Die EU-Verordnung über Künstliche Intelligenz — besser bekannt als AI Act — ist seit August 2024 in Kraft. Was viele KMU noch nicht realisiert haben: Sie sind direkt betroffen. Nicht irgendwann, sondern jetzt.

Der AI Act ist das weltweit erste umfassende KI-Gesetz. Er reguliert nicht nur die Entwicklung von KI-Systemen, sondern auch deren Einsatz. Das bedeutet: Wenn Ihr Unternehmen ChatGPT im Kundenservice nutzt, ein KI-gestütztes Bewerbermanagement einsetzt oder automatisierte Entscheidungen trifft, betrifft Sie diese Verordnung. Egal ob 5 oder 500 Mitarbeiter.

Kernbotschaft: Der AI Act gilt nicht nur für Tech-Konzerne und KI-Entwickler. Er betrifft jedes Unternehmen, das KI-Systeme einsetzt — und die erste Pflicht (KI-Kompetenz nach Artikel 4) gilt bereits seit Februar 2025.

Der Zeitplan: Welche Fristen gelten?

Der AI Act tritt stufenweise in Kraft. Manche Fristen sind bereits verstrichen, andere stehen unmittelbar bevor. Hier der Überblick:

Datum Was passiert Betrifft
1. Aug. 2024 AI Act tritt in Kraft Alle
2. Feb. 2025 Verbotene KI-Praktiken verboten; KI-Kompetenzpflicht (Art. 4) gilt Alle Unternehmen, die KI nutzen
2. Aug. 2025 Regeln für General Purpose AI (GPAI) wie GPT-Modelle KI-Anbieter, indirekt auch Nutzer
2. Aug. 2026 Transparenzpflichten; Regulatory Sandboxes müssen stehen; Durchsetzung Art. 4 Alle, insb. KMU
Dez. 2027* Hochrisiko-Pflichten für eigenständige KI-Systeme (Annex III) Anbieter & Deployer von Hochrisiko-KI
Aug. 2028* Hochrisiko-Pflichten für produktintegrierte KI (Annex I) Hersteller, Importeure

*Die Fristen für Hochrisiko-KI wurden durch den Digital Omnibus der EU-Kommission (vorgeschlagen November 2025) nach hinten verschoben. Das ursprüngliche Datum war August 2026. Der Omnibus hat im März 2026 die Ausschussstimmung im EU-Parlament passiert und befindet sich im Gesetzgebungsverfahren.

Wer ist betroffen? Nicht nur KI-Entwickler

Ein verbreiteter Irrtum: „Wir entwickeln keine KI, also betrifft uns der AI Act nicht.“ Falsch. Der AI Act unterscheidet klar zwischen zwei Rollen:

  • Provider (Anbieter): Wer ein KI-System entwickelt oder auf den Markt bringt
  • Deployer (Nutzer/Betreiber): Wer ein KI-System im beruflichen Kontext einsetzt

Die meisten KMU sind Deployer. Und auch für Deployer gelten Pflichten — je nach Risikostufe des eingesetzten Systems. Konkrete Beispiele aus dem KMU-Alltag:

  • ChatGPT oder Copilot im Kundenservice: Sie müssen Kunden informieren, dass sie mit einer KI interagieren (Transparenzpflicht)
  • KI-Recruiting-Tools: Wenn ein Tool Bewerbungen vorsortiert oder bewertet, handelt es sich um Hochrisiko-KI — mit umfangreichen Dokumentations- und Überwachungspflichten
  • Automatisierte Kreditentscheidungen: Ebenfalls Hochrisiko. Betrifft Finanzdienstleister, aber auch Unternehmen mit automatisierten Zahlungsziel-Entscheidungen
  • KI-gestützte Mitarbeiterüberwachung: Emotionserkennung am Arbeitsplatz? Seit Februar 2025 verboten

Die 4 Risikostufen des AI Act

Der AI Act klassifiziert KI-Systeme in vier Risikokategorien. Die Einstufung bestimmt, welche Pflichten gelten:

Risikostufe Beschreibung Beispiele
Inakzeptabel Verboten seit Feb. 2025. Systeme, die Grundrechte verletzen. Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung, Emotionserkennung am Arbeitsplatz
Hoch Erlaubt, aber streng reguliert. Umfangreiche Dokumentation, Risikomanagement, menschliche Aufsicht. KI-Recruiting, Kredit-Scoring, medizinische Diagnostik, Bildungs-KI, kritische Infrastruktur
Begrenzt Transparenzpflichten. Nutzer müssen wissen, dass sie mit KI interagieren. Chatbots, Deepfakes, KI-generierte Texte und Bilder
Minimal / Kein Risiko Keine besonderen Pflichten (außer Art. 4 KI-Kompetenz). Spam-Filter, KI-gestützte Rechtschreibprüfung, Empfehlungsalgorithmen

Für die meisten KMU gilt: Die eingesetzten KI-Systeme fallen in die Kategorien „Begrenzt“ oder „Minimal“. Aber Achtung — sobald ein KI-Tool Entscheidungen über Menschen trifft (Bewerbungen, Kreditwürdigkeit, Zugang zu Dienstleistungen), wird es schnell „Hochrisiko“. Eine sorgfältige Bestandsaufnahme ist daher der erste Schritt. Kavra Audit hilft Ihnen dabei, Ihre KI-Systeme korrekt einzustufen.

