AI Act 2025: Was kleine Unternehmen jetzt wissen müssen

Von René Koch 7 Min. Lesezeit
AI Act Compliance KMU Schulung Recht

Seit Februar 2025 gilt der AI Act. Wenn du KI einsetzt — und sei es nur ChatGPT für eine E-Mail-Vorlage — bist du betroffen. Die meisten kleinen Unternehmen wissen das noch nicht. Oder sie glauben, das Ganze sei nur für Tech-Konzerne relevant. Beide Annahmen sind falsch.

Hinweis: Dieser Artikel ist keine Rechtsberatung. Er dient der Orientierung und ersetzt nicht die Prüfung durch eine qualifizierte Rechtsanwältin oder einen Rechtsanwalt.

Was ist der AI Act?

Der AI Act ist die europäische Verordnung zur Regulierung von Künstlicher Intelligenz. Er funktioniert ähnlich wie die DSGVO — nur eben nicht für Datenschutz, sondern für den Einsatz von KI-Systemen. Die Verordnung gilt unmittelbar in allen EU-Mitgliedsstaaten und betrifft jeden, der KI entwickelt, vertreibt oder einsetzt. Kurz gesagt: Was die DSGVO für personenbezogene Daten ist, ist der AI Act für Künstliche Intelligenz.

Wen betrifft es?

Die kurze Antwort: Jeden, der KI in einem geschäftlichen Kontext nutzt.

Das heißt nicht nur Unternehmen, die eigene KI-Modelle trainieren. Es betrifft auch dich, wenn du:

  • ChatGPT für Kundenkommunikation oder Texterstellung nutzt
  • Copilot in Microsoft 365 aktiviert hast
  • KI-gestützte Buchhaltungssoftware verwendest
  • Chatbots auf deiner Website einsetzt
  • KI-basierte Recruiting-Tools für Bewerbungen nutzt
  • Automatisierte Rechnungsverarbeitung mit KI-Komponenten betreibst

Ob Einzelunternehmer, Handwerksbetrieb oder Mittelständler mit 200 Mitarbeitern — sobald KI im Spiel ist, greift der AI Act.

Die Risikoklassen einfach erklärt

Der AI Act teilt KI-Systeme in vier Risikoklassen ein. Je höher das Risiko, desto strenger die Anforderungen.

RisikoklasseBeispieleAnforderungen
MinimalSpam-Filter, KI in Videospielen, EmpfehlungsalgorithmenKeine besonderen Pflichten, freiwillige Verhaltenskodizes
BegrenztChatbots, KI-generierte Texte/Bilder, Deepfake-ErkennungTransparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren
HochKI im Recruiting, Kreditwürdigkeitsprüfung, biometrische Identifikation, KI in kritischer InfrastrukturUmfangreiche Pflichten: Risikomanagementsystem, Datenqualität, Dokumentation, menschliche Aufsicht, Genauigkeit, Cybersicherheit
InakzeptabelSocial Scoring, Manipulation von Verhalten, Echtzeit-Biometrie im öffentlichen Raum (mit Ausnahmen)Verboten

Für die meisten KMU sind zwei Klassen relevant:

  • Begrenzt: Wenn du einen Chatbot auf deiner Website hast oder KI-generierte Texte veröffentlichst. Hier musst du kennzeichnen, dass KI im Spiel ist.
  • Hoch: Wenn du KI für Personalentscheidungen, Kreditvergabe oder sicherheitskritische Anwendungen einsetzt. Hier wird es aufwändig.

Was musst du konkret tun?

Hier ist deine Checkliste mit den fünf wichtigsten Pflichten:

1. KI-Inventar erstellen

Liste alle KI-Systeme auf, die in deinem Unternehmen genutzt werden. Jedes einzelne. Das umfasst:

  • Eingekaufte Software mit KI-Funktionen (z. B. Microsoft Copilot, ChatGPT-Accounts)
  • KI-Plugins in bestehenden Tools
  • Automatisierungen, die KI-Komponenten enthalten
  • KI-gestützte Analyse-Tools

Tipp: Frage dein Team. Oft nutzen Mitarbeiter KI-Tools, von denen die Geschäftsleitung nichts weiß.

