EU AI Act Compliance: Der vollständige Leitfaden für KMUs
Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Seit August 2024 in Kraft, entfaltet er schrittweise seine Wirkung. Für kleine und mittlere Unternehmen stellt sich die Frage: Was bedeutet das konkret für uns?
Dieser Leitfaden gibt Ihnen einen vollständigen Überblick über die EU AI Act Compliance von den Grundlagen bis zur praktischen Umsetzung.
Was ist der EU AI Act?
Der EU AI Act (Verordnung EU 2024/1689) ist eine europäische Verordnung, die verbindliche Regeln für die Entwicklung, den Vertrieb und den Einsatz von KI-Systemen festlegt. Anders als eine Richtlinie gilt die Verordnung unmittelbar in allen EU-Mitgliedstaaten – auch in Deutschland.
Das Ziel: KI soll sicher, transparent und im Einklang mit europäischen Grundrechten eingesetzt werden. Der EU AI Act verfolgt dabei einen risikobasierten Ansatz, je höher das Risiko eines KI-Systems, desto strenger die Anforderungen.
Wer ist vom EU AI Act betroffen?
Die kurze Antwort: Fast jedes Unternehmen, das KI nutzt.
Der EU AI Act unterscheidet verschiedene Rollen mit unterschiedlichen Pflichten.
Provider (Anbieter) sind Unternehmen, die KI-Systeme entwickeln oder wesentlich modifizieren und unter eigenem Namen auf den Markt bringen. Sie tragen die umfassendsten Pflichten: Konformitätsbewertung, CE-Kennzeichnung, technische Dokumentation, Qualitätsmanagementsystem.
Deployer (Betreiber) sind Unternehmen, die KI-Systeme unter eigener Verantwortung einsetzen. Die meisten KMUs fallen in diese Kategorie, denn sie nutzen fertige Tools wie ChatGPT, Microsoft Copilot oder branchenspezifische KI-Lösungen. Deployer haben ebenfalls Pflichten: Risikobewertung, Mitarbeiterschulung, laufende Überwachung.
Wichtig: Die Rolle wird pro KI-System bestimmt, nicht pro Unternehmen. Sie können gleichzeitig Provider für ein selbst entwickeltes System und Deployer für zugekaufte Lösungen sein.
Die vier Risikoklassen des EU AI Act
Der EU AI Act klassifiziert KI-Systeme in vier Risikoklassen. Diese Klassifikation bestimmt, welche Anforderungen Sie erfüllen müssen.
UNACCEPTABLE RISK bezeichnet verbotene KI-Praktiken. Dazu gehören Social Scoring, manipulative Systeme, biometrische Echtzeit-Überwachung in öffentlichen Räumen und Emotionserkennung am Arbeitsplatz. Diese Systeme sind in der EU verboten.
HIGH-RISK umfasst KI-Systeme in sensiblen Bereichen nach Annex III des EU AI Act. Die acht Kategorien sind: Biometrie, kritische Infrastruktur, Bildung und Berufsausbildung, Beschäftigung und Arbeitnehmer-Management, Zugang zu wesentlichen Diensten, Strafverfolgung, Migration und Grenzkontrolle, Rechtspflege. Für HIGH-RISK Systeme gelten umfassende Anforderungen.
LIMITED RISK betrifft KI-Systeme mit Transparenzpflichten. Chatbots müssen als KI gekennzeichnet werden. Nutzer müssen wissen, dass sie mit einer KI interagieren.
MINIMAL RISK umfasst alle anderen KI-Systeme ohne spezifische Auflagen. Spam-Filter, Empfehlungssysteme, einfache Automatisierungen.
Risikoklassifikation auf Prozess-Ebene
Viele Unternehmen fragen: Ist ChatGPT HIGH-RISK oder nicht?
Die Antwort: Es kommt darauf an, wofür Sie es einsetzen. Der EU AI Act klassifiziert nicht Tools, er klassifiziert Anwendungen. Artikel 6 macht die Risikoklasse vom „intended purpose“ abhängig.
Deshalb arbeite ich in meinem Framework mit dem Prozess-Layer: Asset + Anwendungsbereich = KI-Prozess → Risikoklasse. Wie das funktioniert, erkläre ich in meinem Artikel zum EU AI Act Compliance Framework.
Die wichtigsten Deadlines
Der EU AI Act tritt schrittweise in Kraft.
