Der EU AI Act gilt seit dem 1. August 2024 – und viele Unternehmer fragen sich, ob sie jetzt handeln müssen, was ihnen droht oder ob das alles nur für Tech-Konzerne relevant ist. Das Problem: Die Rechtslage ist komplex, die Informationen oft widersprüchlich, und die meisten Erklärungen richten sich an Juristen oder Großunternehmen. Als KMU-Berater mit Schwerpunkt KI-Implementierung habe ich in den letzten Monaten mehr als 30 Betriebe durch die erste Einschätzung ihrer KI-Nutzung geführt. Das Ergebnis ist eindeutig: Die meisten kleinen Unternehmen sind weniger betroffen als gedacht – aber einige konkrete Pflichten gelten bereits jetzt, ohne Ausnahme.
Dieser Artikel liefert eine praxisnahe Übersetzung des EU AI Act für den deutschen Mittelstand: Wer ist wirklich betroffen, welche Fristen gelten, und was müssen Sie als Inhaber eines 5-bis-50-Personen-Betriebs konkret tun – heute, morgen und bis 2027.
Was ist der EU AI Act – und warum gilt er auch für KMU?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Er stuft KI-Systeme nach Risikoklassen ein und legt für jede Klasse konkrete Pflichten fest – von einfachen Transparenzhinweisen bis hin zu vollständigen Verboten. Verabschiedet vom Europäischen Parlament im Mai 2024, ist er seit dem 1. August 2024 offiziell in Kraft.
Was viele KMU-Inhaber falsch einschätzen: Die Verordnung gilt nicht nur für KI-Entwickler wie OpenAI oder Google. Sie betrifft auch jeden Betreiber und Nutzer von KI-Systemen – also potenziell jedes Unternehmen, das KI-Tools im Tagesgeschäft einsetzt. Der Umfang der Pflichten hängt dabei stark davon ab, wie KI eingesetzt wird, nicht allein wer das Unternehmen ist.
Laut einer Bitkom-Studie von 2025 nutzen bereits 42 % der deutschen KMU regelmäßig mindestens ein KI-gestütztes Werkzeug. Das bedeutet: Fast jeder zweite Mittelständler ist potenziell berührt – die meisten jedoch nur in der niedrigsten Risikoklasse mit minimalen Anforderungen.
Wer lieber hört statt liest – hier die Audio-Version dieses Artikels:
Transkript anzeigen
In dieser Episode erklärt Robert Werkier, was der EU AI Act für kleine und mittlere Unternehmen in Deutschland bedeutet. Er bespricht die vier Risikokategorien von verbotenen bis minimalen Risiken, die wichtigsten Fristen zwischen 2025 und 2027 und gibt eine konkrete Schritt-für-Schritt-Checkliste für KMU-Inhaber. Hauptthese: Die meisten KMU sind weniger betroffen als gedacht – aber zwei konkrete Pflichten gelten bereits jetzt: Chatbots als KI kennzeichnen und keine verbotenen KI-Praktiken einsetzen. Der Artikel schließt mit einem Praxisbeispiel aus einem 20-Personen-Betrieb und einem Fahrplan für die nächsten 12 Monate.
Wen betrifft der EU AI Act? Die vier Risikokategorien
Das Herzstück des EU AI Act ist ein risikobasierter Ansatz: Je gefährlicher ein KI-System potenziell ist, desto strenger die Anforderungen. Für KMU ist die entscheidende Frage nicht „Nutze ich KI?", sondern „In welche Risikoklasse fällt mein KI-Einsatz?"
Unzulässige KI-Praktiken
KI-Systeme, die gegen Grundrechte verstoßen oder Menschen manipulieren, sind vollständig verboten. Beispiele: Social-Scoring-Systeme (Bürger anhand ihres Verhaltens bewerten), unterschwellige Beeinflussung unter der Wahrnehmungsgrenze, biometrische Echtzeitüberwachung öffentlicher Räume durch Behörden. Für KMU in der Praxis: kein reguläres KMU setzt solche Systeme ein – dieser Bereich ist nicht relevant.
