Gilt der EU AI Act auch für kleine Unternehmen?

Ja, der EU AI Act gilt grundsätzlich für alle Unternehmen, die KI-Systeme entwickeln, einsetzen oder vertreiben — unabhängig von der Größe. Allerdings sieht die Verordnung für KMUs und Start-ups vereinfachte Dokumentationspflichten und priorisierten Zugang zu Regulatory Sandboxes vor.

Was passiert, wenn mein Unternehmen den AI Act nicht einhält?

Die Sanktionen sind gestaffelt: Für verbotene KI-Praktiken drohen bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes. Bei Verstößen gegen Hochrisiko-Anforderungen sind es bis zu 15 Millionen Euro oder 3%. Für KMUs gilt jeweils der niedrigere Betrag als Obergrenze.

Was ist eine Regulatory Sandbox?

Regulatory Sandboxes sind sichere Testumgebungen, in denen Unternehmen KI-Anwendungen unter Aufsicht der Behörden unter realen Bedingungen erproben können. Jeder EU-Mitgliedsstaat muss bis August 2026 mindestens eine solche Sandbox bereitstellen. KMUs erhalten priorisierten und kostenlosen Zugang.

Welche KI-Systeme gelten als hochriskant?

Hochrisiko-KI-Systeme sind solche, die in sicherheitskritischen Bereichen eingesetzt werden — etwa in der Personalauswahl, Kreditvergabe, Strafverfolgung oder kritischen Infrastruktur. Für diese gelten ab August 2026 strenge Anforderungen an Transparenz, Dokumentation und menschliche Aufsicht.

Was sollte mein Unternehmen jetzt als Erstes tun?

Erstelle ein KI-Inventar: Welche KI-Tools werden bereits genutzt — auch privat durch Mitarbeiter (Schatten-KI)? Dann klassifiziere die Risikostufen, erstelle interne Richtlinien und plane Schulungen. Der KI-Service Desk der Bundesnetzagentur bietet ein kostenloses Tool zur Ersteinschätzung.

EU AI Act 2026: Was dein Unternehmen jetzt wissen muss

Der EU AI Act kommt — und er betrifft auch dich

Vielleicht hast du es schon mitbekommen: Die EU hat mit dem AI Act das weltweit erste umfassende KI-Gesetz verabschiedet. Seit August 2024 ist es in Kraft, doch ab August 2026 wird es in weiten Teilen vollständig anwendbar — auch für den deutschen Mittelstand.

Was bedeutet das konkret für dein Unternehmen? Musst du jetzt handeln? Und was passiert, wenn du es nicht tust? In diesem Artikel erfährst du alles, was du als KMU-Entscheider wissen musst.

Was ist der EU AI Act?

Der EU AI Act ist eine europäische Verordnung, die den Einsatz von Künstlicher Intelligenz reguliert. Das Ziel: KI soll sicher, transparent und vertrauenswürdig eingesetzt werden — ohne Innovation zu bremsen.

Die Verordnung unterscheidet KI-Systeme nach ihrem Risikopotenzial in vier Stufen:

Unannehmbares Risiko: Komplett verboten (z.B. Social Scoring, manipulative KI)
Hohes Risiko: Streng reguliert (z.B. KI in der Personalauswahl oder Kreditvergabe)
Begrenztes Risiko: Transparenzpflichten (z.B. Chatbots müssen als KI erkennbar sein)
Minimales Risiko: Keine besonderen Auflagen (z.B. Spam-Filter, Rechtschreibprüfung)

Der Zeitplan: Was gilt ab wann?

Die Umsetzung erfolgt stufenweise:

Februar 2025: Verbot von KI-Systemen mit unannehmbarem Risiko
August 2025: Regeln für KI-Modelle mit allgemeinem Verwendungszweck (z.B. GPT-basierte Tools)
August 2026: Vollständige Anwendbarkeit — inkl. aller Hochrisiko-Anforderungen

Das heißt: Du hast noch ein paar Monate, aber die Zeit läuft.

Was bedeutet das für KMUs?

