EU AI Act 2026: Was KMU jetzt wissen müssen

TL;DR: Der EU AI Act ist kein Zukunftsprojekt mehr – er gilt bereits in Teilen. Verbotene KI-Praktiken sind seit Februar 2025 untersagt, GPAI-Regeln seit August 2025 in Kraft. In genau fünf Monaten, am 2. August 2026, greifen die Pflichten für Hochrisiko-KI-Systeme vollständig. Für KMU bedeutet das: Jetzt ist der Moment, den eigenen KI-Einsatz zu inventarisieren, einzustufen und Prozesse anzupassen – bevor die Aufsichtsbehörden anfangen, genauer hinzuschauen.

Warum der EU AI Act jetzt relevant ist – nicht erst morgen

Wenn du als Unternehmer den Begriff „EU AI Act" hörst, denkst du vielleicht noch an etwas, das irgendwann in der Zukunft auf dich zukommt. Das war 2024 noch halbwegs berechtigt. Heute, im März 2026, ist diese Einschätzung schlicht falsch.

Der EU AI Act Unternehmen – also die Verordnung zur Regulierung künstlicher Intelligenz in der EU – entfaltet seine Wirkung bereits schrittweise. Zwei von drei Hauptphasen sind schon aktiv. Und die dritte, die für die meisten KMU relevanteste Phase, startet in fünf Monaten.

Was das konkret bedeutet? Wenn dein Unternehmen KI-Systeme einsetzt – egal ob zur Bewerbungsauswahl, in der Kundenbetreuung, bei der Kreditvergabe oder im Qualitätsmanagement – musst du jetzt handeln. Nicht im Juli. Jetzt.

Bei DigiRift sehen wir in unserer täglichen Beratungsarbeit, dass viele KMU den AI Act zwar kennen, aber unterschätzen, wie weit die Anforderungen bereits reichen. Dieser Artikel gibt dir den vollständigen Überblick – ohne Juristendeutsch, aber mit allem, was du wirklich brauchst.

Hinweis: Dieser Artikel fokussiert sich ausschließlich auf den EU AI Act. Die Überschneidungen mit der DSGVO beim KI-Einsatz behandeln wir separat in unserem Artikel DSGVO & KI-Compliance: Die 10-Punkte-Checkliste.

Was ist der EU AI Act überhaupt?

Der EU AI Act (offiziell: Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von KI-Systemen. Er wurde im Juli 2024 im EU-Amtsblatt veröffentlicht und trat am 1. August 2024 in Kraft – mit gestaffelten Übergangsfristen.

Das Ziel des Gesetzes ist es, KI sicher, transparent und grundrechtskonform zu machen. Dafür klassifiziert der AI Act KI-Systeme in Risikostufen und knüpft an jede Stufe bestimmte Pflichten – von Transparenzhinweisen bis hin zu umfangreichen Dokumentations- und Prüfpflichten.

Wichtig für KMU: Der AI Act gilt nicht nur für KI-Hersteller. Er betrifft auch Anbieter (wer ein KI-System in der EU auf den Markt bringt oder in Betrieb nimmt) und Betreiber (wer ein KI-System im eigenen beruflichen Kontext einsetzt). Das bedeutet: Wer ChatGPT, ein Bewerbungstool oder eine KI-gestützte CRM-Funktion im Unternehmen nutzt, kann unter den AI Act fallen.

Die Grundlage des AI Acts bildet ein risikobasierter Ansatz – mehr dazu im Abschnitt zur Risikoeinstufung.

Die drei Durchsetzungsphasen – mit genauen Daten

Der AI Act läuft in Phasen. Hier ist, was wann gilt:

Phase 1: Februar 2025 – Verbotene Praktiken und KI-Kompetenz (aktiv)

Seit dem 2. Februar 2025 sind verbotene KI-Praktiken untersagt. Wer dagegen verstößt, riskiert bereits jetzt die höchsten Bußgelder. Ebenfalls seit diesem Datum gilt die Pflicht zur KI-Kompetenz (AI Literacy): Unternehmen müssen sicherstellen, dass Mitarbeitende, die KI-Systeme einsetzen oder entwickeln, ein angemessenes Verständnis davon haben.

Was "angemessen" bedeutet, legt der AI Act bewusst flexibel fest – abhängig von Kontext, Aufgabe und Systemrisiko. Für KMU reicht in den meisten Fällen eine praxisnahe Schulung, wie wir sie in unseren KI-Workshops anbieten.

Phase 2: August 2025 – GPAI-Regeln (aktiv)

Seit dem 2. August 2025 gelten die Regeln für General-Purpose AI Models (GPAI) – also Allzweck-KI-Modelle wie ChatGPT, Claude oder Gemini. Diese Regeln betreffen in erster Linie die Anbieter dieser Modelle (OpenAI, Anthropic, Google), aber auch Unternehmen, die eigene KI-Systeme auf Basis solcher Modelle entwickeln und in der EU einsetzen.

Als reiner Nutzer eines solchen Modells über eine API oder Benutzeroberfläche bist du in der Regel nicht direkt betroffen – du profitierst aber von den Transparenzpflichten, die diese Anbieter jetzt erfüllen müssen.

Phase 3: August 2026 – Hochrisiko-KI-Systeme (in 5 Monaten)

Am 2. August 2026 treten die vollständigen Pflichten für Hochrisiko-KI-Systeme in Kraft. Das ist die für die meisten KMU relevanteste Phase. Ab dann gelten strenge Anforderungen für KI-Systeme in besonders sensiblen Bereichen – mit Dokumentations-, Prüf- und Meldepflichten.

Das Risikoklassifizierungssystem – vier Stufen

Der AI Act unterscheidet zwischen vier Risikostufen. Die Einstufung deines KI-Systems bestimmt, welche Pflichten auf dich zukommen.

Verbotene KI-Praktiken (keine Ausnahmen)

Diese KI-Anwendungen sind komplett verboten – unabhängig davon, wie sie eingesetzt werden:

• Social Scoring: Bewertung von Personen auf Basis ihres Sozialverhaltens durch staatliche Stellen
• Unbewusstes Manipulieren: KI, die Menschen unterschwellig beeinflusst, um ihr Verhalten gegen ihre eigenen Interessen zu steuern
• Biometrische Echtzeit-Fernüberwachung im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung)
• Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen
• Biometrische Kategorisierung nach sensiblen Merkmalen wie politischer Überzeugung oder sexueller Orientierung

Für KMU: Diese Anwendungsfälle sind in normalen Geschäftsprozessen kaum relevant. Vorsicht ist aber bei manchen HR-Tech-Tools geboten, die Emotionserkennung oder Verhaltensscoring einsetzen.

Hochrisiko-KI-Systeme (strenge Anforderungen)

Das ist die wichtigste Kategorie für KMU. Hochrisiko-Systeme unterliegen umfangreichen Pflichten. Relevante Bereiche:

• Personalwesen: KI zur Einstellung, Beförderung, Leistungsbewertung oder Entlassung von Mitarbeitenden
• Kreditvergabe: KI zur Bonitätsbewertung natürlicher Personen
• Kritische Infrastruktur: KI in Wasser-, Energie- oder Verkehrsversorgung
• Bildung: KI zur Bewertung oder Zulassung in Bildungseinrichtungen
• Wesentliche Dienstleistungen: KI in medizinischen Geräten oder zur Triage
• Strafverfolgung / Migration: KI zur Risikoeinschätzung, Profilerstellung

Wenn dein Unternehmen in einem dieser Bereiche KI einsetzt – etwa ein Bewerbermanagementsystem mit KI-Funktionen oder ein KI-gestütztes Scoring für Kundenkredite – bist du sehr wahrscheinlich betroffen.

Begrenzt riskante KI-Systeme (Transparenzpflichten)

Für KI-Systeme mit begrenztem Risiko gilt vor allem die Transparenzpflicht: Nutzer müssen wissen, dass sie mit einer KI interagieren. Beispiele:

• Chatbots: Kunden müssen erkennbar sein, dass sie nicht mit einem Menschen sprechen
• KI-generierte Inhalte (Deepfakes): Bilder, Videos und Texte müssen als KI-generiert gekennzeichnet sein
• Emotionserkennungssysteme (außerhalb verbotener Kontexte)

Für viele KMU, die KI im Kundenservice einsetzen, ist das die relevanteste Pflicht – und oft die am leichtesten umzusetzende.

Minimales Risiko (keine Pflichten)

Die große Mehrheit der KI-Anwendungen fällt in diese Kategorie – KI-Spamfilter, KI-gestützte Produktempfehlungen, automatische Übersetzungen. Für diese Systeme bestehen keine spezifischen AI-Act-Pflichten.

In unserer Erfahrung stufen viele KMU ihre KI-Tools vorschnell als "minimales Risiko" ein, ohne genau hinzusehen. Eine sorgfältige Inventarisierung lohnt sich deshalb in jedem Fall.

Praktische Compliance-Checkliste für KMU

Du willst wissen, was du konkret tun musst? Hier ist eine praxisorientierte Checkliste. Ausführliche Unterstützung bei jedem Schritt bieten wir im Rahmen unserer KI-Beratung an.

KI-System-Inventar anlegen

• Alle KI-Systeme im Unternehmen erfassen (eingekaufte Software, APIs, selbst entwickelte Tools)
• Für jedes System festhalten: Zweck, Eingabedaten, Entscheidungen, betroffene Personen
• Externe Anbieter prüfen: Welche KI-Funktionen stecken in eurer Standardsoftware (CRM, HRM, ERP)?

Risikoeinstufung der eigenen Systeme

• Jedes identifizierte KI-System anhand der AI-Act-Kategorien einstufen
• Verbotene Praktiken ausschließen
• Hochrisiko-Systeme identifizieren und priorisieren
• Für Grenzfälle: rechtliche Beratung einholen

Dokumentationsanforderungen für Hochrisiko-Systeme

• Technische Dokumentation erstellen (Systembeschreibung, Daten, Leistungsmetriken)
• Konformitätsbewertung durchführen (intern oder extern)
• EU-Konformitätserklärung ausstellen (bei Eigenentwicklungen oder als Anbieter)
• CE-Kennzeichnung anbringen (bei Hochrisiko-Systemen)
• FRIA (Fundamental Rights Impact Assessment) durchführen – idealerweise kombiniert mit einem DSGVO-DPIA

Menschliche Aufsichtsprozesse

• Prozesse definieren, die sicherstellen, dass Menschen KI-Entscheidungen überwachen können
• Eingriffsmöglichkeiten etablieren: Wer kann das System stoppen oder Entscheidungen überschreiben?
• Verantwortlichkeiten intern klären und dokumentieren

KI-Kompetenz sicherstellen

• Schulungsbedarf der Mitarbeitenden evaluieren
• Schulungen durchführen – abgestimmt auf Rolle und KI-System
• Schulungsnachweise dokumentieren

Transparenzpflichten umsetzen

• Chatbots und KI-Interfaces als solche kennzeichnen
• KI-generierte Inhalte beim Output-Erstellen kennzeichnen
• Nutzerhinweise in AGB oder UI integrieren

AI Act vs. DSGVO: Die wichtigsten Unterschiede auf einen Blick

Viele KMU fragen sich: Ist das nicht dasselbe wie die DSGVO, nur für KI? Nein – beide Regelwerke verfolgen unterschiedliche Ziele, überschneiden sich aber in relevanten Punkten.

Wenn du tiefer in die DSGVO-Seite des KI-Einsatzes einsteigen möchtest, lies unseren Artikel DSGVO & KI-Compliance: Die 10-Punkte-Checkliste. Für die kulturelle Seite der KI-Einführung empfehlen wir außerdem unseren Beitrag über Change Management und die Vorbereitung deiner Mitarbeitenden auf KI.

