Unternehmensgröße. Ein Startup mit 3 Personen, das einen Hochrisiko-KI-Classifier für Bewerbungen einsetzt, hat dieselben Compliance-Pflichten wie ein Konzern. Die Anforderungen staffeln sich ausschließlich nach dem Risiko des KI-Systems, nicht nach der Größe des Unternehmens. Warum ist der EU AI Act jetzt relevant? Das Gesetz tritt schrittweise in Kraft. Die erste große Welle kam am 02. Februar 2025 mit den Verboten für unakzeptables Risiko. Am 02. August 2026 greifen die zentralen Hochrisiko-Pflichten — das ist der Stichtag, auf den sich Mittelstandsunternehmen heute vorbereiten müssen. Laut EU-Kommission (2025) sind schätzungsweise 15.000 KMU in Deutschland von den Hochrisiko-Anforderungen direkt betroffen. Das ZEW (Leibniz-Zentrum für Europäische Wirtschaftsforschung) schätzt in einer Studie von 2024, dass die einmaligen Compliance-Kosten für ein mittelständisches Unternehmen zwischen 50.000 und 400.000 EUR liegen können, je nach Anzahl und Risikoklasse der eingesetzten KI-Systeme. Frühzeitige Vorbereitung spart erhebliche Kosten — wer erst 2026 anfängt, zahlt drauf.

Das Herzstück des EU AI Act ist ein risikobasierter Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte und Sicherheit, desto strenger die Anforderungen. Es gibt vier Risikoklassen. 1. Unakzeptables Risiko (Verbotene KI-Systeme) — Art. 5 EU AI Act Diese KI-Systeme sind seit 02. Februar 2025 verboten. Kein Unternehmen darf sie einsetzen: — Soziales Scoring durch staatliche Stellen (wie in China bekannt) — Biometrische Echtzeitüberwachung in öffentlichen Räumen durch Behörden (mit engen Ausnahmen) — Unterschwellige Manipulation von Verhalten, die Menschen schädigt — Ausnutzung von Schwächen (Alter, Behinderung) zur Verhaltensbeeinflussung — Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (mit wenigen Ausnahmen) — KI-Systeme zur Profilerstellung von Personen auf Basis geschützter Merkmale Für KMU besonders relevant: Wer KI-gestützte Stimmungs- oder Emotionsanalyse bei Mitarbeitenden einsetzt, muss diese sofort abschalten. 2. Hochrisiko-KI-Systeme — Art. 6, Anhang III EU AI Act Hochrisiko-Systeme dürfen weiterhin eingesetzt werden, unterliegen aber strengen Anforderungen. Sie sind in Anhang III des AI Act gelistet. Relevante Hochrisiko-Bereiche für KMU: — HR und Personalwesen: Systeme zur automatischen Bewerbervorauswahl, KI-Performancebewertungen, Gehaltsempfehlungs-KI. Betrifft jeden Mittelständler, der KI in der Personalarbeit einsetzt. — Kreditvergabe: KI-gestützte Bonitätsprüfungen und Kreditscoring. Relevant für Fintechs und Unternehmen mit KI-Finanztools. — Bildung und Ausbildung: KI-Systeme zur Bewertung von Lernenden oder Zugangsentscheidungen. Relevant für Schulungsunternehmen. — Sicherheitskritische Infrastruktur: KI in Wasserversorgung, Energie, Verkehr. — Justiz und Verwaltung: KI zur Entscheidungsunterstützung in Rechtsverfahren. — Biometrische Kategorisierung: Systeme, die Personen nach Merkmalen wie Rasse, Nationalität, politische Meinungen kategorisieren. Pflichten für Hochrisiko-Betreiber: Technische Dokumentation erstellen, Konformitätsbewertung durchführen, CE-Kennzeichnung anbringen (bei Anbietern), Risikomanagement-System implementieren, Transparenz gegenüber Nutzern sicherstellen, menschliche Aufsicht gewährleisten, Vorfallmeldepflicht bei schwerwiegenden Vorfällen. 3. Begrenzte Risiko-KI-Systeme — Art. 50 EU AI Act Diese Klasse umfasst KI-Systeme mit geringem, aber vorhandenem Täuschungspotenzial. Die Hauptpflicht ist Transparenz: — Chatbots müssen offenlegen, dass der Nutzer mit einer KI kommuniziert — Deepfakes und synthetische Medien müssen als KI-generiert gekennzeichnet werden — KI-generierte Texte mit Informationscharakter (News, Behördenkommunikation) müssen markiert sein Für die meisten KMU ist das die relevanteste Klasse: Wer einen KI-Chatbot auf der Website einsetzt, muss sicherstellen, dass Nutzer wissen, dass sie mit einer KI reden. Das ist einfach umzusetzen, wird aber bereits jetzt von der Aufsichtsbehörde überprüft. 