EU AI Act Compliance für KMU: Fristen, Pflichten und das operative Playbook 2026

EU AI Act Compliance für KMU: Fristen, Pflichten und das operative Playbook 2026

Viele Geschäftsführer denken beim EU AI Act an Technologiekonzerne und KI-Entwickler. Das ist ein Irrtum. EU AI Act Compliance Mittelstand ist kein Nischenthema für Großunternehmen – der AI Act betrifft jeden, der KI-Systeme einsetzt. Und das tun inzwischen die meisten Betriebe, oft ohne es so zu nennen: ChatGPT im Vertrieb, automatisierte Rechnungsprüfung, ein KI-gestütztes Bewerbermanagement, ein Chatbot auf der Website. Wer das hat, ist im Geltungsbereich.

Am 7. Mai 2026 hat die EU mit dem sogenannten Digital-Omnibus-Beschluss die Umsetzungsfristen neu justiert – das ist die wichtigste Änderung seit Inkrafttreten des Gesetzes. Dieser Artikel erklärt, was sich geändert hat, welche Fristen jetzt tatsächlich gelten, was KMU als Betreiber konkret tun müssen – und wie ein operatives Compliance-Playbook aussieht, das in der Praxis funktioniert.

Hinweis: Dieser Artikel ist keine Rechtsberatung. Er fasst den Stand vom Mai 2026 zusammen und bietet operative Orientierung. Für konkrete Rechtsfragen wende dich an einen auf KI-Recht spezialisierten Anwalt.

Was der Digital Omnibus vom 7. Mai 2026 geändert hat

Die ursprüngliche Frist für Hochrisiko-KI-Systeme nach Anhang III des AI Acts war der 2. August 2026. Dieser Termin ist nun verschoben: EU-Rat und Parlament einigten sich am 7. Mai 2026 auf eine Verlängerung für bestehende Hochrisiko-Systeme. Die neue Deadline für vollständige Compliance von Hochrisiko-KI nach Anhang III – also Systeme für Personalauswahl, Kreditwürdigkeitsprüfung oder kritische Infrastruktur – liegt jetzt beim 2. Dezember 2027.

Was diese Verlängerung nicht bedeutet: Entspannung. Wer jetzt auf die verlängerten Fristen setzt, macht einen strategischen Fehler. Die operativen Grundpflichten laufen längst, und Transparenzfristen für generative KI kommen im August 2026 – unverändert.

Die aktuelle Fristenstruktur (Stand: Mai 2026) sieht so aus:

• Seit 2. Februar 2025: Verbotene KI-Praktiken (Art. 5) sind scharf gestellt – Social Scoring, manipulative KI, Echtzeit-Biometrie im öffentlichen Raum. KI-Kompetenzpflicht (Art. 4) gilt: Mitarbeitende, die KI nutzen, müssen nachweislich geschult sein.
• Seit 2. August 2025: Anforderungen für General-Purpose-AI-Modelle (GPAI) gelten – betrifft primär Provider wie OpenAI, Anthropic, Google. Als KMU-Nutzer hast du hier indirekte Verantwortung bei der Anbieterauswahl.
• Ab 2. August 2026: Transparenzpflichten für neue generative KI-Systeme (u.a. digitale Wasserzeichen). Hochrisiko-KI-Anforderungen für neue Systeme.
• Bis 2. Dezember 2026: Bestehende generative KI-Systeme müssen nachrüsten (Wasserzeichen, Kennzeichnung).
• Bis 2. Dezember 2027: Vollständige Compliance für bestehende Hochrisiko-KI-Systeme nach Anhang III (Digital-Omnibus-Verlängerung).

Was das für den Alltag im Mittelstand bedeutet: Die Fristen für die Kernpflichten im Tagesgeschäft – KI-Kompetenz, Transparenz, Governance – sind nicht verlängert worden. Wer ChatGPT im Team einsetzt, einen KI-Chatbot betreibt oder KI-gestützte Prozesse hat, muss heute handeln.

