KI im Unternehmen nutzen: Was der EU AI Act für KMU ab 2026 bedeutet
Was kleine und mittlere Unternehmen über den EU AI Act wissen sollten: Fristen, KI-Kompetenz, Transparenzpflichten, Hochrisiko-Systeme und pragmatische nächste Schritte.
Von Ramon Melchior
KI ist in vielen kleinen und mittleren Unternehmen längst angekommen. Nicht immer offiziell, nicht immer sauber geregelt, aber praktisch im Alltag: Texte entwerfen, E-Mails formulieren, Dokumente zusammenfassen, Ideen sortieren, Recherchen vorbereiten oder Prozesse automatisieren.
Genau deshalb wird der EU AI Act auch für KMU relevant.
Nicht, weil ab sofort jedes Unternehmen eine riesige KI-Compliance-Abteilung braucht. Sondern weil Unternehmen wissen sollten, welche KI-Systeme sie nutzen, wofür sie eingesetzt werden, wer damit arbeitet und welche Grundregeln gelten.
Dieser Artikel gibt dir eine saubere Orientierung zum Stand 27. April 2026. Er ersetzt keine Rechtsberatung, hilft dir aber dabei, die wichtigsten Punkte einzuordnen und pragmatische nächste Schritte abzuleiten.
Die kurze Antwort
Für die meisten kleinen und mittleren Unternehmen bedeutet der EU AI Act vor allem:
- KI-Nutzung im Unternehmen sollte nicht komplett ungeregelt laufen.
- Mitarbeitende brauchen ein angemessenes Grundverständnis für KI, Chancen, Grenzen und Risiken.
- Bei Chatbots oder bestimmten KI-generierten Inhalten können Transparenzpflichten relevant werden.
- Hochrisiko-KI ist deutlich strenger reguliert, betrifft aber nicht jede normale Nutzung von ChatGPT, Microsoft Copilot, Gemini oder ähnlichen Tools.
- Wer KI in sensiblen Bereichen wie Personal, Bewertung, Bildung, Kreditwürdigkeit, kritischer Infrastruktur oder biometrischen Anwendungen nutzt, sollte genauer prüfen.
- Eine interne KI-Richtlinie, dokumentierte Anwendungsfälle und saubere Tool-Auswahl sind für viele KMU der sinnvollste erste Schritt.
Wichtig: Der AI Act verbietet KI nicht. Er sortiert KI-Nutzung nach Risiko.
Was ist der EU AI Act überhaupt?
Der EU AI Act ist die europäische Verordnung für Künstliche Intelligenz. Offiziell heißt sie Verordnung (EU) 2024/1689. Ziel ist ein einheitlicher Rechtsrahmen für die Entwicklung, Bereitstellung und Nutzung von KI-Systemen in der EU.
Die Verordnung arbeitet risikobasiert. Vereinfacht gesagt:
| Kategorie | Bedeutung |
|---|---|
| Verbotene KI-Praktiken | bestimmte besonders riskante Anwendungen sind untersagt |
| Hochrisiko-KI | erlaubt, aber mit umfangreichen Anforderungen |
| Transparenzpflichtige KI | erlaubt, aber Nutzer müssen in bestimmten Fällen informiert werden |
| Minimales oder geringes Risiko | grundsätzlich ohne spezielle AI-Act-Pflichten nutzbar |
Für viele KMU liegt der Alltag im unteren oder mittleren Bereich: KI für Texte, Recherche, Zusammenfassungen, interne Assistenz, Prozessunterstützung oder Automatisierung. Trotzdem lohnt sich eine saubere Einordnung, weil manche Anwendungsfälle schnell sensibler werden, als sie auf den ersten Blick wirken.
