„EU AI Act" klingt nach einem Thema für Konzern-Rechtsabteilungen. Für die meisten KMU ist die Wahrheit beruhigender — und gleichzeitig konkreter, als die Schlagzeilen vermuten lassen.
Die direkte Antwort: Die große Mehrheit der KI-Anwendungen in einem typischen KMU fällt in die niedrigste Risikostufe. Was euch wirklich trifft, ist überschaubar: eine Kompetenzpflicht, die seit Anfang 2025 gilt, und Transparenzpflichten ab August 2026. Die gefürchteten Hochrisiko-Auflagen betreffen die wenigsten Betriebe — und sie wurden 2026 zeitlich nach hinten verschoben.
Dieser Leitfaden ordnet ein, was der EU AI Act und die DSGVO für euer KMU bedeuten: der Zeitplan, die Risikoklassen, eure konkreten Pflichten, die Bußgelder und wie beide Regelwerke zusammenspielen.
Stand: Mai 2026. Hinweis: Der „Digital Omnibus" vom 7. Mai 2026 verschiebt mehrere Fristen — sein finaler Verordnungstext war zum Redaktionszeitpunkt noch nicht im EU-Amtsblatt veröffentlicht. Dieser Beitrag ersetzt keine Rechtsberatung.
Das Wichtigste in Kürze
Der EU AI Act stuft KI-Systeme in vier Risikoklassen ein — die meisten KMU-Anwendungen fallen unter „begrenztes" oder „minimales" Risiko. Konkret treffen euch zwei Pflichten: die KI-Kompetenzpflicht (seit Februar 2025) und Transparenzpflichten für Chatbots und KI-Inhalte (ab August 2026). Hochrisiko-Auflagen wurden auf Dezember 2027 verschoben. Für KMU gilt bei Bußgeldern stets der niedrigere Wert. Der AI Act ersetzt nicht die DSGVO — beide gelten parallel.
Was ist der EU AI Act — und betrifft er euer KMU?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das erste umfassende KI-Gesetz der Welt. Er ist seit dem 1. August 2024 in Kraft und wird stufenweise anwendbar.
Sein Grundprinzip ist ein risikobasierter Ansatz: Nicht jede KI wird gleich reguliert, sondern nach dem Schaden, den sie anrichten kann. Eine KI, die Bewerber aussortiert, wird streng behandelt. Ein KI-Rechtschreibassistent praktisch gar nicht.
Betrifft er euer KMU? Ja — aber fast immer in der mildesten Form. Wer KI einsetzt, ist im Sinne des Gesetzes „Betreiber" und damit grundsätzlich erfasst. Entscheidend ist aber, welche KI ihr einsetzt. Und da gilt: Die typischen KMU-Anwendungen — Textassistenten, Chatbots, Automatisierungen, Bildgeneratoren — lösen die schweren Pflichten nicht aus. Die Aufgabe ist nicht, ein Compliance-Großprojekt zu stemmen, sondern zu wissen, wo ihr steht.
Der Zeitplan: Welche Pflicht gilt ab wann?
Der AI Act greift nicht auf einen Schlag, sondern in Stufen:
Datum: 1. August 2024
Was gilt: Verordnung tritt in Kraft
Datum: 2. Februar 2025
Was gilt: Verbotene KI-Praktiken untersagt
KI-Kompetenzpflicht (Art. 4)
Datum: 2. August 2025
Was gilt: Regeln für Allzweck-KI-Modelle (GPAI)
nationale Aufsichtsbehörden
| Datum | Was gilt |
|---|---|
| 2. August 2026 | Transparenzpflichten (Art. 50) für Chatbots und KI-Inhalte |
| 2. Dezember 2027 | Hochrisiko-Systeme nach Anhang III (verschoben durch Digital Omnibus) |
| 2. August 2028 | Hochrisiko-KI in regulierten Produkten (Anhang I) |
Die wichtigste Aktualität: Der Digital Omnibus vom 7. Mai 2026 hat die Hochrisiko-Fristen nach hinten geschoben. Ursprünglich sollten die Hochrisiko-Pflichten nach Anhang III bereits im August 2026 greifen — neu ist der 2. Dezember 2027. Begründung war, dass die nötigen technischen Normen noch nicht vollständig vorliegen. Für KMU bedeutet das mehr Zeit. Da der finale Text des Omnibus noch nicht amtlich veröffentlicht ist, gilt: die Eckdaten beobachten, aber nicht in Stein meißeln.
Was ab August 2026 für KMU sicher relevant wird, sind die Transparenzpflichten — dazu unten mehr. Für bereits vorher eingesetzte KI-Systeme greift die Kennzeichnungspflicht erst ab Dezember 2026.
Die vier Risikoklassen — wo fällt euer KI-Einsatz hinein?
Der AI Act kennt vier Stufen. Die Einordnung entscheidet über alles Weitere.
Verbotenes Risiko. Diese Systeme dürfen seit Februar 2025 gar nicht betrieben werden. Dazu zählen Social Scoring, unterschwellige Manipulation, das Ausnutzen von Schwächen schutzbedürftiger Gruppen und — besonders relevant für Arbeitgeber — Emotionserkennung am Arbeitsplatz. Wer Mitarbeitende per KI auf ihre Stimmung überwacht, bewegt sich hier.
Hohes Risiko. KI in sensiblen Anwendungsfeldern: Personalauswahl und CV-Screening, Kreditwürdigkeitsprüfung, biometrische Identifikation, Prüfungsbewertung, kritische Infrastruktur. Wer ein solches System einsetzt, hat umfangreiche Pflichten — Risikomanagement, Dokumentation, menschliche Aufsicht. Diese Pflichten greifen aber erst ab Dezember 2027.
Begrenztes Risiko. Hier landen die meisten sichtbaren KMU-Anwendungen: Chatbots, KI-generierte Texte, KI-erzeugte Bilder und Videos. Die einzige Auflage sind Transparenzpflichten — Offenlegen, dass KI im Spiel ist.
Minimales Risiko. Der große Rest: KI-Rechtschreibhilfe, Spam-Filter, interne Bildbearbeitung, Lead-Scoring ohne Rechtsfolge für die Betroffenen, KI-gestützte Terminplanung. Hier gibt es außer der allgemeinen Kompetenzpflicht keine spezifischen Auflagen.
Die Faustregel für ein typisches KMU: Solange ihr KI nicht für Einstellungsentscheidungen, Kreditvergabe oder biometrische Überwachung einsetzt, bewegt ihr euch in den unteren beiden Klassen — begrenztes oder minimales Risiko.
Welche Pflichten treffen ein typisches KMU wirklich?
Drei Dinge sind für nahezu jedes KMU konkret relevant — und nur drei.
1. Die KI-Kompetenzpflicht (Art. 4) — gilt bereits. Seit Februar 2025 müssen Unternehmen sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen — angemessen zu ihrer Rolle. Es gibt keinen vorgeschriebenen Lehrplan. Praktisch heißt das: ein Überblick, welche KI-Tools im Betrieb von wem genutzt werden; eine einfache schriftliche Nutzungsrichtlinie; dokumentierte Schulungen oder Einweisungen. Ein direktes EU-Bußgeld speziell für Art.-4-Verstöße ist nicht vorgesehen — zivilrechtliche Risiken bleiben aber bestehen.
2. Transparenzpflichten (Art. 50) — ab August 2026. Wer einen Chatbot einsetzt, muss Nutzer vor dem ersten Kontakt darüber informieren, dass sie mit einer KI sprechen. KI-generierte Texte, Bilder und Videos müssen maschinenlesbar gekennzeichnet werden. Deepfakes brauchen eine deutliche Offenlegung. Der genaue technische Kennzeichnungsstandard war Mitte 2026 noch in EU-Konsultation — die Pflicht selbst gilt ab August 2026.
3. Verbotene Praktiken prüfen — gilt bereits. Eine einmalige Kontrolle: Setzt eines eurer Tools etwas Verbotenes um — etwa Emotionsüberwachung von Mitarbeitenden? Bei Standard-Tools aus dem KMU-Alltag ist das praktisch nie der Fall, aber die Prüfung gehört abgehakt.
Was die meisten KMU nicht trifft: die schweren Hochrisiko-Pflichten — Konformitätsbewertung, technische Dokumentation, Post-Market-Monitoring. Die greifen nur, wenn ihr tatsächlich ein Hochrisiko-System einsetzt, und erst ab Dezember 2027.
Was kostet ein Verstoß?
Die Bußgelder des AI Act klingen dramatisch — für KMU sind sie es deutlich weniger.
| Verstoß | Obergrenze |
|---|---|
| Verbotene Praktiken | bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes |
| Hochrisiko- und Transparenzpflichten | bis 15 Mio. € oder 3 % des Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | bis 7,5 Mio. € oder 1 % des Jahresumsatzes |
Der entscheidende Punkt für KMU steht im Gesetz selbst: Während für große Unternehmen der höhere der beiden Werte gilt, gilt für KMU und Start-ups der niedrigere. Bei einem Jahresumsatz von einer Million Euro liegt die Obergrenze für einen schweren Verstoß damit nicht bei 35 Millionen, sondern bei 7 Prozent davon — also 70.000 Euro. Bei der konkreten Festsetzung berücksichtigen die Behörden zudem Schwere, Vorsatz, Kooperationsbereitschaft und Unternehmensgröße.
Das Risiko ist real, aber proportional. Es ist kein Grund für Panik — und kein Grund, KI aus Angst zu meiden.
EU AI Act und DSGVO — wie greifen die beiden ineinander?
Ein verbreitetes Missverständnis: Der AI Act ersetze die DSGVO. Das Gegenteil stimmt — beide gelten parallel und ergänzen sich.
Die Arbeitsteilung: Der AI Act regelt, wie ein KI-System beschaffen und gekennzeichnet sein muss. Die DSGVO regelt, wie personenbezogene Daten verarbeitet werden dürfen. Wichtig: Der AI Act ist selbst keine Rechtsgrundlage für die Datenverarbeitung. Sobald euer KI-System personenbezogene Daten verarbeitet, braucht ihr zusätzlich eine DSGVO-Rechtsgrundlage — Einwilligung, Vertragserfüllung oder berechtigtes Interesse mit dokumentierter Abwägung.
Drei DSGVO-Punkte sind beim KI-Einsatz besonders zu beachten:
- Automatisierte Entscheidungen (Art. 22 DSGVO). Trifft eine KI ohne menschliches Zutun Entscheidungen mit erheblicher Wirkung — Kreditzusage, Bewerberauswahl —, haben Betroffene das Recht auf menschliches Eingreifen, auf Erläuterung und auf Anfechtung. Für Angebotslegung oder Terminbuchung greift das nicht; für Bewertungssysteme schon.
- Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Bei KI-Anwendungen mit hohem Risiko für Betroffene ist sie Pflicht. Die gute Nachricht: Wer ohnehin ein Hochrisiko-System nach AI Act dokumentiert, hat die Grundlage dafür schon weitgehend erstellt — die Anforderungen überlappen.
- Transparenz. Sie wird doppelt verlangt — durch die DSGVO-Informationspflichten und durch die Kennzeichnungspflicht des AI Act. Eine saubere Datenschutzinformation, die den KI-Einsatz benennt, deckt beide Seiten ab.
KMU-Erleichterungen — was der AI Act euch zugesteht
Der AI Act behandelt KMU nicht wie Konzerne. Artikel 62 sieht ausdrücklich Erleichterungen vor:
- Vorrang bei den Reallaboren: KMU bekommen bevorzugten Zugang zu den nationalen KI-Reallaboren, in denen sich Systeme unter Aufsicht erproben lassen.
- Vereinfachte Dokumentation: Das KI-Büro der EU stellt standardisierte, vereinfachte Dokumentationsvorlagen für KMU bereit.
- Reduzierte Gebühren: Kosten für Konformitätsbewertungen werden proportional zur Unternehmensgröße gesenkt.
- Der niedrigere Bußgeldwert — wie oben beschrieben.
Diese Erleichterungen mildern den Aufwand. Sie heben aber die drei Kernpflichten — Kompetenz, Transparenz, Verbots-Check — nicht auf. Die gelten für KMU vollumfänglich.
Die häufigsten Compliance-Fehler
Warnung
Der teuerste Fehler ist, den AI Act zu ignorieren, weil man sich für „zu klein" hält. Die KI-Kompetenzpflicht gilt seit Februar 2025 für jeden Betrieb, der KI nutzt — ohne Untergrenze. Sie zu erfüllen kostet wenig: ein Tool-Überblick, eine Richtlinie, eine dokumentierte Schulung. Sie zu übersehen schafft ein vermeidbares Haftungsrisiko.
Die weiteren wiederkehrenden Fehler:
Den AI Act mit der DSGVO verwechseln. Beide gelten parallel. Wer nur an eines denkt, übersieht Pflichten.
KI-Inhalte nicht kennzeichnen. Ab August 2026 müssen Chatbots sich zu erkennen geben und KI-Inhalte markiert sein. Wer das jetzt nicht einplant, baut sich eine Nachrüstaufgabe.
Hochrisiko-Pflichten auf sich beziehen, obwohl sie nicht gelten. Manche KMU lähmen sich mit Auflagen, die sie gar nicht treffen. Erst die Risikoklasse bestimmen — dann handeln.
Compliance als Einmalprojekt sehen. Der Rechtsrahmen entwickelt sich — der Digital Omnibus 2026 ist ein Beispiel. Einmal einordnen reicht nicht; einmal jährlich nachsehen schon.
Häufige Fragen zu EU AI Act und DSGVO für KMU
Betrifft der EU AI Act auch kleine Unternehmen?
Ja, aber meist nur in der mildesten Form. Jeder Betrieb, der KI nutzt, gilt als „Betreiber". Die typischen KMU-Anwendungen lösen jedoch keine schweren Pflichten aus — relevant sind vor allem die KI-Kompetenzpflicht und die Transparenzpflichten.
Was muss ein KMU bis August 2026 konkret tun?
Drei Dinge: die KI-Kompetenzpflicht erfüllen (Tool-Überblick, Nutzungsrichtlinie, dokumentierte Schulung), die Transparenzpflichten vorbereiten (Chatbots als KI kennzeichnen, KI-Inhalte markieren) und einmalig prüfen, dass kein eingesetztes Tool eine verbotene Praktik umsetzt.
Wie hoch sind die Bußgelder für ein KMU?
Der AI Act nennt Obergrenzen bis 35 Mio. Euro — für KMU gilt aber stets der niedrigere der beiden Werte (Festbetrag oder Umsatzprozentsatz). Bei einer Million Euro Umsatz liegt die Obergrenze für einen schweren Verstoß damit bei rund 70.000 Euro, nicht bei 35 Millionen.
Ersetzt der EU AI Act die DSGVO?
Nein. Beide gelten gleichzeitig. Der AI Act regelt das KI-System, die DSGVO die Verarbeitung personenbezogener Daten. Verarbeitet eure KI personenbezogene Daten, braucht ihr zusätzlich eine DSGVO-Rechtsgrundlage.
Was hat sich durch den Digital Omnibus 2026 geändert?
Der Digital Omnibus vom 7. Mai 2026 hat die Fristen für Hochrisiko-Systeme verschoben — die Anhang-III-Pflichten greifen nun ab Dezember 2027 statt August 2026. Die Transparenzpflichten ab August 2026 bleiben bestehen. Der finale Verordnungstext war Mitte 2026 noch nicht amtlich veröffentlicht.
Verstöße gegen verbotene KI-Praktiken (Art. 5): bis 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes. Bei Hochrisiko-Verstößen bis 15 Mio. EUR oder 3 %.
Quelle: EU AI Act Art. 99 (2024)
Ab August 2026 müssen alle KMU, die Hochrisiko-KI einsetzen, vollständig compliant sein — inklusive Dokumentations-, Logging- und Risikobewertungspflichten nach Art. 9–16 EU AI Act.
Quelle: EU AI Act Art. 6 & 113 (2024)
EU AI Act und DSGVO sind kumulativ: Ein KI-System kann gleichzeitig gegen beide Regelwerke verstoßen. DSGVO-Sanktionen: bis 20 Mio. EUR oder 4 % Jahresumsatz (Art. 83 DSGVO).
Quelle: DSGVO Art. 83 Abs. 5 (2018)
Dokumentations-Vorlagen: Was ihr für Audits parat haben müsst
Die häufigste Frage in unseren 25+ DACH-Projekten: „Was müssen wir eigentlich konkret aufschreiben?“ Kurze Antwort: mehr, als ihr denkt — aber weniger, als ihr befürchtet. Der EU AI Act verlangt keine ISO-Zertifizierung für jedes Excel-Macro. Er verlangt Nachweisbarkeit. Das ist ein Unterschied.
Wer bei einem Audit keine Unterlagen vorlegen kann, hat im Zweifel keine Chance. Die Beweislast liegt beim Betreiber, nicht bei der Behörde. Deshalb gilt: Dokumentation ist kein Bürokratieakt, sie ist euer Schutzschild.
Was ihr selbst dokumentiert: das KI-System-Inventar
Jedes KI-System, das ihr nutzt oder betreibt, braucht einen Inventar-Eintrag. Das gilt für den ChatGPT-Workflow in eurem Marketing-Team genauso wie für das selbst trainierte Scoring-Modell in eurem CRM.
Ein vollständiger Inventar-Eintrag enthält mindestens: Name und Version des Systems, Anbieter und Vertragsart (SaaS / API / self-hosted), Zweck und Entscheidungskontext, betroffene Personenkategorien (Mitarbeiter, Kunden, Dritte), Risikoklasse nach Art. 6 EU AI Act, verantwortliche interne Person, Datum der letzten Prüfung.
Format ist egal — Notion, Excel, Confluence. Entscheidend ist: Das Inventar existiert, ist aktuell und jemand ist namentlich verantwortlich. Ohne zugewiesene Verantwortung ist ein Inventar wertlos.
Was vom Anbieter eingefordert werden muss: Vertragsklauseln und AVV
Als Deployer seid ihr verpflichtet, von eurem KI-Anbieter bestimmte Informationen einzuholen. Die meisten Cloud-Anbieter stellen diese in Standarddokumenten bereit — aber ihr müsst sie aktiv anfordern und archivieren.
Folgende Dokumente gehören in eure Audit-Mappe: Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO — unterschrieben, nicht nur verlinkt. Technische Dokumentation des Anbieters nach Art. 11 EU AI Act (für Hochrisiko-Systeme). Anbieter-Erklärung zur EU-Konformität (CE-äquivalent). Datenspeicherort und Subprozessor-Liste. Incident-Response-Prozess des Anbieters.
Wichtig: Ein Anbieter, der diese Dokumente nicht liefert oder liefern kann, ist ein Compliance-Risiko. Ihr könnt die Verantwortung nicht delegieren — aber ihr könnt den Anbieter wechseln.
Aufbewahrungsfristen: Wie lange müsst ihr was behalten?
Der EU AI Act gibt keine einheitliche Aufbewahrungsfrist vor — aber er definiert Mindestanforderungen je nach Systemkategorie. Für Hochrisiko-KI-Systeme gilt: Logs und Entscheidungsnachweise mindestens 5 Jahre aufbewahren (Art. 12 EU AI Act). Für DSGVO-Verarbeitungsverzeichnisse gilt grundsätzlich keine gesetzliche Mindestfrist, aber die Nachweispflicht aus Art. 5 Abs. 2 DSGVO erzwingt faktisch eine Aufbewahrung über die gesamte Verarbeitungsdauer plus Verjährungszeiten.
Praxisregel: Alles, was mit einem Hochrisiko-System zusammenhängt, 10 Jahre archivieren. Das klingt lang — aber es ist kürzer als ein laufender Rechtsstreit. Automatisches Archiv in eurer Cloud-Umgebung löst das technisch ohne Aufwand.
Wer wissen will, wie ein vollständiges Compliance-Vakuum aussieht und wie man es schließt, findet im Beitrag zum EU AI Act Compliance-Vakuum für KMU konkrete Handlungsschritte.
EU AI Act bei Vendor-KI: Was bei OpenAI, Anthropic und Microsoft eure Verantwortung bleibt
Der häufigste Irrglaube in KMU-Projekten: „Wir nutzen ja nur die API von OpenAI — die sind verantwortlich, nicht wir.“ Das stimmt nicht. Der EU AI Act unterscheidet klar zwischen Provider (Anbieter des Modells) und Deployer (euer Unternehmen, das das Modell in einem Kontext einsetzt). Ihr seid fast immer Deployer. Und Deployer tragen eigene Pflichten.
Die Deployer-Logik: Was Cloud-LLMs euch nicht abnehmen
OpenAI, Anthropic oder Microsoft sind Provider. Sie müssen ihre Modelle konform bauen und dokumentieren. Aber sie können nicht wissen, für welchen Zweck ihr ihr Modell einsetzt. Genau deshalb liegt die Zweckverantwortung bei euch.
Als Deployer müsst ihr sicherstellen: Der Einsatzzweck ist klar definiert und entspricht den erlaubten Anwendungsfällen des Anbieters. Ihr habt eine menschliche Überwachung implementiert, wo der Act sie fordert. Ihr informiert betroffene Personen, wenn ein KI-System Entscheidungen trifft oder vorbereitet, die sie betreffen. Ihr habt eine interne Anlaufstelle für Beschwerden zu KI-Entscheidungen.
Wie Anthropics Governance-Ansätze — etwa ihre veröffentlichte KI-Verfassung — als Ausgangsbasis für eigene interne Richtlinien dienen können, erklärt der Beitrag zu Anthropics KI-Verfassung als Governance-Template für DACH.
GPAI Code of Practice: Was Juli 2025 für euch bedeutet
Im Juli 2025 hat das EU AI Office den Code of Practice für General Purpose AI (GPAI) publiziert. Er richtet sich primär an Modell-Anbieter — aber er hat indirekte Auswirkungen auf Deployer wie euch.
Konkret: Anbieter, die den Code of Practice unterzeichnen, müssen Deployer mit besseren technischen Unterlagen versorgen. Das heißt für euch: Ab 2025/2026 wird es einfacher, die notwendigen Anbieter-Dokumente einzufordern. Anbieter, die den CoP nicht unterzeichnen, sollten auf eurer Risikoliste landen. Die Anforderungen an menschliche Aufsicht, Transparenz und Sicherheitstests steigen stufenweise.
Praxistipp: Prüft bei jedem KI-Anbieter-Review, ob dieser den GPAI Code of Practice unterzeichnet hat. Das EU AI Office führt eine öffentliche Liste. Wer nicht drauf steht, ist kein automatisches No-Go — aber ein Gegenüber, bei dem ihr mehr eigene Due-Diligence leisten müsst.
AVV-Stand der großen Anbieter: Was heute schon vorhanden ist
Die gute Nachricht: Die großen US-Anbieter haben DSGVO-Konformität und AVV längst als Marktanforderung akzeptiert. Microsoft (Azure OpenAI), Anthropic und Google bieten AVVs an. OpenAI hat seinen Data Processing Addendum seit 2023 mehrfach nachgeschärft.
Die schlechte Nachricht: Diese Dokumente sind Standardtexte. Sie decken nicht automatisch jeden eurer Anwendungsfälle ab. Wenn ihr personenbezogene Daten in Prompts übermittelt — also Kundennamen, Adressen, Krankheitsdaten — müsst ihr prüfen, ob euer spezifischer Use Case im AVV gedeckt ist. Das ist manuelle Arbeit, die kein Anbieter euch abnimmt.
Ein konkretes Beispiel: Prompt Injection — also das gezielte Manipulieren eures KI-Systems über Nutzereingaben — ist eine Sicherheitslücke, die kein AVV schließt. Das ist eine Deployer-Verantwortung. Wer mehr dazu wissen will: Der Beitrag zu Prompt Injection und KI-Sicherheit für KMU zeigt, wo die Grenze zwischen Anbieter- und Deployer-Verantwortung in der Praxis liegt.
Wer verstehen will, wie die aktuelle Forschungslage zur KI-Autonomie und Emotionszuschreibung die regulatorische Debatte beeinflusst, findet im Beitrag zur Claude-Emotionsstudie und EU AI Act 2026 wichtige Hintergrundinformationen für Compliance-Owner.
Wer KI-Projekte österreichweit mit Fördermitteln finanzieren will und gleichzeitig compliant starten möchte, findet in den Beiträgen zur KI-Förderung in Österreich und zur Digitalisierungsförderung Wien konkrete Anlaufstellen und Voraussetzungen.
