KI Compliance Regulierung

EU AI Act: Was KMU jetzt wissen müssen — Risikoklassen, Pflichten, Fristen

Der EU AI Act ist in Kraft. Ab August 2026 gelten Pflichten für Hochrisiko-KI. Was das für KMU konkret bedeutet — ohne Juristendeutsch.

Sikko Hühsam

Der EU AI Act ist keine Ankündigung mehr. Seit August 2024 ist er in Kraft. Die ersten Fristen sind bereits abgelaufen. Und ab August 2026 gelten die Hauptpflichten für Hochrisiko-KI-Systeme — die, die viele Unternehmen am stärksten betreffen werden.

Das Gesetz ist lang. Die Kommentarliteratur dazu ist noch länger. Dieser Artikel erklärt, was KMU wirklich wissen müssen — ohne Juristendeutsch.

Das Risikomodell des EU AI Act

Der Act sortiert KI-Anwendungen in vier Risikostufen:

Inakzeptables Risiko — verboten (seit Februar 2025): Social Scoring durch Behörden, Manipulation von Menschen ohne deren Wissen, Ausnutzung von Vulnerabilität.

Hohes Risiko — strenge Pflichten (ab August 2026): Systeme, die in sensitiven Bereichen eingesetzt werden und erhebliche Auswirkungen auf Menschen haben können. Dazu zählen unter anderem:

  • KI in Personalentscheidungen (Screening von Bewerbungen, automatisierte Kündigung)
  • Kreditscoring und Bonitätsbewertung durch KI
  • KI in Bildungseinrichtungen zur Bewertung von Schülern oder Studenten
  • Systeme zur biometrischen Identifikation
  • KI in der medizinischen Diagnostik

Begrenztes Risiko — Transparenzpflichten: Chatbots und KI-generierte Inhalte müssen als solche erkennbar sein. Deepfakes müssen gekennzeichnet werden.

Minimales Risiko — keine spezifischen Pflichten: KI-Filter in E-Mails, Empfehlungssysteme, einfache Automation.

Was die meisten KMU tatsächlich betrifft

Die Hochrisiko-Kategorie klingt zunächst weit entfernt. In der Praxis ist sie es oft nicht.

KI im Recruiting — Wer Software einsetzt, die Bewerbungen automatisch filtert, bewertet oder rankt, betreibt ein Hochrisiko-System. Das betrifft nicht nur große HR-Software-Anbieter. Es betrifft alle, die solche Software einsetzen.

KI-generierte Kommunikation — Chatbots auf Websites, KI-geschriebene Kundenmails: diese müssen erkennbar als KI-erzeugt gekennzeichnet sein.

Anbieter vs. Nutzer — Der Act unterscheidet zwischen Anbietern (die KI entwickeln und in Verkehr bringen) und Betreibern (die KI einsetzen). Für reine Nutzer von Standard-KI-Tools gelten weniger Pflichten als für Unternehmen, die KI-Systeme selbst entwickeln oder in Produkte integrieren.

Die Kernpflichten für Hochrisiko-KI

Wer Hochrisiko-KI-Systeme betreibt oder anbietet, muss ab August 2026:

Risikomanagement — Systematische Identifikation und Bewertung von Risiken für das KI-System. Dokumentiert, regelmäßig überprüft.

Datenqualität — Die Trainingsdaten und Eingabedaten müssen dokumentierte Qualitätsstandards erfüllen.

[[Explainability|Transparenz und Erklärbarkeit]] — Das System muss seine Entscheidungen für betroffene Personen und Aufsichtsbehörden nachvollziehbar machen können.

[[Human-in-the-Loop|Menschliche Aufsicht]] — Es müssen Mechanismen vorhanden sein, die es Menschen ermöglichen, KI-Entscheidungen zu überwachen, zu prüfen und bei Bedarf zu überstimmen.

Registrierung — Hochrisiko-KI-Systeme müssen in einer EU-Datenbank registriert werden.

Was ist jetzt zu tun

Schritt 1: Inventar — Welche KI-Systeme setzt das Unternehmen ein? Welche werden von Dienstleistern oder eingesetzter Software mitgeliefert?

Schritt 2: Klassifikation — Für jedes System: In welche Risikokategorie fällt es? Die Klassifikation ist nicht immer eindeutig — im Zweifel vorsichtig einschätzen.

Schritt 3: Dokumentation — Für Hochrisiko-Systeme: Zweck, Funktionsweise, Entscheidungslogik, Maßnahmen zur menschlichen Aufsicht dokumentieren.

