EU AI Act für KMU — was 2026 wirklich gilt
EU AI Act für KMU: was 2026 wirklich gilt
Welche Pflichten kommen ab August 2026 auf den deutschen Mittelstand zu? Eine praxisnahe Einordnung ohne Juristen-Deutsch.
Der EU AI Act (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft. Die meisten Pflichten für Unternehmen greifen jedoch erst ab August 2026, und werden bis 2027 schrittweise erweitert. Diese Seite erklärt, was für KMU im DACH-Raum konkret gilt, welche Tools welcher Risikoklasse zugeordnet sind und mit welchen drei Schritten Sie sich praktisch vorbereiten.
Die vier Risikoklassen des AI Act
1. Verbotene KI-Praktiken
Social Scoring durch Behörden, ungezielte Gesichtserkennung im öffentlichen Raum, manipulative Systeme. Bereits seit Februar 2025 untersagt, keine wesentliche Relevanz für typische KMU-Anwendungen.
2. Hochrisiko-KI
KI im HR (z. B. Bewerber-Screening), in der Bonitätsprüfung, in kritischer Infrastruktur, in medizinischen Geräten. Ab August 2026: Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht, Logging.
3. Begrenztes Risiko (Transparenzpflicht)
Chatbots, Deepfakes, KI-generierte Inhalte. Pflicht: klare Kennzeichnung, dass es sich um KI handelt. Trifft fast alle KMU, die ChatGPT-ähnliche Werkzeuge einsetzen.
4. Minimales Risiko
Spamfilter, KI in Computerspielen, einfache Empfehlungssysteme. Keine spezifischen Pflichten, freiwillige Verhaltenskodizes empfohlen.
Welche Pflichten typische KMU treffen
Die meisten Mittelstandsbetriebe nutzen KI nicht im „Hochrisiko"-Bereich. Trotzdem gelten ab August 2026 drei Pflichten, die praktische Konsequenzen haben:
- KI-Kompetenz im Unternehmen (Art. 4). Bereits seit Februar 2025 müssen Unternehmen sicherstellen, dass Personen, die KI-Systeme einsetzen oder betreiben, ein angemessenes Maß an KI-Kompetenz haben. Konkret: Schulungen, Leitlinien, dokumentierter Wissensstand.
- Transparenz bei generativer KI. Texte, Bilder, Audio, die von KI erzeugt wurden, müssen als solche erkennbar sein, sowohl gegenüber Kunden als auch in der internen Kommunikation. Deepfakes brauchen einen sichtbaren Hinweis.
- Aufsicht bei automatisierten Entscheidungen. Selbst wenn ein Tool nicht als „Hochrisiko" klassifiziert ist, gilt die DSGVO-Vorgabe (Art. 22) zur menschlichen Aufsicht bei wesentlichen Entscheidungen. Reine Automatisierung ohne menschliche Kontrolle ist riskant.
Wann sind Sie selbst „Anbieter", und nicht nur Anwender?
Das ist die heikelste Frage des AI Act für KMU. Wer ein bestehendes KI-System (etwa ChatGPT) schlicht verwendet, ist „Betreiber" und hat überschaubare Pflichten. Sobald Sie das System jedoch anpassen, z. B. über ein angepasstes GPT mit eigener Wissensbasis, Feintuning oder eigener API-Hülle auf der OpenAI-API, können Sie selbst als „Anbieter" gelten. Damit gelten deutlich strengere Pflichten, je nach Risikoklasse des Endprodukts.
Die Grenze ist nicht immer scharf. Wer ernsthaft auf angepasste GPTs für sensible Anwendungsfälle setzt, sollte rechtliche Beratung einholen und die Klassifizierung dokumentieren.
Drei Schritte zur Vorbereitung
- Inventarisieren. Erstellen Sie eine Liste aller im Unternehmen genutzten KI-Tools (inkl. Schatten-IT). Pro Tool: Anbieter, Anwendungsfall, Risikoklasse, AVV-Status.
- Klassifizieren. Für jeden Anwendungsfall: ist er Hochrisiko, begrenztes Risiko oder minimal? Für Hochrisiko-Anwendungen den vollen Pflichtenkatalog vorbereiten.
- Schulen und Dokumentieren. Mitarbeiter:innen, die KI einsetzen, brauchen nachweisbare Grundkompetenz. Erstellen Sie eine Richtlinie zum KI-Einsatz und schulen Sie einmal jährlich.
Was Anbieter liefern müssen, und woran Sie sie erkennen
Anbieter von Hochrisiko-KI müssen ab August 2026 eine technische Dokumentation, eine EU-Konformitätserklärung und das CE-Kennzeichen bereitstellen. Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (wie OpenAI, Anthropic, Google) müssen zusätzlich eine Zusammenfassung der Trainingsdaten und Sicherheitsmaßnahmen veröffentlichen. In unseren Tool-Profilen notieren wir je Anbieter, welche dieser Nachweise heute schon öffentlich verfügbar sind.
Verwandte Themen
Wer den EU AI Act prüft, prüft meist auch DSGVO-Konformität und EU-Hosting. Die drei Themen greifen ineinander: Der AI Act ergänzt die DSGVO, ersetzt sie aber nicht.
Hinweis: Diese Seite ist eine redaktionelle Übersicht und ersetzt keine Rechtsberatung. Bei konkreten Compliance-Fragen wenden Sie sich an einen spezialisierten Anwalt oder Datenschutzbeauftragten. Stand: Mai 2026.