KI-Compliance
EU AI Act für KMU: was tatsächlich zu tun ist
Der EU AI Act tritt phasenweise bis 2026 in Kraft. Der praktische Guide für KMU, die KI-Tools nutzen oder einsetzen.
Kurz gefasst
- Der EU AI Act trat im August 2024 in Kraft und wird in Phasen bis 2026 umgesetzt. Verbote für inakzeptables KI-Risiko gelten seit Februar 2025. Hochrisiko-KI-Pflichten gelten vollständig ab August 2026.
- Die meisten KMU, die kommerzielle KI-Tools nutzen (ChatGPT, Copilot, KI-Schreibassistenten), sind Betreiber, keine Anbieter. Betreiber haben leichtere Pflichten, brauchen aber eine Nutzungsrichtlinie, Nutzerbenachrichtigung und ein Beschwerdeverfahren.
- Hochrisiko-KI (Systeme, die Einstellungen, Kreditvergabe, biometrische Identifikation oder kritische Infrastruktur beeinflussen) trägt die schwersten Pflichten. Die meisten KMU bauen heute keine Hochrisiko-KI, aber jeder neue KI-Workflow sollte gegen die Risikokriterien geprüft werden.
- General-Purpose-AI-Pflichten (GPAI) gelten für Modellanbieter (OpenAI, Google, Mistral usw.), nicht für Unternehmen, die diese Modelle über APIs nutzen. KMU, die GPAI-APIs nutzen, erben die Sicherheitsinformationen vom Anbieter, müssen aber ihre eigene Risikoabschätzung durchführen.
- Sehen Sie, wie wir KI-Automatisierungs-Workflows für europäische KMU mit Compliance-Guardrails von Anfang an bauen.
Der Zeitplan
Was <em>wann</em> Pflicht wurde unter dem EU AI Act.
Der EU AI Act (Verordnung 2024/1689) trat am 1. August 2024 in Kraft. Er gilt nicht auf einmal. Die Umsetzung ist gestaffelt, damit Unternehmen Zeit haben, ihre KI-Systeme zu bewerten und zu dokumentieren.
**Februar 2025:** Verbote für KI-Systeme mit inakzeptablem Risiko traten in Kraft. Dazu gehören KI, die Verhalten unbewusst manipuliert, vulnerable Gruppen ausnutzt, Social Scoring durch öffentliche Stellen ermöglicht und bestimmte Echtzeit-Biometrieüberwachung. Wenn Ihre Organisation solche Systeme einsetzte, bestand die Pflicht zur Abschaltung sofort.
August 2025: Regeln für Anbieter von General-Purpose-AI-Modellen (GPAI) traten in Kraft. Diese gelten für Unternehmen, die Foundation Models bauen und veröffentlichen, nicht für Unternehmen, die diese Modelle nutzen. Die meisten KMU sind davon nicht direkt betroffen.
August 2026: Vollständige Pflichten für Hochrisiko-KI-Systeme gelten. Das ist die Frist, die für KMU, die KI-Systeme in Hochrisiko-Kategorien gebaut haben oder bauen, am wichtigsten ist (Recruiting, Kredit, Bildung, Biometrie, kritische Infrastruktur).
Hochrisiko-KI-Systeme, die vor August 2026 bereits auf dem Markt sind, haben eine Übergangsfrist bis August 2027 (oder 2030 für bestimmte regulierte Produkte), bevor sie vollständig konform sein müssen.
Risikostufen
Die vier Risikostufen und was sie erfordern.
