Betrifft der EU AI Act auch kleine und mittelständische Unternehmen?

Ja, der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen — unabhängig von ihrer Größe. Zwar gibt es für KMU einige Erleichterungen bei der Dokumentation, die grundsätzlichen Compliance-Pflichten gelten aber auch für den Mittelstand.

Wann tritt der EU AI Act vollständig in Kraft?

Der EU AI Act tritt schrittweise in Kraft: Verbote seit Februar 2025, GPAI-Transparenzpflichten seit August 2025, vollständige Pflichten für Hochrisiko-KI-Systeme ab August 2026.

Welche Strafen drohen bei Verstößen gegen den EU AI Act?

Bei verbotenen KI-Praktiken drohen bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes. Bei Verstößen gegen Hochrisiko-Pflichten bis zu 15 Mio. € oder 3 % des Umsatzes.

Was sind die ersten Schritte zur EU AI Act Compliance?

Die ersten Schritte sind: 1. KI-Inventar erstellen, 2. Risikobewertung durchführen, 3. Governance-Struktur aufbauen, 4. Technische Dokumentation anlegen, 5. Mitarbeiterschulungen durchführen, 6. Monitoring einrichten, 7. Audit-Trail implementieren.

Gilt der EU AI Act auch wenn wir nur ChatGPT nutzen?

Ja, auch als Deployer von KI-Systemen wie ChatGPT tragen Sie Verantwortung. Wenn Sie KI für Personalentscheidungen, Kreditbewertungen oder andere kritische Bereiche einsetzen, können Hochrisiko-Pflichten gelten.

EU AI Act: Was Ihr Unternehmen jetzt wissen muss

Ab August 2026 gelten verbindliche Pflichten für alle Unternehmen, die KI einsetzen oder entwickeln. Der Stichtag rückt näher — erfahren Sie jetzt, was der EU AI Act für Ihren Mittelstandsbetrieb bedeutet und wie Sie rechtzeitig compliant werden.

Kostenlose Checkliste anfordern Jetzt beraten lassen

Auf einen Blick

Die wichtigsten Kennzahlen zum EU AI Act

Erste Pflichten

Ab Februar 2025

Verbote & AI Literacy bereits in Kraft

Wichtigster Stichtag

2. August 2026

Einziger rechtlich sicherer Stichtag (Digital Omnibus plant Verschiebung – noch nicht beschlossen)

Gesamtaufwand

6–9 Monate

Für vollständige Umsetzung einplanen

Ressourcenbedarf

0,8–1,5 FTE

0,5–1 FTE Compliance-Manager + 0,3–0,5 FTE IT

Größtes Risiko

Shadow AI

Inoffizielle KI-Tools der Mitarbeitenden – oft übersehen

Strafrahmen

Bis 35 Mio. € / 7 %

Verbote: 35 Mio. € / 7 % Umsatz · Hochrisiko/GPAI: 15 Mio. € / 3 % · Falschauskünfte: 7,5 Mio. € / 1 %

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Regelwerk zur Regulierung von Künstlicher Intelligenz. Er gilt für alle Unternehmen, die KI-Systeme in der Europäischen Union entwickeln, vertreiben oder einsetzen — unabhängig davon, ob das Unternehmen seinen Sitz innerhalb oder außerhalb der EU hat.

Das Gesetz verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte und Sicherheit, desto strenger die Anforderungen. Vier Risikostufen werden unterschieden — von verbotenen KI-Praktiken über Hochrisiko- und begrenzte Risikosysteme bis hin zu minimalen Risikosystemen.

Für den deutschen Mittelstand bedeutet das: Wer heute schon KI einsetzt — sei es ChatGPT für Texte, KI-gestützte Rekrutierungssoftware oder automatisierte Kundenservice-Systeme — muss prüfen, welche Pflichten gelten und wie Compliance sichergestellt wird.

Wer ist betroffen?

→Alle Unternehmen, die KI in der EU einsetzen (Deployer)
→Unternehmen, die eigene KI entwickeln oder vertreiben (Provider)
→Auch KMU und Mittelstand — keine Ausnahmen für Größe

Welche Strafen drohen?

→Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei verbotenen KI-Praktiken
→Bis zu 15 Mio. € oder 3 % bei Verstößen gegen Hochrisiko-Pflichten
→Bis zu 7,5 Mio. € oder 1 % bei falschen Angaben gegenüber Behörden

Wichtige Deadlines & Daten

Der EU AI Act tritt schrittweise in Kraft. Kennen Sie die relevanten Fristen für Ihr Unternehmen.

Digital Omnibus: Die EU-Kommission plant eine Verschiebung auf Dezember 2027. Bis zur formellen Verabschiedung bleibt der 2. August 2026 der einzige rechtlich sichere Stichtag.

In Kraft

Februar 2025

Verbote & AI Literacy

Verbote für inakzeptable KI-Praktiken (Social Scoring, manipulative KI, Echtzeit-Biometrie im öffentlichen Raum) sind in Kraft. Zudem gilt seit Februar 2025 die AI Literacy-Pflicht (Art. 4): Mitarbeitende, die mit KI arbeiten, müssen nachweislich geschult werden.

In Kraft

August 2025

GPAI & Transparenzpflichten

Anbieter von Allzweck-KI-Modellen (GPAI) wie GPT-4 oder Claude müssen Transparenzpflichten erfüllen. Für alle Unternehmen gilt: KI-generierte Inhalte kennzeichnen, Chatbot-Disclaimer einführen und Urheberrechtsregeln beachten.

August 2026

Hochrisiko-Systeme — DER Stichtag

Ab August 2026 gelten volle Pflichten für Hochrisiko-KI-Systeme (Anhang III): Risikomanagement, Daten-Governance, technische Dokumentation, Logging, Transparenz, menschliche Aufsicht und Cybersicherheit. Dies ist der einzige rechtlich verbindliche Stichtag.

Ausstehend

Dezember 2027

Mögliche Verschiebung (Digital Omnibus)

Die EU-Kommission plant im Rahmen des Digital Omnibus eine Verschiebung der Hochrisiko-Pflichten auf Dezember 2027. Dieser Plan ist noch nicht verabschiedet und daher kein geltendes Recht.

Ausstehend

Aug 2027 / Aug 2028

Regulierte Produkte (Anhang I)

KI-Systeme in regulierten Produkten nach Anhang I des EU AI Act (Medizinprodukte, Maschinen, Fahrzeuge) unterliegen gestaffelten Übergangfristen bis August 2027 bzw. August 2028.

Betrifft das mein Unternehmen?

Wählen Sie das Szenario, das am besten zu Ihrem Unternehmen passt, um Ihre spezifischen Pflichten zu erfahren.

Unsicher, welches Szenario auf Sie zutrifft? Kontaktieren Sie uns für eine kostenlose Erstberatung.

Rollenklärung

Ihre Rolle im EU AI Act: Provider oder Deployer?

Bevor Sie mit der Compliance starten, müssen Sie Ihre Rolle klären – denn davon hängt Ihr gesamter Pflichtumfang ab.

Provider

Sie entwickeln, trainieren oder modifizieren KI-Systeme und bringen sie in Verkehr.

Typische Beispiele

→Eigene KI-Entwicklung im Unternehmen
→Fine-Tuning von Basismodellen
→Wer ein Drittmodell anpasst, wird zum Provider!

Ihre Hauptpflichten

Technische Dokumentation (Art. 11)
Konformitätsbewertung
EU-Registrierung (Hochrisiko)
Transparenzpflichten

Achtung Art. 25 (Statuswechsel-Falle): Fine-Tuning, eigene System-Prompts, die Sicherheitsfilter aushebeln, oder Zweckänderungen können Sie zum Provider machen – mit vollem Pflichtumfang.

Deployer

Sie setzen fertige KI-Systeme im eigenen Betrieb ein – z.B. Tools von Drittanbietern. Das trifft auf 95 % der Mittelständler zu.

Typische Beispiele

→ChatGPT oder andere LLM-Tools
→KI-Funktionen in HR-Software
→Recruiting-Tools, Kreditprüfungs-KI

Ihre Hauptpflichten

Risikoanalyse, DSFA & FRIA (Art. 27)
Menschliche Aufsicht sicherstellen
Manipulationssicheres Logging
Mitarbeiterschulung (AI Literacy)

Auch als Deployer tragen Sie Verantwortung – besonders wenn KI für Personalentscheidungen oder Kreditbewertungen genutzt wird.

Nicht sicher, welche Rolle auf Sie zutrifft?

Kostenlose Erstberatung anfragen

Dieser Abschnitt

Mythos oder Fakt?

Die 5 häufigsten Missverständnisse über den EU AI Act und was wirklich gilt.

Beratung anfragen →

Die 5 häufigsten Missverständnisse über den EU AI Act

Der 9-Schritte-Plan für EU AI Act Compliance

Ein strukturierter Ansatz, der Mittelständler Schritt für Schritt zur EU AI Act Compliance führt — ohne IT-Riesen-Budget.

Bestandsaufnahme

Alle KI-Systeme erfassen – von ChatGPT über ERP-/CRM-Funktionen bis zu Shadow AI und GPAI-Nutzung. KI-Inventar anlegen, Kritikalitätsstufen vergeben.

Risikoklassifizierung

Rolle klären: Provider oder Deployer? Jedes System einordnen: verboten, Hochrisiko, GPAI oder minimales Risiko. Achtung Art. 25 Statuswechsel-Falle.

Gap-Analyse

Lücken zwischen Ist-Zustand und Anforderungen ermitteln: Dokumentation, Logging, Transparenzhinweise, Vertragslücken und Datenflüsse in die EU/Drittländer.

Governance etablieren

AI Policy erstellen, Freigabeprozess einrichten, Shadow AI technisch unterbinden. AI Officer oder Governance Board bestimmen, Betriebsrat einbinden.

Dokumentation

Technische Dokumentation, DSFA und FRIA (Art. 27) für Hochrisiko-Systeme erstellen. Anbieterverträge um AI-Act-Klauseln ergänzen, EU-Datenbank-Registrierung.

Technische Umsetzung

3-Schichten-Architektur implementieren: Input-Guardrails, ZDR + TEE, Output-Guardrails. Logging (Art. 12), KI-Kennzeichnung und menschliche Aufsicht sicherstellen.

Schulung & Verstetigung

AI Literacy-Trainings durchführen – gesetzlich verpflichtend seit Feb 2025. 30-Sekunden-Check verteilen, Schulungsnachweise dokumentieren, Reviews etablieren.

Meldepflichten & Behördenkontakt

Zuständige Behörde identifizieren, Incident-Reporting aufsetzen. Alle Fristen parallel prüfen: DSGVO 72 h, NIS2 24 h, KI-VO unverzüglich.

Vertragsgestaltung

KI-Anbieterverträge um AI-Act-Klauseln ergänzen: ZDR-Garantie, Audit-Rechte, Datenresidenz, Modell-Update-Pflicht und Exit-Strategie.

Alle 60+ Checkpunkte, Vorlagen und die Meldepflichten-Matrix gibt es in der kostenlosen Checkliste.

Kostenlose Checkliste anfordern →

Kostenlos per E-Mail

Kostenlose EU AI Act Checkliste für Ihr Unternehmen

Fordern Sie unsere praxiserprobte EU AI Act Checkliste an und starten Sie noch heute mit Ihrem Compliance-Aufbau. Erstellt von KI-Experten für den deutschen Mittelstand.

9-Schritte-Compliance-Fahrplan mit 60+ Checkpunkten
Glossar, Risikozonen-Ampel-Matrix & Meldepflichten-Matrix
Risikobewertungs-Template & abtrennbare 30-Sekunden-Check-Karte

Inklusive Kurzcheck: Sind Sie Provider oder Deployer?

Jetzt kostenlos anfordern

Ihr Compliance-Partner

Bereit für EU AI Act Compliance?

Starten Sie jetzt mit AIDGEN und bauen Sie Compliance von Anfang an ein.