Offizielle Grundlage: Verordnung (EU) 2024/1689 auf EUR-Lex
Die wichtigsten Fristen
Der AI Act gilt nicht auf einen Schlag, sondern stufenweise.
| Datum | Was gilt? |
|---|---|
| 1. August 2024 | Der AI Act ist in Kraft getreten. |
| 2. Februar 2025 | Definitionen, KI-Kompetenz und Verbote bestimmter KI-Praktiken gelten. |
| 2. August 2025 | Regeln für Anbieter allgemeiner KI-Modelle und Governance-Vorgaben greifen. |
| 2. August 2026 | Viele zentrale Regeln greifen, unter anderem für Hochrisiko-Systeme nach Annex III und Transparenzpflichten nach Artikel 50. Enforcement startet. |
| 2. August 2027 | Weitere Regeln für Hochrisiko-Systeme, die in regulierten Produkten eingebettet sind. |
Die offizielle Timeline findest du beim AI Act Service Desk der EU.
Für KMU ist besonders wichtig: Die Pflicht zur KI-Kompetenz ist nicht erst ein Thema ab 2026. Sie gilt bereits seit dem 2. Februar 2025.
Ein Hinweis zur Einordnung: Die EU-Kommission weist darauf hin, dass im Rahmen des Digital-Omnibus-Pakets Anpassungen an einzelnen Zeitpunkten für bestimmte Hochrisiko-Regeln vorgeschlagen wurden. Für Unternehmen heißt das nicht, dass man das Thema ignorieren sollte. Es heißt nur: Bei konkreten Hochrisiko-Anwendungen sollte der jeweils aktuelle Stand vor Umsetzung noch einmal geprüft werden.
KI-Kompetenz: Der Punkt, den viele unterschätzen
Artikel 4 des AI Acts verlangt, dass Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen, damit Mitarbeitende und andere Personen, die in ihrem Auftrag mit KI-Systemen arbeiten, über ein ausreichendes Maß an KI-Kompetenz verfügen.
Das bedeutet nicht automatisch: Jeder braucht ein Zertifikat oder eine mehrtägige Schulung.
Es bedeutet aber: Wer KI im Unternehmen einsetzt, sollte sicherstellen, dass die Menschen, die damit arbeiten, die wichtigsten Grundlagen verstehen.
Zum Beispiel:
- Was kann das eingesetzte KI-Tool gut?
- Wo liegen typische Fehlerquellen?
- Welche Daten dürfen eingegeben werden und welche nicht?
- Wann muss ein Ergebnis geprüft werden?
- Wer trägt Verantwortung für die finale Entscheidung?
- Wie wird mit personenbezogenen, vertraulichen oder geschäftskritischen Informationen umgegangen?
Die EU-Kommission hat dafür eine Sammlung von Beispielen zur KI-Kompetenz veröffentlicht. Wichtig: Diese Beispiele sind keine automatische Compliance-Garantie, aber sie zeigen, in welche Richtung Unternehmen denken sollten.
Quelle: Living repository zu AI literacy der EU-Kommission
Was bedeutet das praktisch für ein KMU?
Für ein kleines Unternehmen ist meist nicht der erste Schritt, ein großes Compliance-Projekt zu starten.
Sinnvoller ist eine pragmatische Bestandsaufnahme:
- Welche KI-Tools werden bereits genutzt?
- Wer nutzt sie?
- Wofür werden sie genutzt?
- Welche Daten landen dort?
- Gibt es sensible Bereiche wie Personal, Kundenberatung, Verträge, Gesundheit, Bonität oder interne Strategien?
- Werden KI-Ergebnisse nur als Entwurf genutzt oder beeinflussen sie echte Entscheidungen?
Schon diese Übersicht schafft oft deutlich mehr Klarheit als die nächste Tool-Demo.
Normale KI-Nutzung ist nicht automatisch Hochrisiko
Ein häufiger Denkfehler ist: “Wenn wir KI einsetzen, sind wir automatisch im Hochrisiko-Bereich.”
Das stimmt so nicht.
Wenn ein Unternehmen KI nutzt, um E-Mails vorzubereiten, interne Dokumente zusammenzufassen, Blogideen zu entwickeln, Supportantworten vorzubereiten oder wiederkehrende Abläufe zu unterstützen, ist das nicht automatisch ein Hochrisiko-System im Sinne des AI Acts.