| Risikostufe | Beispiele | Hauptpflichten |
|---|---|---|
| Inakzeptabel (verboten) | Social Scoring durch öffentliche Stellen, subliminale Manipulation, Echtzeit-Massen-Biometrieüberwachung im öffentlichen Raum | Vollständig verboten. Keine legale Nutzung ab Februar 2025. |
| Hochrisiko | Lebenslauf-Screening-Tools, Kredit-Scoring für Darlehen, biometrische Identifikation, KI in sicherheitskritischen Maschinen, Bildungsbewertungstools | Konformitätsbewertung, technische Dokumentation, menschliche Aufsichtsmechanismen, Protokollierung und Prüfbarkeit, Registrierung in EU-Datenbank vor dem Einsatz. |
| Begrenztes Risiko (spezifische Transparenzpflichten) | Chatbots, KI-generierte Inhalte, Emotionserkennungssysteme | Nutzer müssen informiert werden, dass sie mit KI interagieren. KI-generierte Inhalte müssen als solche gekennzeichnet werden. Deepfake-Inhalte müssen offengelegt werden. |
| Minimales Risiko | KI-Spam-Filter, KI-gestützte Dokumentenerstellung, Empfehlungssysteme auf persönlichen Geräten | Keine spezifischen Pflichten unter dem Gesetz. Freiwillige Verhaltenskodizes werden empfohlen. |
| General-Purpose-AI-Modelle (GPAI) | GPT-4, Gemini, Claude, Llama, Mistral | Pflichten gelten für Modellanbieter, nicht für API-Nutzer. Anbieter müssen technische Dokumentation veröffentlichen, Urheberrecht einhalten und (für Systeme mit systemischem Risiko) adversarielle Tests durchführen. |
Was KMU tun müssen
Praktische Schritte nach KI-Anwendungsfall-Typ.
01
KI-Tools inventarisieren und klassifizieren
Beginnen Sie mit einem einfachen Inventar: Listen Sie alle KI-Tools auf, die Ihr Team nutzt, einschließlich eingebetteter KI-Funktionen in SaaS-Tools (Copilot in Microsoft 365, KI-Assistent in Notion usw.). Bestimmen Sie für jedes, ob Sie als Anbieter (Sie haben es gebaut oder eingesetzt), Betreiber (Sie nutzen es im beruflichen Kontext) oder Endnutzer handeln. Klassifizieren Sie den Anwendungsfall nach den vier Risikostufen.
02
Bei begrenztem Risiko: Nutzerbenachrichtigungen hinzufügen
Wenn Sie einen Chatbot, KI-generierte Inhalte oder ein Emotionserkennungs-Interface einsetzen, müssen Nutzer informiert werden, dass sie mit KI interagieren. Ein klares Label oder eine Offenlegung zu Beginn einer KI-Interaktion ist die praktische Anforderung. Für öffentlich veröffentlichte KI-generierte Texte ist ebenfalls eine Offenlegung erforderlich. Bauen Sie das jetzt in Ihren Content-Workflow und Produkt-UI ein, bevor die Durchsetzung beginnt.
03
Bei Hochrisiko-KI: Dokumentation jetzt beginnen
Wenn Ihr Produkt oder Workflow in eine Hochrisiko-Kategorie fällt (Recruiting-Screening, Kreditbewertung, biometrische Identifikation), gelten die vollständigen Dokumentationspflichten ab August 2026. Das umfasst eine technische Akte mit Systemdesign, Trainingsdaten, Performance-Tests und Aufsichtsmechanismen. Früh zu beginnen ist weit günstiger als unter Fristdruck zu rekonstruieren. Wenn Sie Hochrisiko-KI-Tools von Anbietern evaluieren, prüfen Sie, ob der Anbieter Konformitätsbewertungsdokumentation liefert.
04
Nutzungsrichtlinie für KI schreiben und veröffentlichen
Betreiber von KI-Systemen müssen interne Governance vorhalten. Eine Nutzungsrichtlinie für KI-Tools ist das Minimum: Sie legt fest, welche Tools genehmigt sind, für welche Zwecke, welche Daten eingegeben werden dürfen (und welche nicht) und wer für die Überprüfung von KI-Ausgaben vor dem Einfluss auf echte Entscheidungen verantwortlich ist. Das ist auch die Grundlage für DSGVO-Compliance, wenn KI-Tools personenbezogene Daten verarbeiten.
Häufige Fragen
Was KMU fragen, wenn sie erstmals auf den EU AI Act stoßen.
Wir nutzen ChatGPT und GitHub Copilot. Gilt der EU AI Act für uns?
Wahrscheinlich auf dem minimalen oder begrenzten Risikoniveau. Die Nutzung eines GPAI-Modells über API oder ein kommerzielles Abonnement macht Sie nicht zum Anbieter unter dem Gesetz. Sie sind Betreiber oder Endnutzer. Ihre Pflichten sind leichter: Bei verbraucherorientierten KI-Funktionen informieren Sie Nutzer, dass sie mit KI interagieren. Bei internen Tools, die personenbezogene Daten verarbeiten, stellen Sie sicher, dass Ihre DSGVO-Grundlage für die Nutzung dieser Tools in Ordnung ist.
Wir haben ein Lebenslauf-Screening-Tool gebaut. Wann müssen wir konform sein?
