Angebot anfragen
Alle Beiträge

EU AI Act: Was KMU über die KI-Verordnung wissen sollten – und was jetzt zu ist

Aktualisiert: 16. Dezember 2025

6 min.

Haufe Redaktion Digitalisierung KMU Innovation & Technologie

Künstliche Intelligenz ist nicht mehr nur etwas für große Konzerne. Auch kleine und mittlere Unternehmen (KMU) setzen zunehmend auf KI-gestützte Prozesse. Gleichzeitig bringt die Europäische Union mit dem EU AI Act (auch „EU KI-Verordnung“ oder „KI-VO“) erstmals einen umfassenden Rechtsrahmen für KI auf den Weg. Viele Mittelständler fragen sich zurecht: Was bedeutet das für uns? Sind wir betroffen? Und wie können wir die neuen Regeln effizient umsetzen? Dieser Artikel liefert einen kompakten Überblick über alles, was Mittelständler zum EU AI Act wissen müssen und was es für KMU jetzt zu tun gilt.  

Was ist der EU AI Act?

Der EU AI Act ist eine KI-Verordnung auf europäischer Ebene, die am 2. August 2024 in Kraft getreten ist. Sie schafft erstmals einen einheitlichen Rechtsrahmen für den sicheren, ethischen und vertrauenswürdigen Einsatz von KI. Weltweit ist dies die erste Vorschrift für einen regulierten Umgang mit Künstlicher Intelligenz. Ziel der Verordnung ist es, das Zusammenarbeiten mit Künstlicher Intelligenz sicherer zu gestalten sowie innovative Projekte mit KI zu fördern. 

Der Ansatz des Gesetzgebers ist risikobasiert gestaltet. Bedeutet: KI-Anwendungen werden in vier verschiedene Risikoklassen eingeteilt – Unannehmbares Risiko (verbotene KI-Systeme), Hohes Risiko und solche mit geringerer Einstufung (Begrenztes Risiko und Minimales Risiko). Je nach Einstufung gelten unterschiedliche Regelungen. 

Der AI Act soll dabei folgendes erreichen:  

  • Transparenz über KI-Systeme schaffen 
  • Sicherheit und Robustheit von KI-Modellen gewährleisten 
  • Vor Diskriminierung und ethisch bedenklichen Anwendungen schützen 
  • Innovation unter Schutz der Grundrechte fördern 

Aufgepasst: Es ist wichtig zu berücksichtigen, dass der EU AI Act die bestehenden Regelungen, wie die Datenschutzgrundverordnung (DSGVO), erweitert, sie jedoch nicht außer Kraft setzt. Das bedeutet, dass die Vorgaben der DSGVO, wie Datenschutz und Einwilligung, weiterhin ihre Gültigkeit behalten. 

Wer ist vom EU AI Act betroffen?

Der AI Act gilt innerhalb der EU beispielsweise für Entwickler, die KI-Systeme bereitstellen, aber auch für Unternehmen, die KI intern nutzen. Selbst Unternehmen außerhalb der EU können betroffen sein, wenn ihre KI-Systeme in der EU eingesetzt oder deren Ergebnisse in der EU genutzt werden.  

Die KI-Verordnung definiert mehrere Rollen, von denen insbesondere die folgenden für KMU von Bedeutung sind: 

  • Anbieter (Provider): Unternehmen, die KI-Systeme entwickeln oder unter ihrer  Marke vertreiben, beispielsweise Softwareunternehmen. Sie haben die   umfangreichsten Pflichten. 
     
  • Händler (Distributor): Unternehmen, die KI-Systeme in der Lieferkette  weitergeben, ohne sie selbst zu entwickeln oder einzusetzen. Sie müssen die  Systeme auf Konformität prüfen und dürfen nicht-konforme Systeme nicht  vermarkten. 
     
