EU AI Act · Praxisleitfaden für den Mittelstand
EU AI Act für KMU: In 5 Schritten compliant — ohne alles auf einmal zu machen
Für kleine und mittlere Unternehmen ist die sinnvolle Reihenfolge nicht „alles sofort", sondern risikobasiert: erst Inventar, Verbotscheck und AI-Kompetenz — dann Risikoklassen, Transparenz und zuletzt High-Risk.
Die wichtigsten Stichtage
Der EU AI Act gilt seit 1. August 2024 und wird schrittweise anwendbar. Diese Termine sind für Unternehmen relevant:
| Datum | Was gilt |
|---|---|
| seit 02.02.2025 | Allgemeine Bestimmungen, Verbote (Art. 5) und KI-Kompetenz (AI Literacy, Art. 4) |
| seit 02.08.2025 | Pflichten für Anbieter von GPAI-Modellen; Governance auf EU- und Mitgliedstaatenebene |
| ab 02.08.2026 | Die Mehrheit der Regeln tritt in Anwendung, Durchsetzung startet: Transparenzpflicht (Art. 50) und Hochrisiko-KI aus Anhang III * |
| ab 02.08.2027 | Hochrisiko-KI, die in regulierte Produkte eingebettet ist * |
* Vorschlag, noch nicht geltendes Recht: Im Rahmen des „Digital Omnibus" hat die Kommission vorgeschlagen, die Anwendung der Hochrisiko-Regeln an die Verfügbarkeit von Support-Tools und harmonisierten Normen zu koppeln. Dadurch könnten sich die Termine für Anhang-III-Hochrisiko um bis zu 16 Monate, für bestimmte regulierte Produkte um bis zu 12 Monate verschieben. Verbote, KI-Kompetenz, GPAI und Transparenz (Art. 50) sind davon nicht betroffen.
Praktisch ist für viele KMU der 2. August 2026 der wichtigste operative Meilenstein — nicht 2027. Und eine strukturierte Einführung braucht Monate, keine Wochen.
Die 5 Schritte — risikobasiert und in dieser Reihenfolge
1. Jetzt sofort: KI-Inventar bauen
Erfassen Sie alle KI-Anwendungen im Unternehmen — auch unspektakuläre wie Chatbots, HR-Tools, Marketing-Automation oder interne Assistenzsysteme. Ohne zentrales Inventar können Sie weder Risiken noch Pflichten sauber bewerten. Das Inventar ist die Grundlage für alles Weitere.
2. Sofort prüfen: Verbote und KI-Kompetenz
Prüfen Sie, ob ein Anwendungsfall unter die verbotenen Praktiken fällt — diese Pflicht gilt seit 2. Februar 2025. Parallel gilt seit 2. Februar 2025 die Pflicht, für ein angemessenes Maß an KI-Kompetenz der Beschäftigten zu sorgen (AI Literacy). In der Praxis genügen dafür oft eine kurze Schulung und klare Nutzungsregeln.
3. Nächster Schritt: Risikoklassifizierung
Teilen Sie jeden Use Case in minimal, begrenzt oder hochriskant ein — und dokumentieren Sie die Begründung. Das entscheidet, ob Sie nur Transparenzpflichten haben oder später ein vollständiges High-Risk-Programm brauchen.
4. Bis August 2026: Transparenzpflichten umsetzen
Ab 2. August 2026 gilt die Transparenzpflicht (Art. 50) — Nutzer müssen z. B. erfahren, wenn sie mit einem Chatbot sprechen oder KI-generierte Inhalte erhalten. Das ist der feste Stichtag, der die meisten KMU betrifft. Praktisch: Rollenklärung (Provider, Deployer, Importeur, Distributor), Kennzeichnung, Lieferantenprüfung und einfache Dokumentation sollten bis dahin stehen.
Falls Sie Hochrisiko-KI einsetzen (Schritt 3 zeigt es): Deren Pflichten — technische Doku, Logging, Monitoring, menschliche Aufsicht — sind umfangreicher. Der genaue Stichtag kann sich durch den (noch nicht finalen) Digital-Omnibus-Vorschlag verschieben; früh vorzubereiten lohnt trotzdem.
5. Für 2027 mitdenken: regulierte Produkte
Steckt KI in regulierten Produkten, kommen die entsprechenden High-Risk-Pflichten erst ab 2. August 2027 vollständig zur Anwendung. Das betrifft vor allem Anbieter und Integratoren in produktnahen Umgebungen — für klassische Anwender-KMU ist meist 2026 der wichtigere Stichtag.
Die 4 wichtigsten Startdokumente für ein KMU
Diese vier Dokumente sind kein offizieller EU-Mindestkatalog, aber ein praktikabler Startpunkt — sie schaffen die Basis für die weiteren Anforderungen:
- KI-Inventar / Use-Case-Register — was läuft wo, wer ist verantwortlich, welche Risikoklasse
- KI-Nutzungsrichtlinie — kurze, klare Regeln zur erlaubten KI-Nutzung
- Nachweis der KI-Kompetenz — dokumentierte Schulung der Mitarbeitenden
- Einfache Risikomatrix — Einstufung je Use Case plus Maßnahmen
Der 90-Tage-Plan für KMU
| Zeitraum | Fokus | Ergebnis |
|---|---|---|
| Woche 1–2 | KI-Inventar + Verantwortliche | Vollständige Übersicht |
| Woche 3–4 | Verbotscheck + KI-Kompetenz | Frühpflichten abgedeckt |
| Woche 5–8 | Risikoklassifizierung + Transparenz | Priorisierte Maßnahmenliste |
| Woche 9–12 | Policies, Lieferantenprüfung, Doku | Betriebsfähiges Governance-Setup |
Merksatz: ISO 42001 ist die Governance-Maschine, der EU AI Act ist der Regelwerk-Filter — zusammen ergeben sie auditfähige, operative Compliance.
Unsicher, wo Ihr Unternehmen steht?
Im kostenlosen Erstgespräch klären wir gemeinsam Ihren Ist-Stand, Ihre größten Risiken und den sinnvollen nächsten Schritt — unverbindlich.
✓ Ohne Berechnung & unverbindlich · ✓ BAFA-förderfähig
Von Isabell Mader · ISO 42001-Dozentin & KI-Strategin · Stand: Juli 2026. Dieser Leitfaden ersetzt keine Rechtsberatung.