Seit Februar 2025 gelten die Verbote für KI-Systeme mit unannehmbarem Risiko und die Pflicht zur KI-Kompetenz nach Artikel 4.
Ab August 2025 gelten die Anforderungen für General Purpose AI Modelle.
Ab August 2026 gelten die vollständigen Anforderungen für HIGH-RISK Systeme. Das ist die entscheidende Deadline für die meisten Unternehmen.
Der Digital Omnibus Vorschlag könnte die HIGH-RISK Deadline auf Dezember 2027 verschieben, aber das ist noch nicht beschlossen. Die Details zur Deadline-Unsicherheit finden Sie in meinem Artikel EU AI Act Deadline: August 2026 oder Dezember 2027?
Der erste Schritt: Wissen, was Sie haben
Bevor Sie Compliance-Maßnahmen umsetzen können, müssen Sie wissen, welche KI-Systeme Sie überhaupt einsetzen. Das größte Risiko dabei: Schatten-KI, KI-Tools, die Mitarbeiter ohne Ihr Wissen nutzen. Mehr dazu in meinem Artikel Schatten-KI im Unternehmen.
Die systematische Erfassung aller KI-Systeme in einem AI Asset Register ist die Grundlage jeder EU AI Act Compliance. Warum das ein kontinuierlicher Prozess sein muss, erkläre ich in meinem Artikel AI Asset Register: Warum einmal erfassen nicht reicht.
Die Anforderungen für HIGH-RISK Systeme
Wenn Sie HIGH-RISK KI-Systeme einsetzen, gelten umfassende Anforderungen. Als Deployer müssen Sie nach Artikel 26 des EU AI Act insbesondere folgendes sicherstellen: angemessene Nutzung gemäß Gebrauchsanweisung, menschliche Aufsicht, relevante Eingabedaten, kontinuierliche Überwachung nach Artikel 26.6, Mitarbeiterschulung nach Artikel 26.5, Dokumentation und Aufbewahrung der Protokolle, Meldung schwerwiegender Vorfälle.
Von EU AI Act Compliance zu Governance
EU AI Act Compliance ist wichtig, aber nur der erste Schritt. Compliance bedeutet: Sie erfüllen die gesetzlichen Mindestanforderungen. Governance bedeutet: Sie steuern KI strategisch und verantwortungsvoll.
Wer EU AI Act Compliance als Katalysator nutzt, kann daraus eine umfassende KI-Governance entwickeln. Mehr dazu in meinem Artikel AI Compliance ist wichtig, aber nur der erste Schritt.
Strafen bei Nichteinhaltung
Der EU AI Act sieht empfindliche Strafen vor. Verstöße gegen verbotene KI-Praktiken: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Verstöße gegen andere Anforderungen: bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes. Für KMUs gelten jeweils die niedrigeren Schwellenwerte, aber auch diese können existenzbedrohend sein.
Mein Ansatz: Das 5-Phasen Framework
EU AI Act Compliance kann überwältigend wirken. Deshalb habe ich ein strukturiertes Framework entwickelt, das KMUs Schritt für Schritt zur Compliance führt.
Das Framework namens NADOVO basiert auf fünf Phasen: DISCOVER (erfassen), DEFINE (klassifizieren), ASSESS (bewerten), IMPLEMENT (umsetzen), MONITOR (überwachen). Dieser Zyklus bildet einen kontinuierlichen Lifecycle – denn Compliance ist kein Projekt, sondern ein Prozess.
Die Details zum Framework finden Sie in meinem Artikel Mein AI Compliance Framework.
Fazit
Der EU AI Act verändert, wie Unternehmen KI einsetzen dürfen. Für KMUs bedeutet das neue Pflichten, aber auch Chancen. Wer jetzt strukturiert vorgeht, vermeidet nicht nur Strafen, sondern schafft Vertrauen bei Kunden und Partnern.
Die wichtigsten Punkte: Kennen Sie Ihre KI-Systeme. Klassifizieren Sie auf Prozess-Ebene. Starten Sie jetzt. Denken Sie in Prozessen.
Mit dem richtigen Framework ist EU AI Act Compliance auch für KMUs machbar.
Über den Autor
Jochen Stier ist EU AI Act Compliance Experte mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt deutsche KMUs dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen Framework für AI Compliance namens NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit ohne Enterprise-Budgets oder komplexe Tools.
