Testen Sie alle Funktionen kostenlos — 3 Credits bei der Registrierung inklusiveKostenlos testen
Zum Hauptinhalt springen
Kostenlose Diagnose

Glossar

25 Schlüsseldefinitionen der Verordnung

Pflichten

24 detaillierte Artikel mit Fristen

Zeitplan

Wichtige Termine von 2025 bis 2027

Diagnose

Identifizieren Sie Ihre Pflichten in 3 Minuten

KMU-Konformität

Prüfen Sie Ihre AI-Act-Pflichten in 30 Sekunden

Europäische Souveränität

100% in Frankreich gehostet

KI-Assistent

Kontextuelle KI mit abschnittsübergreifendem Gedächtnis

Dokumentenerstellung

Anhang-IV-konformer Text per KI generiert

Diagnose

Automatische Klassifizierung Ihres Systems

Versionierung

Vollständige Rückverfolgbarkeit Ihrer Projekte

Multi-Client

Multi-Client-Verwaltung für Agenturen

PDF-Export

Professionelle PDFs für das Audit

PreiseBlogAnmelden
Konformität · Praktischer Leitfaden

Checkliste AI Act für KMU: 10 prioritäre Maßnahmen in 2026.

Die europäische KI-Verordnung legt klare Pflichten fest, sieht aber auch Unterstützungsmaßnahmen für kleine Strukturen vor. Hier sind die 10 Schritte, die Sie jetzt angehen sollten, nach Priorität geordnet.

Jérémy Pierre
Jérémy Pierre
Experte für AI-Act-Konformität
12. Juni 2026 8 Minuten Lesezeit
Checkliste AI Act für KMU: 10 prioritäre Maßnahmen 2026
Zusammenfassung · 4 wichtige Zahlen
38
Vorkommen des Begriffs "KMU" im AI-Act-Text
2. August 2026
Frist für nationale regulatorische Sandboxes
10
prioritäre Maßnahmen zur Einleitung der Konformität
Art. 55
Priorisierter Zugang zu Sandboxes für KMU
01 - Konformität

1. Bestandsaufnahme aller in der Firma genutzten KI-Tools

Erster unverzichtbarer Schritt: Wissen, welche KI-Tools genutzt werden, auch auf informeller Basis.

Schatten-KI stellt ein großes Risiko für KMU dar. Laut mehreren Studien werden fast 40 % der in Unternehmen genutzten KI-Tools nicht gemeldet. Dieser Schritt ermöglicht es, die vom AI Act betroffenen Systeme zu identifizieren und Überraschungen zu vermeiden.

Alle KI-Tools auflisten, einschließlich der in bestehende Software integrierten Funktionen (z. B. CRM, Recruiting-Tools, Chatbots).
Verantwortlich: IT-Leitung, Compliance-Verantwortlicher oder Geschäftsführung Geschätzter Zeitaufwand: 2 bis 4 Stunden AI Act: Art. 3 Abs. 1 (Definition KI-System) + Art. 50 (Transparenz)

Verwenden Sie eine einfache Tabelle mit folgenden Spalten: Name des Tools, Anbieter, Hauptfunktion, verarbeitete Daten, interne Nutzer. Diese Bestandsaufnahme dient als Grundlage für die nächsten Schritte.

02 - Konformität

2. Risikobewertung für jedes System durchführen

Nicht alle KI-Tools unterliegen denselben Pflichten. Dieser Schritt ermöglicht es, die Maßnahmen zu priorisieren.

Jedes Tool nach seinem Risikoniveau einordnen: verboten, Hochrisiko-KI-System, begrenztes Risiko, minimales Risiko. Nutzen Sie das interaktive Tool des AI Office, um sich zu unterstützen.
Verantwortlich: Compliance-Verantwortlicher oder Geschäftsführung Geschätzter Zeitaufwand: 30 Minuten pro Tool AI Act: Art. 6 (Hochrisiko-KI-Systeme) + Anhang III

Für Systeme mit begrenztem oder minimalem Risiko sind die Pflichten gering. Für Hochrisiko-KI-Systeme gelten ab Dezember 2027 spezifische Maßnahmen.

03 - Konformität

3. Regulatorische Rolle identifizieren

Der AI Act unterscheidet zwei Hauptrollen: Anbieter und Betreiber. Die Pflichten unterscheiden sich je nach Status.

Feststellen, ob Ihr Unternehmen ein Anbieter (entwirft oder ein KI-System in Verkehr bringt) oder ein Betreiber (nutzt ein KI-System im Rahmen seiner Tätigkeiten) ist.
Verantwortlich: Geschäftsführung oder Rechtsverantwortlicher Geschätzter Zeitaufwand: 1 Stunde AI Act: Art. 3 Abs. 2 (Definition Anbieter) + Art. 3 Abs. 4 (Definition Betreiber)

Betreiber haben im Vergleich zu Anbietern erleichterte Pflichten. Sie müssen beispielsweise sicherstellen, dass das System konform ist, sind aber nicht für dessen Entwicklung verantwortlich.