  • Betreiber/Nutzer (Deployer): Unternehmen, die KI-Systeme im beruflichen  Kontext einsetzen. Auch sie tragen Verantwortung, insbesondere in Bezug auf  Transparenz sowie die korrekte Anwendung. 
     

Für KMU bedeutet das: Nicht nur große Tech-Konzerne, auch Mittelständler sind klar vom EU AI Act tangiert. Die meisten KMU sind allerdings Betreiber von KI-Systemen. Bedeutet, sie nutzen möglicherweise ChatGPT, Copilots, automatisierte Recruiting-Tools oder KI-gestützte Fertigungsplanung. Aber auch als Betreiber tragen KMU Verantwortung: Sie müssen prüfen, welche Risikoklassen ihre Systeme erfüllen, und welche Transparenzpflichten gelten.  
 

Gut zu wissen: 
Erleichterungen für KMU 

Der EU AI Act nennt mehrere spezielle Unterstützungsmaßnahmen für KMU: 

  • Mittelständische Unternehmen sowie Start-Ups erhalten priorisierten und kostenlosen Zugang zu sogenannten „Regulatory Sandboxes“ (regulatorische KI-Sandkästen oder Reallabore). Dies sind sichere Testumgebungen, in denen KI-Anwendungen mit Aufsicht der Behörden unter realen Bedingungen erprobt werden können. Jeder EU-Mitgliedsstaat muss bis zum 2. August 2026 mindestens eins dieser Reallabore auf nationaler Ebene zur Verfügung stellen. 
  • Zusätzlich sind spezielle Schulungen und Kommunikationskanäle sowie Informationsangebote vorgesehen. Sie sollen KMU beim Umsetzen der Verordnung unterstützen.  
  • Die Gebühren für Konformitätsbewertungen werden proportional zur Unternehmensgröße reduziert. So kann die finanzielle Belastung für KMU gering gehalten werden. 
  • Darüber hinaus profitieren KMU von vereinfachten technischen Dokumentationsformularen. Diese wurden speziell für ihre Bedürfnisse entwickelt und werden von den nationalen Behörden akzeptiert.  
  • Auch Bußgelder werden reduziert, wobei KMU den niedrigeren Wert aus Festbetrag oder Umsatzprozentsatz zahlen.  
  • Zudem wird die Beteiligung von KMU an der Standardsetzung und Governance erleichtert. Ein Beispiel dafür ist das AI-Beratungsforum, in dem KMU vertreten sind und technisches Fachwissen einbringen können.  
     

Diese Maßnahmen stellen sicher, dass die Perspektiven von KMU bei der Festlegung von Normen und der Umsetzung des AI-Gesetzes angemessen berücksichtigt werden.
 

Welche Vorschriften und Pflichten trifft der EU AI Act für KMU?

Die 4 Risikoklassen des EU AI Acts 

Der EU AI Act zählt vier Risikoklassen für KI-Systeme: minimales Risiko, begrenztes Risiko, hohes Risiko und unannehmbares Risiko (verboten). 

  1. Minimal: Systeme, die keinen Einfluss auf die Grundrechte oder den Schutz von Personen ausüben und lediglich eine unterstützende Funktion erfüllen. Beispielsweise Spam-Filter oder automatische Textvorschläge. 

  2. Begrenzt: KI-Systeme, die für die Interaktion mit Menschen konzipiert wurden und die Inhalte erstellen sowie verändern. Beispielsweise Chatbots oder Sprachassistenten. 

  3. Hoch: KI-Systeme, die eine große Gefahr für die Gesundheit, Sicherheit oder Grundrechte von Personen darstellen. Beispielsweise Kreditscoring, Bewerber-Screening oder medizinische Diagnose-Tools. 

  4. Unannehmbar: KI-Systeme, die aufgrund ihres hohen Schadenpotenzials und zum Schutz der Grundrechte, Sicherheit und demokratischen Werte unzulässig sind. Beispielsweise Systeme zur Bewertung des sozialen Verhaltens (Social Scoring), zur biometrischen Kategorisierung (Echtzeit-Überwachung) oder bewusst manipulative KI. 

