AI Act für KMU: Was kleine und mittlere Unternehmen wissen müssen

Das Wichtigste in Kürze: Die europäische KI-Verordnung (VO (EU) 2024/1689) gilt vollumfänglich auch für kleine und mittlere Unternehmen (KMU). Es gibt keine generelle Ausnahme für den Mittelstand. Allerdings enthält der AI Act in Art. 62 gezielte Erleichterungen: vereinfachte Dokumentation, bevorzugten Zugang zu regulatorischen Sandboxes und proportionale Bußgelder. Die wichtigsten Pflichten für die meisten KMU: KI-Kompetenz sicherstellen (Art. 4), verbotene Praktiken vermeiden (Art. 5) und Betreiberpflichten einhalten (Art. 26). Wer frühzeitig handelt, kann Compliance mit überschaubarem Aufwand erreichen – und sich gleichzeitig einen Wettbewerbsvorteil verschaffen.

Inhaltsverzeichnis

Gilt der AI Act auch für KMU?
KMU-Definition: Wer zählt als kleines oder mittleres Unternehmen?
Welche Pflichten betreffen KMU konkret?
Erleichterungen für KMU nach Art. 62
Der typische KMU-Fall: Betreiber, nicht Anbieter
5-Schritte-Plan für KMU-Compliance
Häufige Irrtümer über den AI Act und KMU
Häufig gestellte Fragen (FAQ)
Nächste Schritte

Gilt der AI Act auch für KMU? {#gilt-der-ai-act-auch-fuer-kmu}

Die kurze Antwort: Ja, vollumfänglich. Die KI-Verordnung (VO (EU) 2024/1689) unterscheidet nicht nach Unternehmensgröße, wenn es um den Anwendungsbereich geht. Jedes Unternehmen, das KI-Systeme entwickelt, vertreibt oder im geschäftlichen Kontext einsetzt, fällt unter den AI Act – unabhängig davon, ob es 5 oder 5.000 Mitarbeiter hat.

Das ist ein grundlegender Unterschied zur DSGVO, die in einigen Bereichen Erleichterungen für Unternehmen mit weniger als 250 Beschäftigten vorsieht (etwa beim Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 5 DSGVO). Beim AI Act gibt es keine solche pauschale Befreiung.

Warum gibt es keine generelle Ausnahme?

Der europäische Gesetzgeber hat sich bewusst gegen eine generelle KMU-Ausnahme entschieden. Die Begründung ist nachvollziehbar: Die Risiken, die von einem KI-System ausgehen, hängen nicht von der Größe des Unternehmens ab, das es einsetzt. Ein KI-gestütztes Bewerber-Screening-Tool ist gleichermaßen riskant für betroffene Personen – egal ob ein Startup mit 20 Mitarbeitern oder ein DAX-Konzern es nutzt.

Stattdessen hat der Gesetzgeber einen anderen Weg gewählt: Der AI Act gilt für alle, aber er enthält gezielte Erleichterungen für KMU in der Art und Weise, wie die Pflichten erfüllt werden müssen. Dieser proportionale Ansatz findet sich in Art. 62 VO (EU) 2024/1689 und zieht sich als Grundsatz durch die gesamte Verordnung.

Was bedeutet das in der Praxis?

Für KMU bedeutet das: Sie können sich nicht darauf berufen, „zu klein" für den AI Act zu sein. Wenn Ihr Unternehmen KI-Systeme nutzt – und sei es nur ChatGPT für die Kundenkommunikation oder Microsoft Copilot für die interne Dokumentenerstellung – fallen Sie unter die Verordnung. Die gute Nachricht: Für die allermeisten KMU sind die tatsächlichen Pflichten überschaubar, und die vorgesehenen Erleichterungen machen die Umsetzung praktikabel.

KMU-Definition: Wer zählt als kleines oder mittleres Unternehmen? {#kmu-definition}

Der AI Act verweist für die Definition von KMU auf die Empfehlung 2003/361/EG der Europäischen Kommission. Demnach gelten als KMU Unternehmen, die folgende Schwellenwerte nicht überschreiten:

Kriterium	Kleinstunternehmen	Kleines Unternehmen	Mittleres Unternehmen
Mitarbeiter	< 10	< 50	< 250
Jahresumsatz	≤ 2 Mio. €	≤ 10 Mio. €	≤ 50 Mio. €
Bilanzsumme	≤ 2 Mio. €	≤ 10 Mio. €	≤ 43 Mio. €

Ein Unternehmen muss das Mitarbeiterkriterium und mindestens eines der beiden finanziellen Kriterien (Umsatz oder Bilanzsumme) einhalten, um als KMU zu gelten. Dabei wird die Mitarbeiterzahl als Vollzeitäquivalent berechnet.

