Stellen Sie sich vor: Ihre Buchhalterin nutzt seit Monaten ChatGPT, um Angebotstexte zu verbessern. Ihr Lagerist lässt sich von einer KI-App bei der Tourenplanung helfen. Und Ihre Empfangsmitarbeiterin beantwortet Kundenanfragen per KI-gestütztem E-Mail-Assistenten. Alles super – oder?
Was viele Geschäftsführer kleiner und mittlerer Betriebe noch nicht wissen: Für genau dieses Szenario gibt es seit Februar 2025 eine gesetzliche Pflicht in der EU. Und bis August 2026 kommen weitere Anforderungen dazu. Der EU AI Act – die KI-Verordnung der Europäischen Union – betrifft längst nicht nur Tech-Konzerne. Er betrifft jeden Betrieb, der KI-Tools im Alltag einsetzt. In diesem Artikel erfahren Sie, was der EU AI Act konkret für Ihr Unternehmen bedeutet, welche Fristen gelten – und was Sie jetzt tun sollten.
Was ist der EU AI Act – und warum geht er mich etwas an?
Der EU AI Act (offiziell: Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er gilt seit August 2024 europaweit – und entfaltet seitdem Schritt für Schritt seine Wirkung.
Der entscheidende Punkt für Unternehmer: Das Gesetz macht keinen Unterschied zwischen einem globalen Software-Konzern und einem Handwerksbetrieb mit 15 Mitarbeitern. Wer KI nutzt – egal ob entwickelt, eingekauft oder einfach als Online-Tool – fällt unter die Verordnung.
Die meisten KMUs sind dabei als sogenannte „Betreiber“ eingestuft: Sie kaufen KI-Tools ein und setzen sie im Berufsalltag ein – genau wie Ihr Autohaus, das ein KI-gestütztes CRM nutzt, oder Ihr Restaurant, das Bestellvorhersagen per KI trifft. Als Betreiber tragen Sie eigene Verantwortung – weniger als ein Software-Entwickler, aber längst nicht keine.
Vier Risikoklassen – und wo die meisten KMU landen
Der EU AI Act sortiert KI-Systeme nach Risiko. Das Prinzip ist ähnlich wie bei Lebensmittelampeln: Je gefährlicher eine Anwendung für Menschen sein könnte, desto strenger die Anforderungen.
- Verbotene KI-Systeme: Bestimmte Praktiken sind komplett untersagt – etwa KI zur manipulativen Verhaltenssteuerung oder zur biometrischen Massenerfassung in Öffentlichkeit. Für normale Betriebe kein Thema.
- Hochrisiko-KI: Systeme, die in sensiblen Bereichen eingesetzt werden – zum Beispiel bei Personalentscheidungen, Kreditbewertung, Bildung oder kritischer Infrastruktur. Hier gelten ab August 2026 strenge Pflichten.
- Begrenztes Risiko: Tools wie Chatbots müssen transparent machen, dass der Nutzer mit einer KI spricht. Einfach umzusetzen, meist schon eingebaut.
- Minimales Risiko: Spam-Filter, Rechtschreibprüfung, einfache Empfehlungssysteme. Keine speziellen Pflichten. Die gute Nachricht: Hier landet der Großteil der KMU-Anwendungen.
Ein Schreinerbetrieb, der ChatGPT für Angebotsentwurfe nutzt, fällt in der Regel in die Kategorie „begrenztes oder minimales Risiko“. Ein Personaldienstleister, der KI zur Bewerberauswahl einsetzt, hingegen in die Hochrisiko-Kategorie – mit deutlich höherem Pflichtenheft.
Was gilt bereits heute – und was ab August 2026
Hier verliert man schnell den Überblick – deshalb möchten wir es klar aufschlüsseln:
Bereits seit Februar 2025 in Kraft: Die KI-Kompetenzpflicht
Artikel 4 des EU AI Acts verpflichtet jedes Unternehmen, das KI einsetzt, sicherzustellen, dass alle betroffenen Mitarbeiter über angemessene KI-Kenntnisse verfügen. Was „angemessen“ heißt, ist bewusst flexibel gehalten – es hängt davon ab, welche KI-Tools jemand nutzt und in welchem Kontext.
Praktisch bedeutet das: Wenn Ihre Mitarbeiter KI-Tools im Arbeitsalltag nutzen, müssen Sie als Arbeitgeber sicherstellen, dass diese verstehen, wie das Tool funktioniert, was es kann – und wo seine Grenzen und Risiken liegen. Eine kurze betriebliche Schulung reicht in den meisten Fällen aus. Was nicht ausreicht: gar nichts zu tun und darauf zu hoffen, dass niemand hinschaut.
