Was bereits Gesetz ist, was im August 2026 greift und was Sie tatsächlich dagegen tun müssen. Ganz ohne Rechtsabteilung.
Dieser Leitfaden dient ausschließlich zu Informationszwecken und stellt weder eine Rechtsberatung noch eine aufsichtsrechtliche Beratung noch die Begründung eines Mandats- oder sonstigen Berufsverhältnisses zwischen Ihnen und der Vectimo GmbH oder ihren Vertretern dar.
Die EU-KI-Verordnung, ihre Durchführungsmaßnahmen, die nationalen Umsetzungsgesetze und die offiziellen Leitlinien der Kommission entwickeln sich rasch weiter. Die Informationen in diesem Leitfaden geben den Recherchestand von Mai 2026 wieder. Sie können unvollständig sein, sich ändern oder durch spätere regulatorische Entwicklungen überholt werden, einschließlich des Digital-Omnibus-Pakets, das sich zum Zeitpunkt der Veröffentlichung noch im Trilog befindet.
Nichts in diesem Leitfaden sollte als Ersatz für die Beratung durch einen qualifizierten Anwalt, eine Compliance-Fachkraft oder einen Spezialisten für die EU-KI-Regulierung herangezogen werden. Bevor Sie Compliance-Entscheidungen mit rechtlichen oder finanziellen Folgen treffen, konsultieren Sie einen zugelassenen Rechtsbeistand in der jeweils einschlägigen Rechtsordnung.
Bußgelder, Fristen und Artikelverweise sind aus öffentlich zugänglichen offiziellen Quellen zitiert. Überprüfen Sie alle Angaben anhand des aktuellen EUR-Lex-Textes der Verordnung (EU) 2024/1689, bevor Sie danach handeln.
Drei Durchsetzungswellen haben bereits begonnen. Die meisten KMU haben zwei davon verpasst.
Die EU-KI-Verordnung (EU AI Act, Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten. Sie greift nach einem gestaffelten Zeitplan: Verschiedene Pflichten treten zu verschiedenen Zeitpunkten in Kraft, wobei der größte Block (der die meisten KI-Systeme in Beschäftigung, Kredit, Transport und Dienstleistungen abdeckt) am 2. August 2026 aktiviert wird.
Die Zahlen zum Stand des Bewusstseins sind eindeutig. Eine Umfrage unter mehr als 3.200 Beschäftigten in 11 mittel- und osteuropäischen Ländern (AI Chamber of Commerce, 2024) ergab, dass nur 39 % der KI-Nutzer wissen, was die EU-KI-Verordnung tatsächlich verlangt. Lediglich 8 % geben an, dass ihre Organisation für ein Compliance-Audit bereit ist.1 Das sind keine Ausreißer. Die Kluft zwischen regulatorischer Pflicht und organisatorischer Bereitschaft ist strukturell, und der Stichtag 2. August 2026 rückt schnell näher.
Es gibt zudem eine breitere Adoptionslücke, die die Compliance-Lücke verschärft. Eurostat-Daten zeigen, dass 41,2 % der Großunternehmen 2024 KI einsetzten, gegenüber nur 11,2 % der Kleinunternehmen.3 KMU sind zugleich am wenigsten erfahren im KI-Einsatz und unterliegen nach der Verordnung denselben rechtlichen Pflichten wie multinationale Konzerne, wenngleich mit Bußgeldstrukturen, die verhältnismäßig herunterskaliert werden.
Die Verordnung steht auch nicht ausschließlich in der Zukunft. Zwei zentrale Pflichtkategorien galten bereits, bevor die meisten KMU darauf zu achten begannen. Der Rest dieses Leitfadens erklärt genau, was bereits gilt, was kommt und was Sie tatsächlich dagegen tun müssen.
Ihre erste Aufgabe ist es, jedes KI-Tool, das Ihr Unternehmen nutzt, in eine von vier Kategorien einzuordnen. Die Pflichten folgen daraus.
Die EU-KI-Verordnung gliedert KI-Systeme in vier Stufen, je nach dem Risiko, das sie für Grundrechte, Sicherheit und Gesellschaft darstellen. Die Stufe bestimmt, was Sie tun müssen, und der Unterschied zwischen den Stufen ist nicht subtil. Ein Betreiber von Hochrisiko-KI hat konkrete Pflichten zu Dokumentation, Aufsicht und Meldung. Ein Betreiber mit minimalem Risiko hat keine.
Nicht jedes in Anhang III aufgeführte System ist automatisch Hochrisiko. Artikel 6 Absatz 3 erlaubt es dem Anbieter eines KI-Systems, selbst zu bewerten und zu dokumentieren, dass das System trotz Zugehörigkeit zu einer Anhang-III-Kategorie kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte darstellt, etwa weil es Menschen lediglich unterstützt, statt Entscheidungen zu treffen oder zu beeinflussen.
Für KMU als Betreiber bedeutet das: Prüfen Sie die Dokumentation Ihres Anbieters. Ein seriöser Anbieter, der in regulierte Kategorien verkauft, sollte diese Bewertung durchgeführt und Ihnen eine Konformitätserklärung übergeben haben. Wenn nicht, ist das selbst ein Warnsignal und eine vertragliche Lücke, die Sie vor August 2026 schließen sollten.
Quellen: Art. 6 · artificialintelligenceact.eu · EC AI Act Service Desk
Diese eine Einstufung entscheidet darüber, ob Ihre Compliance-Kosten 5.000 € oder 200.000 € betragen.
Die EU-KI-Verordnung weist die Pflichten je nach Ihrer Rolle in der KI-Lieferkette unterschiedlich zu. Die beiden primären Rollen sind Anbieter (Sie bauen oder trainieren das KI-System) und Betreiber (Sie nutzen das KI-System eines anderen in Ihrem eigenen Betrieb). Dazwischen liegt eine Falle: die Regel zur „wesentlichen Veränderung".
Das realistische Bild für ein europäisches Dienstleistungs-, Handwerks- oder Transportunternehmen mit 10 bis 250 Mitarbeitenden: Sie sind mit hoher Wahrscheinlichkeit ein Betreiber, kein Anbieter. Sie nutzen Workday, SAP, Microsoft Copilot, Salesforce Einstein, ChatGPT Enterprise oder ähnliche, von anderen gebaute Tools. Ihre Pflichten nach Artikel 26 sind bedeutend, aber zu bewältigen.
Für Hochrisiko-KI-Systeme legt Artikel 26 Betreibern die folgenden Pflichten auf. Das sind keine Empfehlungen:
Anhang III listet acht Anwendungsbereiche auf. Drei davon sind für die meisten europäischen KMU relevant. Einer ist extrem verbreitet und wird weithin missverstanden.
Anhang III der EU-KI-Verordnung definiert die acht Kategorien, in denen KI-Systeme als Hochrisiko eingestuft werden. Zu verstehen, welche davon auf Ihren Betrieb zutreffen, ist der wichtigste praktische Schritt im Compliance-Prozess. Hier ist eine ehrliche Einschätzung der KMU-Relevanz für jede Kategorie:
| Kategorie aus Anhang III | Was sie abdeckt | Relevanz für KMU |
|---|---|---|
| 1. Biometrie | Biometrische Echtzeit-Identifizierung im öffentlichen Raum (für die meisten Zwecke verboten), biometrische Kategorisierung anhand sensibler Merkmale, Emotionserkennung | Hoch, wenn Sie biometrische Zeiterfassung, Zutrittskontrolle mit Gesichtserkennung oder Emotionsanalyse im kundenseitigen oder HR-Kontext nutzen |
| 2. Kritische Infrastruktur | Sicherheitskomponenten für Strom-, Wasser-, Gas- und Verkehrsinfrastruktur | Hauptsächlich relevant für Infrastrukturbetreiber und große Transportunternehmen. Für die meisten KMU unwahrscheinlich. |
| 3. Bildung / Ausbildung | KI, die über den Zugang zu Bildungseinrichtungen entscheidet oder Lernergebnisse bewertet | Relevant, wenn Sie eine Lernplattform betreiben oder KI nutzen, um die Eignung von Mitarbeitenden für Rollen zu bewerten. |
| 4. Beschäftigung & Arbeitskräfte | KI zur Rekrutierung, Lebenslauf-Sichtung, Reihung von Bewerbern, Leistungsbewertung, zum Treffen/Beeinflussen von Beförderungs- oder Entlassungsentscheidungen, zur Überwachung von Beschäftigten | Höchste KMU-Exponierung. Jedes Bewerbermanagementsystem (ATS) mit algorithmischer Reihung, jedes KI-Leistungs-Scoring und jede KI-gestützte Entlassung fällt darunter. Nahezu jede HR-Softwareplattform mit KI-Funktionen qualifiziert sich. |
| 5. Zugang zu grundlegenden Diensten | KI in der Kreditwürdigkeitsprüfung, der Versicherungspreisgestaltung, der Steuerung von Notdiensten | Relevant für KMU, die KI nutzen, um die Kreditwürdigkeit von Kunden zu bewerten, versicherungsgebundene Preise festzulegen oder Notdienste zu steuern. |
| 6. Strafverfolgung | Vorausschauende Polizeiarbeit, Verdächtigen-Profiling, Beweiswürdigung | Nicht KMU-relevant. |
| 7. Migration / Grenzkontrolle | Risikobewertung von Asylsuchenden, biometrische Verifizierung im Migrationskontext | Nicht KMU-relevant. |
| 8. Rechtspflege | KI zur Unterstützung von Gerichten oder Streitbeilegungsstellen | Nicht KMU-relevant. |
Ein Transportunternehmen mit 50 Mitarbeitenden nutzt ein Bewerbermanagementsystem (ATS) von der Stange, um Fahrerbewerbungen zu sichten. Das ATS reiht Kandidaten algorithmisch anhand der Lebenslaufinhalte. Nach Anhang III Nummer 4 („KI, die für die Rekrutierung oder Auswahl natürlicher Personen bestimmt ist, insbesondere zur Schaltung von Stellenanzeigen, zur Sichtung oder Filterung von Bewerbungen und zur Bewertung von Bewerbern") ist dies ein Hochrisiko-KI-System. Das Logistikunternehmen ist ein Betreiber. Es gelten die Pflichten nach Artikel 26: menschliche Aufsicht, Information der Beschäftigten, 6-monatige Protokollaufbewahrung, Überwachung auf Anomalien. Das Unternehmen muss die Bewerber darüber informieren, dass bei ihrer Bewertung ein KI-System eingesetzt wurde.
Eine Führungskraft in einem Dienstleistungsunternehmen mit 30 Mitarbeitenden nutzt ChatGPT, um strukturierte Leistungsbeurteilungen für die Jahresgespräche zu entwerfen. Die Ergebnisse fließen in Beförderungs- und Gehaltsentscheidungen ein. Selbst wenn kein eigenes „HR-KI-System" eingesetzt wird, ist der Arbeitgeber der Betreiber einer KI mit allgemeinem Verwendungszweck (GPAI), die für eine Beschäftigungsentscheidung genutzt wird. Die Pflicht zur KI-Kompetenz nach Artikel 4 gilt für den Arbeitgeber ab dem 2. Februar 2025. Ist die Nutzung systematisch und beeinflusst sie Entscheidungen, kann auch die Beschäftigungs-Kategorie aus Anhang III greifen. Die praktische Frage lautet nicht „Haben wir ein KI-HR-Tool gekauft?", sondern „Wird KI in Entscheidungen genutzt, die unsere Beschäftigten betreffen?"
Dasselbe Logistikunternehmen nutzt KI für Routenplanung, Kraftstoffeffizienz-Optimierung und Nachfrageprognosen. Keine dieser Entscheidungen berührt die Grundrechte von Personen, es handelt sich um Werkzeuge zur betrieblichen Effizienz. Das sind mit hoher Wahrscheinlichkeit KI-Systeme mit minimalem Risiko. Keine Anhang-III-Kategorie greift. Keine verpflichtenden Pflichten nach der Verordnung. Der Compliance-Aufwand ist hier null, abgesehen davon, diese Einstufung dokumentiert festzuhalten.
Die maßgebliche Frage für jedes KI-Tool: Trifft oder beeinflusst diese KI eine Entscheidung erheblich, die die Rechte einer Person, ihren Zugang zu Diensten, ihre Beschäftigung oder ihre Sicherheit betrifft? Wenn ja, stufen Sie sorgfältig ein. Wenn nein, gehen Sie weiter.
Quellen: Anhang III · artificialintelligenceact.eu · AI in HR under the AI Act · pitch.law · Annex III employment analysis · knowlee.ai
Zwei der drei großen Durchsetzungsphasen sind bereits vergangen. Prüfen Sie Ihren Status, bevor Sie den Rest dieses Leitfadens lesen.
Die Verordnung (EU) 2024/1689 wurde im Amtsblatt veröffentlicht und trat in Kraft. Die Uhr für die gestaffelte Durchsetzung begann zu laufen.
Artikel 5 (verbotene Praktiken) wurde anwendbar. Acht Kategorien der KI-Nutzung sind vollständig untersagt. Wenn Ihr Unternehmen Social Scoring, unterschwellige Manipulation, Emotionserkennung am Arbeitsplatz oder biometrische Echtzeit-Identifizierung im öffentlichen Raum für verbotene Zwecke einsetzt, ist das jetzt rechtswidrig. Die Europäische Kommission hat am 4. Februar 2025 offizielle Leitlinien zu Artikel 5 veröffentlicht.
Artikel 4 (KI-Kompetenz) gilt ebenfalls ab diesem Datum. Anbieter und Betreiber von KI-Systemen sind verpflichtet, „nach besten Kräften" Maßnahmen zu ergreifen, damit Mitarbeitende, die mit KI arbeiten, über hinreichende KI-Kompetenz verfügen. Das ist eine Bemühenspflicht, kein harter Audit-Standard, erfordert aber dokumentiertes Handeln. Eine strukturierte interne Schulung mit Anwesenheitsnachweisen ist das praktische Mindestergebnis.
Die Bußgeldvorschriften des Artikels 99 für Verstöße gegen Artikel 5 wurden aktiv. Die Behörden können nun Bußgelder für Verstöße gegen verbotene Praktiken verhängen. Die Bußgeldobergrenze für verbotene Praktiken: 35 Mio. € oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag für KMU niedriger ist.
Artikel 53 (GPAI-Pflichten) wurde für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck anwendbar: Foundation-Modelle, große Sprachmodelle. Wenn Ihr Unternehmen ein Softwareprodukt anbietet, das auf einem LLM aufbaut und an Dritte verkauft wird, gilt Artikel 53. Hinweis: GPAI-Modelle, die bereits vor dem 2. August 2025 auf dem Markt waren, haben eine Übergangsfrist bis zum 2. August 2027, um die vollständige Compliance zu erreichen.
Vollständige Betreiberpflichten für Hochrisiko-KI nach Anhang III (Artikel 26), Anforderungen an die Konformitätsbewertung, EU-Datenbankregistrierung sowie die Durchsetzung aller Vorschriften durch die nationalen Behörden. Dies ist die Frist, die für die meisten KMU am wichtigsten ist. Stand 1. Mai 2026 wurde keine formelle Verschiebung erlassen, der Digital-Omnibus-Vorschlag befindet sich noch im Trilog.
Wird das Digital-Omnibus-Paket erlassen, hätten eigenständige Anhang-III-Systeme bis zum 2. Dezember 2027 Zeit, die Compliance zu erreichen (in regulierte Produkte eingebettete KI: 2. August 2028). Stand 1. Mai 2026 ist dies ein Vorschlag, kein Gesetz. Der zweite Trilog scheiterte am 28. April 2026.
Quellen: Implementation timeline · artificialintelligenceact.eu · Art. 5 Guidelines · European Commission · AI Literacy FAQ · European Commission
Sieben Schritte. Etwa 15 bis 20 Stunden interne Zeit für ein Unternehmen mit 50 Mitarbeitenden. Das meiste davon ist Dokumentation, keine Technik.
Listen Sie jedes KI-Tool auf, das das Unternehmen nutzt oder zu dem es Zugang hat. Beziehen Sie SaaS-Plattformen mit eingebetteten KI-Funktionen ein (nicht nur dedizierte „KI-Tools"). Dokumentieren Sie für jedes Tool:
Häufig übersehen: KI-Funktionen in HR-/Lohnabrechnungsplattformen, KI-gestützte E-Mail-Tools, Planungstools mit „intelligentem" Routing, eingebettetes Scoring in CRMs.
Weisen Sie jedem Tool in Ihrem Inventar eine Risikostufe zu: Verboten / Hochrisiko / Begrenztes Risiko / Minimales Risiko. Nutzen Sie den Rahmen aus Abschnitt 2. Markieren Sie alles, dessen Einstufung unsicher ist, denn dies erfordert vor August 2026 ein Anbietergespräch oder eine rechtliche Prüfung.
Schlüsselfrage für jedes Tool: Trifft oder beeinflusst diese KI eine Entscheidung über eine Person erheblich: ihre Beschäftigung, ihren Zugang zu Diensten, ihre Sicherheit?
Bestätigen Sie für jedes als Hochrisiko eingestufte System, dass die folgenden Pflichten nach Artikel 26 erfüllt oder in Arbeit sind:
Artikel 4 verlangt dokumentierte Maßnahmen, um die KI-Kompetenz der Mitarbeitenden sicherzustellen. Die Pflicht ist eine Bemühenspflicht, keine Zertifizierung. Eine strukturierte interne Schulung (die abdeckt, welche KI-Systeme das Unternehmen nutzt, ihre Grenzen, wann man sie übersteuert und wie man Bedenken meldet) mit erfasster Anwesenheit erfüllt die Pflicht. Dieses Dokument würde eine Behörde als Erstes verlangen.
Minimal tragfähiges Ergebnis: eine Agenda für eine 1- bis 2-stündige Schulung, Foliensatz oder Notizen, Anwesenheitsliste und ein datierter Nachweis über den Abschluss.
Eine einseitige (oder kurze) interne Richtlinie, die abdeckt: freigegebene Tools, verbotene Nutzungen (Social Scoring, Emotions-KI, Schatten-KI ohne arbeitgeberseitige Freigabe), wie KI-beeinflusste Entscheidungen von einem Menschen überprüft werden müssen, Eskalationsweg für KI-bezogene Bedenken und Vorfallsmeldung. Dies ist das erste Dokument, das eine Behörde oder ein Arbeitsgericht anfordern wird. Es diszipliniert zudem die Nutzung von Schatten-KI, die derzeit Ihre größte unkontrollierte Exponierung ist.
Überprüfen Sie die Verträge mit jedem Anbieter, der als Hochrisiko eingestufte KI-Systeme bereitstellt. Fügen Sie eine Klausel hinzu, die ihn verpflichtet: (a) Sie über jede Änderung des vorgesehenen Verwendungszwecks des Systems zu informieren; (b) auf Anfrage aktualisierte technische Dokumentation bereitzustellen; (c) Sie über schwerwiegende Vorfälle oder behördliche Maßnahmen im Zusammenhang mit dem System zu informieren. Für neue Beschaffungen nehmen Sie dies als Standardklausel auf.
Artikel 27 verlangt eine FRIA von Betreibern, die öffentliche Stellen sind, oder von privaten Einrichtungen, die Hochrisiko-KI in Kontexten mit behördenähnlichen Funktionen (z. B. Passagierkontrolle, Entscheidungen über die Berechtigung zu öffentlichen Leistungen) oder gegenüber besonders schutzbedürftigen Personengruppen einsetzen. Für die meisten KMU wird dies nicht ausgelöst. Logistikunternehmen mit KI-gestützten Fahrer-Scoring-Systemen oder Finanzdienstleistungs-KMU, die KI in der Kreditentscheidung für Einzelpersonen einsetzen, sollten mit einem Compliance-Spezialisten klären, ob Artikel 27 auf ihren konkreten Einsatz zutrifft.
Die vorgeschlagene Verschiebung ist kein Gesetz. Und selbst wenn sie kommt, ist die Compliance-Arbeit dieselbe.
Im November 2025 schlug die Europäische Kommission das Digital-Omnibus-Paket vor, das Änderungen an der EU-KI-Verordnung enthält. Die Kernänderung würde die Anwendung der Hochrisiko-Pflichten aus Anhang III (die Frist im August 2026) verschieben, um Unternehmen mehr Zeit zur Vorbereitung zu geben.
Der vorgeschlagene Zeitplan unter dem Omnibus (falls erlassen):
| Pflicht | Aktuelle Frist | Vorgeschlagene Omnibus-Frist | Status |
|---|---|---|---|
| Hochrisiko-Systeme nach Anhang III (eigenständig) | 2. August 2026 | 2. Dezember 2027 | Noch kein Gesetz |
| Hochrisiko nach Anhang I (eingebettet in regulierte Produkte) | 2. August 2027 | 2. August 2028 | Noch kein Gesetz |
| Artikel 5: Verbotene Praktiken | 2. Februar 2025 (anwendbar) | Keine Änderung | In Kraft |
| Artikel 4: KI-Kompetenz | 2. Februar 2025 (anwendbar) | Keine Änderung | In Kraft |
| Artikel 53: GPAI-Pflichten | 2. August 2025 (anwendbar) | Keine Änderung | In Kraft |
Selbst wenn der Omnibus vor August 2026 verabschiedet wird, ist die Compliance-Arbeit, die er aufschieben würde, nicht vermeidbar, sondern nur verschoben. Jeder Betreiber von Hochrisiko-KI wird irgendwann seine KI-Systeme dokumentieren, eine menschliche Aufsicht einrichten, Beschäftigte informieren und Protokolle aufbewahren müssen. Diese Arbeit vor einer harten gesetzlichen Frist zu erledigen, ist immer günstiger und weniger belastend, als sie unter Durchsetzungsdruck zu leisten.
Die Unternehmen, die bis August 2026 ihr KI-Inventar abschließen, ihre Tools einstufen und eine Governance-Dokumentation aufbauen, haben zwei Vorteile: Sie sind sofort compliant, falls der Omnibus scheitert, und sie verfügen über ein Governance-Fundament, das künftige Compliance günstiger macht. Die Unternehmen, die warten, mögen beim Timing Glück haben und werden bis Dezember 2027 fast sicher keine bessere Dokumentation besitzen.
Es gibt zudem eine kommerzielle Dimension. Unternehmenskunden, Banken und öffentliche Auftraggeber beginnen, eine KI-Compliance-Dokumentation als Voraussetzung für die Beschaffung zu verlangen. Die ersten KMU jeder Branche mit klarer KI-Governance-Dokumentation gewinnen einen Vertrauensvorsprung gegenüber Wettbewerbern, die Compliance als ein Problem für später behandelt haben.
Quellen: EP position · europarl.europa.eu · Omnibus analysis · A&O Shearman · Berichterstattung zum Scheitern des Trilogs: The Next Web, 29. April 2026
Die abschreckenden Zahlen, die Sie gesehen haben, gelten für KI-Anbieter. Die meisten KMU sind Betreiber. Das Kostenprofil ist ein ganz anderes.
Die in der Berichterstattung zur EU-KI-Verordnung zitierten Kostenzahlen sind meist anbieterseitig, also für die Unternehmen, die Hochrisiko-KI-Systeme bauen und am Markt verkaufen. Das European Centre for Political Studies (CEPS) bezifferte die anfänglichen QMS-Aufbaukosten für Anbieter von Hochrisiko-KI auf 193.000 € bis 330.000 €, bei jährlichen Wartungskosten von 71.400 €.5 Das sind reale Zahlen für ein Softwareunternehmen, das ein reguliertes KI-Produkt von Grund auf baut. Es sind keine Zahlen für ein KMU als Betreiber, das dieses Produkt nutzt.
Für KMU als Betreiber sieht das Kostenbild radikal anders aus. Die Compliance-Arbeit ist überwiegend organisatorisch: ein KI-Inventar, eine Risikoeinstufung, Dokumentation, Schulung und ein Richtliniendokument. Der primäre Aufwand ist Zeit, nicht externe Ausgaben.
| Szenario | Rolle | Geschätzte Kosten | Hauptarbeit |
|---|---|---|---|
| Nur KI mit minimalem Risiko (Routenoptimierung, Nachfrageprognose, Spamfilter) |
Betreiber | 0–500 € | Die Einstufung dokumentieren. Mehr ist nicht erforderlich. |
| Nur KI mit begrenztem Risiko (Kunden-Chatbot, KI-Inhaltsgenerierung) |
Betreiber | 500–2.000 € | Transparenzhinweise + KI-Nutzungsrichtlinie + Schulung nach Artikel 4. |
| Hochrisiko-KI von der Stange (ATS mit Reihung, KI-Leistungs-Scoring, Kredit-KI) |
Betreiber | 5.000–25.000 € | Rechtliche Prüfung der Einstufung, Anbieter-Audit, Dokumentation nach Artikel 26, Schulungsprogramm, Einrichtung der Protokollaufbewahrung, Information der Beschäftigten. |
| Bau / Feinabstimmung von Hochrisiko-KI (eigenes Modell, auf eigenen Daten trainiert) |
Anbieter | 75.000–200.000 €+ | QMS, technische Dokumentation, Konformitätsbewertung, EU-Datenbankregistrierung. Konsultieren Sie einen Spezialisten. |
| Bau von GPAI / Foundation-Modellen | Anbieter | 200.000–500.000 €+ | Vollständige Pflichten nach Artikel 53 + Anbieterpflichten. In der Praxis kein KMU-Szenario. |
Des weltweiten Jahresumsatzes, je nachdem, welcher Betrag für KMU niedriger ist.6
Für ein KMU mit 5 Mio. € Umsatz: gedeckelt auf 350.000 €. Existenzbedrohende Exponierung.
Des weltweiten Jahresumsatzes, je nachdem, welcher Betrag für KMU niedriger ist.
Für ein KMU mit 5 Mio. € Umsatz: gedeckelt auf 150.000 €. Ernst, aber überlebbar.
Des weltweiten Jahresumsatzes, je nachdem, welcher Betrag für KMU niedriger ist.
Falsche Angaben in einer behördlichen Überprüfung oder einem Audit.
Die EU-KI-Verordnung benennt keine einzelne Durchsetzungsbehörde. Die Mitgliedstaaten benennen ihre eigenen nationalen zuständigen Behörden, und sektorspezifische Regulierer haben häufig eine parallele Zuständigkeit. In Deutschland ist die Bundesnetzagentur die federführende Behörde, doch die BaFin ist für Finanz-KI zuständig, sektorale Gesundheitsbehörden für Medizin-KI und so weiter. Irland hat je nach KI-Anwendungsfall 15 verschiedene Regulierer benannt. Für grenzüberschreitend tätige KMU bedeutet das: zu wissen, welche Behörde für Ihren konkreten Einsatz zuständig ist, ist selbst eine Compliance-Aufgabe.
Vier Wochen. 15 bis 20 Stunden interne Zeit. Das Ergebnis ist eine audit-fähige Compliance-Aufstellung für die meisten KMU als Betreiber.
| Woche | Maßnahme | Verantwortlich | Ergebnis |
|---|---|---|---|
| Woche 1 | KI-Inventar: alle Tools, Anwendungsfälle, beeinflusste Entscheidungen, verarbeitete Daten | Ops / IT / Geschäftsführung | Tabelle: Tool-Name, Anbieter, Nutzung, Risikostufe (Entwurf) |
| Woche 2 | Risikoeinstufung: jedes Tool Verboten / Hochrisiko / Begrenzt / Minimal zuordnen | Geschäftsführung + Rechtsabteilung (falls vorhanden) | Eingestuftes Inventar; mehrdeutige Fälle für ein Anbietergespräch markieren |
| Woche 2–3 | Lückenanalyse für Betreiber: für jedes Hochrisiko-Tool die Pflichten nach Artikel 26 mit dem Ist-Zustand abgleichen | Ops / HR / IT | Lückenliste: was fehlt (Aufsichtsperson, Protokolle, Information der Beschäftigten, Anbieterunterlagen) |
| Woche 3 | Schulung zur KI-Kompetenz: die erste Schulung für relevante Mitarbeitende konzipieren und durchführen | HR / Geschäftsführung | Schulungsnotizen, Anwesenheitsliste, Abschlussdatum erfasst |
| Woche 3–4 | Anbieter-Ansprache: technische Dokumentation und Konformitätserklärung für Hochrisiko-Systeme anfordern | Einkauf / Geschäftsführung | Unterlagen erhalten oder formelle Anfrage aktenkundig (schützt Sie) |
| Woche 4 | KI-Nutzungsrichtlinie: die interne Richtlinie entwerfen und freigeben | Geschäftsführung + HR | Unterzeichnete KI-Nutzungsrichtlinie v1.0 |
| Woche 4 | Prüfung der Lieferantenverträge: KI-Verordnungs-Compliance-Klausel zu bestehenden und künftigen Verträgen hinzufügen | Rechtsabteilung / Geschäftsführung | Vertragsnachträge oder aktualisierte Standardbedingungen |
Zusammenarbeit mit Vectimo
Drei Wege, je nachdem, wo Sie in diesem Prozess stehen. Keine Anbieterbindungen. Festpreise. EU-first.
Vectimo ist eine KI-Beratung für den europäischen Mittelstand, gegründet von Felix Steinhauser, ehemaliger Director of AI Strategy bei SIXT SE. Die Positionierung des Unternehmens ist operator-first: Wir haben KI-Systeme in großen europäischen Unternehmen gebaut und eingesetzt und wenden diese Erfahrung auf KMU-Kontexte in Dienstleistung, Handwerk und Transport an. Die obige Compliance-Arbeit zur EU-KI-Verordnung ist für uns nicht theoretisch, sie ist das Governance-Fundament, das wir auf jedes Kundenmandat anwenden.
Dieser Leitfaden deckt die vollständige Compliance-Roadmap ab. Die begleitende einseitige Checkliste (Download unten) gibt Ihnen den 30-Tage-Sprint in handlicher Form. Wenn Ihre KI-Exponierung nur minimales Risiko umfasst, ist das möglicherweise alles, was Sie brauchen.
Eine strukturierte 3-stündige Sitzung plus ein vollständiger schriftlicher Bericht: KI-Inventar, Risikoeinstufung, Lückenanalyse der Betreiberpflichten und ein priorisierter Aktionsplan. Das Ergebnis ist ein Dokument, das Sie einer Behörde, einem Kunden oder einer Bank vorlegen können.
Während die KI-Verordnung reift (Omnibus-Ausgang, Leitlinien nationaler Behörden, sektorspezifische Regeln), braucht Ihre Compliance-Aufstellung Pflege. Quartalsweise Prüfungen, Überwachung der Anbieterverträge, Unterstützung bei der Vorfallsreaktion.
Die Arbeit an KI-Inventar, Einstufung und Dokumentation dauert für ein Unternehmen mit 50 Mitarbeitenden 15 bis 20 interne Stunden. Das KI-Operations-Audit komprimiert das in eine strukturierte Sitzung und liefert einen schriftlichen Bericht, den Ihr Team abarbeiten kann.
Quellenverweise
Die wichtigsten offiziellen Quellen, die in diesem Leitfaden verwendet wurden. Alle regulatorischen Zitate sollten vor jeder Bezugnahme anhand des aktuellen EUR-Lex-Textes überprüft werden.
Dieser Leitfaden gibt die regulatorische Lage zum Stand Mai 2026 wieder. Die EU-KI-Verordnung und ihre Durchführungsmaßnahmen entwickeln sich weiter. Der Digital Omnibus befindet sich noch im Trilog. Die nationalen zuständigen Behörden werden noch benannt. Die Leitlinien der Kommission zur Risikoeinstufung nach Artikel 6 waren bis Februar 2026 fällig und werden weiter verfeinert. Prüfen Sie artificialintelligenceact.eu und die Hinweise Ihrer nationalen Behörde, bevor Sie Compliance-Entscheidungen treffen. Im Zweifel konsultieren Sie einen qualifizierten Rechtsbeistand.
Neue praxisnahe Leitfäden für den europäischen Mittelstand auf dem Weg zur KI, geliefert sobald sie erscheinen. Kein Spam, jederzeit abbestellbar.
Lieber umgesetzt statt nur erklärt? Vectimo übernimmt die KI-Einführung von Anfang bis Ende.
Mit Vectimo arbeiten →