Welche Risikoklasse gilt für dein Unternehmen – die Praxiseinordnung

Der AI Act unterscheidet vier Risikoklassen. Für die meisten KMU ist die Einordnung weniger dramatisch als befürchtet – aber sie muss trotzdem aktiv vorgenommen werden:

Unannehmbares Risiko (verboten seit Februar 2025): Social Scoring, biometrische Echtzeit-Überwachung im öffentlichen Raum, manipulative KI-Systeme, Emotions-Erkennung am Arbeitsplatz ohne Sicherheitszweck. Für den Mittelstand praktisch nie relevant – aber die Grenzen müssen bekannt sein.

Hohes Risiko (Anhang III): KI-Systeme in der Personalauswahl und im Recruiting (automatisiertes Bewerber-Scoring), Kreditwürdigkeitsprüfung, Komponenten in sicherheitskritischen Produkten. Wer ein KI-gestütztes Bewerbermanagement nutzt, ist in dieser Klasse – als Betreiber, nicht als Entwickler. Hier gelten ab August 2026 (neue Systeme) bzw. Dezember 2027 (bestehende Systeme) strenge Anforderungen: Risikomanagement, technische Dokumentation, menschliche Aufsicht, Datenlogs für mindestens sechs Monate.

Begrenztes Risiko: Chatbots auf der Website, KI-generierte Inhalte, Emotionserkennung in engen Ausnahmen. Hauptpflicht: Transparenz – Nutzer müssen wissen, dass sie mit KI interagieren. Diese Pflicht gilt ab August 2026 für neue Systeme.

Minimales Risiko: Spam-Filter, KI-gestützte Suche, Empfehlungssysteme, die meisten internen Workflow-Automatisierungen, Texterstellung mit LLMs für interne Zwecke. Hier gelten keine spezifischen Pflichten aus dem AI Act – nur die allgemeine KI-Kompetenzpflicht nach Art. 4, die bereits seit Februar 2025 läuft.

Die gute Nachricht: Der überwiegende Teil der KI-Anwendungen im Mittelstand fällt in die Kategorien „begrenzt" oder „minimal". Wer n8n-Workflows für die Rechnungsverarbeitung nutzt, CRM-Daten per LLM anreichert oder GPT für die Angebotsvorbereitung einsetzt, ist typischerweise nicht im Hochrisiko-Bereich. Mehr dazu, wie du KI strukturiert in deinen Betrieb integrierst, im V1 Capital Knowledge Hub.

Die kritische Frage, die viele KMU falsch beantworten: „Wir entwickeln keine KI, also betrifft uns das nicht." Falsch. Der AI Act unterscheidet zwischen Anbietern (Providern) und Betreibern (Deployern). Als KMU bist du in der Regel Deployer – und hast als solcher konkrete Pflichten, unabhängig davon, ob du ChatGPT oder eine zugekaufte CRM-KI nutzt.

Das operative Compliance-Playbook: 6 Schritte für den Mittelstand

Compliance klingt nach Anwaltsprojekt. In der Praxis ist der überwiegende Teil der Anforderungen operativ lösbar – mit klarem Vorgehen, einer halben Arbeitswoche interner Aufmerksamkeit und, wo nötig, externer Begleitung. Hier ist die Reihenfolge, die funktioniert:

Schritt 1 – KI-Inventur erstellen: Bevor du klassifizieren kannst, musst du wissen, was du überhaupt einsetzt. Schick eine einfache Umfrage an alle Abteilungsleiter: Welche KI-Tools werden genutzt? Dazu gehören auch eingebettete Funktionen in bestehender Software – KI-Scoring in eurem CRM, automatische Textvorschläge im ERP, KI-Funktionen in HR-Tools. Die Inventur ist der häufigste Engpass – nicht weil sie schwierig ist, sondern weil sie niemand aktiv angestoßen hat.

Schritt 2 – Risikoklassifizierung aller identifizierten Systeme: Ordne jedes System einer der vier Klassen zu. Die Schlüsselfrage: Trifft das System Entscheidungen über Menschen (Personal, Kredit, Versicherung)? Ist es in einem sicherheitskritischen Produkt eingebettet? Wenn nein, bist du wahrscheinlich in „begrenzt" oder „minimal". Dokumentiere die Einordnung – schriftlich, mit Begründung. Das ist dein erstes Compliance-Dokument.