Vorsicht bei verbundenen Unternehmen

Ein häufiger Fehler: Unternehmen, die Teil einer größeren Gruppe sind, rechnen nur ihre eigenen Kennzahlen. Die Empfehlung 2003/361/EG sieht aber vor, dass bei Partner- und verbundenen Unternehmen die Kennzahlen anteilig oder vollständig zusammengerechnet werden müssen. Eine GmbH mit 30 Mitarbeitern, die zu 100 % einer Holding mit 500 Mitarbeitern gehört, ist nach dieser Definition kein KMU.

Prüfen Sie daher sorgfältig Ihre Unternehmensstruktur, bevor Sie sich auf KMU-Erleichterungen berufen. Im Zweifel lohnt sich eine kurze rechtliche Einschätzung.

Welche Pflichten betreffen KMU konkret? {#pflichten-fuer-kmu}

Die Pflichten aus dem AI Act hängen nicht primär von der Unternehmensgröße ab, sondern von der Rolle (Anbieter, Betreiber, Importeur, Händler) und der Risikoklasse des eingesetzten KI-Systems. Für KMU sind folgende Pflichten besonders relevant:

Artikel	Pflicht	Gilt für	Relevanz für KMU
Art. 4	KI-Kompetenz sicherstellen	Alle Anbieter und Betreiber	Sehr hoch – gilt ab 2. Februar 2025 für jedes Unternehmen, das KI einsetzt oder entwickelt
Art. 5	Verbotene KI-Praktiken vermeiden	Alle Anbieter und Betreiber	Hoch – bestimmte KI-Anwendungen sind generell untersagt (z. B. Social Scoring, manipulative KI)
Art. 26	Betreiberpflichten einhalten	Jedes Unternehmen, das KI-Systeme nutzt	Hoch – betrifft die meisten KMU, da sie KI im Geschäftsalltag einsetzen
Art. 50	Transparenzpflichten	Bei KI-Interaktion mit natürlichen Personen	Mittel – relevant wenn KI in Kundenkontakt, Chatbots oder generierten Inhalten eingesetzt wird
Art. 9-15	Hochrisiko-Pflichten	Nur wenn KMU Hochrisiko-KI anbietet oder betreibt	Niedrig für die meisten KMU – aber kritisch für KMU in regulierten Branchen (HR-Tech, Medizintechnik, Finanzdienstleistungen)

Art. 4: KI-Kompetenz — die universelle Pflicht

Art. 4 VO (EU) 2024/1689 verlangt, dass Anbieter und Betreiber von KI-Systemen sicherstellen, dass ihr Personal über eine ausreichende KI-Kompetenz verfügt. Das betrifft ausnahmslos jedes Unternehmen, das KI nutzt – vom Friseursalon, der KI-gestützte Terminplanung einsetzt, bis zum Ingenieurbüro, das mit KI-Assistenten arbeitet.

Für KMU bedeutet das konkret: Sie müssen Ihre Mitarbeiterinnen und Mitarbeiter im Umgang mit KI schulen. Der Umfang richtet sich nach der tatsächlichen Nutzung – ein Handwerksbetrieb, dessen Bürokraft gelegentlich ChatGPT nutzt, braucht weniger umfangreiche Schulungen als ein Marketing-Startup, das täglich mit mehreren KI-Tools arbeitet.

Art. 5: Verbotene Praktiken — die rote Linie

Die verbotenen KI-Praktiken nach Art. 5 sind absolut – sie gelten für jedes Unternehmen unabhängig von Größe oder Branche. Für KMU ist das in der Regel unproblematisch, da die verbotenen Anwendungen (Social Scoring, unterschwellige Manipulation, Emotionserkennung am Arbeitsplatz ohne medizinische Begründung) in den meisten kleinen und mittleren Unternehmen nicht zum Einsatz kommen.

