Ab wann gilt der EU AI Act für KMU?

Der EU AI Act ist seit August 2024 in Kraft getreten und gilt schrittweise: Verbotene KI-Praktiken sind seit Februar 2025 verboten. Hochrisiko-KI-Systeme unterliegen ab August 2026 den vollen Anforderungen. Allgemeine KI-Modelle (GPAI) müssen ab August 2025 konform sein. Für viele KMU sind die relevantesten Regelungen also seit Anfang 2025 anwendbar.

Welche KI-Systeme sind nach dem AI Act verboten?

Verboten seit Februar 2025: Social Scoring durch öffentliche Behörden, KI zur unbewussten Manipulation von Personen, biometrische Massenüberwachung in der Öffentlichkeit, KI zum Ausnutzen von Schwachstellen (Alter, Behinderung), Echtzeit-biometrische Fernidentifikation in öffentlichen Räumen durch Strafverfolgung (mit Ausnahmen), Emotionserkennung am Arbeitsplatz und in der Schule.

Was ist ein Hochrisiko-KI-System nach dem EU AI Act?

Hochrisiko-KI-Systeme sind KI-Anwendungen in kritischen Bereichen: HR und Personalentscheidungen, Kreditwürdigkeitsprüfungen, biometrische Identifikation, kritische Infrastrukturen, Bildung, Strafverfolgung, Migration, Rechtspflege. Wenn ein KMU KI in diesen Bereichen einsetzt oder entwickelt, gelten umfangreiche Pflichten: Risikomanagement, Dokumentation, menschliche Aufsicht, Registrierung in einer EU-Datenbank.

Welche Bußgelder drohen bei Verstößen gegen den EU AI Act?

Bußgelder gestaffelt nach Verstoß-Schwere: Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei verbotenen KI-Praktiken, bis zu 15 Mio. € oder 3 % für sonstige Verstöße, bis zu 7,5 Mio. € oder 1,5 % für fehlerhafte Informationen. Für KMU gelten reduzierte Obergrenzen (prozentualer Anteil greift früher). Die Aufsicht in Deutschland übernimmt eine noch festzulegende nationale Behörde.

EU AI Act 2026: Pflichten für KMU in Deutschland

Der EU AI Act – die weltweit erste umfassende Regulierung für künstliche Intelligenz – ist seit August 2024 geltendes EU-Recht. Ab August 2026 gelten die vollständigen Anforderungen für Hochrisiko-KI-Systeme. Was bedeutet das für KMU in Deutschland?

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist eine EU-Verordnung, die KI-Systeme nach ihrem Risikopotenzial klassifiziert und entsprechende Pflichten auferlegt. Das Prinzip: Je höher das Risiko einer KI-Anwendung für Grundrechte und Sicherheit, desto strenger die Anforderungen.

Die Verordnung gilt in allen EU-Mitgliedstaaten unmittelbar – also auch in Deutschland – ohne nationale Umsetzungsgesetzgebung.

Der AI-Act-Zeitplan im Überblick

Datum	Was gilt?
August 2024	AI Act in Kraft getreten
Februar 2025	Verbote für bestimmte KI-Praktiken greifen
August 2025	Anforderungen für allgemeine KI-Modelle (GPAI, z.B. GPT-4)
August 2026	Vollständige Anforderungen für Hochrisiko-KI-Systeme
August 2027	Erweiterung auf bestimmte KI-Systeme in Produkten

Wer ist betroffen?

Der AI Act gilt für drei Gruppen:

Anbieter: Unternehmen, die KI-Systeme entwickeln und auf den Markt bringen – auch wenn der Endnutzer in der EU sitzt und der Anbieter außerhalb.

Betreiber (Deployers): Unternehmen, die KI-Systeme im beruflichen Kontext einsetzen. Das trifft die meisten KMU, die KI-Tools nutzen (z.B. KI in HR-Software, automatisierte Kreditentscheidungen, KI-gestützte Videoanalyse).

Importeure und Händler: Unternehmen, die KI-Systeme in die EU einführen oder vertreiben.

Für die meisten KMU relevant: Als Betreiber von KI-Systemen Dritter (z.B. HR-Software mit KI, KI-Chatbots für Kundenservice, automatisierte Entscheidungssysteme) entstehen Pflichten im Hochrisiko-Bereich.

Risikoklassen: Was ist verboten, was ist Hochrisiko?

Verbotene KI-Praktiken (seit Februar 2025)

Diese KI-Anwendungen sind vollständig verboten:

Social Scoring durch öffentliche Stellen anhand sozialen Verhaltens
Unbewusste Manipulation von Personen (Ausnutzen von Schwachstellen, psychologischen Tricks)
Biometrische Massenüberwachung in öffentlichen Räumen durch Strafverfolgung (mit engen Ausnahmen)
Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
Predictive Policing auf Basis persönlicher Merkmale ohne konkreten Anlass

Hochrisiko-KI-Systeme (volle Pflichten ab August 2026)

KI-Systeme in diesen Bereichen gelten als Hochrisiko:

Personal- und Beschäftigungsentscheidungen: Bewerbungsscreening, Leistungsbewertung, Kündigung
Kreditwürdigkeitsprüfungen und Bonitätsbewertungen
Biometrische Identifikation (Gesichtserkennung, Fingerabdruckscanner)
Bildung und Berufsausbildung: automatisierte Bewertungen, Prüfungsüberwachung
Kritische Infrastrukturen: KI in Strom-, Wasser-, Verkehrssystemen
Strafverfolgung: Risikoeinschätzungen, Beweisauswertung
Migration und Asyl
Justiz: KI-gestützte Gerichtsentscheidungen

Minimales und kein Risiko

Die große Mehrheit der KI-Anwendungen fällt in diese Kategorie: KI-Chatbots für Kundenservice (mit Transparenzpflicht), KI für Spam-Filter, Produktempfehlungen, Übersetzungen, Bildbearbeitung. Hier gelten nur minimale oder keine Pflichten.