Hochrisiko-KI-Systeme
KI-Systeme, die in sensiblen Bereichen eingesetzt werden: Personalentscheidungen (Bewerberauswahl, Kündigung), Kreditvergabe, Bildung und Berufsausbildung, kritische Infrastrukturen, medizinische Diagnostik. Für KMU: Wer ein KI-Tool nutzt, das automatisch über Bewerber urteilt oder Kreditwürdigkeit einschätzt, fällt hier rein. Betroffen sind also vor allem HR-Software mit KI-Scoring und Finanztools mit automatischer Bonitätsbewertung.
KI-Systeme mit Transparenzpflicht
Chatbots, KI-generierte Texte, Bilder und Videos. Hier gilt: Nutzer müssen wissen, dass sie mit einer KI interagieren oder KI-generierte Inhalte vor sich haben. Für KMU: Wenn Sie einen KI-Chatbot auf Ihrer Website betreiben oder KI-generierte Inhalte veröffentlichen, ohne sie als solche zu kennzeichnen, verstoßen Sie ab August 2026 gegen die Verordnung. Die praktische Umsetzung ist simpel: ein Hinweis „Dieser Chat wird von KI unterstützt" reicht.
KI-Tools im Alltag
ChatGPT für E-Mails, Claude für Texte, DeepL für Übersetzungen, Canva AI für Grafiken – all das fällt in die Kategorie minimales Risiko. Für die überwiegende Mehrheit der KMU gilt: Sie nutzen KI intern zur Produktivitätssteigerung, und das unterliegt keinen besonderen Pflichten. Freiwillig können Sie einen Code of Practice zur ethischen KI-Nutzung einhalten – Pflicht ist er nicht.
Die EU AI Act Fristen im Überblick
Der EU AI Act tritt nicht auf einmal vollständig in Kraft, sondern gestaffelt. Für KMU ist es wichtig zu wissen, wann welche Pflicht beginnt – damit Sie nicht zu früh in teure Maßnahmen investieren, aber auch nicht zu spät reagieren.
| Datum | Was tritt in Kraft? | Relevant für KMU? |
|---|---|---|
| 1. Aug. 2024 | EU AI Act offiziell in Kraft getreten, Übergangszeiträume beginnen | Nur Kenntnis nehmen |
| 2. Feb. 2025 | Verbote für unzulässige KI-Praktiken (Social Scoring etc.) wirksam | Nein – betrifft kaum KMU |
| 2. Aug. 2025 | Regeln für GPAI-Modelle (Anbieter großer Sprachmodelle wie OpenAI, Anthropic) | Nein – betrifft KI-Anbieter, nicht Nutzer |
| 2. Aug. 2026 | Hochrisiko-KI-Pflichten + Transparenzpflichten für Chatbots und KI-Inhalte | Ja – wer Chatbots einsetzt oder KI in Personalentscheidungen nutzt |
| 2. Aug. 2027 | Vollständige Geltung der Verordnung, alle Hochrisiko-Systeme im Anhang I reguliert | Dann vollständige Compliance prüfen |
Für die meisten KMU bedeutet das: bis August 2026 besteht kein akuter Handlungsdruck – außer Sie setzen bereits jetzt Chatbots in der Kundenkommunikation ein oder nutzen KI zur automatisierten Personalauswahl. In diesen Fällen sollten Sie jetzt handeln, nicht erst kurz vor der Deadline.
Was der EU AI Act konkret für einen 20-Personen-Betrieb bedeutet
Ich begleite seit Anfang 2025 einen mittelständischen Handwerksbetrieb mit 22 Mitarbeitern aus dem Rheinland dabei, seinen KI-Einsatz systematisch einzuführen und dabei rechtskonform zu bleiben. Hier ist, wie die EU-AI-Act-Einschätzung in der Praxis aussah:
Was das Unternehmen nutzt: ChatGPT Plus für Angebotserstellung und interne Notizen, DeepL für gelegentliche Übersetzungen, ein KI-gestütztes Buchhaltungstool (DATEV mit KI-Funktionen). Auf der Website kein Chatbot, keine automatisierten Kundenkontakte.
