KI & Recht

EU AI Act für KMU: Was du 2026 wirklich wissen musst

Der EU AI Act klingt nach Großkonzern-Problem — betrifft aber fast jedes Unternehmen, das KI nutzt. Die gute Nachricht: Für die meisten KMU sind die Pflichten überschaubar. Was 2026 wirklich gilt, was verschoben wurde und was du jetzt tun musst — ohne Juristendeutsch.

Jan Malte SanderGründer · BitsAndBucks GmbH · 1. Juni 2026 · 11 Min. Lesezeit

Kurz gesagt

Der EU AI Act regelt KI risikobasiert — je riskanter die Anwendung, desto strenger die Regeln. Für die meisten KMU zählen genau zwei Pflichten:

KI-Kompetenz: Mitarbeiter, die KI nutzen, müssen sie verstehen. Pflicht seit Februar 2025.
Transparenz: Chatbots als KI kennzeichnen, KI-Inhalte und Deepfakes markieren. Ab August 2026.
Entspannung bei High-Risk: Die strengen Hochrisiko-Pflichten wurden im Mai 2026 auf Dezember 2027 verschoben — die meisten KMU sind davon ohnehin nicht betroffen.

Was ist der EU AI Act — und gilt er für mein KMU?

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Er reguliert künstliche Intelligenz nicht pauschal, sondern nach Risiko. Und ja: Er gilt auch für KMU — eine Ausnahme nach Unternehmensgröße gibt es nicht. Entscheidend ist nicht, wie groß du bist, sondern welche KI du anbietest oder einsetzt.

Wichtig ist die Unterscheidung zwischen zwei Rollen. Anbieter entwickeln ein KI-System und bringen es auf den Markt. Betreiber setzen ein fertiges System nur ein — und genau hier sind fast alle KMU einzuordnen. Wer ChatGPT, Gemini oder Claude für Texte, einen Chatbot für den Support oder ein KI-Marketing-Tool nutzt, ist Betreiber, nicht Anbieter. Welches Tool wofür taugt, haben wir im großen KI-Tool-Vergleich aufgeschlüsselt.

41 % der deutschen Unternehmen setzen KI aktiv ein — 2024 waren es erst 17 %.Bitkom-Studie, 2026 (604 befragte Unternehmen)

Der Umkehrschluss: KI ist im Mittelstand angekommen — und damit auch die Frage nach den Regeln. Die gute Nachricht steckt im Wort „risikobasiert": Für die alltäglichen KI-Anwendungen eines KMU ist der Aufwand klein.

Welche Fristen gelten 2026 — und was wurde verschoben?

Der EU AI Act ist seit dem 1. August 2024 in Kraft, gilt aber gestaffelt. Seit Februar 2025 greifen die Verbote und die KI-Kompetenz-Pflicht, seit August 2025 die Regeln für KI-Basismodelle. Ab dem 2. August 2026 kommen die Transparenzpflichten. Die strengen Hochrisiko-Regeln wurden im Mai 2026 nach hinten verschoben.

Hintergrund: Mit dem sogenannten Digital Omnibus hat sich die EU am 7. Mai 2026 politisch darauf geeinigt, mehrere Fristen zu strecken — vor allem, weil nationale Behörden und technische Normen noch nicht fertig waren. Die Verschiebung ist beschlossen, die formale Verabschiedung wird vor dem 2. August 2026 erwartet (Rat der EU, 7. Mai 2026).

Datum	Was gilt	Relevant für KMU?
2. Feb 2025	Verbotene Praktiken + KI-Kompetenz (Art. 4)	Ja — Schulungspflicht
2. Aug 2025	Regeln für KI-Basismodelle (GPAI)	Indirekt (betrifft die Tool-Anbieter)
2. Aug 2026	Transparenzpflichten (Art. 50)	Ja — Chatbots & KI-Inhalte kennzeichnen
~~2. Aug 2026~~ → 2. Dez 2027	Hochrisiko-KI (Anhang III) — verschoben	Selten
~~2. Aug 2027~~ → 2. Aug 2028	Hochrisiko-KI in Produkten (Anhang I) — verschoben	Sehr selten

Stand der verschobenen Fristen: Digital-Omnibus-Einigung vom 7. Mai 2026, formale Verabschiedung vor 2. August 2026 erwartet. Quelle: Rat der EU.

Die vier Risikoklassen — wo steht dein Unternehmen?

Der AI Act teilt KI in vier Risikostufen ein, und daran hängen die Pflichten. Für KMU ist die entscheidende Erkenntnis: Die allermeisten Anwendungen fallen in die unteren beiden Stufen — minimales oder begrenztes Risiko — und nicht in „hoch" oder „verboten".

Risikoklasse	Beispiele	Pflicht
Verboten	Social Scoring, manipulative Systeme, Emotionserkennung am Arbeitsplatz	Komplett untersagt
Hoch	KI für Recruiting/Bewerberauswahl, Kreditwürdigkeit, Prüfungsbewertung, kritische Infrastruktur	Risikomanagement, Doku, menschliche Aufsicht
Begrenzt	Chatbots, KI-generierte Bilder/Texte, Deepfakes	Transparenz (kennzeichnen)
Minimal	Spamfilter, Empfehlungssysteme, KI-Schreibassistenten, Übersetzung	Keine speziellen Pflichten

Ein KMU, das einen Support-Chatbot betreibt und KI für Texte oder Bilder nutzt, bewegt sich fast immer im Bereich „begrenztes Risiko". Heißt: Es geht um Kennzeichnung, nicht um aufwendige Konformitätsbewertungen. Die vollständige Liste der Hochrisiko-Fälle steht in Anhang III des AI Act; eine kompakte Übersicht aller Klassen bietet die offizielle Zusammenfassung.

Was müssen KMU jetzt konkret tun?

Für die große Mehrheit der KMU lassen sich die Pflichten auf zwei Punkte eindampfen: KI-Kompetenz und Transparenz. Beides ist mit überschaubarem Aufwand zu erfüllen — kein Compliance-Großprojekt, sondern eine Schulung, ein Dokument und ein paar Hinweistexte.

1. KI-Kompetenz (Artikel 4, seit Feb 2025). Wer KI im Unternehmen einsetzt, muss sicherstellen, dass die beteiligten Mitarbeiter verstehen, was das Tool kann, wo seine Grenzen liegen und welche Risiken es birgt. In der Praxis reicht meist eine dokumentierte Schulung plus eine interne KI-Richtlinie (was ist erlaubt, welche Daten gehören nicht in welches Tool).

2. Transparenz (Artikel 50, ab Aug 2026). Nutzer müssen erkennen können, dass sie mit einer KI interagieren. Konkret:

Chatbots kennzeichnen: ein klarer Hinweis wie „Du chattest mit einem KI-Assistenten".
KI-Inhalte markieren: KI-generierte Bilder, Videos, Audio und Deepfakes müssen als künstlich erzeugt erkennbar sein.
Maschinenlesbar: Anbieter generativer Systeme müssen ihre Ausgaben technisch markieren (z. B. Wasserzeichen/Metadaten) — als Betreiber profitierst du davon, musst aber die sichtbare Kennzeichnung sicherstellen.

Für die maschinenlesbare Markierung bereits im Markt befindlicher Systeme gilt eine Schonfrist bis zum 2. Dezember 2026 (Artikel 50; EU-Verhaltenskodex zur Kennzeichnung). Wer ohnehin Prozesse automatisiert oder einen KI-Chatbot plant, baut die Kennzeichnung am besten von Anfang an mit ein — und wer auf KI-Sichtbarkeit setzt, sollte KI-generierte Inhalte ohnehin sauber auszeichnen.

Was kostet ein Verstoß gegen den AI Act?

Die Bußgelder klingen dramatisch — sind für KMU aber gedeckelt. Der AI Act kennt drei Stufen, und für kleine Unternehmen gilt eine entscheidende Erleichterung: Statt „der höhere Betrag" zählt bei KMU der jeweils niedrigere von Festbetrag und Umsatzprozentsatz (Artikel 99).

Verstoß	Großunternehmen (der höhere Wert)	KMU (der niedrigere Wert)
Verbotene Praktiken (Art. 5)	bis 35 Mio. € oder 7 % Jahresumsatz	der niedrigere Betrag
Sonstige Pflichten (z. B. Transparenz)	bis 15 Mio. € oder 3 % Jahresumsatz	der niedrigere Betrag
Falsche Angaben an Behörden	bis 7,5 Mio. € oder 1 % Jahresumsatz	der niedrigere Betrag

Ein Beispiel: Verstößt ein KMU mit 2 Mio. € Umsatz gegen eine Transparenzpflicht, sind nicht 15 Mio. € fällig, sondern höchstens 3 % von 2 Mio. € — also 60.000 €. Trotzdem gilt: Die Kennzeichnung eines Chatbots kostet faktisch nichts. Es nicht zu tun, kann teuer werden.

Welche Unterstützung gibt es für KMU?

Der AI Act nimmt kleine Unternehmen ausdrücklich an die Hand. Vorgesehen sind kostenlose Reallabore (Sandboxes) zum Testen, vereinfachte Dokumentation für Kleinstunternehmen und verhältnismäßige Gebühren bei Konformitätsbewertungen (Leitfaden für kleine Unternehmen).

In Deutschland setzt das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) die Verordnung um (Regierungsentwurf, Kabinett Februar 2026). Zentrale Aufsicht ist die Bundesnetzagentur — sie betreibt einen KI-Service-Desk mit niedrigschwelliger Beratung, Tools und Sandbox-Zugang speziell für KMU und Start-ups (Einordnung u. a. bei activeMind).

Und falls du es lieber abnehmen lässt: Genau diese Umsetzung — Chatbot-Kennzeichnung, KI-Richtlinie, Schulung und rechtssichere KI-Lösungen — gehört zu unserem Tagesgeschäft. Wie das in echten Projekten aussieht, zeigen unsere Referenzen.

Der AI Act ist kein Grund, KI zu meiden — sondern ein Grund, sie sauber einzuführen. Für die meisten KMU ist das eine Nachmittagsaufgabe, kein Megaprojekt.

Quellen

Häufige Fragen zum EU AI Act

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Der EU AI Act kennt keine Ausnahme nach Unternehmensgröße. Maßgeblich ist das Risiko der eingesetzten KI, nicht die Zahl der Mitarbeiter. Die meisten KMU nutzen aber nur KI mit minimalem oder begrenztem Risiko — für sie sind die Pflichten gering: vor allem KI-Kompetenz und Transparenz.

Muss ich meinen Chatbot als KI kennzeichnen?

Ja, ab dem 2. August 2026. Artikel 50 des EU AI Act verlangt, dass Nutzer erkennen können, dass sie mit einer KI sprechen — außer es ist offensichtlich. Ein klarer Hinweis wie „Du chattest mit einem KI-Assistenten“ genügt in der Regel. Auch KI-generierte Bilder, Videos und Deepfakes müssen als künstlich erzeugt gekennzeichnet werden.

Wurde der EU AI Act verschoben?

Teilweise. Im Mai 2026 einigte sich die EU im sogenannten Digital Omnibus darauf, die strengen Pflichten für Hochrisiko-KI von August 2026 auf Dezember 2027 zu verschieben. Verbote, KI-Kompetenz, die Regeln für KI-Basismodelle (GPAI) und die Transparenzpflichten bleiben aber bestehen und gelten wie geplant.

Was bedeutet KI-Kompetenz (AI Literacy)?

KI-Kompetenz nach Artikel 4 bedeutet, dass Beschäftigte, die KI einsetzen, verstehen, was das Werkzeug kann, wo seine Grenzen liegen und welche Risiken es birgt. Diese Pflicht gilt seit dem 2. Februar 2025 — für Unternehmen jeder Größe. In der Praxis reichen oft eine dokumentierte Schulung und eine interne KI-Richtlinie.

KI rechtssicher einsetzen — ohne Bürokratie-Albtraum

Wir setzen KI so um, dass sie DSGVO- und AI-Act-konform ist: von der Chatbot-Kennzeichnung über die KI-Richtlinie bis zur Mitarbeiter-Schulung. Ein Ansprechpartner, klare Umsetzung.

Gespräch starten

Jan Malte Sander

Gründer der BitsAndBucks GmbH — Digitalagentur für KI-gestütztes Performance-Marketing, Custom Software und Automatisierung aus Dissen a.T.W. Schreibt über KI in der Praxis: Tools, Recht und Automatisierung. LinkedIn

Stand: 1. Juni 2026. Der Digital Omnibus war zu diesem Zeitpunkt politisch geeinigt, aber noch nicht final verabschiedet (erwartet vor dem 2. August 2026). Dieser Beitrag ist eine allgemeine Einordnung und keine Rechtsberatung.