Artikel 4: Die KI-Kompetenzpflicht

Artikel 4 ist die Bestimmung, die jedes Unternehmen betrifft — unabhängig von der Risikostufe der eingesetzten KI. Seit dem 2. Februar 2025 gilt:

Artikel 4 AI Act: Anbieter und Betreiber von KI-Systemen müssen Maßnahmen ergreifen, um ein ausreichendes Maß an KI-Kompetenz bei ihren Mitarbeitern und allen Personen sicherzustellen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind.

Was bedeutet das konkret?

  • Schulungspflicht: Alle Mitarbeiter, die KI-Tools nutzen, müssen die Grundlagen verstehen — Funktionsweise, Möglichkeiten, Grenzen und Risiken
  • Keine formale Zertifizierung nötig: Es gibt keine vorgeschriebenen Prüfungen oder Zertifikate. Aber die Schulungen sollten dokumentiert werden
  • Kein KI-Beauftragter vorgeschrieben: Anders als beim Datenschutz gibt es keine Pflicht, einen KI-Officer zu bestellen
  • Verhältnismäßig: Die Tiefe der Schulung richtet sich nach der Rolle. Ein Entwickler braucht anderes Wissen als jemand, der ChatGPT für E-Mails nutzt

Die Durchsetzung von Artikel 4 obliegt den nationalen Marktüberwachungsbehörden. In Österreich wird das voraussichtlich die RTR (Rundfunk und Telekom Regulierungs-GmbH) übernehmen, in Deutschland die BNetzA (Bundesnetzagentur). Beide Behörden haben bereits signalisiert, dass KI-Kompetenz bei Compliance-Prüfungen berücksichtigt wird.

Was müssen KMU konkret tun? Die 5-Schritte-Checkliste

Sie müssen nicht alles auf einmal machen. Aber Sie sollten jetzt starten. Hier ist ein pragmatischer Fahrplan:

Schritt 1: KI-Inventar erstellen

Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen eingesetzt werden. Denken Sie dabei auch an Tools, die „unter der Haube“ KI nutzen: Microsoft Copilot in Office 365, KI-Funktionen in Ihrem CRM, automatisierte Chatbots auf Ihrer Website. Mit Kavra Audit können Sie dieses Inventar strukturiert anlegen und laufend aktualisieren.

Schritt 2: Risiko-Klassifizierung durchführen

Ordnen Sie jedes System einer der vier Risikostufen zu. Für die meisten Büro-Tools wird es „Minimal“ oder „Begrenzt“ sein. Aber prüfen Sie genau: Nutzen Sie KI für Personalentscheidungen? Für Kundenbewertungen? Für Kreditprüfungen? Dann sind Sie möglicherweise im Hochrisiko-Bereich.

Schritt 3: Dokumentation aufbauen

Für jedes KI-System sollten Sie dokumentieren: Was es tut, wer es nutzt, welche Daten es verarbeitet und welche Risikostufe es hat. Bei Hochrisiko-Systemen kommen detaillierte Anforderungen hinzu — Risikomanagement, Datenqualität, menschliche Aufsicht. Für KMU gibt es vereinfachte Dokumentationsvorlagen.

Schritt 4: Mitarbeiter schulen

Setzen Sie die Pflicht aus Artikel 4 um. Das muss kein dreistündiges Seminar sein. Ein kompakter Workshop zu den Grundlagen — was kann KI, was nicht, welche Risiken gibt es, wie gehe ich verantwortungsvoll damit um — reicht für den Einstieg. Dokumentieren Sie die Teilnahme.

Schritt 5: Monitoring einrichten

KI-Compliance ist kein einmaliges Projekt. Neue Tools kommen hinzu, bestehende werden aktualisiert, Risikoeinstufungen können sich ändern. Richten Sie einen regelmäßigen Review-Prozess ein — z. B. quartalsweise. Das klingt nach Aufwand, ist aber mit dem richtigen Tool in 30 Minuten erledigt.

Die Strafen: Empfindlich, aber abgestuft

Der AI Act sieht ein dreistufiges Bußgeldsystem vor. Die Beträge sind bewusst hoch angesetzt, um die Regulierung ernst zu nehmen:

  • Verbotene KI-Praktiken: Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes (der höhere Wert gilt)
  • Verstöße gegen Hochrisiko-Pflichten: Bis zu 15 Mio. EUR oder 3 % des Umsatzes
  • Falsche oder irreführende Angaben: Bis zu 7,5 Mio. EUR oder 1 % des Umsatzes

Wichtig für KMU: Für kleine und mittlere Unternehmen sowie Startups gilt jeweils der niedrigere der beiden Werte. Bei einem KMU mit 5 Mio. EUR Umsatz wäre die Maximalstrafe für einen Hochrisiko-Verstoß also 150.000 EUR (3 % von 5 Mio.) — nicht 15 Mio. EUR. Das ist immer noch schmerzhaft, aber verhältnismäßig.

