EU AI Act und DSGVO für KMU: Der Compliance-Leitfaden 2026

„EU AI Act" klingt nach einem Thema für Konzern-Rechtsabteilungen. Für die meisten KMU ist die Wahrheit beruhigender — und gleichzeitig konkreter, als die Schlagzeilen vermuten lassen.

Die direkte Antwort: Die große Mehrheit der KI-Anwendungen in einem typischen KMU fällt in die niedrigste Risikostufe. Was euch wirklich trifft, ist überschaubar: eine Kompetenzpflicht, die seit Anfang 2025 gilt, und Transparenzpflichten ab August 2026. Die gefürchteten Hochrisiko-Auflagen betreffen die wenigsten Betriebe — und sie wurden 2026 zeitlich nach hinten verschoben.

Dieser Leitfaden ordnet ein, was der EU AI Act und die DSGVO für euer KMU bedeuten: der Zeitplan, die Risikoklassen, eure konkreten Pflichten, die Bußgelder und wie beide Regelwerke zusammenspielen.

Stand: Mai 2026. Hinweis: Der „Digital Omnibus" vom 7. Mai 2026 verschiebt mehrere Fristen — sein finaler Verordnungstext war zum Redaktionszeitpunkt noch nicht im EU-Amtsblatt veröffentlicht. Dieser Beitrag ersetzt keine Rechtsberatung.

Was ist der EU AI Act — und betrifft er euer KMU?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das erste umfassende KI-Gesetz der Welt. Er ist seit dem 1. August 2024 in Kraft und wird stufenweise anwendbar.

Sein Grundprinzip ist ein risikobasierter Ansatz: Nicht jede KI wird gleich reguliert, sondern nach dem Schaden, den sie anrichten kann. Eine KI, die Bewerber aussortiert, wird streng behandelt. Ein KI-Rechtschreibassistent praktisch gar nicht.

Betrifft er euer KMU? Ja — aber fast immer in der mildesten Form. Wer KI einsetzt, ist im Sinne des Gesetzes „Betreiber" und damit grundsätzlich erfasst. Entscheidend ist aber, welche KI ihr einsetzt. Und da gilt: Die typischen KMU-Anwendungen — Textassistenten, Chatbots, Automatisierungen, Bildgeneratoren — lösen die schweren Pflichten nicht aus. Die Aufgabe ist nicht, ein Compliance-Großprojekt zu stemmen, sondern zu wissen, wo ihr steht.

Der Zeitplan: Welche Pflicht gilt ab wann?

Der AI Act greift nicht auf einen Schlag, sondern in Stufen:

Datum: 1. August 2024 · Was gilt: Verordnung tritt in Kraft

Datum: 2. Februar 2025 · Was gilt: Verbotene KI-Praktiken untersagt · KI-Kompetenzpflicht (Art. 4)

Datum: 2. August 2025 · Was gilt: Regeln für Allzweck-KI-Modelle (GPAI) · nationale Aufsichtsbehörden

Datum: 2. August 2026 · Was gilt: Transparenzpflichten (Art. 50) für Chatbots und KI-Inhalte

Datum: 2. Dezember 2027 · Was gilt: Hochrisiko-Systeme nach Anhang III (verschoben durch Digital Omnibus)

Datum: 2. August 2028 · Was gilt: Hochrisiko-KI in regulierten Produkten (Anhang I)

Die wichtigste Aktualität: Der Digital Omnibus vom 7. Mai 2026 hat die Hochrisiko-Fristen nach hinten geschoben. Ursprünglich sollten die Hochrisiko-Pflichten nach Anhang III bereits im August 2026 greifen — neu ist der 2. Dezember 2027. Begründung war, dass die nötigen technischen Normen noch nicht vollständig vorliegen. Für KMU bedeutet das mehr Zeit. Da der finale Text des Omnibus noch nicht amtlich veröffentlicht ist, gilt: die Eckdaten beobachten, aber nicht in Stein meißeln.

Was ab August 2026 für KMU sicher relevant wird, sind die Transparenzpflichten — dazu unten mehr. Für bereits vorher eingesetzte KI-Systeme greift die Kennzeichnungspflicht erst ab Dezember 2026.