Schritt 3 – KI-Kompetenzpflicht (Art. 4) jetzt umsetzen: Diese Pflicht gilt seit dem 2. Februar 2025. Mitarbeitende, die KI-Systeme bedienen oder deren Ergebnisse nutzen, müssen nachweislich ausreichende Kenntnisse haben. Das bedeutet nicht zwingend ein Zertifikat – aber eine dokumentierte Schulung. Für den Mittelstand praktisch: ein 2-stündiges Team-Workshop-Format, in dem erklärt wird, welche Tools genutzt werden, wie man mit KI-Outputs kritisch umgeht und was die Grenzen sind. Wichtig: nicht als Einmalevent, sondern als jährlich wiederholtes Format mit Log.

Schritt 4 – Interne KI-Richtlinie erstellen: Eine interne KI-Richtlinie ist nicht explizit im AI Act vorgeschrieben, aber in der Praxis unverzichtbar: Sie dokumentiert, welche KI-Tools genutzt werden dürfen, welche nicht, wer die Verantwortung trägt, wie mit KI-generierten Outputs umgegangen wird und wie die Schulungspflicht erfüllt wird. Zwei bis drei Seiten reichen für die meisten KMU – keine ausufernde Policy, sondern ein operatives Dokument, das jeder kennt. Dieses Dokument ist gleichzeitig dein Nachweis im Prüfungsfall.

Schritt 5 – Transparenzpflichten ab August 2026 vorbereiten: Wenn ihr einen KI-Chatbot auf der Website betreibt oder KI-generierte Inhalte veröffentlicht, müssen Nutzer ab August 2026 klar informiert werden, dass sie mit KI interagieren. Das ist operativ einfach lösbar: ein sichtbarer Hinweis im Chat-Interface, ein Standard-Disclaimer bei KI-generierten Texten. Neu entwickelte generative KI-Systeme müssen außerdem digitale Wasserzeichen implementieren – das ist primär Sache des Anbieters, aber als Deployer musst du sicherstellen, dass eingesetzte Systeme compliant sind.

Schritt 6 – Für Hochrisiko-Systeme: Governance-Struktur aufbauen: Wenn ihr tatsächlich Hochrisiko-Systeme betreibt (z.B. KI-gestütztes Bewerber-Scoring), braucht ihr ein formales Risikomanagement-System, technische Dokumentation, menschliche Aufsicht mit definierten Rollen und Log-Protokolle der Systemaktionen für mindestens sechs Monate. Das ist der aufwändigste Teil des AI Acts – aber für die meisten KMU nicht relevant. Falls doch: Externe Begleitung ist hier sinnvoll, um die Anforderungen korrekt umzusetzen.

Wenn du eine erste strukturierte Einschätzung willst, welche Compliance-Schritte für dein Unternehmen konkret relevant sind, hilft der V1 Capital Konfigurator dabei, den Scope einzugrenzen. Für eine tiefergehende Begleitung bieten wir KI-Beratung mit Compliance-Fokus an – konkret, ohne Rechtsgeschwurbel, mit klarem Umsetzungsplan.

Was die Verstöße kosten – und warum KMU nicht „zu klein" sind

Ein verbreiteter Irrtum: „Wir sind zu klein, als dass die Behörden uns prüfen würden." Das mag kurzfristig stimmen – aber das Haftungsrisiko ist real, besonders wenn Schadensfälle auftreten oder Wettbewerber Beschwerden einreichen. Die Bußgeldstruktur des AI Acts (Stand Mai 2026):

• Verbotene KI-Praktiken: Bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes – für KMU gilt der jeweils niedrigere Betrag.
• Verstöße gegen Hochrisiko- und Transparenzpflichten: Bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes.
• Falsche Angaben gegenüber Behörden: Bis zu 7,5 Millionen Euro oder 1 % des Umsatzes.