2. Risikoklassen zuordnen

Ordne jedes System aus deinem Inventar einer Risikoklasse zu. Die Tabelle oben hilft dir dabei. Im Zweifel: lieber eine Klasse höher einordnen.

3. Mitarbeiter schulen

Das ist keine Empfehlung — das ist Pflicht (mehr dazu im nächsten Abschnitt). Jeder, der mit KI arbeitet, braucht eine Schulung.

4. Dokumentation anlegen

Dokumentiere für jedes KI-System:

  • Zweck: Wofür wird es eingesetzt?
  • Risikoklasse: Welche Einstufung hat es?
  • Verantwortliche: Wer ist zuständig?
  • Schulungen: Wer wurde wann geschult?
  • Maßnahmen: Welche Schritte wurden zur Compliance unternommen?

5. Prozesse anpassen

Prüfe, ob deine bestehenden Prozesse den Anforderungen des AI Act entsprechen. Beispiele:

  • Chatbots müssen als KI gekennzeichnet werden
  • KI-generierte Inhalte brauchen eine Kennzeichnung
  • Bei Hochrisiko-Systemen brauchst du ein dokumentiertes Risikomanagementsystem

Die Schulungspflicht: Artikel 4

Vertiefung: Alles zur Schulungspflicht im Detail findest du im separaten Artikel KI-Schulungspflicht 2025: Was KMU jetzt tun müssen.

Artikel 4 des AI Act schreibt vor: Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihr Personal über eine ausreichende KI-Kompetenz verfügt.

Was muss die Schulung abdecken?

  • Grundlegendes Verständnis, wie KI funktioniert
  • Kenntnis der eingesetzten KI-Systeme im Unternehmen
  • Bewusstsein für Risiken und Grenzen der genutzten KI
  • Kenntnis der geltenden Vorschriften (AI Act, DSGVO-Bezüge)
  • Praktisches Wissen für den sicheren Umgang

Wer muss geschult werden?

Alle Personen, die mit KI-Systemen arbeiten oder Entscheidungen über deren Einsatz treffen. Das schließt ein:

  • Geschäftsführung
  • Mitarbeiter, die KI-Tools nutzen
  • IT-Verantwortliche
  • Personen, die KI-gestützte Entscheidungen überwachen

Fristen und Strafen

Die Schulungspflicht aus Artikel 4 gilt seit dem 2. Februar 2025. Das heißt: Wenn du heute noch nicht geschult hast, bist du bereits im Rückstand. Verstöße gegen die Schulungspflicht können mit Bußgeldern geahndet werden.

Typische Fehler

In Gesprächen mit Unternehmern höre ich immer wieder die gleichen drei Sätze:

“Betrifft mich nicht”

Doch. Sobald du ein KI-System in deinem Unternehmen nutzt — und das tun mittlerweile die meisten — bist du Betreiber im Sinne des AI Act. Die Größe deines Unternehmens spielt keine Rolle.

”Wir nutzen ja nur ChatGPT”

Genau das ist ein KI-System. Und je nachdem, wofür du es einsetzt, können durchaus Transparenz- oder sogar Hochrisiko-Pflichten greifen. Nutzt du es zum Beispiel zur Vorauswahl von Bewerbungen, bist du im Hochrisiko-Bereich.

”Das machen wir später”

Die Schulungspflicht gilt bereits. Die weiteren Anforderungen für Hochrisiko-Systeme greifen ab August 2026. “Später” ist keine Strategie, wenn die Fristen schon laufen.

Was passiert bei Verstößen?

Der AI Act sieht empfindliche Strafen vor:

VerstoßMaximales Bußgeld
Einsatz verbotener KI-Systeme35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
Verstoß gegen Pflichten für Hochrisiko-KI15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes
Falsche oder unvollständige Angaben7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes

Für KMU gelten bei einigen Verstößen niedrigere Obergrenzen — aber “niedriger” heißt hier immer noch potenziell existenzbedrohend.

Neben den Bußgeldern gibt es praktische Konsequenzen:

  • Reputationsschaden: Kunden und Geschäftspartner verlieren Vertrauen
  • Betriebsuntersagung: Im Extremfall kann der Einsatz eines KI-Systems untersagt werden
  • Haftungsrisiken: Bei Schäden durch nicht-konforme KI-Systeme steigt dein Haftungsrisiko

Häufige Fragen

Ab wann gelten die Pflichten?

Die Pflichten treten gestaffelt in Kraft:

  • Seit 2. Februar 2025: Verbot inakzeptabler KI-Praktiken und Schulungspflicht (Artikel 4)
  • Ab 2. August 2025: Anforderungen an allgemeine KI-Modelle (z. B. Transparenzpflichten für Anbieter von Foundation Models)
  • Ab 2. August 2026: Volle Geltung der Anforderungen für Hochrisiko-KI-Systeme

Die Schulungspflicht gilt also bereits jetzt.

Muss ich als Einzelunternehmer auch schulen?

Ja. Auch wenn du dein einziger Mitarbeiter bist, musst du sicherstellen, dass du über ausreichende KI-Kompetenz verfügst. In der Praxis heißt das: Bilde dich selbst weiter und dokumentiere das. Wenn du Freelancer oder Auftragnehmer einsetzt, die mit deinen KI-Systemen arbeiten, müssen auch diese geschult sein.

Reicht eine Online-Schulung?

Der AI Act schreibt kein bestimmtes Format vor. Eine Online-Schulung kann ausreichen, wenn sie die relevanten Inhalte abdeckt und nachweisbar ist. Wichtig ist, dass du die Schulung dokumentierst — wer wurde wann zu welchen Themen geschult. Ein Zertifikat oder eine unterschriebene Teilnahmebestätigung sind empfehlenswert.

Was ist mit selbst gehosteter KI?

Selbst gehostete KI-Modelle unterliegen denselben Risikoklassen wie Cloud-Dienste. Der Unterschied: Du hast mehr Kontrolle über Datenflüsse und kannst DSGVO-Anforderungen leichter erfüllen. Wenn du zum Beispiel einen eigenen KI-Assistenten ohne Cloud betreibst, bleiben deine Daten auf deinem Server — aber die AI-Act-Pflichten gelten trotzdem.

Erlebe es live

Wie gut ist dein Unternehmen vorbereitet? Teste es selbst:

Der AI Act klingt nach viel Bürokratie. Für die meisten KMU lässt sich die Umsetzung aber auf einige überschaubare Schritte reduzieren: Inventar erstellen, Risiken bewerten, Mitarbeiter schulen, dokumentieren. Das Wichtigste ist, jetzt anzufangen — nicht erst, wenn die nächste Frist kommt.

Wenn du KI datenschutzkonform einsetzen willst, schau dir an, wie du einen KI-Assistenten auf eigenem Server betreiben kannst. Und wenn du wissen willst, wie Automatisierung im Alltag aussieht, lies den Artikel zur Büroarbeit im Handwerk.

Du brauchst Unterstützung bei der Umsetzung des AI Act in deinem Unternehmen? Erstgespräch vereinbaren — wir schauen gemeinsam, wo du stehst und was zu tun ist.

Klingt interessant?

Lass uns in einem kostenlosen Erstgespräch herausfinden, wie ich dich unterstützen kann.

Erstgespräch vereinbaren

Weitere Artikel

KI-Schulungspflicht 2025: Was KMU jetzt tun müssen (Art. 4 AI Act)

Seit Februar 2025 gilt die KI-Schulungspflicht nach Art. 4 AI Act. Wer betroffen ist, was droht und welche 3 Schritte KMU jetzt gehen müssen.

AI ActSchulungspflichtKMU

EU AI Act: Was Steuerberater ihren Mandanten jetzt sagen müssen

Der AI Act betrifft Steuerberater doppelt: eigene Kanzlei und Beratungspflicht. Was du wissen musst und wie du daraus eine Zusatzleistung machst.

AI ActSteuerberaterCompliance

AI Act Compliance für Zulieferer: Was produzierende Unternehmen jetzt wissen müssen

Automotive- und Industriekunden fordern AI-Act-Compliance. Was das für Zulieferer bedeutet und wie du dich vorbereitest.

AI ActProduktionZulieferer