Compliance mit dem EU AI Act für kleine und mittlere Unternehmen. KMU-spezifische Regelungen, Sandbox-Zugang, reduzierte Gebühren und praktische Leitlinien für KI-Betreiber und -Anbieter.
EU AI Act und KMU — Die gute Nachricht
Der EU AI Act (Verordnung (EU) 2024/1689) gilt für alle Organisationen, die KI-Systeme auf dem EU-Markt bereitstellen oder nutzen, unabhängig von ihrer Größe. Die regulatorische Realität für die meisten kleinen und mittleren Unternehmen ist jedoch erheblich weniger belastend, als Schlagzeilen vermuten lassen — aus einem grundlegenden Grund: Die überwiegende Mehrheit der KMU nutzt KI, anstatt sie zu entwickeln.
Ein KMU, das ein KI-gestütztes CRM abonniert, einen Chatbot eines SaaS-Anbieters einsetzt oder cloudbasierte Software zur Nachfrageprognose verwendet, ist in der Terminologie des EU AI Act ein Betreiber — kein Anbieter. Die Betreiberpflichten sind systematisch weniger umfangreich als die Anbieterpflichten. Anbieter tragen die Hauptlast der Konformitätsbewertung, technischen Dokumentation, CE-Kennzeichnung und Registrierung. Betreiber haben ein gezieltes Pflichtenprogramm, das sich auf bestimmungsgemäße Nutzung, menschliche Aufsicht und Störungsmeldung konzentriert.
Über die Betreiber-/Anbieterunterscheidung hinaus enthält der EU AI Act ein eigenständiges Paket KMU-spezifischer Regelungen, das strukturelle Unterstützung bietet: vorrangiger Zugang zu regulatorischen Sandboxes, reduzierte Konformitätsbewertungsgebühren und eine eigene nationale Anlaufstelle. Diese Regelungen spiegeln die ausdrückliche Absicht des Gesetzgebers wider, zu verhindern, dass der AI Act zu einem unverhältnismäßigen Hindernis für kleinere Marktteilnehmer wird.
Dieser Leitfaden erläutert, was der EU AI Act in der Praxis für ein KMU bedeutet — unabhängig davon, ob Sie KI-Tools von Drittanbietern nutzen, KI im kundenseitigen Bereich einsetzen oder selbst ein KI-Produkt entwickeln und vermarkten.
KMU-spezifische Regelungen in der Verordnung
Der EU AI Act enthält vier Regelungen, die speziell für KMU gelten (Unternehmen, die den Schwellenwert der Empfehlung 2003/361/EG der Kommission erfüllen: weniger als 250 Beschäftigte und entweder ein Jahresumsatz von höchstens 50 Millionen Euro oder eine Bilanzsumme von höchstens 43 Millionen Euro) sowie für Startups.
Art. 55 — Vorrangiger Zugang zu regulatorischen Sandboxes
Art. 55 legt fest, dass regulatorische KI-Sandboxes — beaufsichtigte Umgebungen für die Entwicklung und das Testen von KI vor der Markteinführung — KMU und Startups vorrangig zugänglich sein sollen. Der Zugang ist kostenlos oder zu reduzierten Gebühren möglich, und teilnehmende Organisationen erhalten direkte Beratung durch die zuständige Behörde. Der Sandbox-Zugang ermöglicht die Identifizierung von Risiken vor der Markteinführung und einen regulatorischen Dialog in einem geschützten Umfeld, ohne die Folgen einer nicht konformen Markteinführung. KMU, die KI-Systeme entwickeln, sollten die Sandbox-Teilnahme sowohl als Compliance-Instrument als auch als Mechanismus für den direkten Austausch mit der Aufsichtsbehörde vor dem Produktlaunch betrachten.
