EU AI Act: Was KMU jetzt wirklich tun müssen (und warum die Fristverschiebung trügt)
Ein EU-Vereinfachungspaket verschiebt die Hochrisiko-Fristen - doch KI-Kompetenz und Transparenzpflichten treffen KMU schon 2026. Was Sie jetzt umsetzen müssen, kompakt erklärt.
Der EU AI Act betrifft KMU früher, als viele denken: Die Pflicht zur KI-Kompetenz (Artikel 4) gilt bereits seit dem 2. Februar 2025, die Transparenzpflichten (Artikel 50) greifen am 2. August 2026 - verschoben wurden nur die Hochrisiko-Pflichten, die den typischen Mittelständler am wenigsten betreffen.
„Die EU hat die KI-Regeln doch verschoben, das hat noch Zeit.” Diesen Satz höre ich seit Wochen in fast jedem zweiten Gespräch. Ausgelöst hat ihn eine Schlagzeile, die im Mai durch die Wirtschaftspresse ging: Der gefürchtete 2. August 2026, an dem die strengen Pflichten der KI-Verordnung greifen sollten, ist für die Hochrisiko-Systeme um über ein Jahr nach hinten gerutscht. Dass das Thema daraufhin bei vielen Geschäftsführern wieder nach unten auf die Liste wandert, ist verständlich, nur leider ein Trugschluss. Denn verschoben wurde lediglich ein Ausschnitt der Verordnung, und ausgerechnet jener, der ein normales mittelständisches Unternehmen am wenigsten betrifft. Zwei Pflichten gelten davon völlig unberührt: die eine seit Februar 2025, die andere ab August 2026. Wer ChatGPT, Microsoft Copilot oder einen Chatbot auf der eigenen Website nutzt, fällt darunter, ganz gleich ob fünf oder fünfhundert Mitarbeiter.
Sortieren wir das also in Ruhe: was tatsächlich verschoben wurde, was bleibt, und was Sie jetzt anpacken sollten.
Worum es beim EU AI Act überhaupt geht
Der EU AI Act ist das erste umfassende KI-Regelwerk weltweit, und am schnellsten versteht man ihn über sein Grundprinzip: Statt alle Anwendungen über einen Kamm zu scheren, staffelt er sie nach Risiko. Ganz oben, als rote Linie, stehen die verbotenen Praktiken wie Social Scoring oder Systeme, die Menschen unterschwellig manipulieren; sie sind seit Februar 2025 schlicht untersagt. Eine Stufe darunter liegen die Hochrisiko-Systeme, also KI, die über Lebenswege mitentscheidet, etwa beim Sortieren von Bewerbungen, in der Kreditvergabe oder in der Medizin. Hier hängt die ganze schwere Last der Verordnung: Konformitätsbewertung, Risikomanagement, ausführliche Dokumentation. Deutlich entspannter geht es bei der dritten Gruppe zu, den Anwendungen mit begrenztem Risiko, bei denen es im Kern nur darum geht, Transparenz herzustellen und einen Chatbot als Chatbot zu kennzeichnen. Und schließlich ist da noch die große, unspektakuläre Mehrheit mit minimalem Risiko, vom Spamfilter bis zur Rechtschreibkorrektur, die der Gesetzgeber bewusst in Ruhe lässt.
Wenn Sie sich aus diesem Stufenbau nur eines merken: Der typische Mittelständler sitzt fast immer in den beiden unteren Gruppen. Und dort, nicht im viel diskutierten Hochrisiko-Bereich, liegen die Pflichten, die ihn schon heute treffen.
Der wichtigste Punkt für KMU: Sind Sie Anbieter oder Betreiber?
Bevor man sich in einzelnen Pflichten verliert, sollte eine Frage geklärt sein, weil sie über fast alles Weitere entscheidet: In welcher Rolle nutzt Ihr Unternehmen KI überhaupt? Die Verordnung trennt nämlich vor allem zwischen Anbieter und Betreiber, und das macht in der Praxis einen gewaltigen Unterschied. Anbieter ist, wer ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen auf den Markt bringt, eine Rolle, in der sich die wenigsten Mittelständler wiederfinden, weil kaum ein KMU ein eigenes Modell programmiert. Der Normalfall ist die andere Rolle: Betreiber, im Gesetzestext „Deployer”. Sie setzen ein fertiges, fremdes System für Ihre Zwecke ein, und genau das tun Sie, sobald Sie ChatGPT zum Texten verwenden, Copilot in Office laufen lassen oder einen zugekauften Chatbot auf der Firmenseite einbinden.
