EU AI Act
Leitfaden für kleine und mittlere Unternehmen (KMU)
Kleine und mittlere Unternehmen (KMU) sowie Start-ups spielen eine zentrale Rolle bei der KI-Innovation in Europa. Dieser Leitfaden führt Sie in 5 einfachen Schritten durch die Anforderungen des AI Acts.
Bin ich betroffen?
Klären Sie zunächst Ihre Rolle im Zusammenhang mit Künstlicher Intelligenz.
Setzen Sie KI-Systeme ein oder entwickeln Sie diese?
➔ Nein: Der AI Act betrifft Sie aktuell nicht direkt.
➔ Ja: Sie sind betroffen. Gehen Sie zu Schritt 2.
ⓘ Was zählt alles als KI-System?
Viele Unternehmen unterschätzen, ob sie bereits KI einsetzen. Als KI-System gilt unter anderem:
- KI-Assistenten & Chatbots: ChatGPT, Microsoft Copilot, Google Gemini – auch wenn Mitarbeitende diese privat für die Arbeit nutzen
- Automatisierungen mit KI-Komponenten: n8n, Make, Zapier – sobald ein LLM oder KI-Dienst eingebunden
- Bildgenerierung: Midjourney, DALL·E, Adobe Firefly
- Eingebettete KI in Bestandssoftware: KI-Funktionen in CRM-Systemen (z.B. Salesforce Einstein), ERP-Software, HR-Tools oder Buchhaltungssoftware
- KI-gestützte Analyse- und Auswertungstools: z.B. automatisierte Reportings, Prognosetools
- Eigene KI-Anwendungen: intern entwickelte Tools die auf GPT-API, Azure AI o.ä. aufsetzen
Faustregel: Wenn ein Tool selbstständig Empfehlungen ausspricht, Texte erstellt oder Entscheidungen unterstützt, ist es wahrscheinlich ein KI-System im Sinne der Verordnung.
Welche Risikostufe trifft auf mich zu?
Die Verordnung teilt KI in verschiedene Risikoklassen ein. Finden Sie heraus, wo Ihr System einzuordnen ist.
| Risikostufe | Beispiele |
|---|---|
| Verboten | Social Scoring, biometrische Massenüberwachung, KI die Mitarbeitende manipuliert ohne deren Wissen |
| Hochrisiko | KI im Bewerbungsprozess (Screening, Ranking), KI in der Kreditvergabe, KI in der Qualitätskontrolle mit automatisierten Aussortierentscheidungen, KI-gestützte medizinische Tools |
| Mittleres Risiko | Kunden-Chatbots mit LLM-Backend, KI-generierte Marketingtexte, automatisch erstellte Angebote oder Zusammenfassungen, KI in Social Media |
| Geringes Risiko | KI-Spam-Filter, interne Planungstools, Produktempfehlungen im Onlineshop, KI-Suchfunktionen ohne Entscheidungen |
Was muss ich konkret tun?
Abhängig von der Risikostufe ergeben sich unterschiedliche Pflichten für Ihr Unternehmen.
Diese Pflichten gelten für ALLE Unternehmen
Unabhängig davon, welche Risikostufe zutrifft
- KI-Kompetenzpflicht (Art. 4 KI-VO): Mitarbeitende müssen nachweislich über KI-Grundwissen verfügen. Gilt seit 2. Februar 2025.
→ Schulungen dokumentieren, Nachweise aufbewahren - KI-Richtlinie im Unternehmen: Interne Regeln zum Umgang mit KI festlegen: Welche Tools dürfen genutzt werden? Wer ist verantwortlich? Was ist verboten?
- KI-Inventar führen: Alle eingesetzten KI-Systeme dokumentieren: Tool, Einsatzzweck, Nutzerkreis, Risikoeinstufung
Je nach Risikostufe gilt zusätzlich:
Für Hochrisiko-Systeme:
- Risikomanagementsystem einrichten
- Datenqualität sicherstellen
- Technische Dokumentation anfertigen
- Transparenz und Informationen für Nutzer bereitstellen
- Menschliche Aufsicht garantieren
Für Systeme mit geringem Risiko:
- Nutzer darüber informieren, dass sie mit einer KI interagieren (z.B. bei Chatbots)
- Kennzeichnungspflicht für KI-generierte Inhalte (z.B. Deepfakes)
Welche Fristen gelten für mich?
Behalten Sie die wichtigsten Stichtage im Blick, um rechtzeitig compliant zu sein.
KI-Kompetenzpflicht & Verbote – bereits Pflicht!
Wer hier noch nicht gehandelt hat, ist im Verzug.
GPAI-Pflichten seit August 2025 in Kraft
Hochrisiko-Pflichten für eigenständige Systeme
Hochrisiko-Pflichten für eingebettete Systeme
Die Zeit läuft – handeln Sie jetzt, bevor Bußgelder drohen.
Was droht bei Verstößen?
Der AI Act sieht empfindliche Strafen vor. Auch als KMU sollten Sie die Konsequenzen ernst nehmen, auch wenn die Bußgelder für KMU gedeckelt sein können.
| Verstoßart | Maximale Geldbuße |
|---|---|
| Einsatz verbotener KI-Praktiken | Bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes |
| Verstoß gegen Pflichten für Hochrisiko-Systeme | Bis zu 15 Mio. € oder 3% des weltweiten Jahresumsatzes |
| Falsche Auskünfte gegenüber Behörden | Bis zu 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes |