Share

EU AI Act: Was KMU bis August 2026 erledigen sollten

Künstliche Intelligenz ist im Mittelstand angekommen – im Kundenservice, im Recruiting, in der Produktion und in Finanzprozessen, oft als Funktion in Standardsoftware. Mit dem EU AI Act wird dieser Einsatz ab dem 2. August 2026 verbindlich geregelt. Bis dahin müssen Unternehmen wissen, wo sie KI einsetzen, welche Risiken damit verbunden sind und wie sie diese steuern. Dieser Beitrag zeigt KMU, warum auch sie als Anwender betroffen sind und welche Schritte jetzt anstehen.

Was ist der EU AI Act – und warum betrifft er auch KMU?

Die EU-Verordnung 2024/1689 – bekannt als EU AI Act – schafft einen europaweit einheitlichen Rechtsrahmen für den Einsatz von künstlicher Intelligenz. Entscheidend für KMU: Die Verordnung richtet sich nicht nur an Unternehmen, die KI entwickeln oder vertreiben, sondern auch an Organisationen, die KI einkaufen, in ihre Systeme integrieren oder im Betrieb nutzen. Der EU AI Act bezeichnet diese Akteure als „Betreiber” (Deployer) und knüpft daran eigene, eigenständige Pflichten, insbesondere im Hochrisikobereich (Art. 26), aber auch bei Transparenz (Art. 50) und KI-Kompetenz (Art. 4).

Damit kann ein KMU bereits betroffen sein, wenn es beispielsweise einen Chatbot im Support einführt, KI im Recruiting nutzt oder ein Scoring in CRM- oder ERP-Systemen aktiviert.

Welche Fristen müssen KMU kennen?

Der EU AI Act ist am 1. August 2024 in Kraft getreten und ab dem 2. August 2026 vollständig anwendbar. Einzelne Pflichten greifen früher: Bereits seit dem 2. Februar 2025 sind verbotene KI-Praktiken (Art. 5) untersagt, und Unternehmen müssen eine ausreichende KI-Kompetenz (Art. 4) sicherstellen – relevant für jedes KMU, das KI im Alltag einsetzt.

Daneben gelten abweichende Stichtage für bestimmte Anwendungsfälle:

  • Seit 2. August 2025: Pflichten für Anbieter von General-Purpose-AI-Modellen (z. B. große Sprachmodelle) nach Kapitel V.
  • Ab 2. August 2027: Pflichten für Hochrisiko-KI als Sicherheitsbauteil regulierter Produkte – etwa in Maschinen oder Medizinprodukten (Art. 6 Abs. 1 i. V. m. Anhang I).
  • Bis 31. Dezember 2030: Frist für KI-Systeme, die Bestandteil großer EU-IT-Systeme nach Anhang X sind (z. B. SIS, VIS, Eurodac) und vor dem 2. August 2027 in Verkehr gebracht wurden (Art. 111 Abs. 1).

Die meisten klassischen KMU-Anwendungsfälle fallen weder unter Anhang X noch unter Anhang I, was jedoch im Einzelfall zu prüfen ist – insbesondere bei produzierenden KMU im Maschinen- oder Medizintechnikumfeld.

Warum ist der EU AI Act kein reines Compliance-Projekt, sondern ein Business-Thema?

Viele KMU starten mit KI in Insellösungen: ein Tool im Marketing, ein Pilot in HR, ein Assistent in der IT. Dieses Patchwork wird zum Problem, sobald Zuständigkeiten unklar sind, Änderungen unkontrolliert geschehen oder niemand dokumentiert, wofür KI eingesetzt wird und wie Risiken begrenzt werden.

Wer den EU AI Act frühzeitig ernst nimmt, schafft deshalb keine zusätzliche Bürokratie, sondern eine verlässliche Steuerung. Das beschleunigt Entscheidungen: Welche KI-Anwendungen bauen wir aus, welche stoppen wir, welche laufen nur unter klaren Auflagen weiter? Gleichzeitig sinkt das Risiko unkontrollierter Nutzung – und das Vertrauen von Kunden, Partnern und Mitarbeitenden wächst.

Woran erkennen KMU, ob sie vom EU AI Act betroffen sind?