Für KI-Systeme mit minimalem Risiko, zum Beispiel Spam-Filter, gibt es keine spezifischen AI‑Act‑Pflichten über die allgemeinen Grundsätze hinaus. Systeme, die ein inakzeptables Risiko darstellen, dürfen hingegen weder genutzt noch gehostet, noch entwickelt werden.  
 

Pflichten und Vorschriften je nach Rolle und Risikoklasse 

Für mittelständische Unternehmen ergeben sich konkrete Pflichten aus zwei Risikoklassen des EU AI Act: begrenztem und hohem Risiko. Diese hängen einerseits von der Rolle, die man als Unternehmen einnimmt, sowie andererseits von der Risikoklasse des KI-Systems ab. 

KMU als Betreiber (am häufigsten): Bei begrenztem Risiko müssen Betreiber Transparenzpflichten umsetzen – z. B. Nutzer über Emotionserkennung informieren – die Gebrauchsanweisungen befolgen und somit für einen sicheren Betrieb sorgen. Bei Hochrisiko-KI gelten zusätzliche Pflichten, unter anderem: menschliche Aufsicht sicherstellen, betroffene Personen informieren, Ergebnisse überprüfen, kontinuierliche Überwachung durchführen sowie Vorfälle dokumentieren und melden. 

KMU als Anbieter: Bei Systemen mit begrenztem Risiko müssen KMU in ihrer Rolle als Anbieter grundlegende Transparenz sicherstellen (z.B. Hinweis auf KI-Interaktion). Bei Hochrisiko-KI-Systemen gelten strengere Regeln, darunter: Qualitätsmanagementsystem etablieren, Konformitätsbewertung durchführen, technische Dokumentation führen, CE-Kennzeichnung am System anbringen, EU-Konformitätserklärung abgeben sowie KI-Anwendung in der EU-Datenbank registrieren. 

Für KMU als Händler (selten) gilt das Prüfen der Konformität von KI-Systemen vor dem Bereitstellen oder Weiterverkauf auf dem Markt sowie das Informieren von Anbietern und zuständigen Behörden über nicht-konforme Systeme.  
 

Hinweis: Prüfen Sie jedes in Ihrem Unternehmen eingesetztes KI-Tool sorgsam und stellen Sie sicher, welche Rolle Sie dabei einnehmen – und daraus folgend, welchen Pflichten und Regelungen Sie laut EU AI Act unterliegen. 

Rollout-Zeitplan für den EU AI Act: Wann wird es ernst?

KMU unterliegen denselben verpflichtenden Deadlines wie große Unternehmen. Der EU AI Act bietet zwar vereinfachte Verfahren und Unterstützung für KMU, aber die zeitlichen Vorgaben sind für alle Akteure gleichermaßen bindend. 

Die Umsetzung des EU AI Acts erfolgt gestaffelt: 

  • Seit 2. Februar 2025: Das Verbot bestimmter Hochrisiko-KI-Anwendungen tritt in Kraft. Unternehmen müssen sicherstellen, dass ihre KI-Systeme nicht unter die verbotenen Kategorien fallen. Zudem werden die Vorgaben zur KI-Kompetenz („AI-Literacy“) wirksam: Mitarbeitende müssen demnach die nötige KI-Kompetenz entwickeln, insbesondere wenn riskante Systeme im Einsatz sind. Schulungen müssen dabei nicht nur durchgeführt, sondern auch nachvollziehbar dokumentiert werden. 
  • Ab 2. August 2025: Transparenzpflichten für General-Purpose-AI (GPAI), etwa KI-Systeme zur Textgenerierung oder Bildanalyse, und Foundation Models (große, auf umfangreiche Datensätze trainierte KI-Modelle) werden aktiv. Wer ChatGPT oder ähnliche Systeme nutzt, muss dokumentieren, dass er dies tut. 
  • Ab 2. August 2027: Für KMU als Anbieter von GPAI-Modellen, die vor dem 2. August 2025 auf den Markt gebracht wurden, gilt eine Übergangsfrist bis zu diesem Datum. Bis dahin müssen sie vollständig konform sein und die Transparenz- und Dokumentationspflichten für General-Purpose-AI erfüllen.  
  • Ab Dezember 2027 (ursprünglich ab 2. August 2026): Alle Hochrisiko-Systeme müssen vollständig konform betrieben werden – mit technischer Dokumentation, Risikoanalysen sowie kontinuierlichem Monitoring. 