Erleichterungen für KMU

Die EU hat erkannt, dass KMU nicht die gleichen Ressourcen wie Konzerne haben. Der AI Act enthält daher mehrere Erleichterungen:

  • Regulatory Sandboxes: Jeder EU-Mitgliedstaat muss bis August 2026 mindestens eine KI-Sandbox einrichten. KMU erhalten bevorzugten und kostenlosen Zugang. In der Sandbox können Sie KI-Systeme unter behördlicher Anleitung testen, bevor Sie sie produktiv einsetzen
  • Vereinfachte Dokumentation: Die EU-Kommission entwickelt vereinfachte Dokumentationsvorlagen speziell für KMU. Micro-Unternehmen dürfen bestimmte Qualitätsmanagement-Anforderungen in vereinfachter Form erfüllen
  • Gedeckelte Strafen: Wie oben beschrieben — es gilt der niedrigere Wert
  • Pflicht-Beratung durch Behörden: Nationale Behörden müssen Schulungs- und Beratungsangebote speziell für KMU einrichten (Art. 62)

Diese Erleichterungen ändern aber nichts an den Grundpflichten. Artikel 4 (KI-Kompetenz) und die Verbote gelten für alle gleich. Und auch die Transparenzpflichten kennen keine Unternehmensgrößen-Ausnahme.

AI Act und ESG: Die Überschneidungen

Wenn Sie bereits einen ESG-Bericht erstellen oder sich auf die CSRD vorbereiten, haben Sie einen Vorsprung. Denn der AI Act und ESG-Reporting überlappen sich in mehreren Bereichen: Governance-Strukturen, Risikomanagement, Dokumentationspflichten und Stakeholder-Transparenz.

Unternehmen, die Kavra Comply für ESG-Reporting nutzen, können viele der bestehenden Prozesse und Dokumentationen auch für die AI Act Compliance wiederverwenden. Das spart Zeit und vermeidet Doppelarbeit.

Häufige Fragen zum AI Act für KMU

Gilt der EU AI Act auch für KMU, die KI nur nutzen und nicht entwickeln?
Ja. Der AI Act unterscheidet zwischen Anbietern (Providern) und Nutzern (Deployern). Auch wenn Sie KI-Systeme nur einsetzen — etwa ChatGPT im Kundenservice oder ein KI-Recruiting-Tool — gelten bestimmte Pflichten für Sie, insbesondere die KI-Kompetenzpflicht nach Artikel 4 und Transparenzpflichten bei Hochrisiko-Systemen.
Welche Strafen drohen bei Verstößen gegen den AI Act?
Die Strafen sind nach Schwere gestaffelt: Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Mio. EUR oder 3 % für Verstöße gegen Hochrisiko-Pflichten, und bis zu 7,5 Mio. EUR oder 1 % für falsche Angaben. Für KMU und Startups gilt jeweils der niedrigere der beiden Werte.
Was bedeutet die KI-Kompetenzpflicht nach Artikel 4?
Seit dem 2. Februar 2025 müssen alle Unternehmen, die KI-Systeme einsetzen, sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das bedeutet nicht, dass jeder Mitarbeiter ein KI-Experte sein muss — aber alle, die mit KI arbeiten, müssen die Grundlagen, Risiken und Grenzen verstehen. Schulungen sollten dokumentiert werden.
Gibt es Erleichterungen für KMU im AI Act?
Ja. Der AI Act sieht mehrere Erleichterungen vor: vereinfachte technische Dokumentation, bevorzugter und kostenloser Zugang zu Regulatory Sandboxes, gedeckelte Strafen (es gilt der niedrigere Wert), und verpflichtende Schulungs- und Beratungsangebote durch nationale Behörden.
Wurden die Fristen für Hochrisiko-KI verschoben?
Die EU-Kommission hat im November 2025 den Digital Omnibus vorgeschlagen, der die Fristen für Hochrisiko-KI-Systeme verschiebt. Eigenständige Hochrisiko-Systeme (Annex III) müssen voraussichtlich ab Dezember 2027 konform sein, produktintegrierte Systeme (Annex I) ab August 2028. Der Omnibus hat im März 2026 die Ausschussstimmung passiert.

AI Act Compliance starten — in 30 Minuten

Kavra Audit führt Sie durch KI-Inventar, Risiko-Klassifizierung und Dokumentation. Ohne Berater, ohne Vorwissen.

Kavra Audit kostenlos starten
Teilen:
Stand: April 2026. Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Der AI Act (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft; der Digital Omnibus befindet sich im Gesetzgebungsverfahren. Nationale Durchführungsgesetze können abweichen. Für rechtsverbindliche Auskünfte konsultieren Sie bitte einen spezialisierten Berater.