EU AI ActComplianceChecklistSMEs

Checkliste zur Einhaltung des EU-KI-Gesetzes für KMU: eine Roadmap in 9 Schritten

Veröffentlicht 18. Juli 2026 · 6 Min. Lesezeit

Das EU-KI-Gesetz kann überwältigend wirken. In Schritte zerlegt ist es beherrschbar, selbst für ein kleines Team ohne eigenen Compliance-Beauftragten. Dies ist die Roadmap, die wir mit KMU durchgehen – mit dem Artikel hinter jedem Schritt, damit Sie die Quelle überprüfen können.

Zuerst: was heute bereits gilt

Nicht alles liegt in der Zukunft. Drei Pflichten sind bereits durchsetzbar, behandeln Sie sie daher als „Jetzt handeln“-Punkte:

  • Verbotene Praktiken (Artikel 5) seit dem 2. Februar 2025 verboten. Kein KI-System darf sie ausführen, unabhängig von Ihrer Größe.
  • KI-Kompetenz (Artikel 4) seit dem 2. Februar 2025 müssen Anbieter und Betreiber sicherstellen, dass die Mitarbeiter, die KI bedienen, über ein ausreichendes Maß an KI-Kompetenz verfügen. Siehe unseren Leitfaden zur KI-Kompetenz.
  • Pflichten für GPAI-Modelle (Kapitel V) gelten ab dem 2. August 2025, mit Durchsetzung ab dem 2. August 2026.

Die Hochrisiko-Pflichten, der größte Aufwand, wurden durch den Digital Omnibus auf den 2. Dezember 2027 (Anhang III) und den 2. August 2028 (Anhang I) verschoben – beide angenommen, aber noch nicht im Amtsblatt veröffentlicht. Das verschafft Ihnen Zeit zur Vorbereitung, ist aber kein Grund zu warten.

Die Roadmap in 9 Schritten

  1. Erstellen Sie ein KI-Inventar. Listen Sie jedes KI-System auf, das Sie entwickeln oder nutzen. Dies ist an sich kein gesetzlicher Artikel; es ist die praktische Voraussetzung für alles Weitere, denn Sie können nicht klassifizieren, was Sie nicht katalogisiert haben.
  2. Kennen Sie Ihre Rolle. Das Gesetz weist unterschiedliche Pflichten einem Anbieter, einem Betreiber, einem Einführer und einem Händler zu (definiert in Artikel 3; Pflichten der Anbieter in Artikel 16, Pflichten der Betreiber in Artikel 26). Die meisten KMU sind Betreiber der KI eines anderen – ein leichteres Pflichtenpaket als das eines Anbieters.
  3. Klassifizieren Sie das Risiko jedes Systems. Ordnen Sie jedes System einer Stufe zu: verboten (Artikel 5), hochriskant (Artikel 6 und Anhang III), begrenztes Risiko bzw. Transparenz (Artikel 50) oder minimal. GPAI-Modelle unterliegen Kapitel V. Unser Risiko-Checker erledigt dies in wenigen Minuten.
  4. Sorgen Sie für KI-Kompetenz. Schulen Sie die Personen, die Ihre KI bedienen, ausreichend, damit sie sie verantwortungsvoll einsetzen (Artikel 4).
  5. Erfüllen Sie die Pflichten der jeweiligen Stufe. Für hochriskante Systeme bedeutet das Risikomanagement, Daten-Governance, menschliche Aufsicht (Artikel 14) sowie Genauigkeit und Robustheit (Artikel 15).
  6. Führen Sie die technische Dokumentation. Anbieter hochriskanter Systeme müssen die technische Dokumentation nach Anhang IV erstellen und pflegen, bevor das System in Verkehr gebracht wird (Artikel 11).
  7. Fügen Sie Transparenzhinweise hinzu. Informieren Sie Personen, wenn sie mit einem KI-System interagieren, und kennzeichnen Sie KI-generierte oder manipulierte Inhalte (Artikel 50).
  8. Protokollieren und überwachen Sie. Führen Sie Aufzeichnungen und automatisch generierte Protokolle (Artikel 12 und 19) und betreiben Sie eine Beobachtung nach dem Inverkehrbringen (Artikel 72).
  9. Registrieren Sie hochriskante Systeme. Anbieter registrieren sich selbst und ihr System nach Anhang III in der EU-Datenbank, bevor sie es in Verkehr bringen (Artikel 49 und 71).

Fristen auf einen Blick

Jetzt in Kraft: verbotene Praktiken und KI-Kompetenz (2. Februar 2025) sowie GPAI-Pflichten (2. August 2025). Ab dem 2. August 2026: die allgemeine Anwendung des Gesetzes und die Transparenzvorschriften. Angenommen, aber noch nicht im Amtsblatt veröffentlicht: die Pflicht zur Kennzeichnung synthetischer Inhalte und ein neues Verbot nicht einvernehmlicher intimer Bilder sowie von Material über sexuellen Kindesmissbrauch (2. Dezember 2026), hochriskant nach Anhang III (2. Dezember 2027) und Anhang I (2. August 2028). Unser Leitfaden zu den Fristen hält die vollständige Tabelle aktuell.

Wo die Sanktionen greifen

Das Versäumnis dieser Pflichten setzt Sie Bußgeldern aus: bis zu EUR 35M oder 7 % des Umsatzes bei verbotenen Praktiken, wobei für KMU der niedrigere der beiden Beträge als Obergrenze gilt. Siehe was EU-KMU tatsächlich riskieren für die Details.

Beginnen Sie mit einer 2-Minuten-Prüfung

Der schnellste Weg, diese Checkliste in einen Plan umzusetzen, besteht darin, zu ermitteln, welche Ihrer Systeme in den Anwendungsbereich fallen. Führen Sie den kostenlosen EU AI Act Snapshot aus – ohne Registrierung – oder erkunden Sie die Tarife, die bei EUR 0 beginnen.

Verwandte Leitfäden