Das ist erst einmal eine Entlastung, denn die wirklich aufwendigen Pflichten, allen voran die Konformitätsbewertung der Hochrisiko-Systeme, liegen beim Anbieter und nicht bei dessen Kunden. Sorglos zurücklehnen sollten Sie sich trotzdem nicht. Auch Betreiber haben Pflichten, und die Rolle ist nicht in Stein gemeißelt: Wer ein System wesentlich umbaut, es unter eigenem Namen weiterverkauft oder für einen Hochrisiko-Zweck einspannt, kann unversehens selbst zum Anbieter werden, mit allen Konsequenzen. Deshalb beginnt jede sinnvolle Auseinandersetzung mit dem Thema bei einer nüchternen Bestandsaufnahme: Was setzen wir ein, und in welcher Rolle stecken wir dabei?
Was die Fristverschiebung wirklich bedeutet
Die viel beachtete Verschiebung stammt aus einem EU-Vereinfachungspaket (offiziell „Digital Omnibus”), das die Kommission im November 2025 vorgelegt hat und das gleich mehrere Digitalvorschriften auf einmal anpasst. Der Anlass ist erfreulich unaufgeregt: Die technischen Normen, an denen Anbieter die Konformität ihrer Hochrisiko-Systeme überhaupt erst messen könnten, waren schlicht noch nicht fertig. Also verlegt man den Start nach hinten. Für eigenständige Hochrisiko-Systeme (Anhang III der Verordnung) soll er vom 2. August 2026 auf den 2. Dezember 2027 wandern, für KI, die fest in regulierte Produkte eingebaut ist (Anhang I), vom 2. August 2027 auf den 2. August 2028.
An einer Stelle lohnt sich allerdings Genauigkeit, weil in der öffentlichen Wahrnehmung gern zu früh gefeiert wird: Parlament und Rat haben sich am 7. Mai 2026 erst auf eine vorläufige Einigung verständigt. Die förmliche Annahme und die Veröffentlichung im Amtsblatt werden zwar noch vor dem ursprünglichen Stichtag erwartet, stehen zum Redaktionsschluss dieses Beitrags aber aus. Die Verschiebung ist damit so gut wie sicher, nur rechtlich noch nicht endgültig festgezurrt.
Was dabei gern überlesen wird: Verschoben sind allein die Hochrisiko-Pflichten. Die Grundpflichten für Betreiber laufen unberührt weiter, und wer die Schlagzeile so deutet, als sei der ganze AI Act vertagt, sitzt einem Missverständnis auf.
Was jetzt schon gilt und 2026 in Kraft tritt
Drei Bereiche sollten Sie unabhängig von jedem Verschiebungsbeschluss im Blick behalten, und der erste ist für KMU mit Abstand der wichtigste: die KI-Kompetenz nach Artikel 4. Diese Pflicht ist bereits seit dem 2. Februar 2025 in Kraft, sie gilt für Anbieter und Betreiber gleichermaßen und kennt keine Ausnahme für kleine Firmen. Gemeint ist damit nichts Akademisches und auch kein teures Zertifikat. Es geht schlicht darum, dass die Menschen, die bei Ihnen KI bedienen oder mit deren Ergebnissen weiterarbeiten, verstehen, was diese Werkzeuge leisten und wo ihre Grenzen liegen, welche Systeme im Haus überhaupt im Einsatz sind und welche Risiken damit verbunden sind, etwa dass ein Modell überzeugend klingende Antworten frei erfinden kann oder dass vertrauliche Daten mit einem unbedachten Copy-and-paste ins Eingabefeld das Unternehmen verlassen.
Daneben stehen die verbotenen Praktiken aus Artikel 5, ebenfalls seit Februar 2025 untersagt. Für die allermeisten Betriebe ist das kein Alltagsthema, aber man sollte zumindest wissen, dass es diese rote Linie gibt.