Vertiefung: Der EU-AI-Act-Themencluster
Dieser Leitfaden ordnet das Gesamtbild. In einzelne Aspekte gehen diese Beiträge tiefer:
- EU AI Act: das Compliance-Vakuum 2026 — warum viele Betriebe trotz Frist nicht handeln.
- KI-Verfassung und Governance im DACH-Mittelstand — wie ihr interne KI-Regeln aufsetzt.
- Prompt Injection: das unterschätzte Sicherheitsrisiko — die technische Seite der KI-Sicherheit.
Nächster Schritt
Compliance beim EU AI Act ist für die meisten KMU kein Großprojekt — aber sie braucht einen klaren Blick: Welche KI setzt ihr ein, in welche Risikoklasse fällt sie, welche der drei Kernpflichten betrifft euch?
Wenn ihr diese Einordnung für euer Unternehmen sauber machen wollt, kommt in ein kostenloses Erstgespräch. In 30 Minuten klären wir gemeinsam, wo ihr steht und was konkret zu tun ist — ohne Verkaufsgespräch, ohne Verpflichtung.
Quellen: Verordnung (EU) 2024/1689 (EU AI Act); EU-Kommission / AI Act Service Desk; artificialintelligenceact.eu (Implementation Timeline, Art. 4, 50, 62, 99); Berichterstattung zum Digital Omnibus vom 7. Mai 2026; DSGVO Art. 6, 22, 35. Stand Mai 2026. Dieser Beitrag ist eine Orientierung und ersetzt keine Rechtsberatung — für verbindliche Auskünfte ist eine fachkundige rechtliche Prüfung erforderlich.
Tiefer einsteigen — alle Artikel im Cluster
- EU AI Act 2026: Das Compliance-Vakuum für DACH-KMUs — EU AI Act gilt — aber die Umsetzungsregeln fehlen. Welche KI-Systeme betroffen sind, was Hochrisiko bedeutet und 3 Schritte für DACH-KMUs.
- Anthropics neue KI-Verfassung: Was das für DACH-Unternehmen und EU AI Act Compliance bedeutet — KI-Governance für DACH: Anthropics neue Verfassung unter CC0 — kostenlos als Template. Was für EU AI Act Compliance relevant ist und was si…
- Prompt Injection: Das unterschätzte Sicherheitsrisiko für KMUs mit KI-Systemen — KI-Sicherheit für KMU: Prompt Injection ist das unterschätzte Risiko. Ein Satz übernimmt euer System — wie Multi-Agent-Angriffe funktionier…
- Anthropics Emotions-Studie: Was 171 interne Zustände in Claude für euer Unternehmen bedeuten — Claude hat 171 nachweisbare emotionale Zustände — kausal belegt. Was das für Qualitätssicherung und EU AI Act Compliance in DACH-Unternehme…
- Digitalisierung fördern lassen in Wien: Welche Programme KMU 2026 beantragen können — Digitalisierung und KI in Wien fördern lassen: Wirtschaftsagentur Wien, waff und go-international 2026 — Förderquoten, Fristen und die häuf…
- KI-Förderung Österreich 2026: Diese Programme können KMU jetzt beantragen — KI-Förderung Österreich 2026: aws AI Start (bis 15.000€), KMU.DIGITAL (bis 9.000€) und FFG erklärt — mit Kombiniermöglichkeiten und Antrags…
Quellen & weiterführende Informationen
- EU AI Act – Verordnung (EU) 2024/1689 (EUR-Lex)
- DSGVO – Verordnung (EU) 2016/679 (EUR-Lex)
- EU AI Act – offizieller Überblick (EU-Kommission)
- KI-Verordnung der EU (Wikipedia)
Den vollständigen Überblick zu Geltung, Fristen und den vier Risikoklassen in Österreich bietet unser Leitfaden: EU AI Act Österreich — Fristen, Pflichten & Risikoklassen für KMU.
Speziell für Steuerkanzleien zeigen wir die konkreten Hebel auf einer eigenen Seite: KI für Steuerberater — Belegfluss, Mandanten-Mails und Fristen automatisieren.




