Die Kernpunkte im Überblick
- Für KMU gelten 2026 vor allem drei EU-AI-Act-Pflichten: KI-Kompetenz (Artikel 4), verbotene Praktiken (Artikel 5) und ab dem 2. August 2026 die Kennzeichnung von KI (Artikel 50).
- Die KI-Kompetenzpflicht gilt laut EU AI Act, Artikel 4, seit dem 2. Februar 2025 für jedes Unternehmen, das KI einsetzt.
- Verbotene KI-Praktiken werden mit bis zu 35 Millionen Euro oder 7 Prozent Umsatz sanktioniert (EU AI Act, Artikel 99); für KMU gilt der niedrigere Wert.
- Der Digital Omnibus, final vom Rat der EU am 29. Juni 2026 bestätigt, verschiebt die Hochrisiko-Pflichten auf Dezember 2027 (eigenständig) und August 2028 (eingebettet).
- Ab dem 2. August 2026 beginnen die nationalen Behörden mit der Durchsetzung.
EU AI Act für KMU: das gilt 2026
Der EU AI Act trifft KMU 2026 vor allem über drei Pflichten, die bereits gelten: die KI-Kompetenz deiner Mitarbeiter nach Artikel 4, das Verbot bestimmter KI-Praktiken nach Artikel 5 und ab dem 2. August 2026 die Kennzeichnung von KI nach Artikel 50. Die strengen Hochrisiko-Pflichten wurden auf Dezember 2027 verschoben.
Diese Verschiebung kommt aus dem Digital Omnibus, dem Vereinfachungspaket der EU. Der Rat hat es am 29. Juni 2026 endgültig bestätigt. Für die meisten KMU heißt das: mehr Zeit bei den komplizierten Pflichten, aber klare Hausaufgaben schon jetzt.
Warum viele KMU beim EU AI Act das Falsche fürchten
Die Schlagzeile lautet: „35 Millionen Euro Strafe". Ein Geschäftsführer liest das, denkt an ein neues Compliance-Monster und schiebt das Thema weg. Zu groß, zu unklar, zu weit weg vom Tagesgeschäft.
Gleichzeitig tippt sein Team jeden Tag Kundendaten in ChatGPT. Die Agentur nebenan textet Newsletter mit KI, ohne es zu kennzeichnen. Der Onlineshop hat einen Chatbot, der sich als „Serviceteam" ausgibt.
Genau hier liegt das Problem. Die meisten KMU haben gar kein Hochrisiko-System. Sie haben ein Kompetenz- und ein Transparenzthema. Und beides wird ab August 2026 überprüfbar. Wer die Fristverschiebung falsch versteht, macht entweder in Panik das Falsche oder lehnt sich zu weit zurück. Beides ist teuer, denn die Pflichten, die jetzt gelten, sind die einfachen.
Was ändert der Digital Omnibus am Zeitplan?
Der Digital Omnibus verschiebt die Hochrisiko-Fristen, streicht aber keine Pflicht. Die EU-Kommission veröffentlichte das Paket am 19. November 2025. Das Parlament stimmte am 16. Juni 2026 zu, der Rat gab am 29. Juni 2026 sein finales Ja.
Konkret: Eigenständige Hochrisiko-Systeme nach Anhang III müssen erst ab dem 2. Dezember 2027 die Anforderungen erfüllen, statt ab August 2026. In Produkte eingebettete Systeme nach Anhang I bekommen bis zum 2. August 2028 Zeit. Das sind rund 16 Monate mehr.
Der Grund ist praktisch: Normen, Leitlinien und Aufsichtsstrukturen fehlten. Zum Zeitpunkt des Vorschlags hatten laut EU-Kommission erst 8 von 27 Mitgliedstaaten eine zentrale Aufsichtsbehörde benannt. Ohne Behörde keine Durchsetzung. Der Aufschub ist also eine Atempause, kein Freibrief. Unverändert bleiben die Verbote aus Februar 2025 und die Pflichten für Allzweck-KI aus August 2025.
Was verlangt die KI-Kompetenzpflicht nach Artikel 4?
Artikel 4 verpflichtet jedes Unternehmen, das KI einsetzt oder entwickelt, für ein ausreichendes Maß an KI-Kompetenz bei den Mitarbeitern zu sorgen. KI-Kompetenz bedeutet: Die Menschen verstehen, was das Tool kann, wo seine Grenzen liegen und welche Risiken es birgt. Diese Pflicht gilt seit dem 2. Februar 2025.