Die gute Nachricht zuerst: Der AI Act berücksichtigt die besondere Situation kleinerer Unternehmen. KMUs und Start-ups profitieren von:

Vereinfachter Dokumentation: Die technische Dokumentation kann in reduzierten Formen eingereicht werden
Regulatory Sandboxes: Sichere Testumgebungen unter behördlicher Aufsicht — mit priorisiertem und kostenlosem Zugang für KMUs
Niedrigere Bußgeld-Obergrenzen: Für KMUs gilt bei Verstößen jeweils der niedrigere absolute Betrag

Trotzdem: Wenn du KI-Systeme einsetzt — und sei es nur ChatGPT für die Kundenberatung — musst du dich mit dem Thema beschäftigen.

Die versteckte Gefahr: Schatten-KI

Laut einer aktuellen Bitkom-Studie nutzen Mitarbeiter in jedem vierten deutschen Unternehmen private KI-Tools für die Arbeit — ohne Wissen oder Zustimmung der Geschäftsführung. Das ist ein Problem, denn:

Du weißt nicht, welche Daten in welche Systeme fließen
Du kannst keine Risikoklassifizierung vornehmen
Im Falle einer Prüfung bist du nicht nachweisfähig

Der erste Schritt ist daher kein technischer, sondern ein organisatorischer: Schaffe Transparenz darüber, welche KI-Tools in deinem Unternehmen bereits genutzt werden.

Dein 5-Schritte-Plan für die Vorbereitung

1. KI-Inventar erstellen

Liste alle KI-Systeme auf, die in deinem Unternehmen eingesetzt werden — offiziell und inoffiziell. Dazu gehören auch KI-Funktionen in bestehender Software (z.B. KI-gestützte E-Mail-Filter, Übersetzungstools, CRM-Assistenten).

2. Risikostufen klassifizieren

Ordne jedes System einer Risikokategorie zu. Die meisten Tools im Mittelstand fallen in die Kategorien „minimales" oder „begrenztes" Risiko. Aber prüfe genau — ein KI-gestütztes Bewerbermanagement wäre z.B. hochriskant.

3. Interne Richtlinien erstellen

Definiere klare Policies: Wer darf welche KI-Tools nutzen? Welche Daten dürfen verarbeitet werden? Wer ist verantwortlich? Diese Richtlinien sind nicht nur Best Practice — sie werden ab 2026 Nachweispflicht.

4. Mitarbeiter schulen

Ab Februar 2025 gilt bereits die KI-Kompetenzpflicht: Alle Mitarbeiter, die KI-Systeme nutzen, müssen über ausreichende Kenntnisse verfügen. Plane Schulungen ein — das muss keine Raketenwissenschaft sein, aber es muss dokumentiert werden.

5. Unterstützung nutzen

Die Bundesnetzagentur hat einen KI-Service Desk Desk eingerichtet, der Unternehmen bei der Einschätzung ihrer Pflichten hilft. Außerdem bieten die Mittelstand-Digital Zentren kostenlose Beratung und Workshops an.

Fazit: Kein Grund zur Panik, aber zum Handeln

Der EU AI Act ist keine Innovationsbremse — er schafft Spielregeln, die langfristig Vertrauen und Rechtssicherheit bringen. Für den Mittelstand ist jetzt der richtige Zeitpunkt, sich vorzubereiten: nicht hektisch, aber konsequent.

Fang mit dem KI-Inventar an. Erstelle deine internen Richtlinien. Und hole dir Unterstützung — dafür sind wir da. Die Unternehmen, die jetzt handeln, werden nicht nur compliant sein, sondern sich einen echten Wettbewerbsvorteil sichern.

Erfahren Sie in unserem Artikel KI-Strategie für den Mittelstand, wie Sie KI strukturiert und compliant in Ihr Unternehmen einführen. Welche konkreten KI-Tools für den Mittelstand es gibt und worauf Sie bei der DSGVO-Konformität achten sollten, lesen Sie ebenfalls in unserem Blog.

Du willst wissen, wie der AI Act dein Unternehmen konkret betrifft? Wir helfen dir bei der Einschätzung — kostenloses Erstgespräch vereinbaren.