04 - Konformität

4. Prüfen, dass keine verbotenen Praktiken genutzt werden

Der AI Act verbietet bestimmte Praktiken seit Februar 2025. Dieser Schritt hilft, schwere Sanktionen zu vermeiden.

Die KI-Tools überprüfen, um sicherzustellen, dass keines den in Artikel 5 des AI Act aufgelisteten verbotenen Praktiken entspricht: subliminale Manipulation, Social Scoring, Erkennung von Emotionen am Arbeitsplatz usw.
Verantwortlich: Compliance-Verantwortlicher oder Geschäftsführung Geschätzter Zeitaufwand: 1 bis 2 Stunden AI Act: Art. 5 (verbotene Praktiken)

Wenn ein Tool einer verbotenen Praxis entspricht, muss es sofort entfernt werden. Die Sanktionen können bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes betragen.

05 - Schulung

5. Ein KI-Kompetenzprogramm einführen

Der AI Act verlangt eine Mindestschulung für Mitarbeiter, die KI-Tools nutzen.

Mitarbeiter zu den Grundlagen der KI, den damit verbundenen Risiken und den bewährten Nutzungspraktiken schulen. Nutzen Sie die offiziellen Ressourcen des AI Office für KMU.
Verantwortlich: Personalabteilung oder Schulungsverantwortlicher Geschätzter Zeitaufwand: 2 bis 4 Stunden Vorbereitung + 1 Stunde Schulung AI Act: Art. 4 (Beherrschung der KI)

Diese Schulung kann in bestehende Module zum Datenschutz oder zur Cybersicherheit integriert werden. Sie muss an das Risikoniveau der genutzten Tools angepasst sein.

06 - Dokumentation

6. Dokumentation von Ihren Anbietern anfordern

Betreiber müssen sicherstellen, dass ihre Anbieter den AI Act einhalten. Dieser Schritt sichert Ihre Lieferkette.

Von jedem Anbieter von KI-Systemen eine Konformitätserklärung zum AI Act sowie die technische Dokumentation (Anhang IV) anfordern, falls das System als Hochrisiko-KI-System eingestuft ist.
Verantwortlich: Einkäufer oder Compliance-Verantwortlicher Geschätzter Zeitaufwand: 1 bis 2 Stunden pro Anbieter AI Act: Art. 13 (technische Dokumentation) + Art. 28 (Pflichten der Betreiber)

Bewahren Sie diese Dokumente in einem eigenen Register auf. Sie können im Falle einer Kontrolle angefordert werden.

07 - Dokumentation

7. Ein internes Register der KI-Systeme erstellen

Betreiber müssen ein Register der genutzten KI-Systeme führen, insbesondere wenn diese als Hochrisiko-KI-Systeme eingestuft sind.

Ein Register erstellen, das alle genutzten KI-Systeme auflistet, mit für jedes: Name, Anbieter, Risikoniveau, Datum der Inbetriebnahme, interner Verantwortlicher und zugehörige Dokumentation.
Verantwortlich: Compliance-Verantwortlicher oder Datenschutzbeauftragter Geschätzter Zeitaufwand: 2 bis 3 Stunden AI Act: Art. 29 (Register der Hochrisiko-KI-Systeme für Betreiber)

Dieses Register kann in ein bestehendes Tool integriert werden (z. B. Verzeichnis der Verarbeitungen nach DSGVO). Es muss regelmäßig aktualisiert werden.

08 - Aufsicht

8. Menschliche Aufsicht dokumentieren

Der AI Act verlangt eine menschliche Aufsicht für KI-Systeme, insbesondere für Hochrisiko-KI-Systeme.

Für jedes KI-System identifizieren, wer für die menschliche Aufsicht verantwortlich ist, und die eingeführten Verfahren dokumentieren (z. B. regelmäßige Überprüfung der Entscheidungen, Möglichkeit, eine automatisierte Entscheidung anzufechten).
Verantwortlich: Betriebsverantwortlicher oder Compliance-Verantwortlicher Geschätzter Zeitaufwand: 1 bis 2 Stunden pro System AI Act: Art. 14 (menschliche Aufsicht)

Diese Dokumentation muss für die betroffenen Mitarbeiter zugänglich und verständlich sein.

09 - Bewertung

9. FRIA vorbereiten, falls zutreffend

KI-Systeme, die in sensiblen Bereichen eingesetzt werden, können eine Folgenabschätzung erfordern.