Die vier Risikoklassen — wo fällt euer KI-Einsatz hinein?

Der AI Act kennt vier Stufen. Die Einordnung entscheidet über alles Weitere.

Verbotenes Risiko. Diese Systeme dürfen seit Februar 2025 gar nicht betrieben werden. Dazu zählen Social Scoring, unterschwellige Manipulation, das Ausnutzen von Schwächen schutzbedürftiger Gruppen und — besonders relevant für Arbeitgeber — Emotionserkennung am Arbeitsplatz. Wer Mitarbeitende per KI auf ihre Stimmung überwacht, bewegt sich hier.

Hohes Risiko. KI in sensiblen Anwendungsfeldern: Personalauswahl und CV-Screening, Kreditwürdigkeitsprüfung, biometrische Identifikation, Prüfungsbewertung, kritische Infrastruktur. Wer ein solches System einsetzt, hat umfangreiche Pflichten — Risikomanagement, Dokumentation, menschliche Aufsicht. Diese Pflichten greifen aber erst ab Dezember 2027.

Begrenztes Risiko. Hier landen die meisten sichtbaren KMU-Anwendungen: Chatbots, KI-generierte Texte, KI-erzeugte Bilder und Videos. Die einzige Auflage sind Transparenzpflichten — Offenlegen, dass KI im Spiel ist.

Minimales Risiko. Der große Rest: KI-Rechtschreibhilfe, Spam-Filter, interne Bildbearbeitung, Lead-Scoring ohne Rechtsfolge für die Betroffenen, KI-gestützte Terminplanung. Hier gibt es außer der allgemeinen Kompetenzpflicht keine spezifischen Auflagen.

Die Faustregel für ein typisches KMU: Solange ihr KI nicht für Einstellungsentscheidungen, Kreditvergabe oder biometrische Überwachung einsetzt, bewegt ihr euch in den unteren beiden Klassen — begrenztes oder minimales Risiko.

Welche Pflichten treffen ein typisches KMU wirklich?

Drei Dinge sind für nahezu jedes KMU konkret relevant — und nur drei.

1. Die KI-Kompetenzpflicht (Art. 4) — gilt bereits. Seit Februar 2025 müssen Unternehmen sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen — angemessen zu ihrer Rolle. Es gibt keinen vorgeschriebenen Lehrplan. Praktisch heißt das: ein Überblick, welche KI-Tools im Betrieb von wem genutzt werden; eine einfache schriftliche Nutzungsrichtlinie; dokumentierte Schulungen oder Einweisungen. Ein direktes EU-Bußgeld speziell für Art.-4-Verstöße ist nicht vorgesehen — zivilrechtliche Risiken bleiben aber bestehen.

2. Transparenzpflichten (Art. 50) — ab August 2026. Wer einen Chatbot einsetzt, muss Nutzer vor dem ersten Kontakt darüber informieren, dass sie mit einer KI sprechen. KI-generierte Texte, Bilder und Videos müssen maschinenlesbar gekennzeichnet werden. Deepfakes brauchen eine deutliche Offenlegung. Der genaue technische Kennzeichnungsstandard war Mitte 2026 noch in EU-Konsultation — die Pflicht selbst gilt ab August 2026.

3. Verbotene Praktiken prüfen — gilt bereits. Eine einmalige Kontrolle: Setzt eines eurer Tools etwas Verbotenes um — etwa Emotionsüberwachung von Mitarbeitenden? Bei Standard-Tools aus dem KMU-Alltag ist das praktisch nie der Fall, aber die Prüfung gehört abgehakt.

Was die meisten KMU nicht trifft: die schweren Hochrisiko-Pflichten — Konformitätsbewertung, technische Dokumentation, Post-Market-Monitoring. Die greifen nur, wenn ihr tatsächlich ein Hochrisiko-System einsetzt, und erst ab Dezember 2027.

Was kostet ein Verstoß?

Die Bußgelder des AI Act klingen dramatisch — für KMU sind sie es deutlich weniger.

