Ab wann gilt der EU AI Act?

Der AI Act ist seit 1. August 2024 in Kraft. Die wichtigsten Pflichten greifen gestaffelt: Verbot von verbotenen KI-Praktiken seit 2. Februar 2025, Pflichten für General-Purpose-AI-Modelle seit August 2025, Pflichten für Hochrisiko-Systeme ab 2. August 2026, vollständige Anwendung ab 2. August 2027.

Bin ich als KMU vom AI Act betroffen?

Wahrscheinlich ja. Wer KI-Tools wie ChatGPT, Microsoft Copilot, Notion AI oder eigene Chatbots geschäftlich einsetzt, fällt unter mindestens die KI-Kompetenz-Pflicht (seit Februar 2025). Wer KI-Systeme entwickelt oder vertreibt, hat zusätzliche Dokumentations- und Risikomanagement-Pflichten.

Wie hoch sind die Bußgelder beim AI Act?

Bei verbotenen KI-Praktiken bis 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Bei sonstigen Verstößen bis 15 Mio Euro oder 3% Umsatz. Für KMU gelten zwar gestaffelte Sätze, sie sind aber nicht generell ausgenommen.

Was ist die KI-Kompetenz-Pflicht?

Seit 2. Februar 2025 müssen Unternehmen sicherstellen, dass ihre Mitarbeiter, die KI-Systeme nutzen, ein angemessenes Verständnis dieser Systeme haben (Artikel 4 AI Act). Konkret heißt das: Schulung dokumentieren, klare Nutzungsrichtlinien für KI-Tools im Unternehmen, regelmäßige Sensibilisierung für Risiken.

Was ist ein Hochrisiko-KI-System?

Anhang III des AI Act listet acht Bereiche: kritische Infrastruktur, Bildung, Beschäftigung (Bewerber-Auswahl, Mitarbeiter-Bewertung), öffentliche Dienste, Strafverfolgung, Migration, Justiz, demokratische Prozesse. Wer in diesen Bereichen KI einsetzt, hat ab August 2026 umfangreiche Dokumentations-, Risikomanagement- und Transparenzpflichten.

AI Act für KMU 2026: Pflichten, Fristen, Bußgelder

Der EU AI Act betrifft jedes Unternehmen, das ChatGPT, Microsoft Copilot, Notion AI oder einen Chatbot einsetzt. Im August 2026 greifen die nächsten Pflichten — bei Verstoß drohen bis 35 Millionen Euro Bußgeld. Hier ist, was Selbständige und KMU jetzt konkret tun müssen.

„Der AI Act betrifft mich nicht, ich entwickle ja keine KI“ — das ist die wahrscheinlich häufigste Fehleinschätzung, die wir aktuell bei Selbständigen und KMU hören. Tatsache ist: Wer ChatGPT, Microsoft Copilot, Notion AI, Jasper, Midjourney oder einen Kundenservice-Chatbot geschäftlich nutzt, ist Betreiber eines KI-Systems im Sinne der EU-Verordnung — und hat damit Pflichten.

Die meisten dieser Pflichten sind nicht dramatisch, wenn man sie kennt. Aber wer nichts tut, riskiert nicht nur Bußgelder, sondern wird ab 2026 zunehmend Probleme bekommen, mit größeren Auftraggebern zusammenzuarbeiten — weil deren Compliance-Abteilungen Lieferanten ohne AI-Act-Konformität zunehmend ausschließen.

Was ist der AI Act und warum sollten Sie ihn ernst nehmen?

Der EU AI Act (Verordnung EU 2024/1689) ist die weltweit erste umfassende KI-Regulierung. Er trat am 1. August 2024 in Kraft und folgt einem risikobasierten Ansatz: Je gefährlicher das KI-System, desto strenger die Pflichten.

Drei Punkte sind für Selbständige und KMU besonders wichtig:

Der AI Act gilt extraterritorial. Auch Anbieter außerhalb der EU sind betroffen, sobald ihre Systeme in der EU eingesetzt werden. Das heißt: ChatGPT, Claude, Gemini & Co. müssen sich anpassen — die Anbieter haben aber auch Anforderungen an die Anwender in der EU.
Der AI Act unterscheidet zwischen Anbieter (entwickelt und vertreibt KI-Systeme) und Betreiber (setzt KI-Systeme im eigenen Unternehmen ein). Die meisten KMU sind Betreiber.
Die Pflichten greifen gestaffelt. Manche gelten schon, andere kommen 2026 oder 2027. Wer wartet, überhört die Stichtage.

Welche Fristen gelten 2025, 2026, 2027?

Stichtag	Was passiert?
1. August 2024	AI Act tritt in Kraft
2. Februar 2025	Verbot „unannehmbar riskanter“ KI-Praktiken (Social Scoring, manipulative KI). KI-Kompetenz-Pflicht für alle Unternehmen.
2. August 2025	Pflichten für General-Purpose-AI-Modelle (Anbieter wie OpenAI, Anthropic). Strafsystem aktiv.
2. August 2026	Vollständige Pflichten für Hochrisiko-KI-Systeme. Transparenzpflichten für KI-generierte Inhalte (Deepfakes, KI-Bilder, KI-Texte).
2. August 2027	Vollständige Anwendung des AI Act, inkl. aller Hochrisiko-Systeme die in regulierte Produkte eingebettet sind.

Für die meisten KMU sind drei Stichtage entscheidend: Februar 2025 (KI-Kompetenz-Pflicht), August 2026 (Transparenzpflichten für KI-Inhalte), August 2027 (vollständige Anwendung).

Die vier Risiko-Klassen: Wo gehören Sie hin?

Der AI Act unterteilt KI-Systeme in vier Risikostufen mit jeweils unterschiedlichen Pflichten:

Verboten

Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung im öffentlichen Raum (mit Ausnahmen). Verboten seit Feb 2025.

Hochrisiko

KI in kritischer Infrastruktur, Bildung, Beruf (Bewerber-Auswahl!), Strafverfolgung, Justiz, Migration. Strenge Dokumentations- und Risikomanagement-Pflichten.

Begrenztes Risiko

Chatbots, KI-generierte Inhalte, Deepfakes. Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren oder dass Inhalte KI-generiert sind.

Minimales Risiko

Spam-Filter, KI in Computerspielen, Empfehlungssysteme. Keine spezifischen Pflichten — aber freiwillige Verhaltenskodizes empfohlen.

Für 95 Prozent der KMU sind nur die Klassen „Begrenztes Risiko“ und „Minimales Risiko“ relevant. Wer aber Bewerber-Auswahl-KI einsetzt, automatisierte Mitarbeiter-Bewertung macht oder im Bildungsbereich KI-gestützte Prüfungssysteme nutzt, kann sehr schnell in der Hochrisiko-Klasse landen.

Was müssen KMU konkret tun?

Konkret für typische KMU-Anwendungen:

1. Wenn Sie ChatGPT, Copilot, Notion AI & Co. nutzen

Sie sind Betreiber im Sinne des AI Act. Pflichten:

Sicherstellen, dass die genutzten Systeme die KI-Kompetenz Ihrer Mitarbeiter berücksichtigen (siehe unten).
KI-generierte Inhalte (Texte, Bilder, Videos) ab August 2026 als solche kennzeichnen, wenn sie veröffentlicht werden.
Keine personenbezogenen Daten von Kunden in öffentliche KI-Systeme einspeisen, ohne dass die DSGVO-konforme Rechtsgrundlage gegeben ist.

2. Wenn Sie einen Chatbot auf Ihrer Website haben

Klar erkennbar machen, dass der Nutzer mit einer KI spricht (Transparenzpflicht).
Datenverarbeitung in Datenschutzerklärung dokumentieren.
Sicherstellen, dass der Chatbot keine sensiblen Entscheidungen automatisch trifft.

3. Wenn Sie KI-generierte Bilder, Videos oder Texte veröffentlichen

Kennzeichnungspflicht ab August 2026: KI-generierte Inhalte müssen erkennbar sein (z.B. Hinweis im Footer, Wasserzeichen).
Bei Deepfakes (KI-generierte Personenabbildungen) noch strengere Vorgaben.

4. Wenn Sie KI in der Personalauswahl einsetzen

Achtung: Das fällt unter Hochrisiko. Pflichten u.a.:

Konformitätsbewertung des Systems
Risikomanagement-Dokumentation
Menschliche Aufsicht über KI-Entscheidungen
Information der Bewerber, dass KI im Auswahlprozess eingesetzt wird

Die KI-Kompetenz-Pflicht (gilt seit Februar 2025!)

Artikel 4 des AI Act — oft übersehen, aber für alle Betreiber relevant:

„Anbieter und Betreiber von KI-Systemen treffen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.“

Das gilt seit dem 2. Februar 2025 und betrifft jedes Unternehmen, das KI nutzt. Auch Sie als Selbständiger ohne Mitarbeiter sind betroffen, sobald Sie regelmäßig mit KI arbeiten.

Was heißt „KI-Kompetenz“ konkret?

Schulung: Mitarbeiter, die KI nutzen, müssen die Funktionsweise grundlegend verstehen.
Nutzungsrichtlinien: Schriftliche Regeln, welche Tools erlaubt sind, welche Daten eingegeben werden dürfen, wer wofür KI nutzen darf.
Risiko-Sensibilisierung: Mitarbeiter wissen, dass KI Halluzinationen produzieren kann, dass Daten möglicherweise zum Training verwendet werden, dass automatische Entscheidungen Bias enthalten können.
Dokumentation: Wer wurde wann zu welchem Thema geschult? Im Streitfall müssen Sie das nachweisen können.