Schritt 4: Vertragscheck — Wer KI-Dienstleistungen einkauft, sollte mit Anbietern klären, wie die Compliance-Verantwortung aufgeteilt ist.

Was sich durch den EU AI Act wirklich ändert

Das Gesetz macht explizit, was gute KI-Praxis ohnehin sein sollte: Transparenz darüber, wo KI Entscheidungen trifft. Mechanismen, die Menschen die Kontrolle behalten lassen. Dokumentation, die Nachvollziehbarkeit ermöglicht.

Wer KI von Anfang an mit [[AI Governance|Governance-Strukturen]] einführt — klare Verantwortlichkeiten, definierte Eskalationspunkte, Transparenz gegenüber Betroffenen — ist nicht nur compliant. Er hat auch ein KI-System, dem das Team vertraut.

Der EU AI Act ist kein Hindernis für KI in KMU. Er ist eine Einladung, es richtig zu machen.

Häufige Fragen

Antworten auf Ihre Fragen

Ab wann gilt der EU AI Act für KMU?
Der EU AI Act trat im August 2024 in Kraft und wird schrittweise wirksam. Die Verbote für inakzeptable Risiken galten ab Februar 2025. Pflichten für Hochrisiko-KI greifen ab August 2026. GPAI-Modelle (große KI-Modelle wie GPT, Claude) unterliegen seit August 2025 speziellen Transparenzpflichten.
Gilt der EU AI Act für mein KMU, wenn ich nur Claude oder ChatGPT nutze?
Wer KI nur als Endnutzer für interne Zwecke einsetzt (Texte schreiben, Recherche, Zusammenfassungen), ist in den meisten Fällen nicht direkt von den Hochrisiko-Pflichten betroffen. Der Act richtet sich primär an Anbieter und Betreiber von KI-Systemen in sensitiven Anwendungsbereichen.
Was ist ein Hochrisiko-KI-System laut EU AI Act?
Hochrisiko-KI sind Systeme, die in bestimmten Sektoren für kritische Entscheidungen eingesetzt werden: Personalentscheidungen (Bewerbungen, Kündigung), Kreditvergabe, Schüler-/Studentenbewertungen, kritische Infrastruktur, medizinische Diagnosen, biometrische Identifikation und Strafverfolgung.

Begriffe in diesem Artikel

Explainability
Fähigkeit eines KI-Systems, seine Entscheidungen nachvollziehbar zu erklären. Ab August 2026 durch den EU AI Act für Hochrisiko-KI-Systeme verpflichtend.
Human-in-the-Loop
Designprinzip: Menschen genehmigen oder korrigieren KI-Entscheidungen an kritischen Punkten — Kontrolle ohne den Automatisierungsfluss zu blockieren.
AI Governance
Strukturen und Regeln zur Kontrolle von KI-Systemen im Unternehmen — wer entscheidet was, wie werden Entscheidungen geprüft, wann wird eskaliert.
LLM
Large Language Model: KI-Sprachmodell, das auf riesigen Textmengen trainiert wurde und natürliche Sprache versteht, generiert und verarbeitet.
KI-Agent
Software, die eigenständig Aufgaben plant und ausführt — mit Zugriff auf Tools, Daten und APIs, ohne für jeden Schritt menschliche Anweisung zu benötigen.
Verwandte Artikel
KI Automatisierung
Agentic AI: Was KI-Agenten von Chatbots unterscheidet
KI-Agenten sind mehr als Chatbots. Was Agentic AI ausmacht, wann sie in Geschäftsprozessen sinnvoll ist — und wo die Grenzen liegen.
KI Strategie
Warum KI-Projekte scheitern — und was KMU besser machen können
Die meisten KI-Misserfolge haben dieselben Muster: falsche Erwartungen, fehlende Prozesse, schlechte Daten. Ehrliche Diagnose mit konkreten Gegenmitteln.
Automatisierung Change Management
Automatisierung scheitert nicht an der Technik — sondern an den Menschen
Die meisten Automatisierungsprojekte scheitern nicht technisch. Das größte Risiko sitzt in der Organisation. Was Change Management damit zu tun hat.

Nächster Schritt

Bereit, das in Ihrem Unternehmen anzuwenden?

Im kostenlosen Erstgespräch analysieren wir gemeinsam, welcher Schritt für Sie gerade der richtige ist.

Kostenloses Erstgespräch