Verstoß: Verbotene Praktiken · Obergrenze: bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes

Verstoß: Hochrisiko- und Transparenzpflichten · Obergrenze: bis 15 Mio. € oder 3 % des Jahresumsatzes

Verstoß: Falsche Angaben gegenüber Behörden · Obergrenze: bis 7,5 Mio. € oder 1 % des Jahresumsatzes

Der entscheidende Punkt für KMU steht im Gesetz selbst: Während für große Unternehmen der höhere der beiden Werte gilt, gilt für KMU und Start-ups der niedrigere. Bei einem Jahresumsatz von einer Million Euro liegt die Obergrenze für einen schweren Verstoß damit nicht bei 35 Millionen, sondern bei 7 Prozent davon — also 70.000 Euro. Bei der konkreten Festsetzung berücksichtigen die Behörden zudem Schwere, Vorsatz, Kooperationsbereitschaft und Unternehmensgröße.

Das Risiko ist real, aber proportional. Es ist kein Grund für Panik — und kein Grund, KI aus Angst zu meiden.

EU AI Act und DSGVO — wie greifen die beiden ineinander?

Ein verbreitetes Missverständnis: Der AI Act ersetze die DSGVO. Das Gegenteil stimmt — beide gelten parallel und ergänzen sich.

Die Arbeitsteilung: Der AI Act regelt, wie ein KI-System beschaffen und gekennzeichnet sein muss. Die DSGVO regelt, wie personenbezogene Daten verarbeitet werden dürfen. Wichtig: Der AI Act ist selbst keine Rechtsgrundlage für die Datenverarbeitung. Sobald euer KI-System personenbezogene Daten verarbeitet, braucht ihr zusätzlich eine DSGVO-Rechtsgrundlage — Einwilligung, Vertragserfüllung oder berechtigtes Interesse mit dokumentierter Abwägung.

Drei DSGVO-Punkte sind beim KI-Einsatz besonders zu beachten:

• Automatisierte Entscheidungen (Art. 22 DSGVO). Trifft eine KI ohne menschliches Zutun Entscheidungen mit erheblicher Wirkung — Kreditzusage, Bewerberauswahl —, haben Betroffene das Recht auf menschliches Eingreifen, auf Erläuterung und auf Anfechtung. Für Angebotslegung oder Terminbuchung greift das nicht; für Bewertungssysteme schon.
• Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Bei KI-Anwendungen mit hohem Risiko für Betroffene ist sie Pflicht. Die gute Nachricht: Wer ohnehin ein Hochrisiko-System nach AI Act dokumentiert, hat die Grundlage dafür schon weitgehend erstellt — die Anforderungen überlappen.
• Transparenz. Sie wird doppelt verlangt — durch die DSGVO-Informationspflichten und durch die Kennzeichnungspflicht des AI Act. Eine saubere Datenschutzinformation, die den KI-Einsatz benennt, deckt beide Seiten ab.

KMU-Erleichterungen — was der AI Act euch zugesteht

Der AI Act behandelt KMU nicht wie Konzerne. Artikel 62 sieht ausdrücklich Erleichterungen vor:

• Vorrang bei den Reallaboren: KMU bekommen bevorzugten Zugang zu den nationalen KI-Reallaboren, in denen sich Systeme unter Aufsicht erproben lassen.
• Vereinfachte Dokumentation: Das KI-Büro der EU stellt standardisierte, vereinfachte Dokumentationsvorlagen für KMU bereit.
• Reduzierte Gebühren: Kosten für Konformitätsbewertungen werden proportional zur Unternehmensgröße gesenkt.
• Der niedrigere Bußgeldwert — wie oben beschrieben.

Diese Erleichterungen mildern den Aufwand. Sie heben aber die drei Kernpflichten — Kompetenz, Transparenz, Verbots-Check — nicht auf. Die gelten für KMU vollumfänglich.

Die häufigsten Compliance-Fehler

Die weiteren wiederkehrenden Fehler:

Den AI Act mit der DSGVO verwechseln. Beide gelten parallel. Wer nur an eines denkt, übersieht Pflichten.

KI-Inhalte nicht kennzeichnen. Ab August 2026 müssen Chatbots sich zu erkennen geben und KI-Inhalte markiert sein. Wer das jetzt nicht einplant, baut sich eine Nachrüstaufgabe.

