EU AI Act · Praxisleitfaden für den Mittelstand

EU AI Act für KMU: In 5 Schritten compliant — ohne alles auf einmal zu machen

Für kleine und mittlere Unternehmen ist die sinnvolle Reihenfolge nicht „alles sofort", sondern risikobasiert: erst Inventar, Verbotscheck und AI-Kompetenz — dann Risikoklassen, Transparenz und zuletzt High-Risk.

Die wichtigsten Stichtage

Der EU AI Act gilt seit 1. August 2024 und wird schrittweise anwendbar. Diese Termine sind für Unternehmen relevant:

Datum Was gilt
seit 02.02.2025Allgemeine Bestimmungen, Verbote (Art. 5) und KI-Kompetenz (AI Literacy, Art. 4)
seit 02.08.2025Pflichten für Anbieter von GPAI-Modellen; Governance auf EU- und Mitgliedstaatenebene
ab 02.08.2026Die Mehrheit der Regeln tritt in Anwendung, Durchsetzung startet: Transparenzpflicht (Art. 50) und Hochrisiko-KI aus Anhang III *
ab 02.08.2027Hochrisiko-KI, die in regulierte Produkte eingebettet ist *

* Vorschlag, noch nicht geltendes Recht: Im Rahmen des „Digital Omnibus" hat die Kommission vorgeschlagen, die Anwendung der Hochrisiko-Regeln an die Verfügbarkeit von Support-Tools und harmonisierten Normen zu koppeln. Dadurch könnten sich die Termine für Anhang-III-Hochrisiko um bis zu 16 Monate, für bestimmte regulierte Produkte um bis zu 12 Monate verschieben. Verbote, KI-Kompetenz, GPAI und Transparenz (Art. 50) sind davon nicht betroffen.

Praktisch ist für viele KMU der 2. August 2026 der wichtigste operative Meilenstein — nicht 2027. Und eine strukturierte Einführung braucht Monate, keine Wochen.

Die 5 Schritte — risikobasiert und in dieser Reihenfolge

1. Jetzt sofort: KI-Inventar bauen

Erfassen Sie alle KI-Anwendungen im Unternehmen — auch unspektakuläre wie Chatbots, HR-Tools, Marketing-Automation oder interne Assistenzsysteme. Ohne zentrales Inventar können Sie weder Risiken noch Pflichten sauber bewerten. Das Inventar ist die Grundlage für alles Weitere.

2. Sofort prüfen: Verbote und KI-Kompetenz

Prüfen Sie, ob ein Anwendungsfall unter die verbotenen Praktiken fällt — diese Pflicht gilt seit 2. Februar 2025. Parallel gilt seit 2. Februar 2025 die Pflicht, für ein angemessenes Maß an KI-Kompetenz der Beschäftigten zu sorgen (AI Literacy). In der Praxis genügen dafür oft eine kurze Schulung und klare Nutzungsregeln.

3. Nächster Schritt: Risikoklassifizierung

Teilen Sie jeden Use Case in minimal, begrenzt oder hochriskant ein — und dokumentieren Sie die Begründung. Das entscheidet, ob Sie nur Transparenzpflichten haben oder später ein vollständiges High-Risk-Programm brauchen.

4. Bis August 2026: Transparenzpflichten umsetzen

Ab 2. August 2026 gilt die Transparenzpflicht (Art. 50) — Nutzer müssen z. B. erfahren, wenn sie mit einem Chatbot sprechen oder KI-generierte Inhalte erhalten. Das ist der feste Stichtag, der die meisten KMU betrifft. Praktisch: Rollenklärung (Provider, Deployer, Importeur, Distributor), Kennzeichnung, Lieferantenprüfung und einfache Dokumentation sollten bis dahin stehen.

Falls Sie Hochrisiko-KI einsetzen (Schritt 3 zeigt es): Deren Pflichten — technische Doku, Logging, Monitoring, menschliche Aufsicht — sind umfangreicher. Der genaue Stichtag kann sich durch den (noch nicht finalen) Digital-Omnibus-Vorschlag verschieben; früh vorzubereiten lohnt trotzdem.

5. Für 2027 mitdenken: regulierte Produkte

Steckt KI in regulierten Produkten, kommen die entsprechenden High-Risk-Pflichten erst ab 2. August 2027 vollständig zur Anwendung. Das betrifft vor allem Anbieter und Integratoren in produktnahen Umgebungen — für klassische Anwender-KMU ist meist 2026 der wichtigere Stichtag.

Die 4 wichtigsten Startdokumente für ein KMU

Diese vier Dokumente sind kein offizieller EU-Mindestkatalog, aber ein praktikabler Startpunkt — sie schaffen die Basis für die weiteren Anforderungen:

  • KI-Inventar / Use-Case-Register — was läuft wo, wer ist verantwortlich, welche Risikoklasse
  • KI-Nutzungsrichtlinie — kurze, klare Regeln zur erlaubten KI-Nutzung
  • Nachweis der KI-Kompetenz — dokumentierte Schulung der Mitarbeitenden
  • Einfache Risikomatrix — Einstufung je Use Case plus Maßnahmen

Der 90-Tage-Plan für KMU

Zeitraum Fokus Ergebnis
Woche 1–2KI-Inventar + VerantwortlicheVollständige Übersicht
Woche 3–4Verbotscheck + KI-KompetenzFrühpflichten abgedeckt
Woche 5–8Risikoklassifizierung + TransparenzPriorisierte Maßnahmenliste
Woche 9–12Policies, Lieferantenprüfung, DokuBetriebsfähiges Governance-Setup

Merksatz: ISO 42001 ist die Governance-Maschine, der EU AI Act ist der Regelwerk-Filter — zusammen ergeben sie auditfähige, operative Compliance.

Unsicher, wo Ihr Unternehmen steht?

Im kostenlosen Erstgespräch klären wir gemeinsam Ihren Ist-Stand, Ihre größten Risiken und den sinnvollen nächsten Schritt — unverbindlich.

Kostenloses Erstgespräch buchen

✓ Ohne Berechnung & unverbindlich · ✓ BAFA-förderfähig

Von Isabell Mader · ISO 42001-Dozentin & KI-Strategin · Stand: Juli 2026. Dieser Leitfaden ersetzt keine Rechtsberatung.