EU AI Act für KMU: Was kleine Unternehmen wirklich wissen müssen

• Der EU AI Act kennt keine Ausnahme nach Unternehmensgröße
• Die meisten KMU sind Betreiber eingekaufter KI, nicht Anbieter, was den Aufwand erheblich reduziert
• Welche Pflichten konkret anfallen, hängt fast ausschließlich von der Risikoklasse der eingesetzten Systeme ab
• Eine Pflicht gilt bereits seit dem 2. Februar 2025, unabhängig von Risikoklasse und Größe

---

"Wir sind zu klein für dieses Gesetz."

Dieser Satz fällt in Gesprächen mit KMU-Geschäftsführern regelmäßig, und er ist verständlich. Der EU AI Act wirkt auf den ersten Blick wie ein Regelwerk für Technologiekonzerne, nicht für ein mittelständisches Fertigungsunternehmen oder eine Steuerberatungskanzlei mit 30 Mitarbeitern.

Die Realität ist komplizierter. Die Verordnung (EU) 2024/1689 enthält keine Größenschwelle. Wer KI-Systeme in der EU einsetzt, unterliegt dem Gesetz, unabhängig davon ob das Unternehmen 20 oder 20.000 Mitarbeiter hat.

Was für KMU aber tatsächlich zutrifft: Die Pflichten sind für die meisten kleinen Unternehmen deutlich überschaubarer als befürchtet. Warum das so ist, hängt mit einer einzigen Frage zusammen.

---

Die entscheidende Frage: Kaufen Sie KI ein oder entwickeln Sie sie?

Die Pflichtenlast im EU AI Act richtet sich nicht nach Unternehmensgröße, sondern nach Rolle. Und die überwiegende Mehrheit der deutschen KMU agiert als Betreiber: Sie kaufen oder mieten KI-Lösungen von Drittanbietern und setzen diese für eigene Zwecke ein.

Das ist eine andere Ausgangslage als für Anbieter, die KI-Systeme entwickeln und auf den Markt bringen. Anbieter müssen technische Dokumentation erstellen, Konformitätsbewertungen durchführen und CE-Kennzeichnungen anbringen. Betreiber müssen das nicht.

Was Betreiber müssen, hängt davon ab, in welche Risikoklasse das eingesetzte System fällt. Und genau hier liegt die gute Nachricht für viele KMU: Ein großer Teil der im Mittelstand eingesetzten KI-Tools fällt in die Kategorie minimal riskant, für die keine spezifischen Betreiberpflichten gelten.

---

Wann es für KMU anspruchsvoller wird

Sobald ein KI-System in den Hochrisiko-Bereich nach Anhang III der Verordnung fällt, ändert sich das Bild. Für Betreiber von Hochrisiko-KI gelten laut Artikel 26 ab dem 2. August 2026 konkrete Anforderungen:

• Menschliche Aufsicht: Mitarbeitende müssen die Ausgaben des Systems überwachen und eingreifen können
• Protokollaufbewahrung: automatisch erzeugte Protokolle mindestens sechs Monate aufbewahren
• Datenschutz-Folgenabschätzung: bei Verarbeitung personenbezogener Daten nach Artikel 35 DSGVO
• Mitarbeiterinformation: Arbeitnehmer müssen über den KI-Einsatz informiert werden

Für KMU, die im HR-Bereich automatisierte Bewerberauswahl nutzen, im Finanzbereich KI-gestützte Kreditprüfungen einsetzen oder im Gesundheitswesen KI-Diagnosetools verwenden, sind das reale Anforderungen. Die Systeme fallen nach Anhang III in die Hochrisiko-Kategorie, unabhängig davon wie groß das Unternehmen ist.

---

Was KMU gegenüber Großunternehmen tatsächlich entlastet

Der EU AI Act enthält keine pauschale KMU-Ausnahme, aber zwei relevante Erleichterungen:

Bußgelder: Bei Verstößen gilt jeweils der niedrigere der beiden Beträge, entweder der Festbetrag oder der Umsatzprozentsatz. Für ein Unternehmen mit kleinem Jahresumsatz bedeutet das geringere maximale Bußgelder als für einen Konzern.

Keine Anbieter-Pflichten als Betreiber: Wer eingespeicherte Software nutzt, ohne sie weiterzuentwickeln oder unter eigenem Namen zu vertreiben, ist Betreiber. Die aufwendigen Anforderungen an technische Dokumentation und Konformitätsbewertung treffen den Anbieter, nicht das nutzende KMU.

Was nicht entlastet: die AI-Literacy-Pflicht nach Artikel 4. Sie gilt seit dem 2. Februar 2025 für alle Betreiber, unabhängig von Größe und Risikoklasse.

---

Die häufigsten Irrtümer in KMU

"Wir nutzen nur ChatGPT und Copilot, das zählt nicht." ChatGPT und Microsoft Copilot sind KI-Systeme im Sinne der Verordnung. Als Betreiber unterliegen KMU den Pflichten aus Artikel 26, sobald diese Tools für berufliche Zwecke eingesetzt werden.

"Unser ERP ist kein KI-System." Moderne ERP-Systeme von SAP, Salesforce und Workday enthalten zunehmend eingebettete KI-Module. Wer diese mit aktivierten KI-Funktionen betreibt, ist Betreiber eines KI-Systems nach der Verordnung, auch ohne es explizit als solches beschafft zu haben.

"Wir entwickeln nichts selbst, also gilt das nicht für uns." Die Rolle als Betreiber entsteht durch den beruflichen Einsatz eines KI-Systems, nicht durch dessen Entwicklung. Betreiberstellung und die damit verbundenen Pflichten bestehen unabhängig davon, wer das System gebaut hat.

---

Was jetzt zu tun ist

Die Bundesnetzagentur als zuständige deutsche KI-Aufsichtsbehörde empfiehlt auch für KMU denselben strukturierten Einstieg: Bestandsaufnahme der genutzten KI-Systeme, Rollenzuordnung und Risikoklassifizierung.

Für die meisten kleinen Unternehmen ergibt sich dabei ein überschaubares Bild: wenige oder keine Hochrisiko-Systeme, überwiegend Betreiber-Rolle, geringer unmittelbarer Handlungsbedarf. Wer das einmal systematisch durchgeführt hat, weiß genau wo er steht und kann gezielt planen statt allgemein zu besorgen.

---

Dieser Beitrag ist Teil der REGULIGHT Blogserie zum EU AI Act.

---

Häufig gestellte Fragen

Gilt der EU AI Act auch für Unternehmen mit weniger als 50 Mitarbeitern? Ja. Die Verordnung (EU) 2024/1689 enthält keine Ausnahme nach Unternehmensgröße. Auch ein Kleinstunternehmen, das Hochrisiko-KI-Systeme einsetzt, unterliegt den Betreiberpflichten nach Artikel 26. Bei der Bußgeldbemessung gilt jeweils der niedrigere Betrag aus Festbetrag und Umsatzprozentsatz.

Was ist der Unterschied zwischen einem KMU als Anbieter und als Betreiber? Anbieter entwickeln KI-Systeme und bringen sie unter eigenem Namen auf den Markt. Betreiber setzen fremde KI-Systeme für berufliche Zwecke ein. Die meisten KMU sind Betreiber. Als Betreiber entfallen die aufwendigsten Pflichten wie technische Dokumentation, Konformitätsbewertung und CE-Kennzeichnung; diese treffen den Anbieter.

Welche Pflichten gelten ab sofort für KMU? Die AI-Literacy-Pflicht nach Artikel 4 gilt seit dem 2. Februar 2025 für alle Betreiber, unabhängig von Größe und Risikoklasse. Alle weiteren Betreiberpflichten für Hochrisiko-Systeme gelten ab dem 2. August 2026.

Was passiert, wenn ein KMU ein KI-System intern weiterentwickelt? Sobald ein Betreiber ein eingekauftes KI-System wesentlich verändert oder unter eigenem Namen weitervertreibt, greift Artikel 25 und überträgt die volle Anbieterverantwortung. Fine-Tuning auf eigene Daten oder tiefgreifende Systemanpassungen können diese Schwelle erreichen.

---

Quellen

• Verordnung (EU) 2024/1689, Artikel 2 — Anwendungsbereich
• Verordnung (EU) 2024/1689, Artikel 4 — AI Literacy
• Verordnung (EU) 2024/1689, Artikel 26 — Betreiberpflichten
• Verordnung (EU) 2024/1689, Anhang III — Hochrisiko-Systeme
• Bundesnetzagentur: KI-Aufsicht in Deutschland
• Bitkom: Umsetzungsleitfaden zur KI-Verordnung
• Statistisches Bundesamt: Jedes fünfte Unternehmen nutzt KI
• activeMind.legal: AI Act Guide für Unternehmen