Hochrisiko wird es vor allem dort, wo KI in besonders sensiblen Bereichen eingesetzt wird und Rechte, Sicherheit oder Lebensentscheidungen von Menschen beeinflussen kann.
Beispiele aus dem Hochrisiko-Umfeld können sein:
- Auswahl oder Bewertung von Bewerbern
- Entscheidungen im Bildungsbereich
- bestimmte Anwendungen in kritischer Infrastruktur
- Bonitäts- oder Kreditwürdigkeitsbewertung
- bestimmte biometrische Systeme
- bestimmte Anwendungen in Strafverfolgung, Migration oder Justiz
Die genaue Einordnung hängt immer vom konkreten System und Einsatzzweck ab. Gerade deshalb sollte man nicht nur auf den Toolnamen schauen, sondern auf den Prozess dahinter.
Anbieter, Betreiber, Nutzer: Welche Rolle hat dein Unternehmen?
Der AI Act unterscheidet verschiedene Rollen. Für KMU ist vor allem diese Unterscheidung wichtig:
| Rolle | Vereinfacht gesagt |
|---|---|
| Provider / Anbieter | entwickelt oder bringt ein KI-System unter eigenem Namen auf den Markt |
| Deployer / Betreiber | nutzt ein KI-System beruflich oder organisatorisch im eigenen Unternehmen |
| Importeur / Distributor | bringt bestimmte KI-Systeme in Verkehr oder vertreibt sie |
Viele KMU sind zunächst Betreiber. Sie nutzen also ein KI-System, das ein anderer Anbieter bereitstellt.
Aber Vorsicht: Wenn ein Unternehmen ein bestehendes KI-System wesentlich verändert, unter eigenem Namen anbietet oder für einen anderen Zweck einsetzt, kann sich die Rolle verschieben. Dann können Pflichten entstehen, die eher Anbieter betreffen.
Für klassische KMU-Projekte heißt das: Bei einer internen KI-Lösung, einem KI-Agenten oder einer Automatisierung sollte sauber geklärt werden, ob das System nur intern genutzt wird, für Kunden sichtbar ist oder unter eigener Marke angeboten wird.
Transparenzpflichten: Wann muss KI offengelegt werden?
Ab dem 2. August 2026 werden Transparenzpflichten nach Artikel 50 besonders relevant.
Praktisch wichtig sind vor allem diese Fälle:
- Menschen interagieren direkt mit einem KI-System, zum Beispiel einem Chatbot.
- KI erzeugt oder manipuliert Bild-, Audio- oder Videoinhalte, die wie echte Inhalte wirken können.
- KI-generierte Texte werden veröffentlicht, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren.
Für normale Website-Texte, interne Entwürfe oder KI-unterstützte E-Mails ist die Lage nicht immer so einfach wie “alles muss gekennzeichnet werden”. Entscheidend ist der konkrete Zweck, die Art des Inhalts und ob ein Mensch redaktionell prüft und Verantwortung übernimmt.
Trotzdem ist eine einfache Regel hilfreich:
Wenn ein Mensch glauben könnte, mit einem Menschen zu kommunizieren, obwohl es ein KI-System ist, sollte das klar erkennbar sein.
Wenn KI realistisch wirkende Bilder, Stimmen oder Videos erzeugt, sollte besonders sorgfältig gekennzeichnet werden.
Quelle: Artikel 50 AI Act beim AI Act Service Desk
Was ist mit ChatGPT, Gemini, Copilot und Claude?
Viele Unternehmen nutzen keine selbst entwickelten KI-Systeme, sondern fertige Tools wie ChatGPT, Microsoft Copilot, Google Gemini, Claude oder branchenspezifische KI-Assistenten.
Auch dann ist der AI Act relevant, aber anders.
Der Anbieter des Modells oder Tools hat eigene Pflichten. Dein Unternehmen muss trotzdem klären, wie das Tool intern genutzt wird:
- Sind geschäftliche oder personenbezogene Daten erlaubt?