Ab 2. August 2026: Vollständige Anforderungen für Hochrisiko-KI
In fünf Monaten treten die vollständigen Pflichten für Hochrisiko-KI-Systeme in Kraft. Wer solche Systeme betreibt, muss dann technische Dokumentation vorweisen, Risikoanalysen durchgeführt haben und ein kontinuierliches Monitoring nachweisen können. Zudem müssen Hochrisiko-Systeme in ein zentrales EU-Register eingetragen werden.
Hinweis: Die EU-Kommission hat im November 2025 vorgeschlagen, diese Hochrisiko-Fristen um bis zu 16 Monate zu verschieben (sogenanntes „Digital Omnibus“-Paket). Dieser Vorschlag ist jedoch noch nicht beschlossen. Planen Sie weiterhin mit August 2026 als Zieldatum – eine Verschiebung ist keine Garantie.
Was droht bei Verstößen – und wie hoch sind die Bußgelder?
Die Bußgeldstruktur des EU AI Acts orientiert sich bewusst an der DSGVO. Das heißt: empfindliche Sanktionen, die Unternehmen jeder Größe treffen können.
- Verbotene KI-Praktiken: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes
- Verstöße gegen Hochrisiko-Anforderungen: Bis zu 15 Millionen Euro oder 3 % des Umsatzes
- Falsche Angaben gegenüber Behörden: Bis zu 7,5 Millionen Euro oder 1,5 % des Umsatzes
Die gute Nachricht: Für KMU gilt als Obergrenze jeweils der niedrigere Betrag. Ein Handwerksbetrieb mit 2 Millionen Euro Jahresumsatz riskiert also weniger als ein Konzern. Die schlechte Nachricht: Auch 3 % von 2 Millionen Euro sind 60.000 Euro Bußgeld – und das ist für einen kleinen Betrieb existenzgefährdend.
Zuständige Aufsichtsbehörde ist die Bundesnetzagentur. Das Bundeskabinett hat dazu am 11. Februar 2026 das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) beschlossen. Es definiert die deutschen Aufsichtsstrukturen und muss noch Bundestag und Bundesrat passieren.
Was sollten KMU jetzt konkret tun?
In unseren Beratungsprojekten für kleine und mittlere Unternehmen erleben wir immer öfter dieselbe Situation: KI-Tools sind im Einsatz, aber niemand im Betrieb hat sich Gedanken gemacht, ob und wie der EU AI Act greift. Das ist kein Vorwurf – die wenigsten Geschäftsführer sind Juristen. Aber es ist ein Risiko.
Drei Schritte helfen sofort:
- KI-Inventar anlegen: Welche KI-Tools nutzt Ihr Betrieb überhaupt? ChatGPT, Microsoft Copilot, KI-gestützte CRM-Software, Bildbearbeitung mit KI-Funktion – alles zählt. Wer das nicht weiß, kann nicht beurteilen, was ihn betrifft.
- Risikoklasse einschätzen: Nutzen Sie KI bei Personalentscheidungen, Kreditvergabe oder in sicherheitskritischen Bereichen? Dann sind Sie wahrscheinlich im Hochrisiko-Bereich. Für einen ersten Anhaltspunkt bietet die Bundesnetzagentur einen kostenlosen „Interaktiven Compliance-Kompass“ an.
- Mitarbeiter schulen: Die KI-Kompetenzpflicht gilt bereits. Ein einfacher Workshop oder eine interne Schulung, die dokumentiert wird, ist für die meisten KMU ausreichend. Wichtig ist, dass Sie nachweisen können, dass Ihre Mitarbeiter wissen, was sie da nutzen.
Fazit: Keine Panik – aber auch kein Abwarten
Der EU AI Act ist keine Bürokratie, die nur große Tech-Firmen trifft. Er betrifft jeden Betrieb, der KI nutzt – vom Friseursalon mit KI-Terminbuchung bis zum Maschinenbauer mit KI-gestützter Qualitätskontrolle. Die Kompetenzpflicht gilt bereits, die Hochrisiko-Anforderungen kommen im August 2026.
Das Gute: Die meisten KMU müssen keine teuren Compliance-Abteilungen aufbauen. Eine strukturierte Bestandsaufnahme, eine sinnvolle Risikobewertung und eine dokumentierte Mitarbeiterschulung reichen in vielen Fällen aus. Was zählt, ist, jetzt anzufangen – und nicht erst, wenn die erste Kontrolle klingelt.
Sie fragen sich, ob und wie der EU AI Act Ihren Betrieb betrifft?
Wir helfen Ihnen bei der KI-Bestandsaufnahme, der Risikoklassifizierung und der Mitarbeiterschulung – ohne Fachchinesisch, dafür mit klaren Handlungsempfehlungen. Einfach unverbindlich ansprechen:
