Zuletzt aktualisiert: 11. März 2026
🔹 Worum es heute geht: Der EU AI Act ist seit August 2024 in Kraft – und seit Februar 2025 gelten erste Verbote. Was das konkret für kleine und mittlere Unternehmen in Deutschland bedeutet, erkläre ich hier so praxisnah wie möglich. 🔹 Was wir gelernt haben: Nicht jede KI-Nutzung ist gleich riskant – aber wer keine Übersicht hat, tappt schnell in Dokumentationsfallen, die vermeidbar wären. 🔹 Was Leser:innen davon haben: Einen klaren Überblick, eine 6-Schritte-Checkliste und einen Musterbriefe für die interne Kommunikation.
Seit dem Frühjahr 2026 kursiert in den Industrie- und Handelskammern von Bayern bis Schleswig-Holstein ein Satz, den Betriebsberater inzwischen fast auswendig kennen: „Der AI Act gilt auch für uns – aber wir wissen noch nicht genau, wie." In Handwerksbetrieben in Augsburg, mittelständischen Logistikern im Ruhrgebiet und kleinen Steuerberatungskanzleien an der Förde stellt man sich dieselbe Frage. Besonders brisant: Der Bundesverband der Deutschen Industrie (BDI) hat im Februar 2026 in einer internen Stellungnahme darauf hingewiesen, dass die bislang veröffentlichten deutschen Leitfäden zur Umsetzung des AI Act für Unternehmen unter 250 Mitarbeitern kaum praxistaugliche Handlungsempfehlungen enthalten – eine Lücke, die viele KMU-Inhaber frustriert. (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
In den ersten Wochen, nachdem ich ernsthaft anfing, mich mit dem Thema zu beschäftigen, saß ich wirklich etwas ratlos am Küchentisch. Mein Partner – gelernter Tischlermeister mit einem kleinen Betrieb im Speckgürtel von Stuttgart – hatte mich gefragt, ob sein neues Angebots-Tool, das auf einer KI-Plattform basiert, nun „irgendwie illegal" sei. Die Frage klang vielleicht naiv, aber sie trifft den Kern dessen, was Tausende kleine Unternehmer in Deutschland gerade beschäftigt. Man nutzt KI, weil es praktisch ist – und fragt sich hinterher, was man eigentlich getan hat. Das Gefühl kenne ich gut.
Ehrlich gesagt musste ich zuerst selbst tief in die Unterlagen einsteigen. Der EU AI Act – offiziell die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates – wurde im August 2024 im EU-Amtsblatt veröffentlicht und tritt schrittweise in Kraft. Was das bedeutet: Nicht alles gilt sofort, aber das Gesetz entfaltet seine Wirkung in Wellen. Wer das nicht kennt, läuft Gefahr, entweder in falscher Sicherheit zu verharren oder unnötige Panik zu entwickeln. (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
Mit der Zeit wurde uns klar, dass der Schlüssel zum Verständnis das sogenannte Risikoklassensystem ist. Der EU AI Act teilt KI-Anwendungen in vier Kategorien ein: verbotene Praktiken, Hochrisiko-KI, bestimmte KI-Systeme mit besonderen Transparenzpflichten und minimales bzw. kein Risiko. Ganz unten in der Pyramide finden sich die alltäglichsten Anwendungen, die in den meisten KMU tatsächlich im Einsatz sind – von einfachen Textgeneratoren bis hin zu Chatbots für den Kundenservice. Für diese gilt im Wesentlichen: Transparenz gegenüber dem Nutzer ist das Wichtigste. (Stand: 2026, Quelle: Europäisches Parlament, https://www.europarl.europa.eu/topics/de/article/20230601STO93804)
| Risikoklasse | Beispiele & Pflichten |
|---|---|
| VERBOTEN | Soziales Scoring, biometrische Überwachung, subliminale Beeinflussung |
| HOCHRISIKO (Anhang III) | KI in Personalentscheidungen, Kreditvergabe, Bildung, kritische Infrastruktur → Konformitätsbewertung, technische Dokumentation, Registrierungspflicht in EU-Datenbank |
| BEGRENZT (Transparenz) | Chatbots, Deepfakes, KI-generierte Inhalte → Kennzeichnungspflicht, Offenlegungspflicht |
| MINIMAL (kein Risiko) | Spam-Filter, einfache Empfehlungssysteme, KI in Spielen → Keine Sonderpflichten |
Rückblickend betrachtet war der erste Schritt für uns der wertvollste: Wir haben einfach aufgeschrieben, wo im Betrieb meines Partners überhaupt KI zum Einsatz kommt. Das klingt trivial, ist aber erstaunlich aufschlussreich. Am Ende der Liste standen: ein KI-gestütztes Angebotserstellungstool (zugekaufte SaaS-Lösung), ein automatisierter E-Mail-Respondent, der erste Kundenanfragen beantwortet, und ein Planungstool, das Materialbedarf auf Basis vergangener Aufträge schätzt. Keines dieser Systeme trifft autonome Entscheidungen über Menschen – daher fallen sie aller Wahrscheinlichkeit nach in die Kategorie minimales Risiko oder bestenfalls begrenzte Transparenzpflichten. Aber: Das sollte man im Zweifel nicht nur annehmen, sondern sich vergewissern. (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
Die wirklich kritischen Fälle – und das ist der Teil, den viele Kleinunternehmer unterschätzen – entstehen oft nicht durch bewusste Entscheidungen, sondern durch Werkzeuge, die man einfach nutzt, ohne sie tief zu hinterfragen. Ein HR-Tool, das Bewerberprofile anhand von KI-Bewertungen rankt? Das fällt laut EU AI Act in Anhang III, also in die Hochrisiko-Kategorie. Ebenso ein Kreditbewertungssystem, das von einem Finanzierungspartner genutzt wird und indirekt über Konditionen entscheidet. Oder ein KI-System, das Mitarbeiterleistung bewertet und zur Grundlage für Boni oder Entlassungen gemacht wird. Für diese Systeme gelten erheblich strengere Anforderungen – darunter Pflichten zur technischen Dokumentation, zur Protokollierung (sogenannte Log-Daten), zur menschlichen Aufsicht und zur Registrierung in einer EU-weiten Datenbank. (Stand: 2026, Quelle: EU AI Act Artikel 6–49, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689)
Ganz ehrlich, am Anfang wussten wir das nicht – und ich vermute, die meisten Inhaber von kleinen Handwerks-, Dienstleistungs- oder Handelsbetrieben in Deutschland wissen es auch noch nicht. Das ist kein Vorwurf, sondern eine Beobachtung. Der EU AI Act ist lang, komplex und kommt zusätzlich zur DSGVO, zum Lieferkettensorgfaltspflichtengesetz und zum ohnehin dichten deutschen Arbeitsrecht. Es ist verständlich, dass man da den Überblick verliert.
Umso wichtiger ist eine einfache Grundregel, die ich seitdem selbst verinnerlicht habe: Erst fragen, dann einsetzen. Das bedeutet: Bevor man ein neues KI-Tool einführt, lohnt es sich, drei kurze Fragen zu stellen: Trifft dieses System Entscheidungen über Menschen? Werden dabei persönliche Daten verarbeitet? Und: Ist für Nutzer oder Betroffene erkennbar, dass KI im Spiel ist? Wer diese Fragen beantworten kann, hat bereits einen guten Ausgangspunkt für die Compliance-Einschätzung. (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
Besonders aufschlussreich fand ich einen Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus dem Jahr 2025, der explizit auf die Herausforderungen für KMU im Umgang mit KI-Systemen eingeht. Das BSI empfiehlt unter anderem, bei zugekauften KI-Lösungen die Anbieter aktiv nach Konformitätsnachweisen zu befragen und gegebenenfalls vertragliche Zusicherungen einzuholen. (Stand: 2025/2026, Quelle: BSI, https://www.bsi.bund.de/KI) Das klingt bürokratisch, ist in der Praxis aber oft ein einfaches Schreiben an den Anbieter – dazu später mehr.
Später haben wir gemerkt, dass es beim EU AI Act nicht nur um Verbote und Pflichten geht, sondern auch um Vertrauen. Das ist der Gedanke, der mich inzwischen am meisten überzeugt hat. Wer seinen Kunden, Mitarbeitern und Geschäftspartnern gegenüber transparent macht, wo und wie KI eingesetzt wird, schafft eine Grundlage für Vertrauen – und das ist in Zeiten zunehmender Skepsis gegenüber digitalen Tools ein echter Wettbewerbsvorteil. Klingt etwas idealistisch? Vielleicht. Aber ich habe es selbst erlebt: Mein Partner hat angefangen, in seinen Angeboten kurz zu erwähnen, dass die Kalkulation KI-unterstützt erstellt wird. Die Reaktion der meisten Kunden war überraschend positiv – nicht negativ.
Die Transparenzpflichten des EU AI Act spielen hier eine direkte Rolle. Für Chatbots und sogenannte KI-generierte Inhalte gilt laut Art. 50 EU AI Act, dass Nutzer informiert werden sollen, wenn sie mit einem KI-System interagieren – zumindest, sofern das nicht ohnehin offensichtlich ist. Das bedeutet für einen kleinen Onlineshop, der einen KI-Chatbot einsetzt: Ein kurzer Hinweis in der Chat-Oberfläche, dass Antworten automatisch generiert werden, dürfte in der Regel ausreichen, um dieser Pflicht nachzukommen. (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
In den ersten Gesprächen mit anderen kleinen Unternehmern – bei der IHK-Veranstaltung in Stuttgart, aber auch im Austausch mit Berufskollegen über Messenger-Gruppen – hat sich ein Muster herauskristallisiert: Die meisten haben Angst vor Bußgeldern, aber kaum jemand weiß, wie hoch diese tatsächlich ausfallen könnten. Der EU AI Act sieht im Hochrisikobereich empfindliche Sanktionen vor – bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes, je nachdem, was höher ist. Das klingt erschreckend. Für einen Betrieb mit 20 Mitarbeitern, der ausschließlich Niedrigrisiko-KI nutzt, sind diese Zahlen aber in weiter Ferne. (Stand: 2026, Quelle: EU AI Act Art. 99, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689) (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
Was mir persönlich wichtig ist, klarzustellen: Ich bin keine Juristin und dieser Text ersetzt keine Rechtsberatung. Die rechtliche Einordnung im Einzelfall hängt von vielen Faktoren ab – dem konkreten System, der Nutzungsweise, dem Markt, in dem man tätig ist, und nicht zuletzt der noch laufenden Auslegungspraxis der nationalen Aufsichtsbehörden. Deutschland hat noch keine endgültig benannte Aufsichtsbehörde für den EU AI Act bestimmt, obwohl verschiedene Ressorts – darunter das Bundesministerium für Digitales und Verkehr (BMDV) und die Bundesnetzagentur – im Gespräch sind. (Stand: März 2026 – aktuelle Entwicklungen bitte direkt bei offiziellen Quellen prüfen.)
Mit der Zeit wurde uns klar, dass der pragmatischste Weg für kleine Betriebe ein sogenanntes KI-Inventar ist. Das ist kein kompliziertes Dokument – eine einfache Tabelle reicht vollkommen aus. Darin hält man fest: Welche KI-Tools werden genutzt? Wofür? Wer ist intern verantwortlich? Gibt es datenschutzrechtliche Berührungspunkte? Und: Hat der Anbieter eine Konformitätserklärung vorgelegt? Dieses Inventar ist der Ausgangspunkt für alles Weitere – und im Falle einer Prüfung zeigt es, dass man das Thema ernst nimmt.
Die EU-Kommission hat inzwischen ein öffentlich zugängliches Portal für KI-Anbieter eingerichtet, über das sogenannte Allzweck-KI-Modelle (General Purpose AI Models, GPAI) registriert werden müssen – darunter bekannte Sprachmodelle großer Anbieter. Für KMU als Nutzer dieser Modelle ist das indirekt relevant: Man sollte darauf achten, ob die eingesetzten Tools bereits dort registriert sind, was ein Qualitätsindikator für die Compliance-Reife des Anbieters ist. (Stand: 2026, Quelle: EU AI Office, https://digital-strategy.ec.europa.eu/en/policies/ai-act)
✅ 6-Schritte-Guide: KI-Nutzung im KMU DSGVO- und AI-Act-konform dokumentieren
Schritt 1 – KI-Inventar erstellen Listet alle im Betrieb genutzten KI-Tools auf – auch zugekaufte SaaS-Lösungen, Plugins und automatisierte Prozesse in Buchhaltungs- oder CRM-Software. Häufig sind sich Mitarbeiter gar nicht bewusst, dass bestimmte Automatisierungen auf KI basieren.
Schritt 2 – Risikoklasse einschätzen Für jedes Tool prüfen: Trifft es Entscheidungen über Personen? Verarbeitet es personenbezogene Daten? Wird es in einem der in Anhang III genannten Bereiche eingesetzt (Personal, Kredit, Bildung, kritische Infrastruktur)? Falls ja → Hochrisiko-Prüfung durch Fachperson empfehlenswert.
Schritt 3 – Anbieter anfragen Schriftlich beim Anbieter nachfragen, ob eine EU AI Act-Konformitätserklärung vorliegt. Für Hochrisiko-KI ist die CE-Kennzeichnung und ein technisches Dossier gesetzlich vorgesehen. Viele Anbieter haben entsprechende Unterlagen bereits vorbereitet oder stellen sie auf Anfrage zur Verfügung. (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
Schritt 4 – Mitarbeiter informieren Wer im Betrieb mit KI-Tools arbeitet, sollte eine kurze Einweisung erhalten – dazu gehört auch der Hinweis, dass KI-generierte Inhalte oder Empfehlungen stets menschlich geprüft werden sollten, bevor sie nach außen gehen. Eine kurze interne Richtlinie (1–2 Seiten) reicht für die meisten KMU aus.
Schritt 5 – Transparenz nach außen sicherstellen Überall dort, wo Kunden oder Geschäftspartner mit KI-Systemen in Kontakt kommen – Chatbots, automatisierte E-Mails, KI-generierte Angebote – einen klaren und verständlichen Hinweis anbringen. Dieser muss nicht dramatisch sein, soll aber erkennbar sein.
Schritt 6 – Dokumentation regelmäßig aktualisieren KI-Tools ändern sich, Updates verändern Funktionen, neue Tools kommen hinzu. Das KI-Inventar sollte mindestens einmal im Halbjahr aktualisiert und bei wesentlichen Änderungen sofort angepasst werden.
📄 Musterbrief: Anfrage zur AI-Act-Konformität beim Anbieter
Betreff: Anfrage zur Konformität mit der EU-Verordnung 2024/1689 (EU AI Act)
Sehr geehrte Damen und Herren, wir setzen Ihr Produkt [Produktname] in unserem Unternehmen ein und bitten Sie freundlich um Auskunft, ob und in welcher Form Ihr System die Anforderungen der Verordnung (EU) 2024/1689 (EU AI Act) erfüllt. Bitte teilen Sie uns mit, welcher Risikoklasse Ihr System zugeordnet ist und ob eine Konformitätserklärung bzw. technische Dokumentation vorliegt. Mit freundlichen Grüßen, [Name, Betrieb]
(Hinweis: Dies ist ein vereinfachtes Muster. Je nach Risikoklasse und Einsatzzweck können umfangreichere Anfragen oder vertragliche Regelungen sinnvoll sein. Im Zweifel empfiehlt sich die Beratung durch eine auf IT- oder Datenschutzrecht spezialisierte Kanzlei.)
Ganz ehrlich – was mich an dieser ganzen Debatte manchmal beschäftigt, ist die Frage nach Verhältnismäßigkeit. Braucht ein Bäckereibetrieb mit fünf Mitarbeitern, der einen KI-gestützten Dienstplan nutzt, wirklich eine ausgefeilte Compliance-Struktur? Vermutlich nicht in dem Maße, wie es manchmal in allgemeinen Ratgebern klingt. Der EU AI Act enthält in Artikel 2 und in den Erwägungsgründen durchaus Hinweise darauf, dass Kleinstunternehmen nicht unverhältnismäßig belastet werden sollen. Die Praxis wird zeigen, wie die nationalen Behörden das auslegen. (Stand: 2026, Quelle: EU AI Act Art. 2 und Erwägungsgrund 9, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689) (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
Was ich hingegen für alle Unternehmensgrößen als sinnvoll erachte: die eigene Datenschutzstrategie und KI-Nutzung in Einklang zu bringen. DSGVO und EU AI Act überschneiden sich in mehreren Bereichen – insbesondere bei der Frage, welche Daten für KI-Systeme genutzt werden dürfen, wie lange sie gespeichert werden und wer darauf Zugriff hat. Wer seine DSGVO-Dokumentation bereits gepflegt hat, ist für den AI Act gut aufgestellt, weil die Grundstrukturen ähnlich sind: Verzeichnis der Verarbeitungstätigkeiten ist dem KI-Inventar nicht unähnlich, und die Grundsätze der Datensparsamkeit gelten auch bei KI-Systemen. (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
In den Gesprächen am Küchentisch – und das ist ja das Schöne an diesem Blog – kommen oft Fragen auf, die in keinem offiziellen Leitfaden beantwortet werden. Eine davon war: „Was ist eigentlich, wenn ich ChatGPT für Kundenmails nutze?" Eine sehr berechtigte Frage. Die Antwort ist differenziert: Wenn man einen kommerziellen Anbieter wie OpenAI nutzt, gilt in erster Linie das Nutzungsvertragsverhältnis zwischen einem selbst und dem Anbieter – sowie natürlich die DSGVO hinsichtlich der eingegebenen Daten. Der EU AI Act trifft als Verordnung primär die Anbieter von KI-Systemen, nicht die End-Nutzer. Aber: Wer KI für Prozesse einsetzt, die Dritte betreffen – insbesondere Kunden oder Bewerber –, trägt trotzdem eine Verantwortung für den Einsatzzweck. (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
Schließlich ist mir noch ein praktischer Punkt wichtig, den ich häufig unterschätzt finde: KI-Kompetenz im Team aufbauen. Nicht im Sinne von Programmieren, sondern im Sinne von kritischem Umgang: Mitarbeiter sollten wissen, was ein KI-System kann und was nicht, wie man Fehler erkennt und warum menschliche Überprüfung wichtig ist. Das Europäische Parlament hat „KI-Kompetenz" als einen der Kernbegriffe des EU AI Act definiert (Art. 4). Für KMU bedeutet das in der Praxis: eine kurze Schulung oder ein gemeinsames Gespräch über den KI-Einsatz im Betrieb kann ausreichen, um dieser Anforderung gerecht zu werden. (Stand: 2026, Quelle: EU AI Act Art. 4, https://www.europarl.europa.eu/topics/de/article/20230601STO93804)
💬 FAQ: Häufig gestellte Fragen rund um den EU AI Act und deutsche KMU
Gilt der EU AI Act wirklich für jeden kleinen Handwerksbetrieb?
Das ist eine der meistgestellten Fragen, und die ehrliche Antwort lautet: Es kommt drauf an. Der EU AI Act gilt grundsätzlich für jeden, der KI-Systeme in der EU einsetzt oder anbietet – unabhängig von der Unternehmensgröße. Für die allermeisten kleinen Betriebe, die gängige Bürosoftware, Textgeneratoren oder einfache Automatisierungen nutzen, entstehen jedoch in der Regel keine gravierenden neuen Pflichten. Der Unterschied entsteht dort, wo KI Entscheidungen über Menschen mitbeeinflusst – bei Einstellungen, Kreditvergaben oder Leistungsbewertungen. Wer das im Betrieb ausschließen kann, hat es vergleichsweise einfach. (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
Was passiert, wenn ich als KMU einen zugekauften KI-Dienst nutze, der sich später als nicht konform herausstellt?
Diese Frage treibt viele Inhaber um – und sie ist berechtigt. Der EU AI Act unterscheidet zwischen Anbietern (die das System entwickeln und bereitstellen) und Betreibern (die es im eigenen Kontext nutzen). Betreiber haben eigene Pflichten, insbesondere wenn es sich um Hochrisiko-KI handelt – darunter die Pflicht, sicherzustellen, dass das System seinen Zweck bestimmungsgemäß erfüllt. In der Praxis bedeutet das: Vertragsklauseln mit KI-Anbietern, die Konformitätszusicherungen enthalten, können für KMU ein sinnvolles Instrument sein. Im Streitfall dürfte die Haftungsfrage allerdings komplex sein – hier empfiehlt sich rechtliche Beratung. (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
Gibt es staatliche Unterstützung für KMU, die den EU AI Act umsetzen wollen?
Tatsächlich ja – auch wenn das noch wenig bekannt ist. Die KfW und verschiedene Landesförderbanken haben seit 2025 Pilotprogramme aufgelegt, die Digitalisierungsberatung für KMU co-finanzieren. Die Industrie- und Handelskammern bieten zudem kostenlose oder günstige Erstberatungen zum Thema KI-Compliance an. Und auf EU-Ebene gibt es mit den sogenannten „AI Regulatory Sandboxes" ein Instrument, das kleinen Unternehmen erlaubt, innovative KI-Anwendungen in einem regulatorisch begleiteten Rahmen zu testen. (Stand: 2026, Quelle: EU AI Act Art. 57, https://digital-strategy.ec.europa.eu/en/policies/ai-act) (Beispielangabe – kann je nach Anbieter, Region oder Einzelfall abweichen.)
Dieser Beitrag wurde mit größtmöglicher Sorgfalt recherchiert und auf Basis des Standes März 2026 verfasst. Er ersetzt keine Rechtsberatung. Für eine individuelle Einschätzung Ihrer konkreten KI-Nutzung empfehlen wir die Beratung durch eine auf IT- oder Datenschutzrecht spezialisierte Fachperson oder Ihre zuständige IHK.
Weiterführende offizielle Quellen:
- Europäisches Parlament – EU AI Act: https://www.europarl.europa.eu/topics/de/article/20230601STO93804
- BSI – Künstliche Intelligenz: https://www.bsi.bund.de/KI
- EU AI Act Volltext (EUR-Lex): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689
- EU Digital Strategy – AI Act: https://digital-strategy.ec.europa.eu/en/policies/ai-act