Ergebnis der Einschätzung: Alle drei Anwendungen fallen in die Kategorie minimales Risiko. Keine besonderen Pflichten, kein Handlungsbedarf bis 2027. Einzige Empfehlung: Eine interne KI-Nutzungsrichtlinie erstellen, die regelt, welche Mitarbeiter welche Daten in welche Tools eingeben dürfen – nicht wegen des EU AI Act, sondern wegen DSGVO.
Was sich ändert, wenn das Unternehmen einen KI-Chatbot auf der Website einführt: Ab August 2026 muss ein eindeutiger Hinweis vorhanden sein, dass Nutzer mit einer KI kommunizieren. Das ist technisch trivial – ein Satz in der Chatbox-Beschriftung reicht aus. Den Vergleich der gängigen KI-Assistenten für KMU – inklusive Hinweisen zu Datenschutz und Risikoklassen – finden Sie in einem separaten Artikel.
Welche konkreten KI-Tools für KMU in den jeweiligen Risikoklassen einzuordnen sind und welche Datenschutzvereinbarungen jeweils notwendig sind, habe ich im Praxistest-Artikel ausführlich behandelt.
Schritt-für-Schritt-Compliance-Checkliste für KMU
Diese Checkliste ist keine Rechtsberatung, sondern ein pragmatischer Einstieg. Für konkrete Rechtsverbindlichkeit empfehle ich die Hinzuziehung eines auf IT-Recht spezialisierten Anwalts oder einen Blick in die offizielle Verordnung auf EUR-Lex.
Alle im Unternehmen genutzten KI-Tools auflisten – inklusive Tools in Software, die Sie sowieso nutzen (z.B. KI in Microsoft 365, DATEV, CRM-Systemen). Fragen: Welche Mitarbeiter nutzen was? Welche Daten werden eingegeben?
Für jedes KI-System die Risikoklasse einschätzen (siehe Tabelle oben). Entscheidend: Werden automatisierte Entscheidungen über Menschen getroffen? Gibt es direkten Kundenkontakt über KI? Wenn beides nein: minimales Risiko.
Wenn Sie einen KI-Chatbot auf Ihrer Website oder in der Kundenkommunikation einsetzen: Stellen Sie sicher, dass Nutzer vor oder bei Beginn der Interaktion wissen, dass sie mit einer KI kommunizieren. Ein eindeutiger Hinweis in der Benutzeroberfläche genügt.
Schriftlich festlegen: Welche KI-Tools sind für welche Zwecke freigegeben? Welche Daten dürfen in welche Tools? Besonders wichtig: Kundendaten und Mitarbeiterdaten nicht in kostenlose KI-Tools ohne Datenschutzvereinbarung eingeben. Diese Richtlinie schützt auch vor DSGVO-Verstößen – zwei Fliegen mit einer Klappe.
Nutzen Sie KI zur Unterstützung bei Bewerbungsauswahl, Leistungsbeurteilung oder Dienstplanung? Dann prüfen Sie, ob das Tool in die Hochrisiko-Kategorie fällt. Im Zweifelsfall: Hersteller direkt fragen, ob ihr Tool unter Anhang III der Verordnung fällt.
Der EU AI Act entwickelt sich noch: Delegierte Rechtsakte und Leitlinien der EU-KI-Behörde (AIDA) werden die Details präzisieren. Halten Sie Ihren KI-Einsatz dokumentiert und überprüfen Sie ihn jährlich. Das BSI bietet unter bsi.bund.de kostenfreie Orientierungshilfen für Unternehmen.
Wie KI-gestützter Content im Rahmen dieser Vorgaben planbar produziert werden kann, erkläre ich in meinem Leitfaden zum Redaktionsplan mit KI – inklusive konkreter Workflow-Vorlagen.