Dennoch lohnt sich eine Prüfung: Manche KI-Funktionen in eingekaufter Software können grenzwertig sein. Ein KI-Tool, das die Stimmung von Mitarbeitern in Videokonferenzen analysiert, könnte unter die Verbote fallen.

Art. 26: Betreiberpflichten — der Kern für die meisten KMU

Art. 26 VO (EU) 2024/1689 definiert die Pflichten für Betreiber von KI-Systemen – also für Unternehmen, die KI nutzen, ohne sie selbst entwickelt zu haben. Das betrifft die überwältigende Mehrheit der KMU. Zu den Kernpflichten gehören:

Bestimmungsgemäße Verwendung: KI-Systeme nur gemäß den Gebrauchsanweisungen des Anbieters einsetzen
Menschliche Aufsicht: Sicherstellen, dass natürliche Personen die KI-Systeme überwachen können
Eingabedaten: Soweit möglich sicherstellen, dass Eingabedaten der Zweckbestimmung des Systems entsprechen
Meldepflichten: Schwerwiegende Vorfälle an den Anbieter und ggf. die Marktüberwachungsbehörde melden
Dokumentation: Automatisch erzeugte Protokolle mindestens sechs Monate aufbewahren (sofern vom KI-System bereitgestellt)

Art. 50: Transparenz — wenn KI auf Menschen trifft

Setzt Ihr KMU KI in der direkten Interaktion mit Personen ein – etwa über einen Chatbot auf der Website, KI-generierte E-Mail-Antworten oder KI-erstellte Inhalte in sozialen Medien – greifen die Transparenzpflichten nach Art. 50. Sie müssen Personen darüber informieren, dass sie mit einem KI-System interagieren oder dass Inhalte KI-generiert sind.

Für viele KMU betrifft das den Einsatz von KI-Chatbots im Kundenservice oder die Kennzeichnung von KI-generierten Texten und Bildern im Marketing.

Erleichterungen für KMU nach Art. 62 {#erleichterungen-fuer-kmu}

Art. 62 VO (EU) 2024/1689 trägt die Überschrift „Maßnahmen zugunsten von Kleinstunternehmen sowie kleinen und mittleren Unternehmen" und ist die zentrale Norm für KMU-Erleichterungen. Der Gesetzgeber hat erkannt, dass eine Einheitslösung für Großkonzerne und Kleinstunternehmen weder verhältnismäßig noch praxistauglich wäre.

1. Vereinfachte Dokumentation

Art. 62 Abs. 1 VO (EU) 2024/1689 verpflichtet die Europäische Kommission und die Mitgliedstaaten, vereinfachte Formulare, Vorlagen und Muster bereitzustellen, die speziell auf die Bedürfnisse von KMU zugeschnitten sind. Das betrifft insbesondere die technische Dokumentation und Konformitätsbewertungsverfahren für Hochrisiko-KI-Systeme.

In der Praxis bedeutet das: Wenn Ihr KMU tatsächlich ein Hochrisiko-KI-System anbietet, müssen Sie zwar die gleichen inhaltlichen Anforderungen erfüllen wie ein Großunternehmen – aber Sie können vereinfachte Formate nutzen, die weniger bürokratischen Aufwand erfordern.

2. Regulatorische Sandboxes mit bevorzugtem Zugang (Art. 57-58)

Ein besonders wertvolles Instrument für KMU sind die regulatorischen Sandboxes nach Art. 57 und 58 VO (EU) 2024/1689. Dabei handelt es sich um kontrollierte Testumgebungen, die von nationalen Behörden eingerichtet werden, in denen Unternehmen KI-Systeme entwickeln und testen können – unter behördlicher Aufsicht, aber mit reduzierten regulatorischen Anforderungen.

Art. 57 Abs. 6 VO (EU) 2024/1689 schreibt ausdrücklich vor, dass KMU und Start-ups bevorzugten Zugang zu diesen Sandboxes erhalten sollen. Das gibt kleineren Unternehmen die Möglichkeit:

Innovative KI-Lösungen zu entwickeln, ohne sofort die volle regulatorische Last tragen zu müssen
Direkte Rückmeldung von Aufsichtsbehörden zu erhalten
Regulatorische Unsicherheiten vor dem Markteintritt zu klären
Von reduzierten Kosten und beschleunigten Verfahren zu profitieren

In Deutschland wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige Marktüberwachungsbehörde voraussichtlich eine wichtige Rolle bei der Einrichtung solcher Sandboxes spielen.