- Gibt es einen Firmenaccount oder private Einzelaccounts?
- Sind Eingaben für Training oder Produktverbesserung deaktivierbar?
- Gibt es Auftragsverarbeitungsverträge oder passende Datenschutzunterlagen?
- Wer darf welche Daten eingeben?
- Welche Ergebnisse müssen geprüft werden?
- Wird das Tool in Entscheidungsprozesse eingebunden?
Der AI Act ersetzt dabei nicht die DSGVO. Datenschutz, Vertraulichkeit, Geschäftsgeheimnisse und IT-Sicherheit bleiben eigene Themen.
Interne KI-Richtlinie: Klein, aber wichtig
Für viele KMU ist eine schlanke interne KI-Richtlinie der beste erste Schritt.
Sie muss nicht kompliziert sein. Sie sollte aber ein paar Fragen klar beantworten:
- Welche KI-Tools dürfen genutzt werden?
- Für welche Zwecke sind sie erlaubt?
- Welche Daten dürfen nicht eingegeben werden?
- Wann muss ein Ergebnis geprüft oder freigegeben werden?
- Wer ist Ansprechpartner bei Unsicherheit?
- Welche Anwendungsfälle sind ausdrücklich verboten oder genehmigungspflichtig?
- Wie werden neue KI-Ideen bewertet?
Das schützt nicht nur rechtlich. Es nimmt auch Unsicherheit aus dem Team.
Viele Mitarbeitende nutzen KI nicht deshalb falsch, weil sie fahrlässig sind, sondern weil niemand erklärt hat, was erlaubt ist und was nicht.
KI-Agenten und Automatisierung: Wo es genauer wird
KI-Agenten und Automatisierungen sind besonders spannend, weil sie nicht nur Texte liefern, sondern Aufgaben ausführen oder Prozesse anstoßen können.
Ein einfacher Workflow, der eine Kontaktanfrage sortiert und intern weiterleitet, ist etwas anderes als ein System, das automatisch Bewerber bewertet oder Kunden in Risikoklassen einteilt.
Wichtige Prüfungsfragen:
- Trifft das System Entscheidungen oder bereitet es nur Informationen vor?
- Gibt es menschliche Kontrolle vor kritischen Schritten?
- Können Betroffene durch das Ergebnis Nachteile erleiden?
- Werden personenbezogene oder sensible Daten verarbeitet?
- Ist nachvollziehbar, warum ein Ergebnis zustande kam?
- Gibt es Protokolle, Freigaben oder eine klare Verantwortlichkeit?
Gerade bei KI-Agenten gilt: Je mehr Autonomie, desto wichtiger werden Grenzen, Kontrolle und Dokumentation.
Was KMU jetzt konkret tun sollten
Wenn dein Unternehmen KI nutzt oder nutzen will, würde ich pragmatisch so vorgehen:
1. KI-Nutzung sichtbar machen
Erstelle eine einfache Übersicht:
- Tool
- Nutzer oder Abteilung
- Zweck
- Datenarten
- Risiko-Einschätzung
- Verantwortliche Person
Das muss am Anfang kein perfektes Register sein. Es geht darum, aus unkoordinierter Nutzung eine steuerbare Situation zu machen.
2. Anwendungsfälle priorisieren
Nicht jede KI-Idee lohnt sich. Starte mit Anwendungsfällen, die nützlich und überschaubar sind:
- interne Zusammenfassungen
- Textentwürfe
- Wissenssuche
- Angebots- oder E-Mail-Vorbereitung
- Dokumentenstrukturierung
- einfache Prozessunterstützung
Sensiblere Bereiche wie Personalentscheidungen, Kundenscoring oder automatisierte Bewertungen solltest du nur mit deutlich mehr Prüfung anfassen.
3. Regeln für Daten festlegen
Lege klar fest, was nicht in offene KI-Tools gehört:
- personenbezogene Kundendaten
- Gesundheitsdaten
- Verträge oder vertrauliche Dokumente
- interne Strategien
- Zugangsdaten
- Geschäftsgeheimnisse
Wenn solche Daten verarbeitet werden sollen, braucht es ein kontrollierteres Setup.