Für eine erste Einordnung genügt es, die folgenden drei Fragen zu beantworten:

  1. Nutzen wir irgendwo KI – auch unbemerkt?
    In vielen Standardlösungen steckt KI nicht als „KI-Projekt", sondern als Feature: automatische Ticket-Kategorisierung, Textzusammenfassungen, Anomalie-Erkennung, Empfehlungen oder Ranking-Logiken. Eine vollständige Bestandsaufnahme über alle Fachbereiche hinweg – inklusive IT und Einkauf – ist daher unverzichtbar.
  2. Welche Rolle haben wir: Anbieter oder Betreiber?
    Die Pflichten unterscheiden sich erheblich, je nachdem ob Sie KI lediglich einsetzen oder selbst in Verkehr bringen. Nach Art. 25 AI Act wird ein Betreiber rechtlich zum Anbieter, wenn er
    • ein KI-System unter eigenem Namen oder eigener Marke in Verkehr bringt,
    • ein bestehendes Hochrisiko-System wesentlich verändert oder
    • den Zweck eines Systems so ändert, dass es dadurch zum Hochrisiko-System wird.
  3. In welche Risikoklasse fällt der konkrete KI-Einsatz?
    Der AI Act ist risikobasiert: Je stärker ein System Grundrechte, Sicherheit oder Gesundheit berühren kann, desto strenger sind die Anforderungen. Besonders relevant ist das überall dort, wo KI Entscheidungen mit spürbaren Folgen für Menschen vorbereitet – etwa im Personalwesen oder bei Scoring- und Bewertungslogiken. Die Pflichten für Hochrisiko-Systeme nach Anhang III sowie die Transparenzanforderungen nach Art. 50 gelten ab dem 2. August 2026; für Hochrisiko-Systeme nach Anhang I (KI als Sicherheitskomponente regulierter Produkte) erst ab dem 2. August 2027.

EU AI Act – Wer im Unternehmen was liefern muss

Der EU AI Act betrifft das gesamte Unternehmen – von der strategischen Steuerung bis zur täglichen Nutzung KI-gestützter Funktionen. Für die einzelnen Bereiche bedeutet das konkret:

Geschäftsführung – den Rahmen setzen

Die Geschäftsführung setzt die Leitplanken, verankert Verantwortlichkeiten und Freigabeprozesse und stellt Ressourcen für Risikomanagement, Dokumentation und Schulungen bereit. 

IT – Nachvollziehbarkeit und Betriebssicherheit

Die IT macht KI technisch beherrschbar. Soweit das Unternehmen Anbieter eines Hochrisiko-Systems ist oder als Betreiber von entsprechenden Pflichten betroffen ist, gehören dazu eine technische Dokumentation (Art. 11, Anhang IV), Maßnahmen zur Datenqualität (Art. 10), Schutz vor Manipulation und Angriffen (Art. 15) sowie ein Monitoring nach dem Inverkehrbringen (Art. 72).

HR – faire und kontrollierte Personalentscheidungen

Wo KI im Recruiting, in der Auswahl, Bewertung oder Personalentwicklung zum Einsatz kommt, ist besondere Sorgfalt gefragt – mit nachvollziehbaren Kriterien, systematischer Risikobetrachtung und wirksamer menschlicher Kontrolle.

Vertrieb und Marketing – transparente Kundenkommunikation

Sobald Kunden mit KI interagieren (z. B. mit Chatbots) oder KI-erzeugte bzw. KI-manipulierte Inhalte ausgespielt werden, muss dies klar erkennbar sein (Art. 50). Interne Qualitätsregeln helfen, irreführende Aussagen oder unzulässige Zusagen aus KI-Ausgaben zu vermeiden.

Compliance und Recht – Prüf- und Ernstfallfestigkeit

Compliance und Recht schaffen den Rahmen, der in Prüfungen und im Krisenfall trägt: klare Vorgaben, konsistentes Risikomanagement, zentrale Dokumentation sowie die Vorbereitung auf Behördenanfragen und interne Audits.