Wichtig: Es gibt keine vorgeschriebene Schulungsstunde und kein Pflichtzertifikat. Die EU verlangt einen angemessenen Ansatz, passend zu Rolle und Aufgabe. Eine Marketingagentur, deren Team täglich mit ChatGPT und Claude arbeitet, braucht mehr als ein Produktionsbetrieb, der KI nur in der Buchhaltung nutzt.
In der Praxis kombinierst du drei Bausteine: eine allgemeine Sensibilisierung für alle, rollenspezifische Schulungen für Intensivnutzer und klare Regeln, etwa eine KI-Richtlinie, welche Daten in welches Tool dürfen. Dokumentiere, was du tust. Ab dem 2. August 2026 dürfen die Behörden nachfragen. Wie du ein solches Programm aufsetzt, zeigt unser Beitrag zu KI-Schulung und Enablement.
Welche KI-Praktiken sind seit Februar 2025 verboten?
Seit dem 2. Februar 2025 sind acht KI-Praktiken in der EU komplett verboten, weil sie ein unannehmbares Risiko darstellen. Wer sie einsetzt, riskiert die höchste Bußgeldstufe: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist.
Verboten sind unter anderem: unterschwellige Manipulation, das Ausnutzen schutzbedürftiger Personen, Social Scoring, das ungezielte Sammeln von Gesichtsbildern, Emotionserkennung am Arbeitsplatz und in der Bildung sowie biometrische Kategorisierung nach sensiblen Merkmalen.
Klingt weit weg? Ist es oft nicht. Ein Produktionsbetrieb, der ein Tool zur „Stimmungsanalyse" der Mitarbeiter am Arbeitsplatz einführt, landet direkt im Verbot. Ein Onlineshop, der Kunden mit manipulativen KI-Tricks unter Druck setzt, ebenfalls. Prüfe deine eingesetzten und geplanten Tools gegen diese Liste, bevor du sie ausrollst.
Was gilt für Allzweck-KI wie ChatGPT und Claude?
Seit dem 2. August 2025 gelten eigene Regeln für Anbieter von Allzweck-KI-Modellen, den sogenannten General-Purpose-AI-Modellen. Ein Allzweck-KI-Modell ist ein Modell wie GPT von OpenAI, Claude von Anthropic oder Gemini von Google, das für viele verschiedene Aufgaben einsetzbar ist.
Die Hauptlast dieser Pflichten tragen die Anbieter, nicht du als Nutzer. OpenAI, Anthropic und Google müssen technische Dokumentation, Angaben zu den Trainingsdaten und Leitlinien zum Urheberrecht bereitstellen. Für dich als KMU ist das eher eine Entlastung. Du kannst dich darauf verlassen, dass die großen Modelle ihre Grundpflichten erfüllen.
Relevant wird es, wenn du ein solches Modell in ein eigenes Produkt einbaust und weitergibst. Dann kannst du selbst zum Anbieter im Sinne der Verordnung werden. Eine Agentur, die einen eigenen KI-Assistenten auf Basis von GPT baut und an Kunden verkauft, sollte diese Rolle prüfen. Für die reine Nutzung von ChatGPT im Büro gilt das nicht.
Was bedeutet die Kennzeichnungspflicht ab August 2026?
Ab dem 2. August 2026 gilt die Transparenzpflicht nach Artikel 50: Menschen müssen erkennen können, dass sie mit einer KI interagieren oder KI-generierte Inhalte vor sich haben. Das betrifft direkt viele KMU, auch ohne jedes Hochrisiko-System.
Drei Fälle sind typisch. Erstens Chatbots: Der Servicebot im Onlineshop muss sich als KI zu erkennen geben. Zweitens KI-Inhalte, die echt wirken können, etwa Bilder oder Audio in der Werbung. Drittens KI-Texte zu Themen von öffentlichem Interesse. Eine Agentur, die Kampagnenbilder mit KI erzeugt, muss das kenntlich machen.