4. Minimales Risiko — keine spezifischen Pflichten Der größte Teil aller KI-Anwendungen fällt in diese Kategorie: Spam-Filter, KI-Spielfiguren, einfache Bildbearbeitungs-KI, Empfehlungsalgorithmen ohne kritischen Kontext. Hier gibt es keine Compliance-Pflichten — nur freiwillige Verhaltenskodizes. Praxisregel für KMU: Prüfen Sie zuerst, ob Sie KI in den Bereichen HR, Kredit, Bildung oder kritische Infrastruktur einsetzen. Wenn ja, sind Sie wahrscheinlich im Hochrisikobereich. Nutzen Sie KI nur für Marketing, Kundensupport oder Textgenerierung, sind Sie meist im Bereich begrenztes oder minimales Risiko.

Der EU AI Act tritt gestaffelt in Kraft. Die wichtigsten Daten für Ihr Unternehmen im Überblick: 01. August 2024 — Inkrafttreten Die Verordnung (EU) 2024/1689 ist am 01. August 2024 in Kraft getreten. Damit begann die offizielle Umsetzungsfrist. 02. Februar 2025 — Verbote für unakzeptables Risiko gelten Seit dem 02. Februar 2025 (6 Monate nach Inkrafttreten) sind alle in Art. 5 gelisteten verbotenen KI-Praktiken illegal. Unternehmen, die noch Systeme mit unakzeptablem Risiko betreiben — etwa Emotionserkennung am Arbeitsplatz oder manipulative KI-Werbung — handeln seit diesem Datum rechtswidrig und riskieren unmittelbare Bußgelder. 02. August 2025 — GPAI-Pflichten und Behördenstruktur Ab dem 02. August 2025 (12 Monate nach Inkrafttreten) gelten die Regelungen für KI-Allzweckmodelle (General Purpose AI, GPAI) wie GPT-4, Claude oder Gemini. Anbieter dieser Modelle müssen technische Dokumentation bereitstellen, Urheberrechtsrichtlinien veröffentlichen und bei systemischen Risiken weitere Sicherheitsmaßnahmen ergreifen. Für KMU als Nutzer dieser Modelle bedeutet das: Sie dürfen nur noch GPAI-Modelle von Anbietern einsetzen, die die neuen Compliance-Anforderungen erfüllen. Nicht-konforme LLMs sind ab diesem Datum mit Vorsicht zu nutzen. Gleichzeitig werden die nationalen Marktüberwachungsbehörden operativ. 02. August 2026 — Der kritische Stichtag für die meisten KMU Ab dem 02. August 2026 (24 Monate nach Inkrafttreten) gelten alle Anforderungen des EU AI Act vollständig — inklusive der umfangreichen Hochrisiko-Pflichten aus Art. 6 ff. Für Betreiber von Hochrisiko-KI-Systemen bedeutet das: — Vollständige technische Dokumentation muss vorliegen — Konformitätsbewertung muss abgeschlossen sein — Risikomanagement-System muss implementiert und dokumentiert sein — Menschliche Aufsicht muss institutionell verankert sein — Transparenz- und Informationspflichten gegenüber Nutzern müssen erfüllt sein — Meldepflichten bei Vorfällen bei der nationalen Behörde müssen etabliert sein Wichtig: Für Hochrisiko-Systeme in bereits regulierten Bereichen (CE-Kennzeichnung nach anderen Richtlinien) gilt eine verlängerte Übergangsfrist bis 02. August 2027. 02. August 2027 — Letzte Übergangsfrist Bis zum 02. August 2027 haben Anbieter und Betreiber von Hochrisiko-KI-Systemen, die bereits CE-Kennzeichnungsverfahren nach anderen Harmonisierungsrichtlinien unterliegen (z. B. Medizinprodukte, Fahrzeuge), Zeit, die neuen AI-Act-Anforderungen zu erfüllen. Für alle anderen: Vollständige Compliance war bereits ab August 2026 Pflicht. Handlungsempfehlung für KMU: Beginnen Sie jetzt mit dem KI-Inventar (Welche KI-Tools setze ich ein?), der Risikoklassifizierung und dem Aufbau der Compliance-Dokumentation. Wer im Frühjahr 2026 erst anfängt, kann den August-Stichtag realistischerweise nicht sauber einhalten.

