Von Tenzin Langdun

EU AI Act 2026: Was KMU jetzt über KI-Compliance wissen müssen

EU AI Act für KMU 2026: Fristen ab August, Risikoklassen, Pflichten auch für reine Nutzer von KI, drohende Bussgelder und eine praktische Checkliste zur Vorbereitung.

EU AI ActComplianceKI-Governance

Risikopyramide des EU AI Act mit vier Stufen: Inakzeptabel, Hoch, Begrenzt, Minimal
Die vier Risikoklassen des EU AI Act.

Der EU AI Act ist die erste umfassende KI-Regulierung der EU. Ab dem 2. August 2026 gelten zentrale Pflichten – auch für KMU, die KI nur einsetzen. Wer KI in Recruiting, Buchhaltung, Kundenservice oder Vertrieb nutzt, sollte jetzt Risikoklassen prüfen, Mitarbeitende schulen und die Nutzung dokumentieren.

Die häufigste Fehleinschätzung: „Wir entwickeln keine KI, also betrifft uns das nicht." Das stimmt nicht. Der EU AI Act adressiert ausdrücklich auch Betreiber – also Unternehmen, die fertige KI-Systeme im Alltag verwenden.

Was ist der EU AI Act?

Der EU AI Act reguliert den Einsatz künstlicher Intelligenz nach einem risikobasierten Ansatz: Je höher das Risiko einer Anwendung für Menschen und Grundrechte, desto strenger die Anforderungen. Ziel ist vertrauenswürdige KI – mit Transparenz, menschlicher Aufsicht und Nachweisbarkeit.

Gilt der EU AI Act auch für KMU?

Ja. Betroffen sind nicht nur Anbieter und Entwickler, sondern auch reine Nutzer von KI. Setzen Sie KI etwa zur Vorauswahl von Bewerbungen, zur Bonitätseinschätzung oder im Kundenservice ein, fallen Sie unter die Verordnung – mit abgestuften, für KMU teils erleichterten Pflichten.

Welche Risikoklassen gibt es?

RisikoklasseBeispieleAnforderung
InakzeptabelSocial Scoring, manipulative Systemeverboten
HochRecruiting, Bonität, kritische Infrastrukturstrenge Pflichten & Dokumentation
BegrenztChatbots, generierte InhalteTransparenz- und Kennzeichnungspflicht
MinimalSpamfilter, einfache Empfehlungenkeine besonderen Pflichten

Welche Pflichten haben KMU als Nutzer von KI?

Auch wer KI nur betreibt, hat konkrete Aufgaben:

  • Geschultes Aufsichtspersonal für die eingesetzten Systeme benennen.
  • Nutzung protokollieren – relevante Logs mindestens sechs Monate aufbewahren.
  • Eingabedaten sichern und Zweck der Nutzung dokumentieren.
  • Transparenz schaffen, wo Menschen mit KI interagieren.

Welche Bussgelder drohen?

Für Betreiber und KMU liegen die relevanten Höchstbeträge bei bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes. Für KMU und Start-ups sind reduzierte Bussgelder und vereinfachte Nachweise vorgesehen.

Checkliste: In 6 Schritten vorbereitet

  1. Inventur: Welche KI-Systeme nutzen wir – auch versteckt in SaaS-Tools?
  2. Einordnung: Welcher Risikoklasse gehört jeder Anwendungsfall an?
  3. Aufsicht: Wer ist verantwortlich und geschult?
  4. Dokumentation: Zweck, Datenflüsse und Logging festhalten.
  5. Richtlinie: Eine schlanke interne KI-Richtlinie verabschieden.
  6. Review: Regelmässig prüfen – Recht und Systeme ändern sich.

Diese Sorgfalt passt zu einem Grundprinzip guter Automatisierung: Der Mensch bleibt in der Schleife. Mehr dazu in unseren Beiträgen zu KI-Automatisierung im Mittelstand und KI-Agenten.

Sie wollen KI rechtssicher und finance-grade einführen? Sprechen Sie mit uns.

Häufige Fragen

Gilt der EU AI Act auch für kleine Unternehmen?
Ja. Der EU AI Act gilt nicht nur für Anbieter, sondern auch für Unternehmen, die KI lediglich einsetzen – etwa in Recruiting, Buchhaltung, Kundenservice oder Vertrieb. Für KMU gibt es Erleichterungen wie vereinfachte Dokumentation, die Pflichten entfallen aber nicht.
Ab wann gilt der EU AI Act?
Zentrale Pflichten greifen ab dem 2. August 2026, insbesondere im Umfeld von Hochrisiko-Systemen. Einzelne Fristen wurden zuletzt über den sogenannten Digital Omnibus angepasst – Unternehmen sollten den aktuellen Stand für ihren konkreten Anwendungsfall prüfen.
Was passiert, wenn man den EU AI Act ignoriert?
Verstösse können teuer werden. Für Betreiber und KMU liegen die relevanten Höchstbeträge bei bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Brauchen wir eine KI-Richtlinie im Unternehmen?
Für die meisten KMU ist eine schlanke KI-Richtlinie sinnvoll: Sie legt fest, welche Systeme genutzt werden, wer sie beaufsichtigt, wie Nutzung protokolliert wird und wer im Zweifel entscheidet. Das schafft Nachweisbarkeit und reduziert Risiko.
Tenzin Langdun

Über den Autor

Tenzin Langdun

KI-Experte & Marketing-Lead bei Hierarchy

Tenzin ist KI-Experte und Marketing-Lead mit einem MSc in Artificial Intelligence der University of Bath und über 10 Jahren Marketingerfahrung in Strategie, Paid Acquisition und SEO. Er war bei renommierten Unternehmen wie KPMG, EY, Siemens und Adnovum tätig – mit Expertise in KI, Cybersecurity, Audit und Consulting sowie in der Versicherungsbranche. Gemeinsam mit Martin Oswald ist er Mitautor einer preisgekrönten Forschungsarbeit zur KI-basierten Krebserkennung, veröffentlicht in Nature und ausgezeichnet mit dem nationalen Siemens Excellence Award und dem Lab Sciences Award.

MSc AI · Bath10+ J. MarketingKPMG · EY · Siemens · AdnovumKI · Cyber · Audit · VersicherungMehr über das Team