Pflichten für Betreiber von Hochrisiko-KI-Systemen

Wenn ein KMU ein Hochrisiko-KI-System einsetzt, entstehen folgende Pflichten:

1. Menschliche Aufsicht sicherstellen Hochrisiko-KI-Entscheidungen dürfen nicht vollautomatisch sein. Ein menschlicher Mitarbeiter muss die KI-Ausgabe prüfen und abweichen können.

2. Mitarbeiterschulungen Alle Personen, die Hochrisiko-KI bedienen, müssen über ausreichende KI-Kompetenz verfügen. Dokumentierte Schulungen sind Pflicht.

3. Protokollierung und Dokumentation Hochrisiko-KI-Systeme müssen Logs führen. Als Betreiber müssen Sie sicherstellen, dass der Anbieter diese Logs bereitstellt und speichert (mindestens 6 Monate, für kritische Infrastruktur länger).

4. Datenschutz-Folgenabschätzung Wenn das Hochrisiko-KI-System personenbezogene Daten verarbeitet, ist eine DSGVO-konforme DSFA erforderlich.

5. Registrierung Bestimmte Hochrisiko-KI-Systeme müssen in einer EU-Datenbank (EUDRCO) registriert werden.

Was muss ein KMU konkret tun?

Schritt 1: KI-Bestandsaufnahme

Welche KI-Systeme werden im Unternehmen eingesetzt? Dazu gehören auch KI-Funktionen in bestehender Software (z.B. automatisierte Bewerbungsfilterung in HR-Software, KI-Score in Buchhaltungsprogrammen, KI-Chatbots im Kundenservice).

Schritt 2: Risikoklassifizierung

Für jedes identifizierte KI-System: Ist es verboten, Hochrisiko oder minimal-risk? Die Anbieter-Dokumentation muss die Klassifizierung enthalten. Fehlt sie, ist der Anbieter zu kontaktieren oder das System zu prüfen.

Schritt 3: Maßnahmen für Hochrisiko-Systeme

Menschliche Aufsichtsverfahren dokumentieren
Mitarbeiterschulungen durchführen und nachweisen
Sicherstellen, dass der Anbieter Logs bereitstellt
DSFA durchführen (wenn personenbezogene Daten betroffen)

Schritt 4: Vertragsanpassungen mit KI-Anbietern

Verträge mit KI-Software-Anbietern prüfen: Stellt der Anbieter ausreichende Dokumentation bereit? Können Sie als Betreiber Ihre Pflichten erfüllen? Wenn nicht: Nachverhandeln oder Anbieter wechseln.

Transparenzpflichten für alle KMU

Selbst für nicht-hochriskante KI gelten Transparenzpflichten:

KI-generierte Inhalte müssen als solche gekennzeichnet sein (Texte, Bilder, Audio)
KI-Chatbots müssen sich als KI zu erkennen geben, wenn Nutzer fragen
Deepfakes müssen entsprechend gekennzeichnet sein

Bußgelder: Was droht?

Der AI Act sieht empfindliche Bußgelder vor:

Verstoß	Maximales Bußgeld
Verbotene KI-Praktiken	35 Mio. € oder 7 % des weltweiten Umsatzes
Sonstige Verstöße (inkl. Hochrisiko-Pflichten)	15 Mio. € oder 3 %
Fehlerhafte Informationen gegenüber Behörden	7,5 Mio. € oder 1,5 %

Für KMU gelten die prozentualen Schwellen – nicht die absoluten Maximalbeträge. Das bedeutet: Selbst für kleine Unternehmen können Bußgelder existenzbedrohend sein.

Fazit: Was KMU jetzt tun sollten

Der EU AI Act ist keine abstrakte Zukunftsregulierung mehr. Verbote gelten bereits seit Februar 2025, und ab August 2026 greifen die vollen Anforderungen für Hochrisiko-KI.

Konkrete nächste Schritte:

KI-Bestandsaufnahme durchführen: Welche KI-Tools nutzen wir?
Risikoklassifizierung klären: Anbieter nach AI-Act-Klassifizierung fragen
Für Hochrisiko-Systeme: Aufsichtsverfahren und Schulungen dokumentieren
Verträge mit KI-Anbietern prüfen und ggf. nachverhandeln
Transparenzpflichten sofort umsetzen (KI-Kennzeichnung)

Das IFCSD unterstützt bei der KI-Bestandsaufnahme und der Bewertung Ihrer KI-Systeme im Kontext von AI Act, DSGVO und NIS2. Erstgespräch kostenlos unter +49 391 59756243.

EU AI Act 2026: Was KMU in Deutschland jetzt wissen müssen