Tipp: KMU als Anbieter von GPAI-Modellen können den KI-Verhaltenskodex (veröffentlicht im Juli 2025) als Orientierung nutzen, um schrittweise die Pflichten des EU-KI-Gesetzes umzusetzen. Der Kodex ist nicht bindend, dient aber als praktische Unterstützung, um schon frühzeitig die Anforderungen zu erfüllen. 
 

Was kostet ein Gesetzesverstoß? Die Sanktionen im Überblick

Bei Verstößen gegen den EU AI Act kann es schnell sehr teuer werden. Je nach Art und Schwere des Verstoßes können folgende Bußgelder verhängt werden: 

  • Einsatz unzulässiger KI-Systeme: Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes. 
  • Geringfügige Verstöße: Bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes. 
  • Falsche Angaben: Bis zu 7,5 Mio. EUR oder 1,5 % des weltweiten Jahresumsatzes. 
     

Wichtig für KMU: Der Gesetzgeber hat eine explizite Schutzbestimmung für kleine und mittlere Unternehmen verankert (Artikel 99 Absatz 6). Diese besagt, dass KMU jeweils den niedrigeren Betrag zwischen Festbetrag und Prozentsatz des Jahresumsatzes zahlen, während große Unternehmen den höheren zahlen müssen. Die genaue Höhe der Bußgelder liegt aber im Ermessen der Behörden. Dabei werden dokumentierte Compliance-Bemühen als Abmilderungsfaktor berücksichtigt. 

Abgesehen von den Bußgeldern haben Aufsichtsbehörden die Befugnis, nicht konforme KI-Systeme vom Markt zu entfernen.
 

Checkliste für den Umgang mit dem EU AI Act

Um den Anforderungen des EU AI Acts gerecht zu werden, sollten mittelständische Unternehmen eine umfassende Strategie entwickeln. Die folgenden Schritte helfen bei der Umsetzung: 

1. Risikobewertung durchführen 

  • Prüfen Sie, welche KI-Anwendungen im Unternehmen im Einsatz sind und wie sie klassifiziert werden könnten. Dokumentieren Sie diese Analyse.  
  • Stellen Sie ein internes Risikomanagement-Team zusammen. Dies ist keine Pflicht, demonstriert aber Professionalität nach außen. 



2. Governance-Strukturen etablieren 

  • Benennen Sie eine verantwortliche Person oder stellen Sie einen KI-Beauftragten ein. Ist das Schaffen einer neuen Stelle nicht möglich, integrieren Sie die Verantwortung in bestehende Rollen oder Teams, beispielsweise in der IT-Abteilung. 
  • Führen Sie interne Richtlinien für Entwicklung, Einsatz sowie Monitoring ein, die regelmäßig von festgelegten Verantwortlichen auf Einhaltung überprüft werden. 



3. Dokumentation aufbauen 

  • Legen Sie Prozesse zur Nachverfolgung von Modellentwicklung, Datenquellen und Entscheidungen an. 
  • Implementieren Sie Audit-Protokolle oder Logbooks.

 

4. Mitarbeitende schulen 

  • Bieten Sie Trainings zu KI-Grundlagen, Risiken und ethischen Aspekten an. 
  • Dokumentieren Sie durchgeführte KI-Schulungen, um die Nachweispflichten zu erfüllen. 



