Dieser Artikel wurde von einer KI (Claude Opus 4.6) erstellt.
AI Act Checkliste für KMU: 7 Schritte zur Compliance bis August 2026
Veröffentlicht am 21. März 2026 · Lesezeit: ca. 14 Minuten
Der EU AI Act (Quelle) ist da, und als Inhaber oder Geschäftsführer eines kleinen oder mittleren Unternehmens fragst du dich wahrscheinlich: Was muss ich jetzt konkret tun? Die gute Nachricht: Für die meisten KMU ist der Aufwand überschaubar, wenn du strukturiert vorgehst — am besten startest du mit unserem Compliance Check, um deinen aktuellen Stand zu ermitteln. Die schlechte Nachricht: Einige Pflichten gelten bereits seit Februar 2025, und die nächste große Deadline im August 2026 rückt schnell näher.
In diesem Artikel bekommst du eine konkrete, praxisnahe AI Act Checkliste für KMU mit sieben klar definierten Schritten. Keine juristischen Abhandlungen, sondern handfeste Anleitungen, die du sofort umsetzen kannst. Dazu gibt es eine ehrliche Kostenübersicht, eine Timeline und Vergleichstabellen, die dir die Orientierung erleichtern.
Egal ob du einen Online-Shop betreibst, eine Agentur leitest oder ein Handwerksunternehmen führst: Diese Checkliste hilft dir, die wichtigsten Pflichten des AI Act systematisch abzuarbeiten, ohne dass du dafür einen Anwalt engagieren musst.
Überblick: Warum KMU jetzt handeln müssen
Der EU AI Act (Verordnung (EU) 2024/1689) ist seit dem 1. August 2024 in Kraft und wird stufenweise anwendbar. Die erste große Pflicht, die KI-Kompetenzpflicht nach Artikel 4, gilt bereits seit dem 2. Februar 2025. Wenn du in deinem Unternehmen KI-Systeme einsetzt, und das tun mittlerweile die meisten Unternehmen in irgendeiner Form, musst du handeln.
Viele KMU-Inhaber unterschätzen den AI Act, weil sie denken, er betreffe nur große Tech-Konzerne. Das ist ein gefährlicher Irrtum. Der AI Act gilt für alle Unternehmen, die KI-Systeme innerhalb der EU einsetzen oder anbieten, unabhängig von der Größe. Der Unterschied liegt nicht in der Frage ob Pflichten bestehen, sondern welche Pflichten im Einzelfall gelten.
Die Realität sieht so aus: Wenn du ChatGPT für Texte nutzt, einen KI-Chatbot auf deiner Webseite hast, KI-generierte Produktbilder verwendest oder automatisierte Entscheidungssysteme einsetzt, bist du vom AI Act betroffen. Die gute Nachricht: Für die allermeisten KMU fallen die Pflichten in die Kategorie „begrenztes Risiko“, und die sind mit überschaubarem Aufwand erfüllbar.
Was passiert, wenn du nichts tust? Die Bußgelder im AI Act (Art. 99) sind empfindlich: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für die schwersten Verstöße. Auch wenn die Aufsichtsbehörden bei KMU sicher nicht sofort mit Höchststrafen reagieren werden, ist es klüger, proaktiv zu handeln, als auf den ersten Kontrollbesuch zu warten.
Schritt 1: KI-Inventur durchführen
Bevor du irgendetwas umsetzen kannst, musst du wissen, welche KI-Systeme in deinem Unternehmen überhaupt im Einsatz sind. Das klingt trivial, ist es aber nicht. Viele KI-Anwendungen laufen im Hintergrund, ohne dass du es bewusst wahrnimmst. Dein erster Schritt ist daher eine vollständige KI-Inventur.
Geh systematisch alle Bereiche deines Unternehmens durch und prüfe, wo künstliche Intelligenz zum Einsatz kommt. Hier sind die häufigsten KI-Anwendungen in KMU, die du auf dem Schirm haben solltest:
Kundenservice und Kommunikation: Chatbots auf der Webseite (z. B. Tidio, Zendesk AI, Intercom), automatisierte E-Mail-Antworten, KI-gestützte Telefonsysteme, virtuelle Assistenten für Terminbuchungen. All diese Systeme fallen unter den AI Act, weil Nutzer mit einem KI-System interagieren, ohne dass ein Mensch direkt beteiligt ist.
Content und Marketing: KI-Textgenerierung mit ChatGPT, Claude oder Jasper, KI-Bildgenerierung mit Midjourney, DALL-E oder Stable Diffusion, KI-Videogenerierung, automatisierte Social-Media-Posts, KI-gestützte SEO-Tools. Hier greifen die Transparenzpflichten des AI Act, insbesondere bei synthetischen Inhalten.
E-Commerce und Vertrieb: Produktempfehlungssysteme, dynamische Preisgestaltung, automatisierte Produktbeschreibungen, KI-generierte Produktbilder, Betrugserkennung. Je nach Einsatzbereich können unterschiedliche Risikoklassen gelten.
Personalwesen: KI-gestützte Bewerberauswahl, automatisierte Lebenslauf-Screenings, KI-basierte Mitarbeiterbewertungen. Achtung: Dieser Bereich fällt in der Regel unter Hochrisiko-KI, was deutlich strengere Anforderungen bedeutet.
Verwaltung und Finanzen: KI-gestützte Buchhaltungssoftware, automatisierte Rechnungserkennung, Bonitätsprüfungen, Kreditentscheidungen. Auch hier können Hochrisiko-Einstufungen greifen.
Erstelle eine einfache Tabelle oder Spreadsheet mit folgenden Spalten: Name des KI-Systems, Anbieter, Einsatzbereich, betroffene Personen (Kunden, Mitarbeiter, Öffentlichkeit), Art der Datenverarbeitung und vorläufige Risikoeinschätzung. Diese Inventur ist die Grundlage für alle weiteren Schritte.
Tipp: Frag auch deine Mitarbeiter, welche KI-Tools sie eigenständig nutzen. Oft werden ChatGPT, DeepL oder Canva AI im Arbeitsalltag eingesetzt, ohne dass die Geschäftsführung davon weiß. Gerade diese sogenannte „Shadow IT“ kann problematisch werden, wenn keine klaren Regeln existieren.
Schritt 2: Risikoklasse bestimmen
Nachdem du weißt, welche KI-Systeme in deinem Unternehmen laufen, musst du für jedes System die Risikoklasse nach dem AI Act bestimmen. Der AI Act verwendet einen risikobasierten Ansatz mit vier Stufen, und die Pflichten variieren erheblich je nach Einstufung.
Für die meisten KMU ist die relevante Kategorie „begrenztes Risiko“ (limited risk). Diese umfasst KI-Systeme, die direkt mit Menschen interagieren oder synthetische Inhalte erzeugen. Die Hauptpflicht hier: Transparenz. Nutzer müssen wissen, dass sie es mit KI zu tun haben.
Hier die Zuordnung der typischen KMU-Anwendungen zu den Risikoklassen:
Minimales Risiko (keine besonderen Pflichten): KI-gestützte Spam-Filter, automatische Rechtschreibprüfung, einfache Produktempfehlungen basierend auf dem Kaufverlauf, KI-Übersetzungstools für internen Gebrauch. Diese Systeme unterliegen keinen spezifischen Pflichten des AI Act, es wird aber empfohlen, freiwillige Verhaltenskodizes zu befolgen.
Begrenztes Risiko (Transparenzpflichten): Chatbots und virtuelle Assistenten, KI-generierte Texte und Bilder auf der Webseite, Deepfake-ähnliche Inhalte, Emotionserkennungssysteme. Hier müssen Nutzer informiert werden, dass sie mit KI interagieren oder KI-generierte Inhalte sehen. Das ist die Kategorie, die die meisten KMU betrifft.
Hohes Risiko (umfangreiche Pflichten): KI-gestützte Bewerberauswahl und HR-Entscheidungen, Kreditwürdigkeitsprüfungen, biometrische Identifizierung, Versicherungspreiskalkulation basierend auf KI-Profiling. Diese Systeme müssen ein Konformitätsbewertungsverfahren durchlaufen, technische Dokumentation erstellen und ein Risikomanagementsystem implementieren.
Unannehmbares Risiko (verboten): Social-Scoring-Systeme, unterschwellige Manipulation, Ausnutzung von Schwächen vulnerabler Gruppen, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit Ausnahmen). Diese KI-Anwendungen sind schlicht verboten, und es ist extrem unwahrscheinlich, dass ein KMU solche Systeme einsetzt.
Geh deine KI-Inventur aus Schritt 1 durch und ordne jedem System eine Risikoklasse zu. Wenn du unsicher bist, schaue in Anhang III des AI Act nach, dort sind Hochrisiko-KI-Systeme abschließend aufgelistet. Alles, was dort nicht steht und nicht unter die Verbote fällt, ist entweder begrenztes oder minimales Risiko.
Schritt 3: Webseite kennzeichnen
Die Kennzeichnung deiner Webseite ist einer der wichtigsten und gleichzeitig einfachsten Schritte. Wenn du KI-generierte Inhalte auf deiner Webseite veröffentlichst, sei es Texte, Bilder oder Videos, musst du das transparent machen. Artikel 50 des AI Act verlangt, dass Nutzer über den Einsatz von KI-Systemen informiert werden.
Für eine detaillierte Anleitung zur Kennzeichnung deiner Webseite empfehle ich dir unseren umfassenden Guide: KI-Kennzeichnung auf der Webseite: AI Act Guide. Dort findest du Schritt-für-Schritt-Anleitungen für verschiedene CMS-Systeme und konkrete Codebeispiele.
Grundsätzlich gibt es drei Ebenen der Webseiten-Kennzeichnung, die du implementieren solltest:
Ebene 1: KI-Hinweis im Impressum/auf einer eigenen Seite. Erstelle eine KI-Transparenzseite oder ergänze dein Impressum um einen Abschnitt, der auflistet, welche KI-Systeme du auf deiner Webseite einsetzt und wofür. Das ist die Basisanforderung.
Ebene 2: Artikelspezifische Kennzeichnung. Bei KI-generierten oder KI-unterstützten Inhalten sollte direkt am Inhalt ein Hinweis stehen. Bei Blogartikeln kann das ein Hinweis am Anfang des Textes sein, bei Bildern ein Label oder eine Bildunterschrift.
Ebene 3: Maschinenlesbare Kennzeichnung. Für eine zukunftssichere Umsetzung empfiehlt sich zusätzlich eine maschinenlesbare Kennzeichnung, die auch von Suchmaschinen und anderen Systemen ausgewertet werden kann. Das lässt sich über ein Badge-Script realisieren:
<script src="https://cdn.jsdelivr.net/npm/@neuralflow/ai-act/dist/badge.min.js" data-operator="Dein Firmenname" data-ai-system="Name des KI-Systems" data-lang="de"> </script>Dieses Script erzeugt automatisch ein KI-Transparenz-Badge auf deiner Webseite, das den Anforderungen des AI Act entspricht. Du musst lediglich den Firmennamen und das verwendete KI-System anpassen.
Für WordPress-Nutzer ist die Integration besonders einfach: Du kannst das Script entweder über ein Custom-HTML-Widget, den Theme-Footer oder ein Plugin wie „Insert Headers and Footers“ einbinden. Bei Shopware 6 oder WooCommerce funktioniert die Einbindung ähnlich über das Theme oder ein entsprechendes Plugin.
Wichtig: Die Kennzeichnung muss klar, rechtzeitig und verständlich sein. „Klar“ bedeutet, dass der Hinweis nicht in einem langen Fließtext versteckt sein darf. „Rechtzeitig“ bedeutet, dass der Nutzer den Hinweis sieht, bevor er mit dem KI-System interagiert oder den KI-generierten Inhalt konsumiert. „Verständlich“ bedeutet, dass auch technisch nicht versierte Nutzer verstehen, was gemeint ist.
Schritt 4: Chatbot kennzeichnen
Wenn du einen Chatbot auf deiner Webseite einsetzt, greift Artikel 50 Absatz 1 des AI Act besonders direkt: Personen, die mit einem KI-System interagieren, müssen darüber informiert werden, dass sie mit einem KI-System interagieren. Das gilt ausnahmslos für alle KI-Chatbots, egal ob einfacher FAQ-Bot oder fortschrittliches Sprachmodell.
Unser detaillierter Ratgeber zur Chatbot-Kennzeichnungspflicht nach dem AI Act erklärt dir alle technischen und rechtlichen Details. Hier die wichtigsten Punkte im Überblick:
Wo muss die Kennzeichnung stehen? Die Kennzeichnung muss an zwei Stellen erfolgen. Erstens: direkt im Chat-Interface, bevor der Nutzer seine erste Nachricht eingibt. Eine Begrüßungsnachricht wie „Hallo, ich bin ein KI-Assistent. Wie kann ich dir helfen?“ erfüllt diese Anforderung. Zweitens: auf der Webseite selbst, idealerweise in der Nähe des Chat-Widgets oder auf der KI-Transparenzseite.
Was muss die Kennzeichnung enthalten? Mindestens den Hinweis, dass es sich um ein KI-System handelt. Empfohlen wird zusätzlich: der Name des KI-Systems, der Zweck der Interaktion, ein Hinweis auf die Möglichkeit, einen menschlichen Ansprechpartner zu verlangen, und ein Link zur Datenschutzerklärung beziehungsweise KI-Transparenzseite.
Wie sieht eine gute Chatbot-Kennzeichnung in der Praxis aus? Hier ein Beispiel für eine Begrüßungsnachricht, die den Anforderungen des AI Act entspricht:
Willkommen! Ich bin ein KI-Assistent, betrieben von [Firmenname]. Ich kann dir bei allgemeinen Fragen helfen. Bitte beachte: - Ich bin eine künstliche Intelligenz, kein Mensch. - Meine Antworten können ungenau sein. - Für komplexe Anliegen erreichst du unser Team unter [Kontakt]. Mehr Infos: [Link zur KI-Transparenzseite]Ein häufiger Fehler, den viele KMU machen: Sie geben dem Chatbot einen menschlichen Namen wie „Lisa“ oder „Max“, ohne zu kennzeichnen, dass es sich um KI handelt. Das ist problematisch, weil es den Eindruck erweckt, der Nutzer spreche mit einem echten Menschen. Ein menschlicher Name ist erlaubt, solange unmissverständlich klar ist, dass es sich um eine KI handelt, zum Beispiel „KI-Assistentin Lisa“.
Wenn dein Chatbot personenbezogene Daten verarbeitet, also Namen, E-Mail-Adressen, Bestellnummern oder ähnliches, kommt zusätzlich die DSGVO ins Spiel. Mehr dazu im nächsten Abschnitt und in unserem Artikel über den KI-Assistenten und DSGVO-Datenschutz.
Schritt 5: Mitarbeiter schulen (Art. 4)
Dieser Schritt ist dringend, denn die Pflicht aus Artikel 4 des AI Act gilt bereits seit dem 2. Februar 2025. Artikel 4 verlangt, dass Anbieter und Betreiber von KI-Systemen dafür sorgen, dass ihr Personal über eine ausreichende KI-Kompetenz verfügt. Das ist keine vage Empfehlung, sondern eine rechtlich bindende Pflicht.
Was bedeutet „ausreichende KI-Kompetenz“ konkret? Der AI Act definiert das bewusst nicht starr, sondern verlangt, dass die Kompetenz im Verhältnis zum Kontext steht. Ein Mitarbeiter, der einen KI-Chatbot konfiguriert, braucht mehr Wissen als jemand, der gelegentlich ChatGPT für Recherchen nutzt. Aber alle Mitarbeiter, die mit KI arbeiten, brauchen ein Grundverständnis.
Für KMU empfehle ich einen dreistufigen Schulungsansatz:
Stufe 1: Grundschulung für alle Mitarbeiter (1-2 Stunden). Inhalt: Was ist KI? Wie funktionieren Sprachmodelle und Bildgeneratoren auf einem grundlegenden Level? Welche KI-Systeme setzt unser Unternehmen ein? Was sind die Grundregeln im Umgang damit? Welche Daten dürfen eingegeben werden und welche nicht? Diese Schulung kannst du als kurzes internes Seminar oder Workshop durchführen.
Stufe 2: Vertiefung für regelmäßige KI-Nutzer (halber Tag). Inhalt: Prompting-Grundlagen, Erkennung von KI-Halluzinationen und Fehlinformationen, Urheberrechtliche Grundlagen bei KI-generierten Inhalten, KI-Kennzeichnungspflichten im Arbeitsalltag, Datenschutzrelevante Aspekte der KI-Nutzung. Für diese Schulung gibt es mittlerweile viele kostenlose Online-Ressourcen, etwa von der IHK oder von EU-Initiativen.
Stufe 3: Spezialwissen für KI-Verantwortliche (1-2 Tage). Inhalt: Detailliertes Wissen über den AI Act und die relevanten Pflichten, technisches Verständnis der eingesetzten KI-Systeme, Risikomanagement und Monitoring, Zusammenspiel von AI Act und DSGVO, Incident-Management bei KI-Fehlfunktionen. Diese Schulung ist vor allem für die Personen relevant, die in deinem Unternehmen die KI-Compliance verantworten.
Dokumentiere alle Schulungen sorgfältig: Wer wurde wann zu welchem Thema geschult? Diese Dokumentation ist im Fall einer Überprüfung durch die Aufsichtsbehörde Gold wert. Ein einfaches Schulungsprotokoll mit Datum, Teilnehmerliste und Themenübersicht reicht aus.
Tipp: Die IHK bietet kostenlose Webinare und Informationsveranstaltungen zum AI Act an. Auch die Europäische Kommission stellt im Rahmen des AI Pact Programms kostenlose Materialien bereit. Du musst also nicht zwingend einen teuren externen Trainer engagieren.
Schritt 6: Datenschutz prüfen (DSGVO + AI Act)
Der AI Act ersetzt die DSGVO nicht, er ergänzt sie. Wenn deine KI-Systeme personenbezogene Daten verarbeiten, und das tun die meisten, musst du beide Regelwerke gleichzeitig erfüllen. Das klingt nach doppelter Arbeit, in der Praxis gibt es aber viele Überschneidungen, die du nutzen kannst.
Die wichtigsten Bereiche, in denen sich AI Act und DSGVO überschneiden, sind Transparenz, Folgenabschätzung und automatisierte Entscheidungen. Wenn du bereits eine saubere DSGVO-Compliance aufgebaut hast, bist du bei einigen AI-Act-Pflichten schon halb fertig.
Hier die konkreten Prüfpunkte für dein Unternehmen:
Datenschutzerklärung aktualisieren: Deine Datenschutzerklärung muss den Einsatz von KI-Systemen abdecken. Das betrifft insbesondere: Welche KI-Systeme werden eingesetzt? Welche personenbezogenen Daten werden von diesen Systemen verarbeitet? Auf welcher Rechtsgrundlage (Art. 6 DSGVO) erfolgt die Verarbeitung? Werden Daten an KI-Anbieter übermittelt, möglicherweise in Drittländer? Wie lange werden die Daten gespeichert? Welche Rechte haben die Betroffenen?
Verarbeitungsverzeichnis ergänzen: Dein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO muss um alle KI-bezogenen Verarbeitungen ergänzt werden. Für jeden KI-Einsatz, der personenbezogene Daten betrifft, brauchst du einen eigenen Eintrag.
Datenschutz-Folgenabschätzung prüfen: Bei KI-Systemen, die ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen, ist eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO Pflicht. Der AI Act verlangt für Hochrisiko-KI zusätzlich eine grundrechtliche Folgenabschätzung. In der Praxis kannst du beide Bewertungen in einem Dokument zusammenführen.
Auftragsverarbeitung klären: Wenn du KI-Dienste von externen Anbietern nutzt, etwa ChatGPT von OpenAI oder Claude von Anthropic, handelt es sich in der Regel um Auftragsverarbeitung. Du brauchst einen Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 DSGVO. Die meisten großen KI-Anbieter bieten solche Verträge standardmäßig an, aber du musst sicherstellen, dass du sie tatsächlich abgeschlossen hast.
Drittlandtransfer beachten: Viele KI-Anbieter haben ihren Sitz in den USA. Der Datentransfer in die USA ist seit dem EU-U.S. Data Privacy Framework unter bestimmten Voraussetzungen wieder möglich, aber du musst prüfen, ob der jeweilige Anbieter unter dem Framework zertifiziert ist.
Unser Artikel zum Thema KI-Assistent und DSGVO-Datenschutz geht auf all diese Punkte im Detail ein und bietet dir praktische Checklisten für die Umsetzung.
Schritt 7: Dokumentation erstellen
Der letzte Schritt deiner AI Act Checkliste ist die Dokumentation. Auch wenn du kein Hochrisiko-KI-System betreibst und daher keine technische Dokumentation im Sinne des Anhang IV erstellen musst, solltest du deine KI-Compliance trotzdem schriftlich festhalten. Im Fall einer Überprüfung durch die Aufsichtsbehörde musst du nachweisen können, dass du deine Pflichten erfüllst.
Erstelle ein KI-Compliance-Dokument mit folgenden Abschnitten:
KI-Inventar: Liste aller KI-Systeme, die im Unternehmen eingesetzt werden, mit Anbieter, Einsatzzweck, Risikoklasse und verantwortlicher Person. Das hast du in Schritt 1 bereits erarbeitet, bringe es jetzt in eine saubere, aktualisierbare Form.
Risikoklassifizierung: Für jedes KI-System die Begründung der Risikoeinschätzung. Warum fällt System X in Kategorie Y? Dokumentiere deine Überlegungen, auch wenn die Einordnung offensichtlich erscheint.
Transparenzmaßnahmen: Welche Kennzeichnungen hast du wo implementiert? Screenshots der KI-Hinweise auf der Webseite, der Chatbot-Begrüßungsnachricht, der KI-Transparenzseite. Wann wurden die Maßnahmen umgesetzt?
Schulungsnachweise: Protokolle der durchgeführten Schulungen mit Datum, Teilnehmern und Inhalten. Geplante Folgeschulungen und Auffrischungen.
Datenschutz-Dokumentation: Verweis auf die aktualisierten DSGVO-Dokumente wie Datenschutzerklärung, Verarbeitungsverzeichnis und AVVs. Gegebenenfalls Datenschutz-Folgenabschätzungen für KI-Systeme.
KI-Nutzungsrichtlinien: Interne Regeln für den Umgang mit KI-Systemen. Was dürfen Mitarbeiter mit KI-Tools machen, was nicht? Welche Daten dürfen eingegeben werden? Wer genehmigt neue KI-Tools?
Diese Dokumentation muss kein juristisches Meisterwerk sein. Ein klar strukturiertes Word- oder PDF-Dokument reicht völlig aus. Wichtig ist, dass es aktuell gehalten wird. Plane eine vierteljährliche Überprüfung ein, um neue KI-Systeme zu erfassen und Änderungen zu dokumentieren.
Für Hochrisiko-KI-Systeme gelten deutlich strengere Dokumentationspflichten, die in Anhang IV des AI Act detailliert beschrieben sind. Wenn du solche Systeme einsetzt, empfehle ich dir, professionelle Unterstützung hinzuzuziehen.
Kostenübersicht für KMU
Eine der häufigsten Fragen, die ich von KMU-Inhabern höre: Was kostet mich das alles? Die ehrliche Antwort: Für die meisten KMU, die nur KI-Systeme mit begrenztem Risiko nutzen, ist der finanzielle Aufwand gering bis null. Hier die detaillierte Aufschlüsselung:
| Maßnahme | Kosten (Eigenleistung) | Kosten (Dienstleister) | Zeitaufwand |
|---|---|---|---|
| KI-Inventur | 0 EUR | 200-500 EUR | 2-4 Stunden |
| Risikoklassifizierung | 0 EUR | 300-800 EUR | 1-3 Stunden |
| Webseiten-Kennzeichnung | 0 EUR | 100-300 EUR | 1-2 Stunden |
| Chatbot-Kennzeichnung | 0 EUR | 100-200 EUR | 30-60 Minuten |
| Mitarbeiterschulung | 0 EUR (kostenlose Ressourcen) | 500-2.000 EUR | 4-8 Stunden |
| Datenschutz-Update | 0 EUR | 300-1.000 EUR | 2-4 Stunden |
| Dokumentation | 0 EUR | 500-1.500 EUR | 4-8 Stunden |
| Gesamt (begrenztes Risiko) | 0 EUR | 2.000-6.300 EUR | 14-30 Stunden |
Wie du siehst, ist bei Eigenleistung praktisch alles kostenlos umsetzbar. Du investierst zwei bis drei Arbeitstage, und dein Unternehmen ist compliant. Wenn du lieber einen Dienstleister beauftragst, rechne mit Kosten von etwa 2.000 bis 6.000 Euro für ein typisches KMU mit KI-Systemen im Bereich begrenztes Risiko.
Für Hochrisiko-KI-Systeme sehen die Kosten ganz anders aus. Hier können allein die Konformitätsbewertung und technische Dokumentation fünfstellige Beträge erreichen. Aber wie gesagt: Die wenigsten KMU setzen solche Systeme ein.
Timeline: Wann gilt was?
Der AI Act tritt nicht auf einen Schlag in Kraft, sondern stufenweise über einen Zeitraum von drei Jahren. Hier die wichtigsten Daten, die für dich als KMU-Inhaber relevant sind:
| Datum | Was wird anwendbar? | Relevanz für KMU |
|---|---|---|
| 2. Feb 2025 | Verbote (Art. 5) und KI-Kompetenz (Art. 4) | BEREITS IN KRAFT – Mitarbeiter schulen! |
| 2. Aug 2025 | Pflichten für GPAI-Modelle (Kap. V), Governance | Gering (betrifft hauptsächlich KI-Anbieter) |
| 2. Aug 2026 | Transparenzpflichten (Art. 50), Hochrisiko-KI (Anhang III) | KRITISCH – Kennzeichnung, Dokumentation! |
| 2. Aug 2027 | Hochrisiko-KI in EU-Produktrecht (Anhang I) | Nur relevant bei regulierten Produkten |
Stand heute, im März 2026, hast du noch gut vier Monate bis zur großen Deadline im August 2026. Das klingt nach viel Zeit, aber unterschätze den Aufwand nicht. Besser du fängst jetzt an und hast einen Puffer, als in letzter Minute hektisch alles zusammenzuschustern.
Mein Tipp für deine persönliche Timeline: Schritt 1 bis 3 bis Ende April 2026, Schritt 4 und 5 bis Ende Mai 2026, Schritt 6 und 7 bis Ende Juni 2026. Juli nutzt du für einen finalen Review und gegebenenfalls Nachbesserungen. So gehst du entspannt in den August.
Vergleichstabelle: Risikoklassen im AI Act
Um dir die Orientierung zu erleichtern, hier eine umfassende Vergleichstabelle der vier Risikoklassen im AI Act mit ihren jeweiligen Pflichten und typischen Beispielen:
| Kriterium | Minimales Risiko | Begrenztes Risiko | Hohes Risiko | Verboten |
|---|---|---|---|---|
| Typische Beispiele | Spam-Filter, Rechtschreibprüfung | Chatbots, KI-Bilder, KI-Texte | Bewerberauswahl, Kreditprüfung | Social Scoring, unterschwellige Manipulation |
| Transparenzpflicht | Nein | Ja (Art. 50) | Ja (umfassend) | Nicht anwendbar |
| Registrierungspflicht | Nein | Nein | Ja (EU-Datenbank) | Nicht anwendbar |
| Risikomanagement | Nein | Nein | Ja (Art. 9) | Nicht anwendbar |
| Technische Dokumentation | Nein | Nein (empfohlen) | Ja (Anhang IV) | Nicht anwendbar |
| Menschliche Aufsicht | Nein | Nein | Ja (Art. 14) | Nicht anwendbar |
| Konformitätsbewertung | Nein | Nein | Ja (Art. 43) | Nicht anwendbar |
| Kosten (geschätzt) | 0 EUR | 0-500 EUR | 5.000-50.000+ EUR | Nicht anwendbar |
| KMU-Relevanz | Hoch (viele nutzen solche Tools) | Sehr hoch (Chatbots, KI-Content) | Mittel (wenige KMU betroffen) | Sehr gering |
KMU-Erleichterungen im AI Act
Der EU-Gesetzgeber hat erkannt, dass KMU nicht die gleichen Ressourcen wie Großkonzerne haben. Deshalb enthält der AI Act in Artikel 62 und an anderen Stellen explizite Erleichterungen für kleine und mittlere Unternehmen. Das solltest du kennen und nutzen.
Regulatory Sandboxes (Art. 57-62): Die EU-Mitgliedstaaten müssen regulatorische Sandboxes einrichten, in denen KMU ihre KI-Systeme unter Aufsicht testen und entwickeln können, ohne sofort alle Compliance-Anforderungen erfüllen zu müssen. Deutschland wird diese Sandboxes über die Bundesnetzagentur (Quelle) als zuständige nationale Behörde bereitstellen. Die Teilnahme ist kostenlos und gibt dir die Möglichkeit, deine KI-Compliance in einer geschützten Umgebung aufzubauen.
Vereinfachte Dokumentation: Für KMU mit weniger als 50 Mitarbeitern gibt es bei Hochrisiko-KI-Systemen vereinfachte Dokumentationspflichten. Die EU-Kommission wird spezifische Vorlagen und Templates bereitstellen, die den Aufwand reduzieren.
Vorrangiger Zugang zu Sandboxes: KMU und Start-ups erhalten vorrangigen Zugang zu den Regulatory Sandboxes. Das bedeutet, du musst nicht hinten anstehen, wenn Großunternehmen sich auch bewerben.
Kostenreduzierte Konformitätsbewertung: Die Gebühren für Konformitätsbewertungen sollen für KMU verhältnismäßig und reduziert sein. Die konkreten Gebührenstrukturen werden von den nationalen Behörden festgelegt.
Proportionale Bußgelder: Bei Verstößen werden die Bußgelder an die Größe und Wirtschaftskraft des Unternehmens angepasst. Ein KMU wird für den gleichen Verstoß nicht die gleiche Strafe zahlen wie ein Großkonzern.
Praxisbeispiel: Online-Shop mit KI-Features
Damit die Checkliste nicht abstrakt bleibt, gehen wir ein konkretes Beispiel durch. Stell dir vor, du betreibst einen Online-Shop für Outdoor-Bekleidung mit 15 Mitarbeitern. Du nutzt folgende KI-Systeme:
Erstens einen KI-Chatbot auf der Webseite für Produktberatung und Bestellstatus-Abfragen. Zweitens KI-generierte Produktbeschreibungen für neue Artikel. Drittens KI-optimierte Produktbilder, bei denen Hintergründe mit KI ausgetauscht werden. Viertens ein KI-basiertes Produktempfehlungssystem. Fünftens ChatGPT im internen Gebrauch für E-Mails und Marketingtexte.
So würdest du die sieben Schritte der AI Act Checkliste für KMU umsetzen:
Schritt 1 – KI-Inventur: Du erstellst eine Tabelle mit den fünf genannten Systemen. Für jeden Eintrag notierst du den Anbieter, den Einsatzzweck und die betroffenen Personengruppen. Zeitaufwand: eine Stunde.
Schritt 2 – Risikoklasse: Der Chatbot fällt unter begrenztes Risiko (Transparenzpflicht). Die KI-Produktbeschreibungen und KI-Bilder fallen ebenfalls unter begrenztes Risiko (Kennzeichnungspflicht für synthetische Inhalte). Das Empfehlungssystem ist minimales Risiko. ChatGPT für den internen Gebrauch ist minimales Risiko. Kein einziges System fällt in die Hochrisiko-Kategorie. Zeitaufwand: eine Stunde.
Schritt 3 – Webseite kennzeichnen: Du erstellst eine KI-Transparenzseite, die alle eingesetzten KI-Systeme auflistet. Bei Produktbeschreibungen fügst du einen dezenten Hinweis ein, etwa „Produktbeschreibung mit KI-Unterstützung erstellt“. Bei KI-bearbeiteten Produktbildern ergänzt du eine entsprechende Kennzeichnung. Du integrierst das Badge-Script im Footer. Zeitaufwand: zwei Stunden.
Schritt 4 – Chatbot kennzeichnen: Du passt die Begrüßungsnachricht deines Chatbots an und fügst den KI-Hinweis hinzu. Du ergänzt einen Link zur KI-Transparenzseite und die Option, einen menschlichen Mitarbeiter zu kontaktieren. Zeitaufwand: 30 Minuten.
Schritt 5 – Mitarbeiter schulen: Du organisierst ein zweistündiges internes Seminar für alle 15 Mitarbeiter, in dem du die Grundlagen des AI Act erklärst und klare Regeln für den Umgang mit KI-Tools aufstellst. Für die drei Mitarbeiter, die intensiv mit KI arbeiten, planst du eine vertiefte Schulung. Zeitaufwand: vier Stunden Vorbereitung plus zwei Stunden Schulung.
Schritt 6 – Datenschutz prüfen: Du aktualisierst deine Datenschutzerklärung um die KI-bezogenen Verarbeitungen. Du prüfst die AVVs mit deinen KI-Anbietern. Eine DSFA ist nicht erforderlich, da kein Hochrisiko-KI-System vorliegt. Zeitaufwand: drei Stunden.
Schritt 7 – Dokumentation: Du erstellst ein KI-Compliance-Dokument, das alle vorherigen Schritte zusammenfasst. Zeitaufwand: vier Stunden.
Gesamtaufwand: circa 14 Stunden, verteilt über einige Wochen. Kosten bei Eigenleistung: null Euro. Dein Online-Shop ist danach AI Act compliant für alle aktuellen und bis August 2026 anstehenden Pflichten.
FAQ: Häufige Fragen zur AI Act Checkliste für KMU
Ab wann gilt der AI Act für KMU?
Die Pflichten des AI Act treten stufenweise in Kraft. Die KI-Kompetenzpflicht nach Artikel 4 gilt bereits seit dem 2. Februar 2025. Das bedeutet: Wenn deine Mitarbeiter mit KI-Systemen arbeiten, musst du schon jetzt sicherstellen, dass sie über ausreichende KI-Kompetenz verfügen. Die Transparenzpflichten für KI-Systeme mit begrenztem Risiko gelten ab dem 2. August 2026. Hochrisiko-KI-Systeme müssen ab dem 2. August 2027 vollständig konform sein. Es gibt keine generelle Ausnahme für KMU, aber es gibt Erleichterungen bei der praktischen Umsetzung.
Was kostet AI Act Compliance für ein kleines Unternehmen?
Für die meisten KMU, die nur KI-Systeme mit begrenztem Risiko nutzen, also zum Beispiel Chatbots, KI-generierte Texte oder Bilder, liegen die Kosten zwischen 0 und 500 Euro, wenn du die Umsetzung selbst übernimmst. Die Kennzeichnung auf der Webseite ist technisch einfach und kostenlos machbar. Für Mitarbeiterschulungen gibt es zahlreiche kostenlose Ressourcen von IHK, EU und anderen Institutionen. Wenn du einen Dienstleister beauftragst, rechne mit 2.000 bis 6.000 Euro für ein umfassendes Compliance-Paket. Für Hochrisiko-KI-Systeme liegen die Kosten deutlich höher, im fünfstelligen Bereich.
Muss ich als KMU einen Chatbot auf meiner Webseite kennzeichnen?
Ja, das ist eine klare Pflicht nach Artikel 50 Absatz 1 des AI Act. Jede Person, die mit einem KI-System interagiert, muss darüber informiert werden, dass sie mit einem KI-System und nicht mit einem Menschen interagiert. Das gilt ausnahmslos für alle Chatbots, unabhängig von der Unternehmensgröße. Die Kennzeichnung muss klar, rechtzeitig und verständlich erfolgen. „Rechtzeitig“ bedeutet, dass der Hinweis erscheinen muss, bevor der Nutzer mit dem Chat beginnt, nicht erst am Ende der Konversation. Eine einfache Begrüßungsnachricht wie „Ich bin ein KI-Assistent“ erfüllt diese Anforderung bereits.
Welche Strafen drohen KMU bei Verstößen gegen den AI Act?
Die im AI Act vorgesehenen Bußgelder sind gestaffelt. Für Verstöße gegen die Verbote unzulässiger KI-Praktiken drohen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für Verstöße gegen andere Pflichten, einschließlich der Transparenzpflichten, drohen bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes. Für die Bereitstellung falscher Informationen an Behörden bis zu 7,5 Millionen Euro oder 1 Prozent des Umsatzes. Wichtig: Der AI Act sieht ausdrücklich vor, dass die Bußgelder verhältnismäßig sein müssen. Für KMU werden die tatsächlichen Strafen also deutlich niedriger ausfallen. Trotzdem ist es keine gute Idee, es darauf ankommen zu lassen.
Gibt es Erleichterungen im AI Act speziell für KMU?
Ja, der AI Act sieht in Artikel 62 und an weiteren Stellen ausdrücklich Maßnahmen zur Unterstützung von KMU vor. Dazu gehören regulatorische Sandboxes, in denen KMU ihre KI-Systeme unter Aufsicht testen können, vorrangiger Zugang zu diesen Sandboxes gegenüber Großunternehmen, vereinfachte Dokumentationspflichten für Unternehmen mit weniger als 50 Mitarbeitern, reduzierte Gebühren für Konformitätsbewertungen und kostenlose Leitlinien und Templates von der EU-Kommission. Die nationalen Aufsichtsbehörden sind zudem verpflichtet, besondere Unterstützungsmaßnahmen für KMU bereitzustellen. In Deutschland wird die Bundesnetzagentur als zuständige Behörde diese Rolle übernehmen.