Hochrisiko-Pflichten auf sich beziehen, obwohl sie nicht gelten. Manche KMU lähmen sich mit Auflagen, die sie gar nicht treffen. Erst die Risikoklasse bestimmen — dann handeln.

Compliance als Einmalprojekt sehen. Der Rechtsrahmen entwickelt sich — der Digital Omnibus 2026 ist ein Beispiel. Einmal einordnen reicht nicht; einmal jährlich nachsehen schon.

Häufige Fragen zu EU AI Act und DSGVO für KMU

Betrifft der EU AI Act auch kleine Unternehmen?

Ja, aber meist nur in der mildesten Form. Jeder Betrieb, der KI nutzt, gilt als „Betreiber". Die typischen KMU-Anwendungen lösen jedoch keine schweren Pflichten aus — relevant sind vor allem die KI-Kompetenzpflicht und die Transparenzpflichten.

Was muss ein KMU bis August 2026 konkret tun?

Drei Dinge: die KI-Kompetenzpflicht erfüllen (Tool-Überblick, Nutzungsrichtlinie, dokumentierte Schulung), die Transparenzpflichten vorbereiten (Chatbots als KI kennzeichnen, KI-Inhalte markieren) und einmalig prüfen, dass kein eingesetztes Tool eine verbotene Praktik umsetzt.

Wie hoch sind die Bußgelder für ein KMU?

Der AI Act nennt Obergrenzen bis 35 Mio. Euro — für KMU gilt aber stets der niedrigere der beiden Werte (Festbetrag oder Umsatzprozentsatz). Bei einer Million Euro Umsatz liegt die Obergrenze für einen schweren Verstoß damit bei rund 70.000 Euro, nicht bei 35 Millionen.

Ersetzt der EU AI Act die DSGVO?

Nein. Beide gelten gleichzeitig. Der AI Act regelt das KI-System, die DSGVO die Verarbeitung personenbezogener Daten. Verarbeitet eure KI personenbezogene Daten, braucht ihr zusätzlich eine DSGVO-Rechtsgrundlage.

Was hat sich durch den Digital Omnibus 2026 geändert?

Der Digital Omnibus vom 7. Mai 2026 hat die Fristen für Hochrisiko-Systeme verschoben — die Anhang-III-Pflichten greifen nun ab Dezember 2027 statt August 2026. Die Transparenzpflichten ab August 2026 bleiben bestehen. Der finale Verordnungstext war Mitte 2026 noch nicht amtlich veröffentlicht.

Vertiefung: Der EU-AI-Act-Themencluster

Dieser Leitfaden ordnet das Gesamtbild. In einzelne Aspekte gehen diese Beiträge tiefer:

• [EU AI Act: das Compliance-Vakuum 2026](/blog/eu-ai-act-compliance-vakuum-2026) — warum viele Betriebe trotz Frist nicht handeln.
• [KI-Verfassung und Governance im DACH-Mittelstand](/blog/anthropic-ki-verfassung-governance-dach) — wie ihr interne KI-Regeln aufsetzt.
• [Prompt Injection: das unterschätzte Sicherheitsrisiko](/blog/prompt-injection-ki-sicherheit-kmu) — die technische Seite der KI-Sicherheit.

Nächster Schritt

Compliance beim EU AI Act ist für die meisten KMU kein Großprojekt — aber sie braucht einen klaren Blick: Welche KI setzt ihr ein, in welche Risikoklasse fällt sie, welche der drei Kernpflichten betrifft euch?

Wenn ihr diese Einordnung für euer Unternehmen sauber machen wollt, kommt in ein kostenloses Erstgespräch. In 30 Minuten klären wir gemeinsam, wo ihr steht und was konkret zu tun ist — ohne Verkaufsgespräch, ohne Verpflichtung.

Quellen: Verordnung (EU) 2024/1689 (EU AI Act); EU-Kommission / AI Act Service Desk; artificialintelligenceact.eu (Implementation Timeline, Art. 4, 50, 62, 99); Berichterstattung zum Digital Omnibus vom 7. Mai 2026; DSGVO Art. 6, 22, 35. Stand Mai 2026. Dieser Beitrag ist eine Orientierung und ersetzt keine Rechtsberatung — für verbindliche Auskünfte ist eine fachkundige rechtliche Prüfung erforderlich.