Starten Sie nicht mit dem Worst Case, sondern mit der Realität: Notieren Sie in 30 Minuten alle KI-Tools, die Ihr Team heute nutzt. In 90 % der Fälle werde ich Ihnen sagen: alles minimales Risiko, keine sofortigen Maßnahmen nötig. Das beruhigt – und schafft Zeit, die wirklich relevanten Themen (Datenschutz-Schulung, interne Nutzungsrichtlinie) strukturiert anzugehen.
"Wir hatten Bedenken, dass der EU AI Act für uns als kleinen Handwerksbetrieb relevant ist. Roberts Einschätzung hat in zwei Stunden für Klarheit gesorgt – und uns eine aufwändige Anwaltskonsultation gespart."
Häufige Fragen zum EU AI Act für KMU
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Er stuft KI-Systeme nach Risikoklassen ein – von verboten bis minimal – und legt für jede Klasse konkrete Pflichten fest. Er gilt seit 1. August 2024 und wird schrittweise bis 2027 vollständig wirksam.
Gilt der EU AI Act auch für KMU, die nur KI-Tools nutzen?
Ja, aber der Umfang der Pflichten ist für reine KI-Nutzer deutlich geringer als für KI-Entwickler. Die wichtigste Pflicht für die meisten KMU: Transparenz gegenüber Kunden, wenn KI im direkten Kontakt eingesetzt wird – besonders bei Chatbots. Wer KI nur intern nutzt, hat kaum besondere Pflichten.
Ab wann müssen KMU den EU AI Act erfüllen?
Die ersten Verbote (z.B. Social Scoring) gelten seit 2. Februar 2025. Transparenzpflichten für Chatbots und KI-generierte Inhalte gelten ab 2. August 2026. Hochrisiko-KI-Pflichten (z.B. KI in Personalentscheidungen) ebenfalls ab 2. August 2026. Die vollständige Verordnung gilt ab 2. August 2027.
Was passiert, wenn KMU den EU AI Act nicht einhalten?
Die Bußgelder sind gestaffelt: Verbotene KI-Praktiken können mit bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes geahndet werden. Für fehlerhafte Dokumentation bei Hochrisiko-KI drohen bis zu 15 Mio. € oder 3 % des Umsatzes. Für KMU sind niedrigere Obergrenzen vorgesehen – die Verhältnismäßigkeit wird ausdrücklich berücksichtigt.
Ist der Einsatz von ChatGPT oder Claude im KMU erlaubt?
Ja. Die Nutzung gängiger KI-Assistenten wie ChatGPT, Claude oder Copilot fällt in der Regel in die Kategorie minimales Risiko – hier gelten keine besonderen Pflichten. Einzige Ausnahme: Wenn der Assistent direkten Kundenkontakt hat (z.B. als Chatbot auf der Website), muss er ab August 2026 als KI kenntlich gemacht werden. Ein entsprechender Hinweis in der Benutzeroberfläche genügt.
EU AI Act Compliance für KMU: Risikokategorien, Fristen und die 6-Schritte-Checkliste kompakt zusammengefasst – zum Speichern, Ausdrucken oder im Team teilen.
PDF herunterladen"Endlich eine verständliche Erklärung ohne Juristendeutsch. Die Checkliste hat mir in einer Stunde Klarheit verschafft, die ich monatelang gesucht hatte." – Markus F., Geschäftsführer, Metallverarbeitungsbetrieb, NRW
Prüfen Sie Ihren nächsten KI- und Sichtbarkeits-Schritt direkt im Browser
Nutzen Sie die kostenlosen KMU-Tools von KI-Content Partner: KI-Prüfbedarfs-Check, Wachstums-Radar, SEO Suite und Wettbewerbs-Check. Ohne Account, ohne Vorbereitung und mit sofort nutzbaren Ergebnissen.
KI-Einsatz im Unternehmen rechtssicher planen?
Ich helfe KMU dabei, KI-Tools DSGVO- und EU-AI-Act-konform einzuführen – und produziere parallel KI-gestützten Content, der Sichtbarkeit schafft. Monatlich planbar. Ab 590 €/Monat.
Kostenloses Erstgespräch sichern