eu ai act für kmu 2026

TL;DR. Der EU AI Act (Verordnung (EU) 2024/1689) klassifiziert KI-Systeme nach Risiko und legt für Anbieter und Betreiber abgestufte Pflichten fest. Für die meisten KMU-Anwendungen (Chat-Assistenten, interne LLM-Nutzung, Marketing-Automatisierung) reichen Transparenzhinweise nach Art. 50 — Hochrisiko-Pflichten greifen nur in spezifischen Anwendungsfeldern. Stand: 2026-05.

was ist der eu ai act?

Der EU AI Act ist die erste umfassende KI-Regulierung weltweit. Verabschiedet am 13. März 2024, im EU-Amtsblatt veröffentlicht im Juli 2024, gestaffeltes Inkrafttreten zwischen Februar 2025 und August 2027. Geltung: alle KI-Systeme, die in der EU in Verkehr gebracht, in Betrieb genommen oder deren Output in der EU verwendet wird. Damit auch für US-Anbieter wie OpenAI oder Anthropic relevant, sobald ihre Outputs in der EU landen.

Der Gesetzgeber unterscheidet zwischen vier Risiko-Klassen:

die vier risiko-klassen

Verbotene Praktiken (Art. 5). Soziales Scoring durch Behörden, manipulative Techniken, die Vulnerabilitäten ausnutzen, gewisse Formen biometrischer Echtzeit-Erkennung im öffentlichen Raum. Anwendung in fast keinem KMU-Setup relevant.

Hochrisiko-Systeme (Art. 6, Anhang III). KI in spezifischen Anwendungsfeldern: kritische Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung (HR-Recruiting-Scoring, Mitarbeiter-Bewertung), Zugang zu wesentlichen Dienstleistungen (Kredit-Scoring, Sozialleistungen), Strafverfolgung, Migration, Justiz. Hier gelten umfangreiche Pflichten: Risikoanalyse, Qualitätsmanagement-System, technische Dokumentation, menschliche Aufsicht, Genauigkeit/Robustheit/Cybersicherheit, CE-Konformitätsbewertung, Registrierung in EU-Datenbank.

Begrenztes Risiko (Art. 50). Systeme, die mit Menschen interagieren (Chatbots, Voice Agents) oder synthetische Inhalte generieren (deepfakes, AI-generierte Texte). Pflicht: Transparenzhinweis, dass die Person mit einem KI-System spricht. Für die meisten KMU-AI-Use-Cases die relevante Klasse.

Minimales Risiko. Spam-Filter, KI-basierte Spielmechaniken, Inventarmanagement. Keine besonderen Pflichten — freiwillige Codes of Conduct empfohlen.

anbieter oder betreiber — welche rolle habe ich?

Der EU AI Act unterscheidet konsequent zwischen zwei Rollen mit unterschiedlichen Pflichten:

Anbieter (Provider). Wer ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt. OpenAI ist Anbieter von GPT, Microsoft Anbieter von Copilot. Wenn ihr ein internes Tool baut und unternehmensintern bereitstellt, seid ihr im Sinne des Acts ebenfalls Anbieter — auch ohne kommerziellen Vertrieb.

Betreiber (Deployer). Wer ein KI-System unter eigener Verantwortung in einem beruflichen Kontext einsetzt. Wenn ihr Microsoft 365 Copilot in eurem Tenant nutzt oder einen Voice Agent in eurer Hotline einsetzt, seid ihr Betreiber. Eure Hauptpflichten: bestimmungsgemäßer Einsatz, menschliche Aufsicht bei Hochrisiko-Systemen, Datenqualität bei Eingaben, Mitarbeitende über den KI-Einsatz informieren.

Die meisten KMU sind Betreiber, nicht Anbieter — was die Pflichten erheblich reduziert.

was bedeutet das konkret für kmu?

Für die alltäglichen AI-Use-Cases im KMU — Company-GPT für interne Recherche, Voice Agent für Kundenservice, automatisierte E-Mail-Klassifizierung — gelten in der Regel diese Pflichten:

• Transparenz (Art. 50). Endnutzer*innen, die mit einem KI-System interagieren, müssen darüber informiert werden. Bei Voice Agents typischerweise ein einleitender Satz („Sie sprechen mit einem KI-Assistenten von ...").
• Information der Mitarbeitenden. Wenn AI-Systeme im Arbeitsumfeld eingesetzt werden, gilt Informationspflicht — auch unabhängig vom AI Act über das BDSG / arbeitsrechtliche Regeln.
• Keine bestimmten Zwecke verfolgen. Z.B. kein automatisches Scoring von Bewerbenden ohne menschliche Endentscheidung (sonst wäre es Hochrisiko, Anhang III Nr. 4).
• AVV und DSGVO bleiben parallel zu beachten. Der AI Act ersetzt die DSGVO nicht — beide gelten kumulativ.

Wer in Hochrisiko-Bereichen tätig ist (z.B. HR-Tech-Anbieter, Anbieter von medizinischen Entscheidungs-Tools, Fintechs mit Kredit-Scoring) hat einen substanziell größeren Compliance-Aufwand und sollte das frühzeitig mit Fachjuristen klären.

zeitleiste

• 2. Februar 2025: Verbote nach Art. 5 wirksam.
• 2. August 2025: Pflichten für General-Purpose-AI-Modelle (Anbieter wie OpenAI, Anthropic) wirksam — Dokumentation, Copyright-Compliance, Training-Data-Summary.
• 2. August 2026: Pflichten für die meisten Hochrisiko-Systeme.
• 2. August 2027: Pflichten für Hochrisiko-Systeme, die bereits in regulierte Produkte eingebettet sind (z.B. medizinische Geräte).

Für die meisten KMU-Use-Cases sind die kritischen Daten bereits gelaufen oder laufen bald — wer noch nicht hingeschaut hat, sollte das jetzt tun.

was tun wir bei tokyn?

Wir setzen den AI Act in unseren [Beratungs-Projekten](/consulting) operativ um:

• Risiko-Klassifizierung pro AI-Initiative — wir sortieren euer Portfolio in die vier Klassen.
• Pflichten-Mapping je Klasse — was bedeutet das konkret für eure Implementierung, eure Doku, eure Mitarbeitenden-Information.
• Compliance-Inventar für die nächste Audit — strukturiert und nachvollziehbar.
• Transparenz-Bausteine für Voice Agents und Chatbots (siehe auch [unsere Voice-Agent-Lösungen](/agents)).

Wer einen Quick-Scan für die EU-AI-Act-Readiness will: ein Erstgespräch dauert 30 Minuten und ist kostenlos.

quellen

• [Verordnung (EU) 2024/1689 (EU AI Act, konsolidierte Fassung)](https://eur-lex.europa.eu/eli/reg/2024/1689/oj/deu)
• [Europäische Kommission: AI Act Q&A](https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai)
• [EU AI Office](https://digital-strategy.ec.europa.eu/en/policies/ai-office)
• Begriffe wie [Company-GPT](/glossar#company-gpt) und [RAG](/glossar#rag) im tokyn-Glossar