Art. 96 — Reduzierte Gebühren für die Konformitätsbewertung
Wenn ein Hochrisiko-KI-System einer Konformitätsbewertung durch eine notifizierte Stelle bedarf (anwendbar auf Systeme, die in Anhang III Nrn. 1, 6 und 7 aufgeführt sind, sowie auf Medizinprodukte-KI gemäß Art. 6 Abs. 1), verpflichtet Art. 96 die Mitgliedstaaten, reduzierte Gebühren für kleine Unternehmen festzulegen. Kleinstunternehmen — solche mit weniger als 10 Beschäftigten und einem Jahresumsatz oder einer Bilanzsumme von höchstens 2 Millionen Euro — haben Anspruch auf noch weitergehende Ermäßigungen. Die genauen Gebührenregelungen werden auf Ebene der Mitgliedstaaten festgelegt und variieren je nach Rechtsordnung; die zuständige nationale KI-Behörde oder das Enterprise Europe Network kann aktuelle Informationen bereitstellen.
Art. 85 — Einheitliche Anlaufstelle
Art. 85 verpflichtet die nationalen KI-Aufsichtsbehörden, eine eigene Anlaufstelle für KMU einzurichten. Das bedeutet, dass ein KMU, das Beratung zu seinen AI Act-Pflichten sucht, nicht mehrere Regulierungsstellen einschalten oder über fragmentierte Behörden koordinieren muss. Die Anlaufstelle stellt Informationen bereit, leitet Anfragen an die zuständige Stelle weiter und unterstützt bei Sandbox-Anträgen. Diese Regelung senkt den Verwaltungsaufwand für das Verständnis der regulatorischen Pflichten erheblich.
Art. 9 Abs. 5 — Verhältnismäßiges Risikomanagement
Art. 9 Abs. 5 sieht vor, dass das Risikomanagementsystem, das von Anbietern von Hochrisiko-KI-Systemen verlangt wird, verhältnismäßig umgesetzt werden kann, wobei die Größe und Struktur der Organisation zu berücksichtigen ist. Für ein KMU, das als Anbieter eines Hochrisiko-Systems agiert, bedeutet dies: Während alle inhaltlichen Anforderungen des Risikomanagementsystems erfüllt sein müssen, können Format der Dokumentation, Prozesskomplexität und Governance-Struktur der tatsächlichen Kapazität der Organisation angepasst werden — sofern dies die Schutzziele des Rahmens nicht beeinträchtigt.
Sind Sie Anbieter oder Betreiber? — Entscheidungsrahmen für KMU
Die wichtigste Vorabfeststellung für jedes KMU, das sich mit dem EU AI Act befasst, ist die Frage, ob es in Bezug auf jedes genutzte oder angebotene KI-System als Anbieter oder als Betreiber handelt.
Anbieter (Art. 3 Abs. 3): Eine Organisation, die ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke auf dem Markt bereitstellt oder in Betrieb nimmt — entgeltlich oder unentgeltlich. Dazu gehören KMU, die:
- Ein Softwareprodukt mit integrierter KI entwickeln (einschließlich KI-Modellen, auf die über eine API zugegriffen wird) und dieses Produkt an Kunden verkaufen oder lizenzieren;
- Ein KI-Modell oder eine KI-Anwendung intern entwickeln und als Dienst für externe Endnutzer außerhalb der Organisation bereitstellen;
- Ein KI-System eines Drittanbieters wesentlich modifizieren, sodass dessen Verwendungszweck geändert wird.
Betreiber (Art. 3 Abs. 4): Eine Organisation, die ein KI-System in eigener Verantwortung für einen beruflichen Zweck nutzt. Dazu gehören KMU, die:
- SaaS-Produkte mit integrierten KI-Funktionen abonnieren (KI-gestütztes CRM, ERP, Buchhaltungssoftware);
- Einen Chatbot oder ein konversationelles KI-System eines Drittanbieters auf ihrer Website nutzen;
- Cloud-KI-APIs (Verarbeitung natürlicher Sprache, Bildklassifizierung, Empfehlungssysteme) ausschließlich zur Automatisierung interner Arbeitsabläufe oder zur Verbesserung eigener Dienstleistungen nutzen, ohne die KI-Funktion Dritten gegenüber als Produktmerkmal anzubieten;
- HR-Software, Tools zur Bestandsprognose oder Kundendatenanalyse von externen Anbietern beschaffen.
Der kritische Grenzfall: Ein KMU, das eine externe KI-API in sein eigenes kundenorientiertes Produkt integriert und diese Funktion als Merkmal seines Produkts vermarktet, ist in Bezug auf diese KI-Funktionalität ein Anbieter — nicht lediglich ein Betreiber der zugrunde liegenden API. Die juristische Person, die den Verwendungszweck festlegt, das Nutzererlebnis kontrolliert und das Produkt auf dem Markt bereitstellt, trägt die Anbieterpflichten nach Art. 16, unabhängig davon, wo das KI-Modell seinen Ursprung hat.
Wesentliche Betreiberpflichten für KMU, die KI von Drittanbietern nutzen
Für die Mehrheit der KMU — diejenigen, die KI-Tools von Drittanbietern einsetzen, anstatt eigene zu entwickeln — gelten die folgenden Pflichten gemäß Art. 26 und verwandten Bestimmungen.
KI-Systeme gemäß den Anbieteranweisungen nutzen
Betreiber dürfen Hochrisiko-KI-Systeme nur in Übereinstimmung mit den Gebrauchsanweisungen des Anbieters gemäß Art. 13 nutzen. Die Nutzung eines KI-Systems für Zwecke, die über seinen dokumentierten Verwendungszweck hinausgehen, oder in Konfigurationen, die der Anbieter nicht validiert hat, überträgt einen Teil der Compliance-Haftung auf den Betreiber und kann die Konformitätsbewertung des Systems entwerten.
Verantwortliche menschliche Aufsicht benennen
Art. 26 Abs. 1 verpflichtet Betreiber, die Verantwortung für die KI-Aufsicht einer qualifizierten Person innerhalb der Organisation zu übertragen. Für die meisten KMU wird dies eine namentlich benannte Person sein (nicht zwingend ein dedizierter KI-Compliance-Beauftragter), die die Funktion des Systems, seine bekannten Einschränkungen und die Umstände kennt, unter denen menschliches Eingreifen erforderlich ist. Diese Benennung sollte dokumentiert werden.
Betriebsprotokolle aufbewahren
Soweit Hochrisiko-KI-Systeme automatisch Protokolle erstellen (Art. 12), müssen Betreiber diese Protokolle für den gesetzlich vorgeschriebenen Zeitraum aufbewahren — in der Regel sechs Monate gemäß dem AI Act, sofern sektorspezifisches Recht keine längere Aufbewahrung vorschreibt. Betreiber müssen sicherstellen, dass ihr Lieferantenvertrag den Zugang zu Protokollen gewährt und deren Format und Vollständigkeit bestätigt.
Schwerwiegende Störungen dem Anbieter melden
Art. 26 Abs. 5 verpflichtet Betreiber, den Anbieter über alle schwerwiegenden Störungen oder Fehlfunktionen zu informieren, die bei der Nutzung festgestellt werden. Handelt es sich bei der betreibenden Organisation um eine öffentliche Stelle, erstrecken sich die Meldepflichten auch auf die nationale KI-Aufsichtsbehörde. Für KMU-Betreiber im privaten Sektor ist der primäre Kanal die direkte Meldung an den Anbieter, der dann seinerseits nach Art. 73 zur Meldung an die Behörde verpflichtet ist.
Grundrechte-Folgenabschätzung durchführen, sofern anwendbar
Art. 27 verpflichtet öffentliche Stellen, die Hochrisiko-KI einsetzen, vor der Inbetriebnahme eine Grundrechte-Folgenabschätzung durchzuführen. Privatwirtschaftliche KMU, die Hochrisiko-KI einsetzen — insbesondere in den Bereichen Personal, Kreditbewertung oder kundenseitige Entscheidungsprozesse — wird dringend empfohlen, eine gleichwertige Prüfung durchzuführen, da dies die gebotene Sorgfalt belegt und das Durchsetzungsrisiko erheblich reduziert.
Lieferantenverträge prüfen
KMU-Betreiber müssen sicherstellen, dass ihre Verträge mit KI-Anbietern Folgendes umfassen: Konformitätsdokumentation und Gebrauchsanweisungen; Bestätigung der EU-Datenbankregistrierung, sofern erforderlich; Festlegung der Protokollierungsfähigkeiten und Zugriffsrechte; Verpflichtung des Anbieters zur Störungsmeldung und Behebung; sowie Informationen zu Update- oder Änderungspflichten, die den Konformitätsstatus des Systems beeinflussen können.
Wenn Sie KI entwickeln — Anbieterpflichten und Unterstützung für KMU
KMU, die KI-Systeme entwickeln und vermarkten, sind Anbieter und tragen für jedes hochriskante System vollumfängliche Anbieterpflichten gemäß Kapitel III. Der Umfang dieser Pflichten ist erheblich: Qualitätsmanagementsystem (Art. 17), technische Dokumentation gemäß Anhang IV, Datenverwaltung gemäß Art. 10, Protokollierung gemäß Art. 12,Transparenzanforderungen gemäß Art. 13, Konzeption menschlicher Aufsicht gemäß Art. 14 sowie Genauigkeits- und Robustheitsstandards gemäß Art. 15. Für Systeme nach Anhang III, die einer Bewertung durch eine notifizierte Stelle bedürfen, folgt der Konformitätsweg Art. 43.
Der praktische Ausgangspunkt für einen KMU-Anbieter ist die Risikoklassifizierung:
- Fällt das KI-System unter Art. 5 (verbotene Praktiken)? Wenn ja, muss die Entwicklung eingestellt oder vor jeglicher Markttätigkeit grundlegend umgestaltet werden.
- Qualifiziert sich das System als hochriskant gemäß Art. 6 Abs. 1 (Sicherheitskomponente eines regulierten Produkts) oder Anhang III (aufgeführte Anwendungsbereiche, darunter biometrische Identifizierung, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration, Justiz)?
- Qualifiziert sich das System ausschließlich als KI-Modell mit allgemeinem Verwendungszweck, das durch Art. 51–56 geregelt wird, ohne Hochrisiko-Klassifizierung?
- Unterliegt das System nur den Transparenzpflichten gemäß Art. 50 (Emotionserkennung, Deepfake, Chatbots)?
Für KMU, deren Systeme nicht in die Kategorien Hochrisiko und verbotene Praktiken fallen, ist die Compliance erheblich leichter: Transparenzpflichten nach Art. 50, GDPR-Konformität und sektorspezifische Pflichten nach geltendem nationalen oder EU-Recht.
Für KMU, die Hochrisiko-KI entwickeln, ist die regulatorische Sandbox nach Art. 55 das wichtigste verfügbare Instrument. Die Sandbox-Teilnahme ermöglicht das Testen vor der Markteinführung unter regulatorischer Aufsicht, liefert dokumentierte Nachweise eines gutgläubigen Compliance-Bemühens und kann Korrekturmaßnahmen identifizieren, bevor sie zu Durchsetzungsmaßnahmen werden. Anträge werden bei der nationalen Anlaufstelle (Art. 85) eingereicht.
Praktische Schritte zur KMU-Compliance
Schritt 1 — Alle genutzten oder in Entwicklung befindlichen KI-Systeme inventarisieren. Erfassen Sie jedes KI-Tool, SaaS-Produkt, jede Cloud-API und jedes intern entwickelte Modell. Notieren Sie den Anbieter, die Funktion und ob das KMU jeweils als Anbieter oder Betreiber handelt.
Schritt 2 — Jedes System nach Risikokategorie klassifizieren. Wenden Sie den Rahmen aus Art. 5 / Art. 6 / Anhang III / Art. 50 auf jedes System an. Bei unklarer Klassifizierung wenden Sie sich für eine Beratung an die Anlaufstelle nach Art. 85.
Schritt 3 — Bei Betreiberrollen: Lieferantenverträge prüfen. Stellen Sie sicher, dass jeder KI-Anbieter die nach Art. 13 erforderliche Dokumentation geliefert hat und der Vertrag Protokollierung, Störungsmeldung und Update-Pflichten regelt. Dokumentieren Sie Lücken für Nachverhandlungen.
Schritt 4 — Bei Anbieterrollen: Den Konformitätsweg einleiten. Bestimmen Sie, ob Ihr Hochrisiko-KI-System eine Selbstbewertung (Art. 43 Abs. 2) oder eine Drittbewertung durch eine notifizierte Stelle (Art. 43 Abs. 1) erfordert. Beantragen Sie Sandbox-Zugang nach Art. 55, falls das System noch in der Entwicklung ist. Nehmen Sie frühzeitig Kontakt zur notifizierten Stelle auf, um Zeitplan und Gebührenauswirkungen zu verstehen, und beachten Sie Ihren Anspruch auf KMU-Gebührenermäßigungen nach Art. 96.
Schritt 5 — Art. 26-Betreiberpflichten für alle Hochrisiko-Systeme umsetzen. Benennen Sie Aufsichtspersonen, dokumentieren Sie deren Verantwortlichkeiten, überprüfen Sie die Protokollaufbewahrungsverfahren und bestätigen Sie die Kanäle für die Störungsmeldung.
Schritt 6 — Einen AI Act-Überprüfungszyklus einrichten. Der EU AI Act ist ein dynamischer Rahmen. Benennen Sie eine verantwortliche Person, die Leitlinien des EU AI Office, Aktualisierungen der nationalen Behörden und Änderungen der Anhang-III-Klassifizierungen verfolgt. Planen Sie eine jährliche interne Überprüfung des Systemverzeichnisses und des Compliance-Status ein.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja. Wenn Ihr KMU ein KI-Modell eines Drittanbieters (auch über eine API) in ein Produkt oder eine Dienstleistung integriert, das bzw. die Sie unter Ihrem eigenen Namen oder Ihrer Marke auf dem Markt bereitstellen oder in Betrieb nehmen, werden Sie gemäß **Art. 3 Abs. 3** des EU AI Act als **Anbieter** eingestuft. Dies gilt unabhängig davon, ob das zugrunde liegende Modell von einem anderen Unternehmen entwickelt wurde. Die Anbieterpflichten — einschließlich technischer Dokumentation, Konformitätsbewertung, CE-Kennzeichnung (bei Hochrisiko-KI-Systemen) und Registrierung — liegen in Ihrer Verantwortung. Sofern der vorgelagerte Modellanbieter Konformitätsdokumentationen und Nutzungsanweisungen bereitstellt, unterstützen diese Ihre Compliance-Bemühungen, ersetzen sie jedoch nicht. Art. 55 und Art. 96 enthalten KMU-spezifische Unterstützungsmaßnahmen zur Erleichterung der Compliance-Last.
Das hängt von zwei Faktoren ab: der Art des Chatbots und seinen Funktionen. Erstens: Handelt es sich um ein **KI-gestütztes Allzwecksystem**, das mit Nutzern interagiert, muss es die **Transparenzpflicht nach Art. 50** erfüllen: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren, es sei denn, dies ist aus dem Kontext offensichtlich. Zweitens: Erfüllt der Chatbot Funktionen, die als hochriskant einzustufen sind — etwa die Vorauswahl von Stellenbewerbern, die Bonitätsbewertung oder Entscheidungen mit rechtlichen oder erheblichen persönlichen Auswirkungen — gelten zusätzliche Hochrisiko-Pflichten. Ein einfacher FAQ- oder Produktnavigations-Chatbot, der über einen SaaS-Drittanbieter bereitgestellt wird (bei dem Sie als Betreiber agieren), löst vorrangig die Transparenzpflicht nach Art. 50 sowie die Betreiberpflichten nach Art. 26 aus — insbesondere die bestimmungsgemäße Nutzung gemäß den Anweisungen und die Pflicht zur Störungsmeldung.