Eine Detailregel aus dem Digital Omnibus: Die technische Wasserzeichen-Pflicht für Anbieter nach Artikel 50 Absatz 2 wurde auf den 2. Dezember 2026 verschoben. Die übrigen Transparenzpflichten für Betreiber gelten aber ab dem 2. August 2026. Die praktische Umsetzung, etwa ein sauberer KI-Hinweis im Chatbot, gehört in dein Projekt zur KI-Implementierung.
Welche KMU haben überhaupt ein Hochrisiko-System?
Die wenigsten. Ein Hochrisiko-KI-System nach Anhang III ist KI in sensiblen Bereichen wie Personalauswahl, Kreditwürdigkeitsprüfung, Bildungsbewertung oder kritischer Infrastruktur. Im Mittelstand trifft das vor allem HR-Tools, die Bewerbungen automatisch vorsortieren, und Bonitätsprüfungen.
Ein Beispiel: Ein Handelsunternehmen mit 60 Mitarbeitern nutzt eine KI, die eingehende Bewerbungen automatisch bewertet und rankt. Das ist ein Hochrisiko-System, weil es über Zugang zu Arbeit entscheidet. Ein Onlineshop, dessen KI nur Produktempfehlungen ausspielt, fällt dagegen nicht darunter. Der Unterschied liegt im Einsatzzweck, nicht im Tool.
Nutzt du solche Software, greifen ab Dezember 2027 die vollen Pflichten: Risikomanagement, technische Dokumentation, menschliche Aufsicht, Protokollierung. Als KMU darfst du die Dokumentation in vereinfachter Form führen, der Nachweis bleibt, der bürokratische Aufwand sinkt. Der erste Schritt ist immer dieselbe Frage: Welche KI setzt du ein, in welche Risikoklasse fällt sie? Diese Bestandsaufnahme ist der Kern eines KI-Audits.
Was die Zahlen zum EU AI Act zeigen
Die Fakten helfen, die Lage einzuordnen. Diese Datenpunkte solltest du kennen:
- Laut Rat der EU (2026) wurde das Vereinfachungspaket am 29. Juni 2026 endgültig bestätigt, nach der Zustimmung des Parlaments am 16. Juni 2026.
- Laut EU-Kommission (2025) hatten zum Zeitpunkt des Omnibus-Vorschlags erst 8 von 27 Mitgliedstaaten eine zentrale KI-Aufsicht benannt, ein Hauptgrund für die Fristverschiebung.
- Laut EU AI Act, Artikel 99, drohen drei Bußgeldstufen: bis 35 Millionen Euro oder 7 Prozent Umsatz (verbotene Praktiken), bis 15 Millionen oder 3 Prozent (Hochrisiko) und bis 7,5 Millionen oder 1 Prozent (Falschangaben).
- Für KMU und Start-ups gilt bei Bußgeldern der jeweils niedrigere der beiden Werte als Obergrenze, ausdrücklich zum Schutz kleiner Unternehmen.
- Laut EU AI Act muss jeder Mitgliedstaat bis zum 2. August 2026 mindestens ein Reallabor bereitstellen, in dem KMU KI-Anwendungen bevorzugt und kostenlos testen dürfen.
Die Botschaft der Zahlen: Das größte Risiko für ein KMU sind nicht die Hochrisiko-Regeln, sondern die verbotenen Praktiken und fehlende KI-Kompetenz. Genau dort liegt die höchste Bußgeldstufe, und genau dort gilt die Pflicht schon heute.
Dein Fahrplan für die EU-AI-Act-Vorbereitung
Du musst kein Jurist werden. Du brauchst einen strukturierten Durchlauf. Die wichtigsten Lernpunkte:
- Trenne das Dringende vom Verschobenen. KI-Kompetenz, Verbote und Kennzeichnung zuerst, Hochrisiko später.
- Kompetenz ist Pflicht, nicht Kür. Ein dokumentiertes Schulungskonzept schützt dich ab August 2026.
- Transparenz ist billig umzusetzen. Ein Hinweis im Chatbot und eine Kennzeichnung von KI-Inhalten kosten fast nichts.
- Nutze die KMU-Erleichterungen: vereinfachte Dokumentation, Reallabore, gestaffelte Gebühren.
Checkliste für den Einstieg:
- Habe ich alle eingesetzten KI-Tools in einer Liste erfasst?
- Habe ich jedes Tool einer Risikoklasse zugeordnet?
- Habe ich geprüft, ob eine verbotene Praktik dabei ist?
- Habe ich ein Schulungskonzept für die KI-Kompetenz dokumentiert?