Für KMU reicht meist eine einseitige KI-Richtlinie + ein dokumentierter Workshop-Termin. Es muss kein 4-Tage-Seminar sein.

Wie hoch sind die Bußgelder?

Die Bußgelder im AI Act sind nach Kategorie gestaffelt:

Verstoß	Maximum
Verbotene KI-Praktiken	35 Mio € oder 7 % des weltweiten Vorjahresumsatzes
Hochrisiko-Pflichten verletzt	15 Mio € oder 3 % Umsatz
Falsche Angaben gegenüber Behörden	7,5 Mio € oder 1 % Umsatz

Für KMU gelten zwar gestaffelte Sätze (das jeweils niedrigere von absolutem Betrag oder Prozentsatz greift), sie sind aber nicht generell ausgenommen. Eine ernsthafte Verletzung der KI-Kompetenz-Pflicht oder der Transparenzpflicht kann auch für ein 5-Personen-Unternehmen schnell fünfstellig werden.

Praxis-Checkliste für KMU

Was Sie jetzt konkret machen sollten:

Sofort (spätestens diesen Monat)

Liste aller KI-Tools im Unternehmen erstellen (ChatGPT, Copilot, Notion AI, Bild-KI, Chatbots…)
Einseitige KI-Nutzungsrichtlinie verfassen (Welche Tools, welche Daten dürfen rein, wer darf was)
30-Min-Workshop mit dem Team: Funktionsweise, Risiken, Richtlinie
Datum der Schulung dokumentieren

Bis August 2026

KI-generierte Inhalte (Bilder, Texte, Videos) auf Ihrer Website kennzeichnen
Chatbots klar als solche markieren
Datenschutzerklärung um KI-Verarbeitung ergänzen
Bei Hochrisiko-Anwendungen (z.B. KI in Personalauswahl): Konformitätsbewertung anstreben oder System abschalten

Bis August 2027

Vollständige Compliance für alle eingesetzten KI-Systeme
Lieferanten prüfen: Sind die KI-Anbieter selbst AI-Act-konform?
Vertrags-Klauseln in Kundenverträgen, falls KI Teil der Leistung ist

Häufige Fragen

Bin ich als kleines Unternehmen wirklich betroffen?

Wenn Sie ein KI-Tool geschäftlich nutzen: Ja. Die KI-Kompetenz-Pflicht gilt unabhängig von der Unternehmensgröße. Auch der Einzel-Selbständige muss eine KI-Richtlinie haben — auch wenn er sie nur für sich selbst aufschreibt.

Was ist mit ChatGPT — gilt das überhaupt als KI im Sinne des Gesetzes?

Ja, definitiv. ChatGPT, Claude, Gemini, Copilot und alle anderen Generative-AI-Tools gelten als General-Purpose-KI nach dem AI Act. Anbieter haben Pflichten, Betreiber (Sie) ebenfalls.

Reicht eine KI-Richtlinie auf einer halben A4-Seite?

Für kleine Unternehmen ohne Hochrisiko-Anwendungen: ja. Wichtig sind drei Punkte: (1) welche Tools dürfen genutzt werden, (2) welche Daten dürfen rein, (3) wer haftet bei Fehlern. Wer das schriftlich hat und intern kommuniziert hat, erfüllt die Mindestanforderung.

Müssen wir KI-generierte Texte auf der Website kennzeichnen?

Ab August 2026 ja, wenn der Inhalt eine wesentliche Aussage enthält und nicht offensichtlich KI-generiert ist. Für Bilder ist es klarer geregelt: Wenn ein KI-Bild eine reale Person oder Situation zeigt (Deepfake), muss das gekennzeichnet sein. Reine Stilbilder (z.B. abstrakte Hero-Grafik) sind weniger streng geregelt.

Wer kontrolliert das in Deutschland?

In Deutschland teilen sich mehrere Behörden die Aufsicht: die Bundesnetzagentur für General-Purpose-KI, das BSI für kritische Infrastruktur, die Datenschutzbehörden für datenschutzrelevante KI-Systeme. Die Marktuberwachung ist noch im Aufbau, aber die ersten Prüfungen werden für 2026/2027 erwartet.

KI-Richtlinie für Ihr Unternehmen?

Wir helfen Ihnen, die KI-Kompetenz-Pflicht und Transparenzpflichten praxistauglich umzusetzen — ohne 100-seitige Compliance-Doku. Im Festpreis, mit Vorlagen die Ihr Steuerberater versteht.

Kostenloses Erstgespräch →