Eine **regulatorische KI-Sandbox** ist eine von nationalen KI-Aufsichtsbehörden eingerichtete, beaufsichtigte Testumgebung, in der KI-Anbieter — einschließlich Startups und KMU — KI-Systeme vor der Markteinführung entwickeln, testen und validieren können, begleitet durch direkte regulatorische Beratung. Sandboxes werden durch **Art. 57–63** des EU AI Act geregelt. **Art. 55 gewährt KMU und Startups einen vorrangigen Zugang**, und die Teilnahme ist kostenlos oder mit reduzierten Gebühren verbunden. Anträge werden direkt bei der nationalen Behörde gestellt, die in Ihrem Mitgliedstaat für den AI Act zuständig ist. Innerhalb einer Sandbox kann die Behörde begrenzte Ausnahmen von bestimmten Anforderungen gewähren, um echte Tests zu ermöglichen; ein Produkt, das nach der Sandbox-Phase auf den Markt gebracht wird, muss anschließend alle geltenden Pflichten erfüllen. Wenden Sie sich an Ihre nationale Anlaufstelle für KMU (**Art. 85**), um Informationen zu den Antragsverfahren zu erhalten.
Die Registrierung in der **EU-Datenbank für Hochrisiko-KI-Systeme** gemäß **Art. 49** ist nur dann erforderlich, wenn Ihr System gemäß Art. 6 oder Anhang III als **hochriskant** eingestuft wird. Anbieter von Hochrisiko-Systemen müssen sich vor der Markteinführung registrieren; Betreiber, die öffentliche Stellen sind, müssen sich ebenfalls vor der Inbetriebnahme registrieren. Die meisten KMU, die KI-Systeme von Drittanbietern einsetzen (als SaaS- oder API-Nutzer), sind nicht zur Registrierung verpflichtet — diese Pflicht obliegt dem Anbieter. Ist Ihr KMU selbst Anbieter eines Hochrisiko-KI-Systems, ist die Registrierung unabhängig von der Unternehmensgröße verpflichtend, wenngleich die Unterstützungsmaßnahmen gemäß Art. 55 und 96 zur Senkung der damit verbundenen Kosten und des Verfahrensaufwands beitragen. Die Datenbank ist öffentlich zugänglich und wird vom EU AI Office verwaltet.
Bevor Sie ein KI-System eines Drittanbieters einsetzen — insbesondere eines, das möglicherweise als hochriskant einzustufen ist — sollte Ihr KMU vertraglich verlangen und erhalten: (1) die **EU-Konformitätserklärung** oder gleichwertige Konformitätsdokumentation; (2) **Gebrauchsanweisungen** gemäß Art. 13, einschließlich Verwendungszweck, bekannter Einschränkungen und Anforderungen an die menschliche Aufsicht; (3) die Bestätigung, dass das System — sofern erforderlich — **in der EU-Datenbank registriert** ist; (4) Informationen zu den **Protokollierungsfähigkeiten** des Systems und zur Möglichkeit des Zugriffs auf oder der Abfrage von Protokollen; (5) die **Störungsmeldeverfahren** des Anbieters und dessen Pflichten, Sie über Fehlfunktionen oder compliance-relevante Updates zu informieren; sowie (6) Informationen zu den **Datenverarbeitungsmerkmalen** des Systems, die für Ihre GDPR-Pflichten relevant sind. Das Fehlen dieser Dokumente bei einem Anbieter, der ein KI-System in einem sensiblen Bereich anbietet, stellt ein erhebliches Compliance-Risiko dar.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.