Muss ich KI-generierte Bilder auf meiner Webseite kennzeichnen?
Ja, Artikel 50 Absatz 2 des AI Act verlangt, dass KI-generierte oder wesentlich KI-manipulierte Inhalte, sogenannte Deepfakes und synthetische Inhalte, gekennzeichnet werden. Das betrifft Bilder, Videos und Audioinhalte. Die Kennzeichnung muss maschinenlesbar erfolgen, also in den Metadaten des Bildes, und zusätzlich für den Nutzer erkennbar sein. Bei Produktbildern in Online-Shops bedeutet das: Wenn du Bilder mit KI generierst oder wesentlich bearbeitest, etwa Hintergründe austauschst oder Produkte in KI-generierte Szenen einfügst, musst du das kennzeichnen. Eine einfache Bildunterschrift oder ein Icon reichen als Nutzerkennzeichnung aus. Für die maschinenlesbare Kennzeichnung gibt es technische Standards wie C2PA, die sich gerade etablieren.
Reicht eine DSGVO-Datenschutzerklärung aus, oder brauche ich zusätzliche Dokumentation?
Die DSGVO-Datenschutzerklärung allein reicht definitiv nicht aus. Der AI Act verlangt zusätzliche Transparenzpflichten, die über den reinen Datenschutz hinausgehen. Du brauchst mindestens drei zusätzliche Elemente: eine KI-Kennzeichnung auf der Webseite, die unabhängig von der Datenschutzerklärung sichtbar ist, spezifische Hinweise bei KI-Systemen wie Chatbots und gegebenenfalls maschinenlesbare Metadaten für KI-generierte Inhalte. Es empfiehlt sich, eine eigene KI-Transparenzseite anzulegen, die alle eingesetzten KI-Systeme auflistet und die entsprechenden Informationen bereitstellt. Diese Seite kann dann sowohl die AI-Act-Transparenzpflichten als auch die DSGVO-Informationspflichten bezüglich KI abdecken.
Fazit und nächste Schritte
Der AI Act muss für KMU keine Belastung sein. Mit dieser siebenteiligen Checkliste hast du einen klaren Fahrplan, der dich systematisch zur Compliance führt. Die wichtigsten Erkenntnisse zusammengefasst:
Die KI-Kompetenzpflicht nach Artikel 4 gilt bereits. Wenn du deine Mitarbeiter noch nicht geschult hast, sollte das deine oberste Priorität sein. Die Transparenzpflichten für Chatbots, KI-generierte Inhalte und andere KI-Systeme mit begrenztem Risiko werden ab August 2026 durchgesetzt. Du hast noch Zeit, aber nicht mehr viel.
Für die meisten KMU ist der Aufwand überschaubar: circa zwei bis drei Arbeitstage bei Eigenleistung, null Euro Kosten. Die sieben Schritte, KI-Inventur, Risikoklasse bestimmen, Webseite kennzeichnen, Chatbot kennzeichnen, Mitarbeiter schulen, Datenschutz prüfen und Dokumentation erstellen, lassen sich innerhalb weniger Wochen abarbeiten.
Fang mit Schritt 1 an, der KI-Inventur. Das dauert nur ein bis zwei Stunden und gibt dir sofort einen Überblick, wo du stehst. Von dort aus arbeitest du dich Schritt für Schritt vor. Du musst nicht alles auf einmal machen, aber du solltest jetzt anfangen.
Nutze die Erleichterungen, die der AI Act für KMU vorsieht, insbesondere die regulatorischen Sandboxes und die kostenlosen Ressourcen der IHK und EU-Kommission. Du bist nicht allein mit dieser Aufgabe, und es gibt mittlerweile viele gute Hilfsangebote.
Und wenn du unsicher bist, wie du die technische Umsetzung angehst, schau dir unsere spezifischen Guides an: Die Anleitung zur KI-Kennzeichnung auf der Webseite, den Guide zur Chatbot-Kennzeichnungspflicht und den Ratgeber zum Thema KI-Assistent und DSGVO-Datenschutz.
Weitere Artikel zum EU AI Act
Das könnte dich auch interessieren
Quellen
- Europäische Union: Verordnung (EU) 2024/1689 (AI Act) – https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689
- Europäische Kommission: AI Act – Fragen und Antworten – https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai
- Bundesministerium für Wirtschaft und Klimaschutz: KI-Strategie der Bundesregierung – https://www.bmwk.de/Redaktion/DE/Dossier/kuenstliche-intelligenz.html
- Bundesnetzagentur: Informationen zum AI Act – https://www.bundesnetzagentur.de/DE/Fachthemen/Digitalisierung/KI/start.html
Kostenloser Download
OpenClaw Starter-Guide
11 Seiten PDF — von der Installation bis zum ersten automatisierten Workflow. Jetzt kostenlos herunterladen.
Olaf Mergili
Gründer von mylurch.com · KI-Berater · Seit 2023 im täglichen Einsatz von KI-Tools
Ich teste KI-Tools nicht nur — ich nutze sie jeden Tag in echten Projekten. Was hier steht, basiert auf meiner praktischen Erfahrung: was funktioniert, was nicht, und wo die Stolperfallen liegen. Keine gesponserten Empfehlungen, keine Theorie — nur ehrliche Einschätzungen aus der Praxis.