In Deutschland überwacht die Bundesnetzagentur die Einhaltung. Zusätzlich gilt: AI Act und DSGVO laufen parallel – sie ergänzen sich, ersetzen sich aber nicht. KI-Projekte mit personenbezogenen Daten haben beide Regelwerke zu beachten.

Für KMU ist das Haftungsrisiko nicht primär das Bußgeld – es ist das Reputationsrisiko und die zivilrechtliche Haftung, wenn ein KI-System Schaden verursacht und kein Governance-Nachweis vorliegt. Das ist das eigentliche Argument für frühzeitiges Handeln.

Praxisbeispiel: Wie ein Dienstleister mit 45 Mitarbeitern Compliance umsetzt

Ein Personaldienstleister mit 45 Mitarbeitern nutzt ChatGPT für die Erstellung von Stellenanzeigen, ein KI-gestütztes Kandidaten-Matching-Tool eines externen Anbieters und einen einfachen Chatbot auf der Karriereseite. Drei KI-Systeme – drei unterschiedliche Compliance-Situationen.

Nach einer halbtägigen KI-Inventur ergab die Risikoklassifizierung: Das Kandidaten-Matching-Tool fällt unter Hochrisiko (Personalauswahl, Anhang III). ChatGPT für Stellenanzeigen ist minimales Risiko. Der Website-Chatbot ist begrenztes Risiko mit Transparenzpflicht.

Die konkreten Maßnahmen: Für das Matching-Tool wurde beim Anbieter die technische Dokumentation und die Konformitätserklärung angefordert – das ist die Pflicht des Anbieters, nicht des Betreibers. Als Deployer wurde ein Prozess eingeführt, bei dem kein Kandidat ausschließlich auf Basis des KI-Scores abgelehnt wird (menschliche Aufsicht). Für ChatGPT: ein zweiseitiges Nutzungs-Regelwerk und ein Team-Workshop. Für den Chatbot: ein Hinweis „Dieser Chat wird von KI unterstützt" in der Fußzeile.

Gesamtaufwand: Zwei Arbeitstage intern, 3.500 Euro externe Begleitung für die Risikoklassifizierung und die Richtlinie. Das Unternehmen hat jetzt eine dokumentierte Compliance-Grundlage – und ist im Prüfungsfall nachweisfähig.

Was KMU als GPAI-Nutzer wissen müssen

Die meisten KMU nutzen General-Purpose-AI-Modelle (GPT, Claude, Gemini, Mistral) als Deployer – nicht als Anbieter. Das bedeutet: Die GPAI-Pflichten (technische Dokumentation, Transparenz über Trainingsdaten) trägt der Anbieter (OpenAI, Anthropic, Google). Als Deployer profitierst du davon: Die Anbieter stellen inzwischen systematisch Model Cards und Data-Processing-Agreements bereit. Diese Dokumente gehören in deine Compliance-Akte – hole sie beim Anbieter an und bewahre sie auf.

Wichtig: Wenn du GPT in ein eigenes Produkt integrierst und das Produkt an Dritte verkaufst oder lizenzierst, wechselst du die Rolle und wirst zum Anbieter mit erweiterten Pflichten. Für interne Nutzung oder für Automatisierungen im eigenen Betrieb gilt das nicht.

FAQ: EU AI Act Compliance für den Mittelstand

Gilt der EU AI Act auch für KMU, die KI nur nutzen und nicht entwickeln?

Ja. Der AI Act unterscheidet zwischen Anbietern (Entwickler von KI-Systemen) und Betreibern (Deployers). Als KMU, das KI-Tools im Betrieb einsetzt, bist du Betreiber – und hast konkrete Pflichten: KI-Kompetenz der Mitarbeitenden sicherstellen, Hochrisiko-Systeme korrekt einsetzen (menschliche Aufsicht, Logs), Transparenz bei Chatbots und KI-generierten Inhalten. Die Unternehmensgröße spielt keine Rolle für den Geltungsbereich.

Was hat sich durch den Digital-Omnibus-Beschluss vom 7. Mai 2026 geändert?