Der EU AI Act sieht eines der strengsten Bußgeldsysteme im europäischen Wirtschaftsrecht vor. Die Bußgelder staffeln sich nach Art und Schwere des Verstoßes (Art. 99 EU AI Act): Höchste Stufe: Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes Dieser Bußgeldrahmen gilt bei Verstößen gegen die Verbote des Art. 5 (verbotene KI-Praktiken) sowie bei schwerwiegenden Verstößen gegen die Datenschutzanforderungen des AI Act. Für ein KMU mit 10 Mio. EUR Jahresumsatz bedeutet das: Bußgelder bis zu 700.000 EUR sind möglich — bereits bei einem einzigen nachgewiesenen Verstoß. Mittlere Stufe: Bis zu 15 Mio. EUR oder 3 % des Jahresumsatzes Dieser Rahmen gilt für Verstöße gegen die Hochrisiko-Anforderungen (fehlendes Risikomanagement, fehlende Dokumentation, nicht erfüllte Transparenzpflichten). Das ist der Bereich, der die meisten KMU treffen wird. Niedrigste Stufe: Bis zu 7,5 Mio. EUR oder 1 % des Jahresumsatzes Für falsche oder irreführende Informationen gegenüber Behörden, etwa bei der Konformitätsbewertung. Sonderregel für KMU und Startups: Art. 99 Abs. 6 EU AI Act sieht vor, dass bei der Bußgeldbemessung die Verhältnismäßigkeit berücksichtigt wird und für KMU sowie Startups das jeweils niedrigere der beiden Werte (absolute Obergrenze oder prozentualer Umsatzanteil) gilt. Das ist ein gewisses Schutzpolster — aber kein Freifahrtschein. Private Schadensersatzklagen: Zusätzlich zu Behördenbußgeldern können betroffene Personen nach Art. 82 DSGVO (und zukünftig nach nationalem KI-Haftungsrecht) Schadensersatz geltend machen. Das EU AI Liability Act (noch in Vorbereitung, Stand Mai 2026) wird diese Klagemöglichkeiten weiter ausbauen. Behördliche Durchsetzung: Jeder EU-Mitgliedstaat muss eine nationale Marktüberwachungsbehörde für KI benennen. In Deutschland wird voraussichtlich die Bundesnetzagentur diese Rolle übernehmen (Entscheidung im Bundesministerium für Digitales und Verkehr erwartet). Die Behörde erhält umfangreiche Untersuchungs- und Durchsetzungsbefugnisse — inklusive unangemeldeter Audits. Reputationsschaden: Neben finanziellen Sanktionen droht bei AI-Act-Verstößen erheblicher Reputationsschaden. Der EU AI Act sieht eine europäische Datenbank vor, in der Hochrisiko-Systeme und Vorfälle öffentlich zugänglich sind. Ein Eintrag wegen Compliance-Verstoßes ist für B2B-Unternehmen geschäftsschädigend.