3. Reduzierte Gebühren für Konformitätsbewertung

Wo der AI Act eine Konformitätsbewertung durch Dritte (sog. notifizierte Stellen) vorschreibt, sieht Art. 62 vor, dass die Gebühren proportional zur Unternehmensgröße gestaltet werden. Kleinstunternehmen und KMU sollen nicht die gleichen Gebühren zahlen wie Großkonzerne.

4. Proportionale Bußgelder (Art. 99 Abs. 6)

Die Bußgelder nach dem AI Act können enorm sein – bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen die verbotenen Praktiken (Art. 99 Abs. 3 VO (EU) 2024/1689). Für KMU und Start-ups sieht Art. 99 Abs. 6 jedoch ausdrücklich eine Proportionalitätsklausel vor.

Das bedeutet: Bei der Bemessung der Bußgeldhöhe müssen die Aufsichtsbehörden die wirtschaftliche Leistungsfähigkeit des Unternehmens berücksichtigen. Ein Verstoß durch ein Kleinstunternehmen wird nicht mit den gleichen absoluten Beträgen sanktioniert wie derselbe Verstoß durch einen Technologie-Konzern. Der Grundsatz lautet: Bußgelder sollen wirksam, verhältnismäßig und abschreckend sein – aber nicht existenzbedrohend für kleinere Unternehmen.

5. Leitlinien und Unterstützung

Die Europäische Kommission und die nationalen Behörden sind nach Art. 62 Abs. 1 verpflichtet, spezifische Leitlinien und Orientierungshilfen für KMU zu veröffentlichen. Diese sollen praxisnah erklären, wie die Anforderungen des AI Acts mit begrenzten Ressourcen umgesetzt werden können.

Der typische KMU-Fall: Betreiber, nicht Anbieter {#der-typische-kmu-fall}

Um die tatsächliche Betroffenheit realistisch einzuschätzen, hilft ein Blick auf den typischen KMU-Fall: Die allermeisten kleinen und mittleren Unternehmen in Deutschland entwickeln keine eigenen KI-Systeme. Sie nutzen KI-Tools, die von Dritten angeboten werden. Damit sind sie im Sinne des AI Acts Betreiber (Art. 3 Nr. 4 VO (EU) 2024/1689), nicht Anbieter.

Was nutzen KMU typischerweise?

Die KI-Nutzung im deutschen Mittelstand konzentriert sich auf eine überschaubare Zahl von Anwendungen:

ChatGPT / GPT-4 für Textgenerierung, Recherche und Kundenkommunikation
Microsoft Copilot integriert in Office 365 für Zusammenfassungen, E-Mails und Präsentationen
Google Gemini für ähnliche Zwecke im Google-Workspace-Ökosystem
KI-gestützte Buchhaltungssoftware (z. B. automatische Belegerfassung, Kategorisierung)
Chatbots auf der Unternehmenswebsite für Kundenanfragen
KI-Funktionen in bestehender Software – oft ohne dass es den Nutzern bewusst ist (z. B. Spam-Filter, Smart Reply, automatische Übersetzungen)

Welche Pflichten ergeben sich daraus?

Für ein KMU, das ausschließlich als Betreiber handelt und keine Hochrisiko-KI-Systeme einsetzt, ergeben sich im Wesentlichen drei Kernpflichten:

1. KI-Kompetenz (Art. 4): Alle Personen, die in Ihrem Unternehmen mit KI-Systemen arbeiten, müssen über ein angemessenes Verständnis der Technologie verfügen. Das umfasst Grundkenntnisse über Funktionsweise, Grenzen und Risiken der eingesetzten KI-Tools sowie die rechtlichen Rahmenbedingungen.

2. Betreiberpflichten (Art. 26): Nutzen Sie KI-Systeme bestimmungsgemäß, bewahren Sie relevante Protokolle auf und stellen Sie sicher, dass ein Mensch die KI-Ergebnisse kontrolliert, bevor sie zu Entscheidungen mit Auswirkungen auf Personen führen.

3. Transparenz (Art. 50): Wenn Kunden, Bewerber oder andere Personen mit Ihren KI-Systemen interagieren, informieren Sie diese darüber. Ein klarer Hinweis wie „Dieser Chat wird von einem KI-System unterstützt" reicht in vielen Fällen aus.