Lebenslauf-Screening- und Kandidaten-Ranking-Tools sind in Anhang III explizit als Hochrisiko-KI-Systeme aufgeführt. Vollständige Pflichten gelten ab August 2026. Wenn Ihr Tool bereits vor diesem Datum auf dem Markt war, haben Sie bis August 2027. Die Pflichten umfassen eine Konformitätsbewertung, technische Dokumentation der Trainingsdaten und Performance-Tests, einen menschlichen Überprüfungsschritt im Recruiting-Prozess und die Registrierung in der EU-Datenbank.
Was ist GPAI und beeinflusst es, was wir mit LLMs bauen?
General-Purpose-AI (GPAI) bezieht sich auf Foundation-Modelle (die großen Sprachmodelle selbst) und nicht auf die darauf aufbauenden Anwendungen. Die GPAI-Pflichten im Gesetz fallen auf Modellanbieter (Anthropic, OpenAI, Google, Mistral, Meta), nicht auf Unternehmen, die deren APIs nutzen. Wenn Sie einen Kundenservice-Chatbot mit der OpenAI-API bauen, sind Sie Betreiber eines KI-Systems mit begrenztem Risiko, kein GPAI-Anbieter. Sie müssen jedoch sicherstellen, dass personenbezogene Daten, die an die API gesendet werden, durch einen DSGVO-konformen AV-Vertrag mit dem API-Anbieter abgedeckt sind.
Gibt es Ausnahmen für kleine Unternehmen?
Der AI Act enthält einige vereinfachte Bestimmungen für KMU, insbesondere bei Formaten der technischen Dokumentation und Zugang zu Testinfrastruktur. Das sind jedoch prozedurale Erleichterungen, keine Ausnahmen vom Inhalt des Gesetzes. Wenn Ihr KI-System in eine Hochrisiko-Kategorie fällt, gelten die Hochrisiko-Pflichten unabhängig von der Unternehmensgröße.
Welche Strafen drohen bei Verstößen?
Bußgelder unter dem EU AI Act gehören zu den höchsten in der EU-Digitalregulierung. Verstöße gegen Verbote inakzeptabler KI: bis zu 35 Millionen Euro oder 7% des globalen Jahresumsatzes (je nachdem, was höher ist). Verstöße gegen Hochrisiko-KI-Pflichten: bis zu 15 Millionen Euro oder 3% des Umsatzes. Falsche Angaben gegenüber Behörden: bis zu 7,5 Millionen Euro oder 1,5% des Umsatzes. Für KMU sieht das Gesetz verhältnismäßige Strafen vor, aber die Richtung ist klar.
Wie wir KI-Compliance angehen
Guardrails eingebaut von der Designphase an, nicht nachträglich angepasst.
Wenn wir KI-Automatisierungs-Workflows für europäische Kunden bauen, ist Compliance von Tag eins Teil der Architektur. Das bedeutet eine Risikobewertung des Anwendungsfalls vor dem Build, DSGVO-AV-Verträge, bevor personenbezogene Daten an eine LLM-API fließen, Nutzerbenachrichtigungen im Produkt-UI und einen menschlichen Überprüfungsschritt für jede Ausgabe, die eine echte Entscheidung beeinflusst. **Sehen Sie, wie wir KI-Automatisierung für europäische KMU mit Compliance als Standard, nicht als Nachgedanken, angehen.**
Für Organisationen, die bereits KI-Systeme einsetzen und ihre EU-AI-Act-Exposition bewerten müssen, führen wir strukturierte Assessments durch: Inventar der eingesetzten KI-Systeme, Risikostufenklassifizierung gegen Anhang III, Gap-Analyse gegen die geltenden Pflichten und ein Remediation-Plan mit Zeitplan. Das Ergebnis gibt Ihnen ein klares Bild Ihrer Compliance-Position, bevor die Durchsetzung beginnt.
Konkrete Lösung
Bringen Sie das operative Risiko.Sie erhalten eine klare Diagnose und den nächsten Schritt.
Passend, wenn Sie ein Team wollen, das widerspricht, wenn es zählt. Ergebnisse und Kennzahlen →
Erst prüfen?
Belege auf der Site.
Ergebnisse unter Referenzen. Team und Arbeitsweise unter Über uns. Nichts zum Download. Prüfen Sie, bevor Sie ein Gespräch buchen. Offen zur Prüfung. Commit, wenn es passt.