Einkauf – externe KI nicht zur Blackbox werden lassen

Externe Lösungen (z. B. KI-Chatbots für Kundenservice und Support) erfordern klare vertragliche Grundlagen: definierte Rollen und Pflichten, Zugang zu Dokumentation und Nachweisen sowie verbindliche Vereinbarungen zu Updates, Support, Sicherheitsmeldungen und Haftung.

Was müssen KMU bis August 2026 erledigen?

KMU müssen nicht “perfekt” sein, aber handlungsfähig und nachweisbar organisiert. In der Praxis hat sich ein Vorgehen in drei Schritten bewährt:

  1. KI-Inventur und Priorisierung
    Schaffen Sie Transparenz: Welche Systeme setzen wir ein? Welche Anwendungen sind besonders kritisch? Welche betreffen Kunden oder Mitarbeitende? Diese Priorisierung entscheidet, wo Sie zuerst investieren.
  2. Risikoeinstufung und Standardprozesse
    Legen Sie fest, wie neue KI-Anwendungen bewertet und freigegeben werden, wie Änderungen – Updates, Modellwechsel, neue Datenquellen – kontrolliert ablaufen und wie Monitoring und Eskalation funktionieren. Spätestens bei Hochrisiko-Konstellationen ist das eine Kernerwartung an den Betrieb.
  3. Nachweisfähigkeit und Routine im Betrieb
    Dokumentation, Rollen, Schulungen und laufende Überwachung müssen so verankert sein, dass sie im Alltag gelebt werden. Hier entscheidet sich, ob ein Unternehmen in einer Prüfung souverän reagiert oder hektisch Informationen einsammelt.

Was verlangt Artikel 4 des EU AI Act zur KI-Kompetenz – und was heißt das praktisch?

Artikel 4 wirkt unscheinbar, ist aber für nahezu jedes Unternehmen relevant. Die Pflicht zur KI-Kompetenz (AI Literacy) betrifft sowohl Anbieter als auch Betreiber und gilt bereits seit dem 2. Februar 2025. Bußgelder nach Art. 99 für Verstöße gegen Art. 4 können die Mitgliedstaaten allerdings erst ab dem 2. August 2026 verhängen.

Gemeint ist kein Expertenwissen für alle, sondern ausreichende Kompetenz für die jeweilige Rolle. Wer KI bedient oder ihre Ergebnisse für Entscheidungen nutzt, muss typische Risiken erkennen können – etwa übermäßiges Vertrauen in Ausgaben sowie Verzerrungen, falsche Schlussfolgerungen oder unzulässige Datenverarbeitung. Bewährt hat sich ein rollenspezifisches Schulungskonzept mit dokumentierten Inhalten und klaren Vorgaben, wann eine menschliche Kontrolle zwingend ist.

Welche Sanktionen drohen?

Artikel 99 sieht eine dreistufige Bußgeldstaffel vor:

  • Bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes für Verstöße gegen die in Artikel 5 aufgeführten verbotenen Praktiken.
  • Bis zu 15 Millionen Euro oder drei Prozent des Jahresumsatzes für Verstöße gegen die meisten anderen Pflichten (z. B. Anbieter- und Betreiberpflichten bei Hochrisikosystemen oder Transparenzpflichten).
  • Bis zu 7,5 Millionen Euro oder ein Prozent des Jahresumsatzes für falsche, unvollständige oder irreführende Angaben gegenüber Behörden.

Wichtig: Für KMU und Start-ups gilt nach Art. 99 Abs. 6 jeweils der niedrigere der beiden Beträge (Pauschalbetrag oder Prozentsatz), nicht der höhere wie bei Großunternehmen.

Warum sollten KMU den EU AI Act als Chance begreifen?

Im Kern stellt der EU AI Act zentrale Managementfragen, die gut geführte Unternehmen ohnehin beantworten sollten: Wo setzen wir KI ein, zu welchem Zweck, mit welchen Daten und Kontrollen – und wer trägt die Verantwortung? Wer diese Fragen beantwortet, gewinnt mehr als nur Regelkonformität: Tempo bei Entscheidungen, bessere Ergebnisse und Vertrauen im Markt.

Weitere Informationen zur HS - Hamburger Software GmbH

Artikel vom 10.06.2026

Schlagwörter: Künstliche Intelligenz, KMU, ERP