4. Mitarbeitende befähigen
KI-Kompetenz heißt nicht nur “Prompts schreiben”. Es geht um verantwortliche Nutzung.
Ein guter Einstieg ist ein kurzer Workshop oder eine interne Schulung zu:
- Funktionsweise und Grenzen von KI
- Datenschutz und vertrauliche Daten
- Prüfung von Ergebnissen
- sinnvolle Prompts und typische Fehler
- interne Regeln und Beispiele aus dem eigenen Alltag
5. Kritische KI-Anwendungen sauber prüfen
Wenn KI Entscheidungen beeinflusst, Menschen bewertet oder in sensiblen Bereichen eingesetzt wird, sollte der Anwendungsfall genauer geprüft werden.
Das betrifft besonders:
- HR und Recruiting
- Leistungsbewertung
- Kredit, Zahlung, Risiko oder Bonität
- Bildung und Prüfungen
- Gesundheit und Pflege
- biometrische Anwendungen
- sicherheitsrelevante Prozesse
Hier reicht “das Tool kann das” nicht als Begründung.
Was du nicht tun solltest
Ein paar Fehler sehe ich bei KI-Einstiegen immer wieder:
- einfach private KI-Accounts im Team dulden
- sensible Daten in offene Tools kopieren
- KI-Ergebnisse ungeprüft übernehmen
- Automatisierungen bauen, ohne Verantwortlichkeit zu klären
- KI als Ersatz für unklare Prozesse verwenden
- aus Angst vor Regeln gar nichts mehr ausprobieren
Der letzte Punkt ist wichtig: Der AI Act ist kein Grund, KI komplett zu vermeiden. Er ist ein Grund, KI bewusster einzusetzen.
Fazit: Für KMU geht es zuerst um Kontrolle, nicht um Bürokratie
Der EU AI Act macht KI-Nutzung verbindlicher. Aber für die meisten KMU ist der sinnvolle Einstieg nicht ein riesiger Compliance-Ordner.
Der sinnvolle Einstieg ist:
- wissen, welche KI genutzt wird
- klare Regeln für Daten und Verantwortung schaffen
- Mitarbeitende befähigen
- sensible Anwendungsfälle sauber prüfen
- KI dort einsetzen, wo sie im Alltag wirklich hilft
Wenn du KI im Unternehmen nutzen willst, solltest du nicht bei Toolnamen anfangen. Fang bei deinen Abläufen, Daten und Entscheidungen an.
Dann lässt sich meist schnell erkennen, was unkritisch ausprobiert werden kann, wo ein internes Setup sinnvoll ist und welche Themen rechtlich oder organisatorisch genauer betrachtet werden müssen.
Quellen und weiterführende Informationen
Nächster Schritt
Lass uns kurz sprechen.
Unverbindlich, 20–30 Minuten. Ich schaue mir deine Situation an und sag dir direkt, was sinnvoll ist — und was nicht.
Passende nächste Schritte
Wenn du vom Lesen in eine konkrete Entscheidung kommen willst.
Weitere Artikel
Lokale ChatGPT-Alternative für dein Unternehmen: privat, DSGVO-konform, individuell
Wie du mit OpenWebUI und Ollama eine interne KI aufsetzt, ohne sensible Daten unkontrolliert in externe Clouds zu schicken.
Repetitive Aufgaben automatisieren: Was n8n für Unternehmen leisten kann
Wie du mit n8n wiederkehrende Aufgaben automatisierst, Tools verbindest und dabei die Kontrolle über Prozesse und Daten behältst.
Förderung für Website & Digitalisierung: Was KMU in RLP und dem Saarland 2026 beantragen können
Welche Förderprogramme in Rheinland-Pfalz, im Saarland und auf Bundesebene für Digitalisierung, Beratung und digitale Projekte für KMU in 2026 relevant sind.