Der dritte Bereich wird viele konkreter betreffen: die Transparenzpflichten nach Artikel 50, die am 2. August 2026 greifen. Ein Nutzer muss erkennen können, ob er gerade mit einer Maschine oder mit einem Menschen schreibt, ein Chatbot also als solcher auftreten. Und künstlich erzeugte oder bearbeitete Inhalte, Stichwort Deepfakes, müssen gekennzeichnet werden. Zum selben Datum nehmen die zuständigen Behörden die Marktüberwachung auf, beginnen also damit, die Einhaltung tatsächlich durchzusetzen. Wer einen KI-Chatbot auf seiner Website laufen hat oder KI-generierte Bilder im Marketing einsetzt, sollte sich den Termin rot anstreichen.
Entlastungen für KMU, aber kein Freifahrtschein
Dass ein Betrieb mit fünfzehn Leuten keine Compliance-Abteilung unterhält, hat der Gesetzgeber durchaus gesehen und ein paar Erleichterungen vorgesehen. Die Bußgelder sind für KMU und Start-ups gedeckelt, damit kleinere Unternehmen nicht unverhältnismäßig hart getroffen werden; beim Zugang zu den sogenannten Regulatory Sandboxes, also behördlich begleiteten Testumgebungen für KI, werden sie bevorzugt behandelt; und es sind vereinfachte Dokumentationsvorlagen geplant, deren genaue Form mit dem Vereinfachungspaket noch abgestimmt wird.
Ein Freifahrtschein ist das alles nicht. KI-Kompetenz und Transparenzpflichten gelten in vollem Umfang, ohne Rabatt für die Größe. Und selbst gedeckelt bleibt der Bußgeldrahmen ein ernstes Wort: Für verbotene Praktiken sieht die Verordnung bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes vor, für Verstöße im Hochrisiko-Bereich bis zu 15 Millionen oder 3 Prozent, je nachdem, welcher Betrag der höhere ist.
In sechs Schritten AI-Act-fit
Der Pflichtteil lässt sich mit überschaubarem Aufwand erledigen, wenn man ihn in der richtigen Reihenfolge angeht. Diese sechs Schritte haben sich bewährt:
-
KI-Inventar erstellen. Erst der ehrliche Kassensturz: Welche KI-Tools laufen tatsächlich im Haus, auch die über private Accounts? Ohne diesen Überblick bleibt alles Weitere Stückwerk. Das geht Hand in Hand mit dem Eindämmen von Shadow AI im Mittelstand.
-
Rollen klären. Gehen Sie die Liste durch: Sind Sie beim jeweiligen System Anbieter oder Betreiber, und steckt irgendwo ein Hochrisiko-Zweck dahinter, etwa eine KI-gestützte Personalauswahl?
-
KI-Kompetenz nachweisbar machen. Schulen Sie die Leute, die mit KI arbeiten, und halten Sie das fest. Artikel 4 verlangt keine Zertifikate, aber Sie sollten im Zweifel belegen können, dass Sie sich gekümmert haben. Am einfachsten hängen Sie das Thema an Ihre bestehenden Awareness-Schulungen an.
-
Interne KI-Richtlinie aufsetzen. Schreiben Sie auf, welche Tools erlaubt sind, welche Daten niemals in eine externe KI gehören und wofür der Einsatz ausdrücklich erwünscht ist. Eine solche Richtlinie erschlägt die Compliance- und die Datenschutzfrage in einem Aufwasch.
-
Transparenz herstellen. Chatbots als KI kenntlich machen, KI-generierte Inhalte kennzeichnen, und das rechtzeitig vor dem 2. August 2026.
-
Verantwortlichkeit benennen. Eine Person sollte das Thema KI-Compliance führen und dranbleiben, wenn sich die Rechtslage weiterbewegt. Das lässt sich gut mit den Pflichten aus NIS2 und der Cybersicherheits-Checkliste zusammenlegen.
Die Verschiebung ist ein Vorlauf, kein Schlussstrich
Unterm Strich verschafft das Vereinfachungspaket vor allem denen Luft, die echte Hochrisiko-KI entwickeln oder betreiben. Für die breite Masse der Mittelständler, die KI im Tagesgeschäft einfach nur nutzen, ändert es dagegen wenig: Die Kompetenzpflicht steht seit Anfang 2025, die Transparenzregeln kommen im August 2026, und ab demselben Zeitpunkt schauen die Behörden genauer hin. Wer die verschobene Frist als Einladung zum Aussitzen missversteht, verspielt ausgerechnet die Wochen, die für eine saubere Umsetzung locker reichen würden.