Der Weg zur EU-AI-Act-Compliance ist kein einmaliges Projekt, sondern ein strukturierter Prozess. Hier ist ein bewährter 6-Phasen-Ansatz für mittelständische Unternehmen: Phase 1: KI-Inventar erstellen (Woche 1–2) Beginnen Sie mit einer vollständigen Bestandsaufnahme aller eingesetzten KI-Systeme. Das klingt trivial, ist es aber nicht: Viele KMU unterschätzen die Anzahl der KI-Tools im Einsatz. Typische blinde Flecken sind KI-Funktionen in Standard-Software (z. B. KI-Scoring in HubSpot, KI-Schreibhilfe in Microsoft 365, automatisierte Priorisierung im Helpdesk-System). Erstellen Sie eine Tabelle mit: Tool-Name, Anbieter, Einsatzzweck, betroffene Abteilung, Anzahl betroffener Personen und vorläufige Risikokategorie. Laut einer McKinsey-Erhebung (2024) haben 73 % der Unternehmen, die sich als „wenig KI-intensiv” einschätzen, nach einem systematischen Inventar mehr als 15 einzelne KI-Funktionen identifiziert. Phase 2: Risikoklassifizierung (Woche 3–4) Klassifizieren Sie jedes identifizierte KI-System nach den vier Risikoklassen des EU AI Act. Arbeiten Sie dabei mit dem konkreten Text von Anhang III der Verordnung und den Leitlinien der EU-Kommission (aktueller Stand: Delegierter Rechtsakt zu Hochrisiko-Systemen, Oktober 2024). Für Unklarheiten bei der Einordnung empfiehlt sich die Konsultation eines auf KI-Recht spezialisierten Anwalts. Phase 3: Gap-Analyse und Prioritäten setzen (Woche 5–6) Für jedes Hochrisiko-System: Prüfen Sie den aktuellen Compliance-Status gegen die Anforderungen des Art. 9–15 EU AI Act. Typische Lücken in KMU: — Keine Technische Dokumentation vorhanden — Kein formales Risikomanagement-System — Keine definierte Verantwortlichkeit (AI Officer oder vergleichbar) — Keine Nutzer-Transparenz-Dokumentation — Keine definierten Eskalationsprozesse bei KI-Fehlern Phase 4: Technische und organisatorische Maßnahmen umsetzen (Monate 2–5) Umsetzen der identifizierten Maßnahmen nach Priorität. Praxiserprobte Sofortmaßnahmen: — AI Governance Policy: Interne Richtlinie für den KI-Einsatz (Vorlage verfügbar bei Wito AI) — AI Officer bestimmen: Mindestens eine Person in der Führungsebene, die Compliance-Verantwortung trägt — Technische Dokumentation: Für jedes Hochrisiko-System die vom AI Act geforderte Dokumentation erstellen — Menschliche Aufsichtsprozesse: Definieren, wie und von wem KI-Entscheidungen überprüft werden — Transparenzhinweise: Alle Nutzer-Touchpoints mit KI kennzeichnen Phase 5: Konformitätsbewertung (Monat 5–6) Für Hochrisiko-Systeme, die Sie selbst entwickeln oder signifikant modifizieren: Formale Konformitätsbewertung nach Art. 43 EU AI Act durchführen (in vielen Fällen als Selbstbewertung möglich). Für Hochrisiko-Systeme, die Sie als Betreiber nur einsetzen: Prüfen Sie die Konformitätserklärung des Anbieters und stellen Sie sicher, dass der Anbieter nach Art. 16 EU AI Act konform ist. Phase 6: Laufendes Monitoring und Vorfallmanagement (ab Monat 7) Compliance ist kein einmaliges Projekt. Implementieren Sie: — Jährliches KI-Inventar-Review — Protokollierung von KI-Entscheidungen (soweit technisch möglich) — Eskalationsprozess für KI-Vorfälle mit Meldekette zur zukünftigen nationalen Behörde — Regelmäßige Schulungen für Mitarbeitende, die KI-Systeme bedienen — Update-Tracking: Der AI Act wird durch delegierte Rechtsakte weiterentwickelt Typischer Aufwand für ein mittelständisches Unternehmen: Laut Bundesverband IT-Mittelstand (BITMi, 2025) benötigen KMU mit 50–249 Mitarbeitenden im Schnitt 120–280 Stunden für die erstmalige Compliance-Dokumentation. Mit externer Unterstützung reduziert sich dieser Aufwand auf 40–80 Stunden.

Viele KMU fragen: "Wir sind doch schon DSGVO-konform — reicht das nicht?" Die klare Antwort: Nein. DSGVO und EU AI Act sind komplementäre, aber eigenständige Regelwerke mit unterschiedlichem Fokus. DSGVO (seit 2018): Regelt den Schutz personenbezogener Daten. Fokus auf Datensparsamkeit, Zweckbindung, Betroffenenrechte (Auskunft, Löschung, Widerspruch). Gilt für jeden Verarbeitungsvorgang personenbezogener Daten — mit oder ohne KI. EU AI Act (ab 2025/2026): Regelt den Einsatz von KI-Systemen nach ihrem Risikoniveau. Fokus auf Transparenz, menschliche Aufsicht, Dokumentation und Konformitätsbewertung. Gilt für KI-Systeme — auch wenn sie keine personenbezogenen Daten verarbeiten. Überschneidungen: Bei KI-Systemen, die personenbezogene Daten verarbeiten, gelten BEIDE Regelwerke gleichzeitig. Ein KI-HR-Tool zur Bewerberauswahl ist gleichzeitig DSGVO-relevant (Verarbeitung von Bewerberdaten) und AI-Act-relevant (Hochrisiko-Klassifikation). Compliance-Pflichten addieren sich, sie ersetzen sich nicht. Wichtige Unterschiede im Überblick: — DSGVO gilt für alle Datenverarbeitungen, AI Act nur für KI-Systeme — DSGVO hat keinen produktspezifischen Ansatz, AI Act ist produktbezogen — Bußgelder DSGVO: bis 4 % Jahresumsatz global; AI Act: bis 7 % (verbotene Praktiken) bzw. 3 % (Hochrisiko) — DSGVO-Verantwortlichkeit liegt beim Datenverantwortlichen, AI Act differenziert zwischen Anbieter und Betreiber Praxistipp: Nutzen Sie Ihre bestehende DSGVO-Dokumentation als Grundlage. Viele Elemente — Datenschutz-Folgenabschätzung (DSFA), Verarbeitungsverzeichnis, technische Sicherheitsmaßnahmen — lassen sich für den AI Act wiederverwenden und ergänzen, anstatt von Null anzufangen.

Wito AI ist eine Full-Service Digital- und KI-Agentur mit Schwerpunkt Mittelstand. Wir begleiten KMU durch alle sechs Compliance-Phasen — von der ersten Bestandsaufnahme bis zum laufenden Monitoring. Was wir konkret liefern: — Kostenloser Digitalisierungs-Check: Unser webbasiertes Assessment (ass.wito.ai) identifiziert in 3 Minuten Ihre aktuelle KI-Nutzung und gibt eine erste Einschätzung der AI-Act-Relevanz. 100 % kostenlos, keine Registrierung erforderlich. — KI-Inventar und Risikoklassifizierung: Wir erstellen gemeinsam mit Ihnen eine vollständige Liste aller KI-Systeme und klassifizieren sie nach EU AI Act. — Compliance-Dokumentation: Technische Dokumentationen, AI Governance Policy, Risikomanagement-System nach Art. 9 EU AI Act — alles aus einer Hand. — Schulungen für Ihr Team: Praxisnahe Workshops zu EU AI Act Grundlagen, Risikoklassifizierung und laufender Compliance-Pflege. — Laufendes CDOaaS-Modell: Als externer Chief Digital Officer begleiten wir Ihr Unternehmen dauerhaft und halten Ihre Compliance bei regulatorischen Änderungen aktuell. Warum Wito AI? Wir kombinieren technisches KI-Know-how mit rechtlichem Compliance-Verständnis. Unser Team hat selbst bereits mehr als 40 mittelständische Unternehmen durch DSGVO- und KI-Compliance begleitet. Wir sprechen kein Juristendeutsch — wir übersetzen regulatorische Anforderungen in pragmatische Unternehmensmaßnahmen. Mit dem CDOaaS-Modell ab 990 EUR/Monat erhalten kleine und mittlere Unternehmen einen externen Experten, der Compliance als Dauerthema behandelt — nicht als einmaliges Projekt.