Am 2. August 2026 treten die Transparenzpflichten des EU AI Act nach Artikel 50 in Kraft. Für kleine und mittlere Unternehmen, die KI-Systeme einsetzen – sei es ChatGPT für Texterstellung, KI-Chatbots im Kundenservice oder automatisierte Empfehlungssysteme – bedeutet das: Handlungsbedarf besteht jetzt.
Dieser Guide erklärt die wesentlichen Anforderungen, ordnet ein, welche Pflichten tatsächlich für typische KMU-Anwendungen gelten, und liefert einen pragmatischen Fahrplan für die Umsetzung.
Was ist der EU AI Act?
Der EU AI Act (KI-Verordnung) ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Er gilt seit August 2024 und wird stufenweise verbindlich. Ziel ist es, den Einsatz von KI in der EU sicher, transparent und grundrechtskonform zu gestalten.
Der AI Act unterscheidet nicht nach Unternehmensgröße, sondern nach Risikokategorie des eingesetzten KI-Systems. Das bedeutet: Auch ein Unternehmen mit zehn Mitarbeitenden kann betroffen sein, wenn es KI-Systeme einsetzt, die unter die regulierten Kategorien fallen.
Das Risikostufen-Modell
Der AI Act klassifiziert KI-Systeme in vier Risikostufen:
Unannehmbares Risiko (verboten)
Seit Februar 2025 sind bestimmte KI-Anwendungen in der EU verboten: Social Scoring durch staatliche Stellen, manipulative Techniken zur unbewussten Beeinflussung, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit Ausnahmen). Seit März 2026 gilt das Verbot auch für sogenannte Nudifier-Apps.
Für die meisten KMU ist diese Kategorie nicht relevant – es sei denn, Sie setzen KI ein, die gezielt das Verhalten von Personen manipuliert.
Hochrisiko
KI-Systeme in sicherheitskritischen Bereichen wie Medizinprodukte, Personalauswahl, Kreditvergabe oder biometrische Identifikation unterliegen strengen Anforderungen: Risikomanagementsystem, Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht.
Die Fristen für Hochrisiko-Systeme wurden durch das Digital Omnibus vom März 2026 verschoben: Anhang-III-Systeme auf Dezember 2027, Anhang-I-Systeme auf August 2028. Das gibt zusätzlichen Vorbereitungsspielraum.
Begrenztes Risiko (Transparenzpflichten)
Diese Kategorie betrifft die meisten KMU. Wenn Sie KI-Systeme einsetzen, die mit Menschen interagieren oder Inhalte generieren, greifen die Transparenzpflichten nach Artikel 50 – ab dem 2. August 2026.
Minimales Risiko
KI-Systeme wie Spam-Filter, automatische Textvorschläge oder Produktempfehlungen fallen in die Kategorie minimales Risiko. Hier bestehen keine spezifischen Pflichten aus dem AI Act.
Artikel 50: Die Transparenzpflichten im Detail
Für KMU sind die Transparenzpflichten nach Artikel 50 der relevanteste Teil des AI Act. Sie gelten ab August 2026 und umfassen drei Kernbereiche:
KI-Interaktionskennzeichnung (Art. 50 Abs. 1)
Wenn Ihr Unternehmen KI-Systeme einsetzt, die direkt mit Menschen interagieren – zum Beispiel Chatbots im Kundenservice, KI-Telefonassistenten oder automatisierte Beratungssysteme – müssen die Nutzer darüber informiert werden, dass sie mit einer KI kommunizieren. Die Information muss zu Beginn der Interaktion erfolgen, klar und verständlich sein.
KI-generierte Inhalte (Art. 50 Abs. 2)
KI-Systeme, die synthetische Inhalte erzeugen – Texte, Bilder, Audio, Video – müssen ihre Outputs maschinenlesbar als KI-generiert kennzeichnen. Dies betrifft Unternehmen, die KI-Tools für Content-Erstellung nutzen und die Ergebnisse veröffentlichen.
Deepfake-Kennzeichnung (Art. 50 Abs. 4)
Wer KI-generierte oder manipulierte Texte veröffentlicht, die die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse informieren sollen, muss die KI-Generierung offenlegen. Für die meisten KMU ist diese Anforderung weniger relevant, es sei denn, Sie betreiben aktiv Öffentlichkeitsarbeit mit KI-generierten Texten.
Welche KI-Systeme nutzen KMU typischerweise?
In der Praxis setzen die meisten KMU KI in folgenden Bereichen ein:
Textgenerierung: ChatGPT, Claude, Gemini für Blog-Artikel, E-Mails, Social-Media-Posts. Wenn diese Texte veröffentlicht werden, greift potenziell die Kennzeichnungspflicht.
Kundenservice: KI-Chatbots auf der Website oder KI-Telefonassistenten. Hier greift die Interaktionskennzeichnung nach Artikel 50 Abs. 1.