5. Regulatorischen Support nutzen 

  • Nehmen Sie an „Regulatory Sandboxes“ teil, falls verfügbar, um neue Technologien in einer sicheren Umgebung zu testen.  
  • Nutzen Sie vorhandene Beratungsangebote zur Umsetzung des EU AI Acts oder nationale Kompetenzzentren und informieren Sie sich über vereinfachte Dokumentationsregelungen für KMU.  
     

Fazit

Der EU AI Act ist mehr als nur ein Regulierungsschritt: Er ist ein Wendepunkt für Unternehmen in der EU und somit auch für den Mittelstand. KMU, die jetzt aktiv werden, vermeiden Compliance-Risiken, aber schaffen gleichzeitig Vertrauen bei Mitarbeitern, Kunden sowie Behörden. Indem KMU die Anforderungen der KI-Verordnung frühzeitig umsetzen, sichern sie nicht nur ihre Wettbewerbsfähigkeit, sondern positionieren sich – sowohl nach innen als auch nach außen – als verantwortungsvolle und zukunftsorientierte Akteure im digitalen Wandel. 
 

FAQ

Der EU AI Act betrifft alle Unternehmen innerhalb der EU, die KI-Systeme entwickeln, vertreiben oder nutzen – unabhängig von ihrer Größe. Für KMU sind insbesondere die Rollen als Betreiber (Nutzer von KI-Systemen), Anbieter und Händler relevant. Die konkreten Pflichten hängen einerseits von der eingenommenen Rolle und andererseits von der Risikoklasse der eingesetzten KI-Systeme ab. Darüber hinaus gilt der AI Act nicht nur innerhalb der EU, sondern auch für Unternehmen außerhalb der EU, wenn ihre KI-Systeme in der EU eingesetzt oder genutzt werden. 

 

Je nach Rolle (Anbieter, Händler oder Betreiber) und Risikoklasse (Minimales, Begrenztes, Hohes, Unannehmbares Risiko) der eingesetzten KI-Systeme müssen sie Transparenzpflichten umsetzen, menschliche Aufsicht sicherstellen, Vorfälle dokumentieren und melden sowie technische Dokumentation führen. Für Hochrisiko-KI gelten zusätzliche Anforderungen, wie Konformitätsbewertungen und kontinuierliches Monitoring. KI-Systeme mit unannehmbarem Risiko dürfen weder genutzt noch gehostet, noch entwickelt werden. 
 

Der EU AI Act sieht mehrere Unterstützungsmaßnahmen vor, darunter kostenlosen Zugang zu „Regulatory Sandboxes“, vereinfachte technische Dokumentationsformulare, reduzierte Gebühren für Konformitätsbewertungen und Bußgelder sowie gezielte Schulungen und Kommunikationskanäle. KMU können zudem leichter an der Festlegung von Standards und der Governance, etwa durch das AI-Beratungsforum, teilnehmen. Diese Erleichterungen sollen KMU dabei helfen, die Vorgaben des EU AI Acts effizient umzusetzen. 
 

Bei Verstößen gegen den EU AI Act können generell folgende Bußgelder anfallen: 

  • Unzulässige KI-Systeme: Bis zu 35 Mio. EUR oder 7 % des Jahresumsatzes. 
  • Geringfügige Verstöße: Bis zu 15 Mio. EUR oder 3 % des Jahresumsatzes. 
  • Falsche Angaben: Bis zu 7,5 Mio. EUR oder 1,5 % des Jahresumsatzes. 
     

Wichtig: KMU zahlen den niedrigeren Betrag zwischen Festbetrag und Prozentsatz des Jahresumsatzes. Nachweisbare Compliance-Bemühungen können sich strafmildernd auswirken. Zusätzlich können Aufsichtsbehörden nicht konforme KI-Systeme vom Markt entfernen. Es ist daher entscheidend, frühzeitig Maßnahmen zur Einhaltung der Vorschriften zu ergreifen. 
 

Inhalte auf dieser Seite