EU AI Act 2026: Was KMU bis August wissen und tun müssen

Hinweis: Dieser Artikel ist eine allgemeine, vereinfachte Einführung und keine Rechtsberatung. Die endgültige Bewertung Ihrer konkreten Situation sollte mit einem Rechtsanwalt oder einer spezialisierten Compliance-Stelle erfolgen.

Der EU AI Act ist die erste umfassende KI-Verordnung der Welt. Sie betrifft jedes Unternehmen in der EU, das KI-Systeme entwickelt, einkauft oder einsetzt, also auch fast jeden Mittelständler, der mit Kundenservice-Bots, OCR-Systemen, HR-Software oder Marketing-Tools arbeitet. Am 2. August 2026 endet die Hauptübergangsfrist. Wer bis dahin nicht weiß, in welche Risikoklasse seine KI fällt, wird hektisch.

Was der AI Act regelt und für wen er gilt

Die Verordnung (EU) 2024/1689 ist seit dem 1. August 2024 in Kraft. Sie unterscheidet KI-Systeme nach Risikoklassen und knüpft daran abgestufte Pflichten. Anders als die DSGVO regelt sie nicht Daten, sondern den Einsatz lernender Systeme. Sie gilt für alle Anbieter und Betreiber, die KI in der EU auf den Markt bringen oder einsetzen, unabhängig vom Sitz des Unternehmens.

Wichtig zu verstehen: Auch wenn Sie KI nicht selbst bauen, sondern nur einkaufen, gelten Pflichten. Sie sind dann typischerweise Betreiber im Sinne des Gesetzes, mit eigener Verantwortung für korrekte Nutzung, Mitarbeiter-Schulung und Aufsicht.

Die vier Risikoklassen im Überblick

Verbotene Praktiken

Bestimmte KI-Anwendungen sind generell untersagt. Dazu gehören soziale Bewertungssysteme nach chinesischem Vorbild, manipulative Systeme, die Schwächen von Kindern oder vulnerablen Gruppen ausnutzen, oder biometrische Echtzeit-Identifikation im öffentlichen Raum (mit eng begrenzten Ausnahmen). Diese Verbote gelten bereits seit dem 2. Februar 2025.

Hochrisiko-Systeme

Die regulatorisch anspruchsvollste Klasse. Dazu zählen KI in HR-Auswahl, Kreditvergabe, Bildung und Prüfung, kritische Infrastruktur, Strafverfolgung, Migration, Justiz, Gesundheit (Medizinprodukte) und Sicherheitskomponenten von Maschinen. Hier braucht es ein Risikomanagement-System, technische Dokumentation, Daten-Governance, menschliche Aufsicht, Genauigkeitstests und teils eine Konformitätsbewertung. Die Anforderungen greifen ab dem 2. August 2026, mit teils längeren Fristen für Anhang-I-Systeme (Maschinen, Medizinprodukte) bis 2027.

Begrenztes Risiko mit Transparenzpflichten

Hier landen die meisten KMU-Anwendungen: Chatbots, KI-Assistenten, Deepfake-Generierung, automatisierte Texterstellung. Pflicht ist, dass Nutzer erkennen können, dass sie es mit einer KI zu tun haben. Ein Chatbot muss sich also als Bot zu erkennen geben, ein KI-generiertes Bild muss als solches gekennzeichnet sein.

Minimales Risiko

Spamfilter, einfache Empfehlungen, KI-Komponenten in Videospielen. Hier gibt es keine zusätzlichen Pflichten über die normalen Datenschutz- und Verbraucherschutzregeln hinaus.

AI-Literacy: Die schon laufende Pflicht

Was viele übersehen: Eine Pflicht gilt bereits seit dem 2. Februar 2025. Artikel 4 der Verordnung verlangt, dass alle Mitarbeitenden, die KI-Systeme bedienen oder mit deren Ergebnissen arbeiten, ausreichende KI-Kompetenz haben. Das ist keine vage Empfehlung, sondern eine Pflicht, die im Zweifel nachgewiesen werden muss.

Praktisch heißt das: Sie brauchen dokumentierte Schulungen oder Einweisungen für Ihr Team. Welche Tools werden genutzt, welche Risiken bestehen, wie werden Ergebnisse geprüft, wann muss ein Mensch eingreifen. Eine kurze schriftliche Richtlinie und eine Schulung pro Jahr sind ein guter Startpunkt.

KMU-Erleichterungen und der Digital Omnibus

Die Verordnung enthält bereits Erleichterungen für KMU und Start-ups, etwa vereinfachte Dokumentationsformate und reduzierte Gebühren bei Konformitätsbewertungen. Im April 2026 hat die EU-Kommission zusätzlich einen Digital-Omnibus-Vorschlag vorgelegt, der diese Erleichterungen ausweiten und teils Fristen verschieben soll.

Im Trilog wird derzeit verhandelt: Die Kategorie Small Mid-Cap (bis 750 Mitarbeitende, bis 150 Mio. Euro Umsatz) soll ebenfalls Erleichterungen bekommen. Pflichten für Anhang-III-Systeme könnten bis 2. Dezember 2027 verschoben werden, Anhang-I-Systeme bis 2. August 2028. Das ist allerdings nur ein Vorschlag, die endgültigen Fristen stehen noch nicht fest.

