EU AI Act KMU Pflichten 2026: Was Sie jetzt konkret tun müssen

35 Millionen Euro Bußgeld oder 7 Prozent Ihres Jahresumsatzes – das sind die Maximalstrafen des EU AI Act. Und ab August 2026 gelten die vollständigen Anforderungen für Hochrisiko-KI-Systeme. Laut ifo Institut haben nur 12 Prozent der deutschen KMU bisher eine vollständige KI-Risikobewertung durchgeführt. Die anderen 88 Prozent haben ein Problem.

Der EU AI Act (Verordnung 2024/1689) ist seit August 2024 in Kraft. Er gilt nicht nur für KI-Entwickler, sondern für jeden, der KI-Systeme im Unternehmen einsetzt. Das betrifft laut Bitkom rund 38 Prozent aller deutschen KMU. Dieser Artikel übersetzt den Gesetzestext in konkrete Maßnahmen – mit klaren Fristen und Prioritäten.

Was der EU AI Act KMU Pflichten auferlegt: Die Risikoklassen im Überblick

Der AI Act klassifiziert KI-Systeme in vier Risikoklassen. Für KMU relevant sind vor allem zwei:

• Inakzeptables Risiko (verboten): KI-Systeme zur unterschwelligen Beeinflussung, Social Scoring durch Behörden, Echtzeit-Biometrie im öffentlichen Raum. Diese Systeme sind seit Februar 2025 verboten.
• Hochrisiko (strenge Anforderungen): KI in HR-Entscheidungen (Bewerber-Screening, Leistungsbewertung), Kreditvergabe, kritischer Infrastruktur. Hier gelten ab August 2026 die schärfsten Pflichten.
• Begrenztes Risiko (Transparenzpflichten): KI-Chatbots, Deepfakes, KI-generierte Inhalte. Transparenzpflichten gelten bereits seit Februar 2025.
• Minimales Risiko (keine Pflichten): KI-Spam-Filter, Empfehlungsalgorithmen ohne kritische Auswirkungen.

Die entscheidende Frage für Ihr Unternehmen: In welche Kategorie fallen Ihre KI-Systeme?

Welche EU AI Act KMU Pflichten ab wann gelten

Die Umsetzungsfristen sind gestaffelt:

• Februar 2025 (bereits gültig): Verbot inakzeptabler KI-Systeme, Transparenzpflichten für Chatbots und KI-generierte Inhalte
• August 2025 (bereits gültig): Pflichten für Anbieter von Allzweck-KI-Modellen (GPT-4, Claude etc.)
• August 2026: Vollständige Anforderungen für Hochrisiko-KI-Systeme nach Anhang III
• August 2027: Anforderungen für bestimmte Hochrisiko-Systeme nach Anhang I

Praxisbeispiel: HR-KI unter dem EU AI Act

Ein mittelständisches Unternehmen nutzt ein KI-Tool zur Vorauswahl von Bewerbungen. Laut Anhang III des AI Act gilt dies als Hochrisiko-System. Was bedeutet das konkret?

Das Unternehmen muss bis August 2026 sicherstellen: Das System ist dokumentiert und nachvollziehbar. Bewerber werden über den KI-Einsatz informiert. Es gibt eine menschliche Überprüfung der KI-Entscheidungen. Das System wurde auf Diskriminierungsfreiheit getestet. Eine technische Dokumentation liegt vor.

Wer ein KI-System für HR-Automatisierung und Recruiting einsetzt, muss diese Anforderungen zwingend erfüllen. Ohne Dokumentation und Transparenz drohen nicht nur Bußgelder, sondern auch Anfechtungen von Personalentscheidungen.

Der 5-Schritte-Plan zur EU AI Act Compliance für KMU

Hier ist, was Sie jetzt tun müssen – in der richtigen Reihenfolge:

1. KI-Inventar erstellen (Priorität: sofort)
   Listen Sie alle KI-Systeme auf, die Ihr Unternehmen einsetzt oder entwickelt. Dazu gehören auch eingekaufte SaaS-Lösungen mit KI-Funktionen. Viele KMU unterschätzen, wie viele KI-Systeme bereits im Einsatz sind.
2. Risikoklassifizierung durchführen (Priorität: sofort)
   Bewerten Sie jedes System anhand der AI Act-Kriterien. Nutzen Sie dafür den offiziellen Leitfaden der EU-Kommission oder beauftragen Sie einen Compliance-Berater. Hochrisiko-Systeme erfordern sofortigen Handlungsbedarf.
3. Transparenzpflichten umsetzen (Priorität: bereits fällig)
   KI-Chatbots müssen sich als Maschine zu erkennen geben. KI-generierte Texte, Bilder und Videos müssen gekennzeichnet sein. Das gilt seit Februar 2025 – wer das noch nicht umgesetzt hat, verstößt bereits gegen geltendes Recht.
4. Dokumentation für Hochrisiko-Systeme aufbauen (Priorität: bis August 2026)
   Für jedes Hochrisiko-System brauchen Sie: technische Dokumentation, Risikoanalyse, Testprotokolle, Nutzungsanleitung, Konformitätserklärung. Die intelligente Dokumentenverarbeitung kann helfen, diese Unterlagen strukturiert zu verwalten.
5. Interne Governance etablieren (Priorität: bis August 2026)
   Benennen Sie einen KI-Verantwortlichen. Definieren Sie Prozesse für die laufende Überwachung von KI-Systemen. Schulen Sie Mitarbeiter, die mit Hochrisiko-KI arbeiten. Etablieren Sie ein Meldeverfahren für Vorfälle.

Was passiert, wenn KMU die EU AI Act Pflichten ignorieren?

Die Bußgelder sind gestaffelt nach Schwere des Verstoßes:

• Verbotene KI-Systeme einsetzen: bis zu 35 Mio. Euro oder 7% Jahresumsatz
• Pflichten für Hochrisiko-Systeme verletzen: bis zu 15 Mio. Euro oder 3% Jahresumsatz
• Falsche Angaben gegenüber Behörden: bis zu 7,5 Mio. Euro oder 1,5% Jahresumsatz

Für KMU mit 5 Millionen Euro Jahresumsatz bedeutet das: Selbst der kleinste Bußgeldrahmen kann existenzbedrohend sein. Die zuständige nationale Marktüberwachungsbehörde in Deutschland ist die Bundesnetzagentur.

Hinzu kommen zivilrechtliche Risiken: Wer KI-gestützte Entscheidungen (Kreditvergabe, Personalauswahl) nicht nachvollziehbar dokumentiert, riskiert Anfechtungsklagen von Betroffenen.

Fazit: Jetzt handeln, nicht abwarten

Der EU AI Act ist kein Zukunftsprojekt mehr. Die ersten Fristen sind bereits abgelaufen, die nächste große Deadline – August 2026 – rückt näher. KMU, die jetzt mit der Compliance beginnen, haben noch ausreichend Zeit für eine strukturierte Umsetzung. Wer wartet, wird unter Zeitdruck fehlerhafte Schnellösungen bauen.

Wenn Sie wissen möchten, welche Ihrer KI-Systeme unter den AI Act fallen und was konkret zu tun ist: Starten Sie noch heute mit einem kostenlosen KI-Audit von Inhuman Resources. Wir analysieren Ihre KI-Landschaft, klassifizieren die Risiken und erstellen einen priorisierten Maßnahmenplan – damit Sie August 2026 entspannt entgegenblicken.

Kostenloser KI-Audit anfragen auf inhuman-resources.com