AI Act für KMU: Was Mittelständler jetzt wissen müssen

Inhalt in Kürze

• Der EU AI Act gilt ab August 2026 vollständig – auch für KMU, die KI-Systeme nur einsetzen, nicht selbst entwickeln.
• Die KI-Kompetenzpflicht gilt bereits seit Februar 2025: Jeder Mitarbeitende, der KI nutzt, muss nachweislich geschult sein.
• KMU erhalten Erleichterungen bei Dokumentation, Konformitätsbewertung und Gebühren – aber keine Befreiung von den Kernpflichten.
• Handeln Sie jetzt: Wer bis August 2026 kein KI-Inventar und keine Risikoklassifizierung hat, riskiert Bußgelder bis 15 Mio. Euro.

41 Prozent aller Unternehmen in Deutschland setzen KI aktiv ein. Vor zwei Jahren waren es 17 Prozent. Das zeigt die Bitkom-Studie 2026. Gleichzeitig gibt mehr als die Hälfte der befragten Unternehmen an, durch rechtliche Unsicherheiten verunsichert zu sein.

Diese Unsicherheit ist nachvollziehbar. Denn mit dem EU AI Act kommt das weltweit erste umfassende KI-Gesetz. Und am 2. August 2026 wird es für die meisten Unternehmen ernst.

AI Act für KMU – worum es wirklich geht

Viele Geschäftsführer denken beim AI Act an Tech-Konzerne und KI-Entwickler. Das ist ein Irrtum. Der AI Act betrifft jeden, der KI-Systeme einsetzt. Und das sind inzwischen die meisten Unternehmen – ob bewusst oder unbewusst.

Nutzen Ihre Mitarbeitenden ChatGPT für E-Mails? Setzen Sie ein KI-gestütztes Bewerbermanagement ein? Verwendet Ihre Buchhaltung automatisierte Rechnungsprüfung? Dann sind Sie im Geltungsbereich des AI Act.

Der EU AI Act (Verordnung 2024/1689) unterscheidet dabei zwischen Anbietern (Developern) und Betreibern (Deployern) von KI-Systemen. Als KMU sind Sie in der Regel Betreiber – und haben trotzdem konkrete Pflichten.

Die Fristen: Was bereits gilt und was kommt

Der AI Act tritt nicht auf einen Schlag in Kraft. Er wird stufenweise anwendbar:

Hochrisiko-KI: Betrifft das mein KMU?

Die meisten KMU denken, Hochrisiko-KI sei etwas für Konzerne. Aber schauen Sie genau hin. Hochrisiko-KI-Systeme sind solche, die in sensiblen Bereichen eingesetzt werden:

• Personalauswahl und HR: KI-gestütztes Bewerbermanagement, automatisierte Vorauswahl von Kandidaten, KI-basierte Leistungsbewertung
• Kreditwürdigkeit: Automatisierte Bonitätsprüfung, KI-gestützte Risikobewertung
• Bildung und Ausbildung: KI-gestützte Prüfungsbewertung, Zugangssteuerung
• Kritische Infrastruktur: KI in Energie-, Wasser- oder Verkehrssystemen

Setzen Sie ein HR-Tool mit KI-Funktion ein? Dann betreiben Sie möglicherweise ein Hochrisiko-KI-System – auch wenn Sie es nicht selbst entwickelt haben. Als Betreiber müssen Sie ab August 2026 unter anderem eine menschliche Aufsicht sicherstellen, die Nutzung dokumentieren und betroffene Personen informieren.

Aus der Praxis: Warum KI-Compliance auch Datenschutz ist

Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen. Beim AI Act ist das genauso: Kein Unternehmen muss auf KI verzichten. Aber es muss wissen, was es tut.

Nils OehmichenDatenschutzberater bei frag.hugo

Wir sehen das bei unseren Mandanten in Hamburg regelmäßig: KI-Tools werden eingeführt, ohne dass jemand prüft, welche Daten dort hineinfließen. Das ist nicht nur ein AI-Act-Problem – es ist gleichzeitig ein DSGVO-Problem. Beide Regelwerke greifen ineinander.

Wer eine KI-Richtlinie für das Unternehmen erstellt, schlägt deshalb zwei Fliegen mit einer Klappe: DSGVO-Konformität und AI-Act-Compliance.

Das KI-MIG: So setzt Deutschland den AI Act um

Am 11. Februar 2026 hat das Bundeskabinett das KI-MIG beschlossen – das KI-Marktüberwachungs- und Innovationsförderungsgesetz. Es regelt, wer in Deutschland die Einhaltung des AI Act überwacht.

Die wichtigsten Punkte:

• Die Bundesnetzagentur wird zentrale Marktüberwachungsbehörde und betreibt den KI Service Desk als Anlaufstelle
• Der Ansatz ist bewusst schlank und innovationsfreundlich – keine zusätzlichen nationalen Verschärfungen
• KMU erhalten vergünstigten Zugang zu regulatorischen KI-Sandboxen – Testumgebungen, in denen neue KI-Anwendungen unter Aufsicht erprobt werden können
• Konformitätsbewertungsgebühren werden proportional zur Unternehmensgröße reduziert

Checkliste: 5 Schritte für KMU bis August 2026

1. KI-Inventar erstellen: Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen eingesetzt werden – von ChatGPT über HR-Software bis zum Spam-Filter. Fragen Sie jede Abteilung einzeln ab.
2. Risikoklassen bestimmen: Ordnen Sie jedes System einer Risikoklasse zu. HR-Tools und Kreditbewertung sind oft Hochrisiko. Ein Spam-Filter ist minimales Risiko. Im Zweifel hilft eine professionelle AI-Act-Beratung.
3. KI-Kompetenz sicherstellen: Schulen Sie alle Mitarbeitenden, die KI-Systeme nutzen. Die Pflicht gilt bereits seit Februar 2025. Dokumentieren Sie die Schulungen.
4. KI-Richtlinie aufsetzen: Regeln Sie intern, welche KI-Tools erlaubt sind, welche Daten eingegeben werden dürfen und wer verantwortlich ist. Eine KI-Richtlinie ist Ihr zentrales Steuerungsdokument.
5. Verantwortlichkeiten benennen: Bestimmen Sie eine Person, die für KI-Compliance zuständig ist. In vielen Fällen übernimmt das der Datenschutzbeauftragte – oder Sie holen sich externe Unterstützung.

Erleichterungen für KMU: Was der AI Act zugesteht

Der AI Act ist kein reines Bürokratie-Monster. Für KMU unter 750 Mitarbeitenden sieht die Verordnung gezielte Erleichterungen vor:

• Vereinfachte Dokumentation. KMU können verkürzte technische Dokumentationsformulare nutzen, die von den nationalen Behörden akzeptiert werden.
• Reduzierte Gebühren. Die Kosten für Konformitätsbewertungen werden proportional zur Unternehmensgröße angepasst.
• Vorrang bei KI-Sandboxen. KMU und Start-ups erhalten bevorzugten und kostenlosen Zugang zu den regulatorischen Testumgebungen.
• Abgemilderte Bußgelder. Es gilt jeweils der niedrigere Betrag aus Festbetrag oder Umsatzprozentsatz.

AI Act und Hamburg: Was die Metropolregion besonders betrifft

Hamburg ist einer der stärksten KI-Standorte Deutschlands — von der HAW über das DKRZ bis zu zahlreichen AI-Startups in der HafenCity. Gleichzeitig beobachtet der HmbBfDI den KI-Einsatz in der Wirtschaft genau und hat bereits Orientierungshilfen veröffentlicht. Für Hamburger Mittelständler bedeutet das: Wer KI einsetzt, sollte frühzeitig eine AI-Act-Beratung in Anspruch nehmen, bevor die Aufsichtsbehörde nachfragt.

Ihr nächster Schritt

Der AI Act ist kein Grund zur Panik. Aber auch kein Thema, das sich von allein erledigt. Gerade für Hamburger KMU gilt: Die Pflichten sind real, die Fristen laufen.

Ob KI-Register-Pflicht, KI-Richtlinie oder vollständige AI-Act-Beratung – wir helfen Ihnen, den AI Act pragmatisch umzusetzen. Ohne Panikmache, ohne unnötige Bürokratie.

Häufige Fragen (FAQ)

Gilt der AI Act auch für kleine Unternehmen?

Ja. Der AI Act gilt für jedes Unternehmen, das KI-Systeme einsetzt oder bereitstellt – unabhängig von der Größe. Allerdings gibt es für KMU Erleichterungen bei Dokumentationspflichten und Konformitätsbewertungsgebühren.

Ab wann müssen KMU den AI Act umsetzen?

Die wichtigste Frist ist der 2. August 2026. Ab dann gelten die vollständigen Pflichten für Hochrisiko-KI-Systeme. Die KI-Kompetenzpflicht nach Artikel 4 gilt bereits seit Februar 2025.

Welche Bußgelder drohen KMU bei Verstößen gegen den AI Act?

Für KMU gilt jeweils der niedrigere Betrag: Bei Hochrisiko-Verstößen bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes, bei verbotenen KI-Praktiken bis zu 35 Millionen Euro oder 7 % des Umsatzes.

Braucht mein KMU eine KI-Richtlinie?

Eine interne KI-Richtlinie ist zwar nicht explizit vom AI Act vorgeschrieben, aber in der Praxis unverzichtbar. Sie dokumentiert, welche KI-Tools genutzt werden, regelt Verantwortlichkeiten und weist die geforderte KI-Kompetenz nach.

Was ist der Unterschied zwischen AI Act und DSGVO bei KI?

Die DSGVO regelt den Schutz personenbezogener Daten – auch beim KI-Einsatz. Der AI Act reguliert KI-Systeme selbst: ihre Sicherheit, Transparenz und Risikobewertung. Beide Gesetze gelten parallel und ergänzen sich.