Bildgenerierung: Midjourney, DALL-E, Stable Diffusion für Marketing-Materialien. Generierte Bilder sollten als KI-generiert gekennzeichnet werden.
Automatisierte Empfehlungen: Produktempfehlungen im Online-Shop, personalisierte Newsletter-Inhalte. Diese fallen meist unter minimales Risiko, sofern keine sicherheitskritischen Entscheidungen getroffen werden.
Der Umsetzungsfahrplan für KMU
Phase 1: Bestandsaufnahme (2–4 Wochen)
Erstellen Sie ein KI-Inventar: Welche KI-Systeme werden in Ihrem Unternehmen eingesetzt? Erfassen Sie auch Systeme, die Mitarbeitende eigenständig nutzen – ChatGPT, Copilot, Midjourney fallen ebenfalls unter den AI Act. Klassifizieren Sie jedes System nach Risikostufe.
Phase 2: Pflichten identifizieren (1–2 Wochen)
Für jedes System im Inventar: Welche konkreten Pflichten ergeben sich? Für die meisten KMU werden es primär Transparenzpflichten sein. Dokumentieren Sie, welche Maßnahmen für jedes System erforderlich sind.
Phase 3: Umsetzung (4–8 Wochen)
Implementieren Sie die erforderlichen Maßnahmen: KI-Kennzeichnung in Chatbots und Telefonassistenten, Kennzeichnungsprozess für KI-generierte Inhalte, interne Richtlinien für KI-Nutzung durch Mitarbeitende, Dokumentation der getroffenen Maßnahmen.
Phase 4: Laufende Pflege
Der AI Act ist kein einmaliges Projekt. Neue KI-Systeme müssen fortlaufend erfasst und klassifiziert werden. Interne Richtlinien müssen bei Bedarf aktualisiert werden.
Sanktionen bei Verstößen
Der AI Act sieht erhebliche Bußgelder vor: Bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes bei verbotenen Praktiken. Bis zu 15 Millionen Euro oder 3 Prozent bei Verstößen gegen Transparenzpflichten. Für KMU gilt eine Sonderregelung: Es wird jeweils der niedrigere Betrag angesetzt. Dennoch können die Sanktionen existenzbedrohend sein.
Die nationale Aufsichtsbehörde in Deutschland ist die Bundesnetzagentur. Die konkrete Durchsetzungspraxis wird sich noch entwickeln, aber die Pflichten gelten ab den genannten Fristen.
KMU-Erleichterungen
Der Gesetzgeber hat explizite Erleichterungen für KMU vorgesehen: Reduzierte Gebühren für Konformitätsbewertungen, vereinfachte Dokumentationsformulare, Zugang zu regulatorischen Sandboxes für Tests, Schulungs- und Beratungsangebote über nationale Kompetenzzentren. Seit dem Digital Omnibus vom März 2026 werden diese Erleichterungen auf kleine Mid-Cap-Unternehmen bis 500 Mitarbeitende ausgeweitet.
Compliance als Wettbewerbsvorteil
Der AI Act muss nicht nur als Pflicht verstanden werden. Unternehmen, die frühzeitig und transparent umsetzen, signalisieren Kunden und Geschäftspartnern Verantwortungsbewusstsein. In einem Markt, in dem das Vertrauen in KI-Anwendungen noch aufgebaut werden muss, kann nachweisbare Compliance ein echtes Differenzierungsmerkmal sein.
FAQ
Bin ich als KMU überhaupt betroffen? Wenn Sie KI-Systeme einsetzen, die mit Menschen interagieren (Chatbots, Telefonassistenten) oder KI-generierte Inhalte veröffentlichen – ja. Der AI Act unterscheidet nach Risiko des KI-Systems, nicht nach Unternehmensgröße.
Muss ich einen KI-Beauftragten benennen? Der AI Act schreibt keinen „KI-Beauftragten" vor. Allerdings muss die Verantwortung klar zugeordnet sein – etwa bei der IT-Leitung oder Compliance.
Was passiert, wenn die Hochrisiko-Fristen nochmals verschoben werden? Die Transparenzpflichten nach Artikel 50 gelten unabhängig davon ab August 2026. Die Verschiebung betrifft nur Hochrisiko-Systeme. Bereiten Sie sich auf beide Fristen vor.
Wie hoch ist der Umsetzungsaufwand realistisch? Für typische KMU mit primär Transparenzpflichten: Die Bestandsaufnahme dauert ein bis zwei Wochen, die technische Umsetzung vier bis acht Wochen. Der laufende Aufwand ist vergleichbar mit DSGVO-Pflege.
Brauche ich externe Beratung? Für die Bestandsaufnahme und Risikoklassifizierung ist externe Unterstützung empfehlenswert, um nichts zu übersehen. Die technische Umsetzung der Transparenzpflichten ist in den meisten Fällen mit überschaubarem Aufwand selbst machbar.