Die Frist für vollständige Compliance bei bestehenden Hochrisiko-KI-Systemen nach Anhang III (Personalauswahl, Kreditprüfung, kritische Infrastruktur) wurde vom 2. August 2026 auf den 2. Dezember 2027 verlängert. Die KI-Kompetenzpflicht (Art. 4, gilt seit Februar 2025), Transparenzpflichten für generative KI (ab August 2026) und die Verbote (seit Februar 2025) wurden nicht verlängert.

Welche Risikoklasse haben typische KMU-KI-Anwendungen?

Die meisten: minimal oder begrenzt. ChatGPT für interne Texte, Rechnungsautomatisierung, Marketing-Analyse, CRM-Anreicherung = minimales Risiko. Website-Chatbots, KI-generierte Inhalte für Kunden = begrenztes Risiko (Transparenzpflicht). Ausnahme: KI-gestütztes Bewerber-Scoring, automatisierte Kreditentscheidungen = Hochrisiko nach Anhang III.

Was ist die KI-Kompetenzpflicht nach Artikel 4 – und gilt sie schon?

Ja, seit dem 2. Februar 2025. Unternehmen müssen sicherstellen, dass Mitarbeitende, die KI-Systeme bedienen oder ihre Ergebnisse nutzen, ausreichende KI-Kenntnisse haben. Das bedeutet keine Zertifizierung, aber nachweisliche Schulungsmaßnahmen. Empfehlung: dokumentierte Team-Workshops, mindestens einmal pro Jahr, mit Teilnehmerliste und Inhaltsprotokoll.

Was kostet AI-Act-Compliance für ein KMU realistisch?

Für KMU mit ausschließlich minimalem und begrenztem Risiko: 1–3 Arbeitstage intern (Inventur, Klassifizierung, Richtlinie), optional 2.000–5.000 Euro externe Begleitung. Für KMU mit Hochrisiko-Systemen: 5–15 Arbeitstage intern, 5.000–20.000 Euro externe Unterstützung für Governance-Setup und Dokumentation. Einmalige Investition, danach jährliche Aktualisierung.

Welche Konsequenzen drohen, wenn ein KMU nichts tut?

Kurzfristig: wahrscheinlich keine Behördenprüfung. Mittelfristig: Haftungsrisiko bei Schadensfällen (KI-System trifft Entscheidungen, die zu Schaden führen, kein Governance-Nachweis vorhanden), Reputationsrisiko und mögliche Beschwerden durch Wettbewerber oder betroffene Personen. Bußgelder bis 15 Mio. Euro oder 3 % Jahresumsatz sind für wiederholte oder schwere Verstöße möglich. Die Bundesnetzagentur ist die zuständige Aufsichtsbehörde in Deutschland.

Fazit: Compliance ist kein Anwaltsprojekt – es ist ein Betriebsprojekt

Der EU AI Act ist real, und er betrifft auch den Mittelstand. Wer KI nutzt – egal ob ChatGPT, ein KI-Chatbot oder ein zugekauftes HR-Tool – ist im Geltungsbereich. Der Digital-Omnibus vom Mai 2026 hat Luft für Hochrisiko-Systeme verschafft, aber die operativen Kernpflichten laufen: KI-Kompetenz seit Februar 2025, Transparenz ab August 2026.

Die gute Nachricht: Für die meisten KMU ist AI-Act-Compliance kein Monster. Eine strukturierte KI-Inventur, eine klare Risikoklassifizierung, eine interne Richtlinie und dokumentierte Schulungen – das ist das Kern-Playbook. Wer das umsetzt, ist im Prüfungsfall nachweisfähig und kann KI weiter produktiv einsetzen, ohne regulatorisches Risiko aufzubauen.

Du willst wissen, wo dein Unternehmen beim EU AI Act steht – und was konkret zu tun ist? V1 Capital macht kompakte KI-Compliance-Checks: Inventur-Struktur, Risikoeinordnung, operativer Umsetzungsplan – ohne Rechtsunsicherheit, ohne Panik. Jetzt anfragen →