- Sind meine Chatbots und KI-Inhalte für August 2026 gekennzeichnet?
- Habe ich eine KI-Richtlinie, welche Daten in welches Tool dürfen?
- Weiß ich, wer im Unternehmen für KI-Compliance verantwortlich ist?
So kommst du ohne Panik durch den EU AI Act
Der EU AI Act ist für KMU 2026 beherrschbar. Der Digital Omnibus hat die komplizierten Hochrisiko-Pflichten auf Dezember 2027 verschoben. Was bleibt, ist machbar: KI-Kompetenz, die Verbote und ab August 2026 die Kennzeichnung.
Der Fehler wäre, die Schlagzeile mit der Realität zu verwechseln. Die 35 Millionen Euro gelten für verbotene Praktiken, nicht für einen unkennzeichneten Chatbot. Wer die eigenen Tools kennt und sein Team schult, hat den größten Teil erledigt.
Der konkrete erste Schritt ist immer die Bestandsaufnahme: Welche KI setzt du ein, in welcher Risikoklasse liegt sie, wo besteht Handlungsbedarf? Genau das leistet ein KI-Audit. Es liefert dir die Liste, die Klassifizierung und einen priorisierten Plan statt Aktionismus. Danach weißt du, was du bis August 2026 wirklich tun musst und was bis 2027 warten kann.
Häufige Fragen zum EU AI Act für KMU
Gilt der EU AI Act auch für kleine Unternehmen?
Ja. Der EU AI Act gilt für jedes Unternehmen, das KI in der EU einsetzt oder anbietet, unabhängig von der Größe. KMU profitieren aber von Erleichterungen wie vereinfachter Dokumentation, kostenlosen Reallaboren und niedrigeren Bußgeldobergrenzen.
Welche EU-AI-Act-Pflichten gelten für KMU schon 2026?
Drei Pflichten sind aktiv: KI-Kompetenz der Mitarbeiter (Artikel 4, seit Februar 2025), das Verbot bestimmter KI-Praktiken (Artikel 5, seit Februar 2025) und ab dem 2. August 2026 die Kennzeichnung von Chatbots und KI-Inhalten (Artikel 50).
Wurde der EU AI Act 2026 verschoben?
Teilweise. Der Digital Omnibus verschiebt nur die Hochrisiko-Pflichten: eigenständige Systeme auf Dezember 2027, eingebettete auf August 2028. KI-Kompetenz, Verbote und Kennzeichnung bleiben unverändert und gelten weiter.
Was kostet ein Verstoß gegen den EU AI Act?
Es gibt drei Stufen: bis 35 Millionen Euro oder 7 Prozent Umsatz für verbotene Praktiken, bis 15 Millionen oder 3 Prozent für Hochrisiko-Verstöße, bis 7,5 Millionen oder 1 Prozent für Falschangaben. Für KMU gilt jeweils der niedrigere Wert als Obergrenze.
Muss ich meine Mitarbeiter zu KI schulen?
Ja, sinngemäß. Artikel 4 verlangt ausreichende KI-Kompetenz. Ein festes Zertifikat ist nicht vorgeschrieben, aber du musst nachweisen können, dass dein Team KI sicher und verantwortungsvoll nutzt. Schulungen und Richtlinien sind der Standardweg.
Muss ich einen KI-Chatbot als KI kennzeichnen?
Ja, ab dem 2. August 2026. Nutzer müssen erkennen, dass sie mit einer KI und nicht mit einem Menschen sprechen. Ein klarer Hinweis im Chatfenster genügt in der Regel.
Was ist ein Hochrisiko-KI-System nach dem EU AI Act?
Ein Hochrisiko-System ist KI in sensiblen Bereichen wie Personalauswahl, Kreditprüfung oder Bildungsbewertung. Im Mittelstand betrifft das vor allem HR- und Bonitäts-Tools. Die vollen Pflichten dafür greifen ab Dezember 2027.
Quellen
EU Artificial Intelligence Act: Artikel 4, KI-Kompetenz (AI Literacy)
EU Artificial Intelligence Act: Artikel 99, Sanktionen
Europäisches Parlament: Digital Omnibus on AI, Legislative Train Schedule (2026)
Fraunhofer Academy: AI Literacy, EU AI Act Art. 4 zu KI-Kompetenz