Deutschland-spezifisch: KI-MIG und die Bundesnetzagentur

Wer ist in Deutschland für die Durchsetzung des AI Acts zuständig?

Am 11. Februar 2026 hat die Bundesregierung im Kabinett das KI-Marktüberwachungs- und Implementierungsgesetz (KI-MIG) beschlossen. Damit wird die Bundesnetzagentur als federführende nationale Marktüberwachungsbehörde für den EU AI Act in Deutschland bestimmt.

Das bedeutet konkret:

• Die Bundesnetzagentur übernimmt die Marktüberwachung für Hochrisiko-KI-Systeme
• Sie koordiniert mit anderen Behörden (z. B. Datenschutzbehörden, BaFin) bei bereichsspezifischen Systemen
• Sie ist Anlaufstelle für Beschwerden und Meldungen

Auf europäischer Ebene koordiniert das European AI Office der EU-Kommission die Aufsicht über GPAI-Modelle und unterstützt die nationalen Behörden bei der Implementierung.

Stand März 2026 sind noch keine öffentlichen Durchsetzungsfälle bekannt – was typisch für frühe Regulierungsphasen ist. Die Behörden befinden sich noch im Aufbau. Das bedeutet aber nicht, dass KMU abwarten sollten: Compliance-Anforderungen gelten unabhängig davon, ob aktiv geprüft wird.

Bußgelder: Was wirklich auf dem Spiel steht

Der EU AI Act sieht ein dreistufiges Bußgeldregime vor:

Für KMU gilt: Die absoluten Beträge sind nach oben gedeckelt, und der Jahresumsatz ist die maßgebliche Bezugsgröße. Bei einem KMU mit 5 Mio. EUR Umsatz wäre das Maximum bei Hochrisiko-Verstößen also 150.000 EUR – immer noch eine existenzbedrohende Summe.

KMU-Erleichterungen: Für Unternehmen mit weniger als 750 Mitarbeitenden sieht der AI Act vereinfachte Anforderungen vor – etwa bei der technischen Dokumentation und bei bestimmten Konformitätsbewertungsverfahren. Das bedeutet jedoch ausdrücklich keine Ausnahme von den Grundpflichten.

Die genaue Auslegung dieser Erleichterungen wird derzeit durch delegierte Rechtsakte und Leitlinien der EU-Kommission weiter konkretisiert.

Fazit: Fünf Monate sind weniger als du denkst

Der EU AI Act ist kein bürokratisches Schreckgespenst, das KMU in die Knie zwingt. Er ist ein strukturierter Rahmen, der mehr Klarheit in den KI-Einsatz bringt – wenn man ihn richtig angeht.

Die gute Nachricht: Wer heute anfängt, hat noch genug Zeit. Aber "heute" bedeutet wirklich heute – nicht in drei Monaten. Die Phase-3-Anforderungen für Hochrisiko-Systeme gelten ab dem 2. August 2026, und Compliance-Prozesse brauchen Zeit.

Fang mit dem Inventar an. Versteh, welche deiner KI-Tools in welche Risikokategorie fallen. Und dann priorisiere – du musst nicht alles auf einmal lösen, aber du musst wissen, was brennt.

Wenn du nicht sicher bist, wo dein Unternehmen gerade steht, ist unser kostenloser KI-Status-Check der beste Einstiegspunkt. In wenigen Minuten bekommst du eine erste Einschätzung, welche Schritte für dein Unternehmen sinnvoll sind.

Für eine individuelle Beratung – egal ob du ein Compliance-Audit brauchst, deine KI-Systeme einstufen lassen möchtest oder Schulungen für dein Team planst – sprich uns gerne an. Bei DigiRift begleiten wir KMU durch genau diese Prozesse, jeden Tag.

Letzte Aktualisierung: März 2026. Dieser Artikel ersetzt unseren Beitrag vom Mai 2024 und spiegelt den aktuellen Stand der AI-Act-Umsetzung wider. Rechtliche Detailfragen solltest du immer mit einem auf KI-Recht spezialisierten Anwalt klären.