Wichtig: Die Erleichterungen entbinden nicht von der Pflicht zur Klassifikation. Sie müssen wissen, welche Risikoklasse Ihre Systeme haben, auch wenn die Dokumentation einfacher ausfällt.

Fünf-Schritte-Plan bis August 2026

Was sollten Mittelständler in den verbleibenden Monaten konkret tun?

Schritt 1: KI-Inventur

Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen genutzt werden. Das umfasst nicht nur Chatbots und eigene Entwicklungen, sondern auch Funktionen in bestehenden Tools: KI-Features in CRM, Buchhaltung, Office, HR-Software, Marketing-Plattformen, Übersetzungstools. Sie werden überrascht sein, wie lang die Liste wird.

Schritt 2: Klassifikation

Ordnen Sie jedem System eine Risikoklasse zu. Die meisten landen vermutlich in der Klasse minimales oder begrenztes Risiko. Hochrisiko-Anwendungen, etwa KI in der Personalauswahl, müssen besonders sorgfältig dokumentiert werden. Im Zweifel hilft eine Anwaltskanzlei oder spezialisierte Beratung.

Schritt 3: AI-Literacy schließen

Etablieren Sie eine kurze KI-Richtlinie und schulen Sie Ihr Team. Welche Tools sind freigegeben, welche nicht, wer darf was, wie werden sensible Daten behandelt, wann muss ein Mensch prüfen. Dokumentieren Sie die Schulung mit Datum und Teilnehmenden.

Schritt 4: Transparenzpflichten erfüllen

Wenn Sie Chatbots, KI-generierte Inhalte oder automatisierte Entscheidungen einsetzen, müssen Nutzer das erkennen können. Prüfen Sie Ihre Website, Ihren Service-Bot, Ihre Newsletter-Tools. Ein klarer Hinweis auf den KI-Einsatz reicht in den meisten Fällen.

Schritt 5: Governance-Struktur aufbauen

Legen Sie eine verantwortliche Person fest, etablieren Sie einen Prozess für neue KI-Tools (Klassifikation vor Einführung), und führen Sie ein Register, das die Inventur, Risikoklassifikation und Schulungsnachweise zusammenführt. Das macht spätere Audits oder Anfragen deutlich einfacher.

Was passiert bei Verstößen

Die Bußgeldrahmen sind ähnlich streng wie bei der DSGVO und teilweise höher. Verstöße gegen verbotene Praktiken können bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes kosten. Bei Verletzung der Pflichten für Hochrisiko-Systeme drohen bis zu 15 Millionen Euro oder 3 Prozent. Falsche Angaben gegenüber Behörden bis zu 7,5 Millionen Euro oder 1 Prozent. Für KMU sieht die Verordnung verhältnismäßige Anwendung der Bußgelder vor, ein Freifahrtschein ist das aber nicht.

Kernaussagen

• Der EU AI Act gilt für jedes Unternehmen, das KI nutzt, nicht nur für KI-Entwickler.
• Vier Risikoklassen, die meisten KMU-Anwendungen fallen in begrenztes oder minimales Risiko.
• Hauptfrist für Hochrisiko-Pflichten: 2. August 2026. Über den Digital Omnibus könnten Teile bis 2027 verschoben werden.
• AI-Literacy-Pflicht greift bereits seit Februar 2025: Mitarbeiter müssen geschult sein.
• Fünf Schritte: Inventur, Klassifikation, Schulung, Transparenz, Governance.

Häufig gestellte Fragen zum EU AI Act

Wann gilt der EU AI Act für KMU?

Die Verordnung ist seit August 2024 in Kraft, die Pflichten greifen gestaffelt. Verbote gelten seit Februar 2025, Anforderungen an AI-Literacy ebenfalls. Die meisten Pflichten für Hochrisiko-Systeme treten am 2. August 2026 in Kraft. Über den geplanten Digital Omnibus könnten Teile davon für Anhang-III-Systeme bis Ende 2027 verschoben werden.

Welche Risikoklassen unterscheidet der AI Act?

Vier Klassen: verbotene Praktiken, Hochrisiko, begrenztes Risiko mit Transparenzpflichten, und minimales Risiko. Die meisten KMU-Anwendungen fallen in die unteren beiden Klassen.

Gibt es Erleichterungen für KMU?

Ja. Die Verordnung sieht reduzierte Anforderungen für KMU und Start-ups vor, etwa vereinfachte Dokumentation. Über den Digital-Omnibus-Vorschlag der EU-Kommission soll die Kategorie Small Mid-Cap (bis 750 Mitarbeitende, bis 150 Mio. Euro Umsatz) ebenfalls Erleichterungen bekommen. Die finale Ausgestaltung wird derzeit in Trilog-Verhandlungen geklärt.

Was ist AI-Literacy und wer muss sie nachweisen?

AI-Literacy bezeichnet ausreichende Kenntnis im Umgang mit KI-Systemen. Seit dem 2. Februar 2025 müssen alle Organisationen sicherstellen, dass Mitarbeitende, die KI-Systeme bedienen oder deren Ergebnisse nutzen, diese Kenntnisse haben. Das gilt unabhängig von der Unternehmensgröße. Praktisch heißt das: dokumentierte Schulungen oder Einweisungen.