Das ist die Realität für die große Mehrheit der KMU – und diese drei Pflichten sind mit vertretbarem Aufwand umsetzbar.

5-Schritte-Plan für KMU-Compliance {#fuenf-schritte-plan}

Die folgenden fünf Schritte sind bewusst pragmatisch gehalten und auf die Ressourcen typischer KMU zugeschnitten. Sie brauchen kein Compliance-Team mit zehn Mitarbeitern – aber Sie brauchen einen strukturierten Ansatz.

Schritt 1: KI-Bestandsaufnahme durchführen (1-2 Tage)

Erstellen Sie eine vollständige Liste aller KI-Systeme, die in Ihrem Unternehmen im Einsatz sind. Gehen Sie dabei systematisch vor:

Offensichtliche KI-Tools: ChatGPT, Copilot, Midjourney, DeepL, etc.
Eingebettete KI: KI-Funktionen in bestehender Software (CRM, ERP, Buchhaltung, E-Mail)
Automatisierungen: Sind Ihre automatisierten Prozesse möglicherweise KI-basiert?

Für jedes identifizierte System notieren Sie: Was wird genutzt? Wer nutzt es? Wofür? Welche Daten werden verarbeitet?

Schritt 2: Rollen und Risikoklassen bestimmen (1 Tag)

Für jedes identifizierte KI-System klären Sie zwei Fragen:

Welche Rolle haben Sie? In den allermeisten Fällen: Betreiber. Anbieter sind Sie nur, wenn Sie selbst KI-Systeme entwickeln oder unter eigenem Namen auf den Markt bringen.
Welche Risikoklasse? Die meisten gängigen KI-Tools (ChatGPT, Copilot, etc.) fallen als General-Purpose-AI nicht unter die Hochrisiko-Kategorie. Hochrisiko wird es typischerweise bei KI in der Personalauswahl, Kreditwürdigkeitsprüfung, kritischen Infrastrukturen oder biometrischen Systemen.

Schritt 3: KI-Kompetenz aufbauen (fortlaufend)

Schulen Sie Ihre Mitarbeiterinnen und Mitarbeiter im Umgang mit KI. Art. 4 VO (EU) 2024/1689 verlangt, dass die Schulungen dem Kontext entsprechen – also zugeschnitten auf die tatsächliche KI-Nutzung in Ihrem Unternehmen.

Ein pragmatischer Ansatz für KMU:

Basisschulung für alle Mitarbeiter: Was ist KI? Welche KI nutzen wir? Was sind die grundlegenden Dos and Don'ts?
Vertiefung für Power-User: Detailliertere Schulung für Mitarbeiter, die intensiv mit KI-Tools arbeiten
Dokumentation: Schulungen nachweisbar dokumentieren (Teilnehmerlisten, Inhalte, Datum)

Eine solche Schulung muss nicht teuer sein. Online-Formate, kompakte Workshops oder spezialisierte E-Learning-Plattformen wie KI Comply bieten kostengünstige Lösungen, die speziell auf die Anforderungen des AI Acts zugeschnitten sind.

Schritt 4: Interne Richtlinie erstellen (1-2 Tage)

Erstellen Sie eine KI-Richtlinie für Ihr Unternehmen. Diese muss kein 50-seitiges Dokument sein – für die meisten KMU reichen 3-5 Seiten. Die Richtlinie sollte mindestens enthalten:

Welche KI-Tools sind im Unternehmen erlaubt?
Welche Daten dürfen in KI-Systeme eingegeben werden (und welche nicht)?
Wer ist für KI-Compliance verantwortlich?
Wie werden KI-generierte Ergebnisse überprüft?
Wie wird die Nutzung von KI gegenüber Dritten transparent gemacht?

Eine gute KI-Richtlinie schützt Ihr Unternehmen nicht nur vor AI-Act-Verstößen, sondern auch vor Datenschutzproblemen und Haftungsrisiken.

Schritt 5: Regelmäßig überprüfen und anpassen (vierteljährlich)

KI-Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Planen Sie vierteljährliche Überprüfungen ein:

Werden neue KI-Tools eingesetzt, die noch nicht erfasst sind?
Haben sich die Anwendungsbereiche bestehender Tools verändert?
Gibt es neue regulatorische Entwicklungen oder Leitlinien?
Sind Schulungen für neue Mitarbeiter durchgeführt worden?