Sinnvoller ist der umgekehrte Reflex: die gewonnene Zeit als Vorlauf nehmen, ein Inventar erstellen, die Leute schulen, eine Richtlinie verabschieden, Transparenz herstellen. Das ist in überschaubarem Rahmen zu leisten, hält Bußgelder fern und schafft nebenbei die Grundlage für einen KI-Einsatz, der sicher und produktiv zugleich ist.
Wenn Sie unsicher sind, welche dieser Pflichten konkret auf Ihren Betrieb zutreffen und wie Sie sie ohne Bürokratie-Overkill umsetzen, sehen wir uns das gern gemeinsam an. In meiner IT-Sicherheitsberatung entwickeln wir einen Fahrplan, der zu Ihrer Größe und Ihrem tatsächlichen KI-Einsatz passt.
Hinweis: Dieser Beitrag gibt den Stand vom Juni 2026 wieder und ersetzt keine Rechtsberatung. Da das Vereinfachungspaket zum Redaktionsschluss noch im Gesetzgebungsverfahren steckt, können sich einzelne Fristen und Details noch ändern. Maßgeblich sind die offiziellen Veröffentlichungen der EU-Kommission sowie die Umsetzungs-Zeitleiste zum AI Act.
Häufige Fragen
Gilt der EU AI Act auch für kleine Unternehmen?
Ja. Die Pflicht zur KI-Kompetenz (Artikel 4) und die Transparenzpflichten (Artikel 50) gelten ohne Größenausnahme. Wer ChatGPT, Microsoft Copilot oder einen Chatbot auf der Website nutzt, ist Betreiber im Sinne der Verordnung - ganz gleich ob fünf oder fünfhundert Mitarbeiter.
Was wurde beim EU AI Act verschoben - und was nicht?
Verschoben wurden nur die Hochrisiko-Pflichten: für eigenständige Hochrisiko-Systeme vom 2. August 2026 auf den 2. Dezember 2027, für in Produkte eingebaute KI vom 2. August 2027 auf den 2. August 2028 (vorläufige Einigung vom 7. Mai 2026, formell noch nicht abgeschlossen). Die KI-Kompetenzpflicht gilt seit Februar 2025, die Transparenzpflichten greifen unverändert am 2. August 2026.
Bin ich Anbieter oder Betreiber?
Betreiber ist, wer ein fertiges, fremdes KI-System für eigene Zwecke einsetzt - der Normalfall im Mittelstand. Anbieter ist, wer ein System entwickelt oder unter eigenem Namen vermarktet. Vorsicht: Wer ein System wesentlich umbaut oder für einen Hochrisiko-Zweck einspannt, kann selbst zum Anbieter werden.
Was verlangt die KI-Kompetenzpflicht nach Artikel 4 konkret?
Kein Zertifikat, sondern nachweisbare Schulung: Wer KI bedient oder mit deren Ergebnissen arbeitet, muss verstehen, was die Werkzeuge leisten und wo ihre Grenzen liegen - etwa dass Modelle überzeugend klingende Antworten erfinden können oder vertrauliche Daten per Copy-and-paste das Unternehmen verlassen. Die Pflicht gilt seit dem 2. Februar 2025.
Welche Bußgelder drohen beim EU AI Act?
Für verbotene Praktiken bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, für Verstöße im Hochrisiko-Bereich bis zu 15 Millionen Euro oder 3 Prozent - je nachdem, welcher Betrag höher ist. Für KMU und Start-ups sind die Bußgelder gedeckelt.
Was sollten KMU jetzt konkret tun?
Sechs Schritte: ein KI-Inventar erstellen (auch private Accounts), die eigene Rolle je System klären, KI-Kompetenz nachweisbar schulen, eine interne KI-Richtlinie aufsetzen, Chatbots und KI-generierte Inhalte rechtzeitig vor dem 2. August 2026 kennzeichnen und eine verantwortliche Person benennen.
Zuletzt aktualisiert: 3. Juli 2026
Marcel Graewer
CISSP · CompTIA CySA+ · TÜV-zertifizierter Datenschutzbeauftragter
Über 15 Jahre IT-Erfahrung – von der Administration im Rechenzentrum bis zur IT-Leitung. Mit MAGRA SEC unterstütze ich kleine und mittlere Unternehmen bei IT-Security, Administration und Consulting.
Mehr über mich →