Prüfen, ob Ihre KI-Systeme von einer FRIA (Folgenabschätzung für Grundrechte) betroffen sind. Falls ja, beginnen Sie mit der Vorbereitung dieser Bewertung unter Verwendung der Vorlagen der CNIL oder branchenspezifischen Leitfäden.
Verantwortlich: Datenschutzbeauftragter oder Compliance-Verantwortlicher Geschätzter Zeitaufwand: 4 bis 8 Stunden AI Act: Art. 27 (Bewertung der Grundrechte)

Die FRIA ist für die in Anhang III aufgelisteten Hochrisiko-KI-Systeme verpflichtend. Sie muss vor der Inbetriebnahme des Systems durchgeführt werden.

10 - Monitoring

10. Einen Monitoring-Plan nach der Inbetriebnahme erstellen

Der AI Act verlangt eine kontinuierliche Überwachung der KI-Systeme, um Abweichungen oder Vorfälle zu erkennen.

Ein Monitoring-Verfahren einführen, um die Leistung und die Risiken der KI-Systeme im Betrieb zu verfolgen. Regelmäßige Audits und einen Mechanismus zur Meldung von Vorfällen vorsehen.
Verantwortlich: Betriebsverantwortlicher oder Compliance-Verantwortlicher Geschätzter Zeitaufwand: 2 bis 3 Stunden AI Act: Art. 61 (Monitoring nach der Inbetriebnahme)

Dieser Plan kann in bestehende Risikomanagement- oder Compliance-Verfahren integriert werden.

KMU profitieren von spezifischen Unterstützungsmaßnahmen im AI Act:

  • Ermäßigte Gebühren: Der Artikel 43 Abs. 4 sieht ermäßigte Tarife für Konformitätsbewertungen von Hochrisiko-KI-Systemen vor.
  • Priorisierter Zugang zu regulatorischen Sandboxes: Der Artikel 55 garantiert KMU priorisierten Zugang zu diesen Einrichtungen, die es ermöglichen, KI-Lösungen in einem sicheren Rahmen zu testen.
  • Erleichterte Pflichten für GPAI: Der Artikel 53 Abs. 3 reduziert die Anforderungen für KMU, die Anbieter von KI-Modellen mit allgemeinem Verwendungszweck sind.

In Deutschland arbeiten die Bundesnetzagentur und der BfDI gemeinsam an einer regulatorischen Sandbox, die bis August 2026 einsatzbereit sein soll.

Ihre Pflichten in 3 Minuten identifizieren

Unser kostenloses Diagnosetool zeigt Ihnen, welche prioritären Maßnahmen Sie für Ihr Unternehmen anwenden müssen.

11 - FAQ

Häufige Fragen

Antworten auf die häufigsten Fragen von KMU zum AI Act.

Ja. Der AI Act gilt für alle Unternehmen, unabhängig von ihrer Größe, sobald sie KI-Systeme in der Europäischen Union nutzen oder bereitstellen. Der Text sieht jedoch spezifische Unterstützungsmaßnahmen für KMU vor, wie ermäßigte Gebühren oder priorisierten Zugang zu regulatorischen Sandboxes.

Die Sanktionen können bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist. Bei KMU bevorzugen die Aufsichtsbehörden in der Regel Beratung vor Sanktionen, aber die reputativen und rechtlichen Risiken bleiben erheblich.

Ein KI-System wird als Hochrisiko-KI-System eingestuft, wenn es in einem der in Anhang III des AI Act aufgeführten Bereiche eingesetzt wird. Beispiele: Personalwesen, Bildung, Finanzdienstleistungen, Gesundheit oder kritische Infrastrukturen. Nutzen Sie das interaktive Tool des AI Office, um dies zu überprüfen.

Eine regulatorische Sandbox ist eine kontrollierte Umgebung, die es Unternehmen ermöglicht, innovative KI-Lösungen unter Aufsicht der zuständigen Behörden zu testen. Der Artikel 57 des AI Act verpflichtet jeden Mitgliedstaat, bis August 2026 mindestens eine solche Sandbox einzurichten. KMU erhalten priorisierten Zugang.

Der AI Act verlangt nicht ausdrücklich die Benennung eines Compliance-Verantwortlichen für KI. Es wird jedoch empfohlen, eine verantwortliche Person zu benennen, um die Compliance-Maßnahmen zu koordinieren, insbesondere wenn das Unternehmen mehrere KI-Systeme oder Hochrisiko-KI-Systeme nutzt. Diese Person kann der Datenschutzbeauftragte, der Rechtsverantwortliche oder ein geschulter Mitarbeiter sein.

Jérémy Pierre
Jérémy Pierre
Gründer aiacto.eu · Experte für AI-Act-Konformität

Unterstützt Anbieter und Betreiber von KI bei der Einhaltung regulatorischer Vorschriften.

Diesen Artikel teilen