Für KMU reicht dafür in der Regel ein halber Tag pro Quartal – ein überschaubarer Aufwand mit großer Wirkung.

Häufige Irrtümer über den AI Act und KMU {#haeufige-irrtuemer}

In der Beratungspraxis begegnen uns immer wieder die gleichen Missverständnisse. Drei davon sind besonders verbreitet – und besonders gefährlich.

Irrtum 1: „Wir sind zu klein für den AI Act"

Falsch. Der AI Act kennt keine Mindestschwelle für die Unternehmensgröße. Ein Einzelunternehmer, der KI-gestützte Dienstleistungen anbietet, fällt ebenso unter die Verordnung wie ein Konzern mit 50.000 Mitarbeitern. Die Pflichten ergeben sich aus der Art der KI-Nutzung, nicht aus der Größe des Unternehmens.

Was stimmt: Die praktische Umsetzung kann für kleine Unternehmen einfacher ausfallen, weil weniger KI-Systeme im Einsatz sind, weniger Mitarbeiter geschult werden müssen und die Dokumentation überschaubarer ist. Zusätzlich greifen die Erleichterungen nach Art. 62 VO (EU) 2024/1689. Aber „einfacher" bedeutet nicht „optional".

Irrtum 2: „Wir nutzen nur ChatGPT – das ist doch harmlos"

Gefährlich. ChatGPT ist ein KI-System im Sinne des AI Acts, und seine Nutzung im geschäftlichen Kontext löst Pflichten aus. Insbesondere:

KI-Kompetenz (Art. 4): Mitarbeiter, die ChatGPT nutzen, müssen wissen, wie das Tool funktioniert, welche Grenzen es hat und welche Daten sie eingeben dürfen.
Datenschutz: Die Eingabe personenbezogener Daten oder vertraulicher Geschäftsinformationen in ChatGPT kann gegen die DSGVO und interne Compliance-Vorgaben verstoßen.
Transparenz (Art. 50): Wenn ChatGPT-generierte Texte in der externen Kommunikation verwendet werden, können Kennzeichnungspflichten greifen.
Qualitätskontrolle: ChatGPT kann fehlerhafte, veraltete oder halluzinierte Informationen liefern. Wer diese ungeprüft übernimmt, riskiert Haftung.

Die vermeintliche Harmlosigkeit von ChatGPT ist einer der häufigsten Gründe, warum KMU das Thema KI-Compliance unterschätzen.

Irrtum 3: „Das betrifft nur Tech-Firmen"

Vollkommen falsch. Der AI Act richtet sich nicht an bestimmte Branchen. Er erfasst jeden, der KI-Systeme anbietet oder nutzt. Das schließt ausdrücklich ein:

Handwerksbetriebe, die KI-gestützte Angebotskalkulation oder Terminplanung nutzen
Arztpraxen, die KI-basierte Diagnostik-Tools einsetzen (hier sogar mit erhöhten Anforderungen als potenzielles Hochrisiko-System)
Rechtsanwaltskanzleien, die KI für Dokumentenanalyse oder Rechtsrecherche verwenden
Einzelhändler, die KI-gestützte Preisoptimierung oder Chatbots nutzen
Gastronomie, die KI für Personalplanung oder Bestell-Prognosen einsetzt
Steuerberater und Wirtschaftsprüfer, die KI-Tools in der Mandantenbetreuung verwenden

Die Durchdringung von KI ist branchenübergreifend – und damit auch die Relevanz des AI Acts.

Häufig gestellte Fragen (FAQ) {#faq}

Gilt der AI Act auch für Kleinstunternehmen und Solo-Selbstständige?

Ja. Der AI Act unterscheidet nicht nach Rechtsform oder Mitarbeiterzahl. Auch Solo-Selbstständige und Freiberufler, die KI-Systeme im beruflichen Kontext einsetzen, fallen unter die Verordnung. Die gute Nachricht: Die tatsächlichen Pflichten sind für Kleinstunternehmen in der Regel minimal – oft beschränkt auf KI-Kompetenz (Art. 4 VO (EU) 2024/1689), die Beachtung der Verbote (Art. 5) und grundlegende Transparenz. Die Erleichterungen nach Art. 62 gelten ausdrücklich auch für Kleinstunternehmen.

