EU AI Act für KMU — Was Sie 2026 wirklich tun müssen

Der EU AI Act gilt seit dem 2. Februar 2025 schrittweise — und betrifft jedes Unternehmen, das KI-Systeme einsetzt. Auch Ihr 10-Personen-Handwerksbetrieb. Auch Ihre Steuerkanzlei. Auch Ihr Verein. In diesem Artikel erklären wir, was Sie bis August 2026 wirklich umsetzen müssen.

Die wichtigsten Fristen auf einen Blick

• 02.02.2025 — Verbote nach Art. 5 und KI-Kompetenz-Pflicht nach Art. 4 sind wirksam
• 02.08.2025 — GPAI-Pflichten für Modellanbieter
• 02.08.2026 — Hauptanwendung, inkl. Governance-Strukturen
• 02.08.2027 — Hochrisiko-Systeme nach Anhang I

Was KMU jetzt konkret tun müssen

1. KI-Inventar aufbauen

Sie müssen wissen, welche KI-Systeme in Ihrem Betrieb genutzt werden — auch "Schatten-KI" auf privaten Geräten. ChatGPT, Copilot, Gemini, Claude, DeepL, Midjourney — jedes Tool gehört ins Register.

2. KI-Kompetenz sicherstellen (Art. 4)

Alle Mitarbeitenden, die KI-Systeme einsetzen, müssen über ausreichende KI-Kompetenz verfügen. Das ist keine Empfehlung, sondern eine harte Pflicht seit dem 2. Februar 2025. Schulungen müssen dokumentiert werden.

3. KI-Nutzungsrichtlinie erstellen

Eine dokumentierte Richtlinie, die festlegt: Welche Tools sind freigegeben? Welche Eingaben sind verboten? Wer darf was? Wer meldet was an wen?

4. AVVs mit allen KI-Anbietern

Sobald personenbezogene Daten im Spiel sind, brauchen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Für OpenAI, Microsoft, Google, Anthropic, Mistral und Aleph Alpha gibt es jeweils Standard-Formulare — aber Sie müssen sie aktiv abschließen und dokumentieren.

5. Risiken klassifizieren

Verboten (Art. 5)? Hochrisiko (Anhang III)? Begrenztes Risiko (Art. 50 Transparenzpflichten)? Oder minimales Risiko? Für jedes System eine dokumentierte Einstufung.

6. Meldewege einrichten

Ein einfaches Incident-Response-Playbook: Was passiert, wenn ChatGPT halluziniert? Wenn ein Mitarbeiter sensible Daten in einen Prompt getippt hat? Wenn die API gehackt wurde?

Bußgelder — für KMU gibt es Erleichterungen

Die Obergrenzen:

• Verbotene KI: bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
• Hochrisiko-Verstöße: bis 15 Mio. € oder 3 %
• Falsche Angaben: bis 7,5 Mio. € oder 1 %

Für KMU gelten reduzierte Obergrenzen. Aber: Die materiellen Pflichten sind identisch. Ein 5-Personen-Betrieb muss genauso inventarisieren wie ein 500-Personen-Konzern.

So gehen Sie vor

1. KI-Richtlinie erstellen (Basis) — heute, dauert 10 Minuten

2. Inventar anlegen — diese Woche

3. Team schulen — diesen Monat

4. AVVs einholen — nächste 4 Wochen

5. DSFA wo nötig — Q2 2026

6. Review-Zyklus jährlich festlegen

Mit KI-Norm können Sie alle diese Schritte in der gleichen Plattform umsetzen — kostenlos einsteigen, bei Bedarf upgraden.