Bis wann müssen KMU compliant sein?

Die Fristen des AI Acts gelten unabhängig von der Unternehmensgröße. Die KI-Kompetenzpflicht nach Art. 4 und die Verbote nach Art. 5 sind bereits seit dem 2. Februar 2025 anwendbar. Die vollständigen Pflichten für Hochrisiko-KI-Systeme greifen ab dem 2. August 2026. KMU haben also dieselben Fristen wie Großunternehmen – ein Grund mehr, jetzt zu handeln und nicht abzuwarten.

Brauchen KMU einen KI-Beauftragten?

Der AI Act schreibt keinen formellen „KI-Beauftragten" vor, wie ihn die DSGVO mit dem Datenschutzbeauftragten kennt. Dennoch ist es für jedes Unternehmen – auch für KMU – ratsam, eine verantwortliche Person für KI-Compliance zu benennen. Das muss keine Vollzeitstelle sein. In vielen KMU kann der Datenschutzbeauftragte, die Geschäftsführung oder eine technikaffine Führungskraft diese Aufgabe mitübernehmen. Entscheidend ist, dass jemand den Überblick behält und die Einhaltung der Pflichten koordiniert.

Was passiert, wenn ein KMU gegen den AI Act verstößt?

Verstöße gegen den AI Act können mit empfindlichen Bußgeldern geahndet werden. Die Höchstbeträge staffeln sich nach Schwere des Verstoßes (Art. 99 VO (EU) 2024/1689): bis zu 35 Mio. € bzw. 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken, bis zu 15 Mio. € bzw. 3 % bei sonstigen Verstößen. Für KMU und Start-ups gilt allerdings die Proportionalitätsklausel nach Art. 99 Abs. 6: Die Bußgelder müssen in einem angemessenen Verhältnis zur Unternehmensgröße und wirtschaftlichen Leistungsfähigkeit stehen. Ein Verstoß eines Fünf-Personen-Betriebs wird nicht mit Millionenbeträgen sanktioniert. Dennoch: Die Bußgelder können auch für KMU existenzbedrohend sein – unterschätzen Sie das Risiko nicht.

Wie kann KI Comply KMU bei der Umsetzung helfen?

KI Comply bietet speziell auf KMU zugeschnittene Lösungen: Online-Schulungen zur KI-Kompetenz nach Art. 4 VO (EU) 2024/1689, die sich zeitlich flexibel absolvieren lassen, Vorlagen für KI-Richtlinien und Dokumentation sowie eine Plattform, die den gesamten Compliance-Prozess strukturiert und nachweisbar macht. So erfüllen Sie Ihre Pflichten effizient und ohne unnötigen Aufwand – mit Lösungen, die für die Budgets und Ressourcen kleinerer Unternehmen konzipiert sind.

Nächste Schritte {#naechste-schritte}

Der AI Act wartet nicht – und die Fristen für KI-Kompetenz und verbotene Praktiken sind bereits abgelaufen. Wer jetzt noch nicht gehandelt hat, befindet sich in einem Zustand der Nicht-Compliance. Aber es ist nicht zu spät: Die Aufsichtsbehörden befinden sich noch in der Aufbauphase, und Unternehmen, die jetzt proaktiv handeln, demonstrieren guten Willen.

Starten Sie heute mit drei einfachen Schritten:

Machen Sie eine Bestandsaufnahme aller KI-Systeme in Ihrem Unternehmen – Sie werden überrascht sein, wie viele es sind.
Schulen Sie Ihre Mitarbeiter in KI-Kompetenz nach Art. 4 VO (EU) 2024/1689 – das ist die dringendste Pflicht, da die Frist bereits gilt.
Erstellen Sie eine KI-Richtlinie, die klare Regeln für den Umgang mit KI in Ihrem Unternehmen definiert.

KI-Compliance muss für KMU weder teuer noch kompliziert sein. Mit dem richtigen Ansatz und den richtigen Werkzeugen schaffen Sie es, die Anforderungen des AI Acts effizient zu erfüllen – und positionieren sich gleichzeitig als verantwortungsvolles, zukunftsorientiertes Unternehmen.

KI-Kompetenz-Schulung für KMU entdecken →

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die Beurteilung Ihres konkreten Falls konsultieren Sie bitte eine fachkundige Rechtsberatung. Stand: März 2026.