Wir nutzen nur ChatGPT im Büro: gilt der AI Act trotzdem für uns?

Ja. Der Einsatz von Cloud-KI-Assistenten (ChatGPT, Copilot, Gemini, Claude) löst mindestens zwei Pflichten der Verordnung aus: die Bemühens-Pflicht zur Förderung der KI-Kompetenz des Personals (Art. 4) und, falls Chatbots gegenüber Kunden eingesetzt werden, die Pflicht zur Aufklärung und Kennzeichnung KI-generierter Inhalte (Art. 50). Hinzu kommen DSGVO und BDSG: Daten, die in Public-Cloud-Assistenten eingegeben werden, können eine Drittlandsübermittlung darstellen und brauchen Rechtsgrundlage sowie Auftragsverarbeitungsvertrag.

Welche Pflichten hat ein Betreiber (Deployer) nach Art. 26?

Wenn Ihr KMU ein Hochrisiko-KI-System einsetzt (Personalwesen, Kredit-Scoring, Versicherung, Bildung, kritische Infrastruktur, Justiz), übernimmt es die Rolle des Betreibers und muss Art. 26 erfüllen: Anweisungen des Anbieters befolgen, menschliche Aufsicht an kompetente Personen mit Entscheidungsbefugnis übertragen, relevante Eingabedaten kontrollieren, Protokolle mindestens sechs Monate aufbewahren, schwerwiegende Vorfälle an Anbieter und Marktüberwachung melden, natürliche Personen über KI-basierte Entscheidungen informieren. Im Arbeitskontext ist zusätzlich der Betriebsrat vor Inbetriebnahme zu informieren (§ 87 Abs. 1 Nr. 6 BetrVG).

Wann ist eine Grundrechte-Folgenabschätzung (FRIA, Art. 27) Pflicht?

Art. 27 verpflichtet Betreiber, die öffentliche Stellen, Erbringer öffentlicher Dienstleistungen oder private Betreiber in sensiblen Sektoren sind (Banken, Versicherungen), vor dem Einsatz eines Hochrisiko-Systems eine FRIA durchzuführen. Die FRIA beschreibt die Einsatzprozesse, den Nutzungszeitraum, die betroffenen Personengruppen, die spezifischen Risiken für Grundrechte und die Maßnahmen zur menschlichen Aufsicht. Das Ergebnis wird der Marktüberwachung mitgeteilt. Ein KMU, das Dienstleistungen für eine Behörde oder eine Bank erbringt, kann verpflichtet sein, den Kunden bei dessen FRIA zu unterstützen.

EU AI Act Pflichten für KMU 2026: Komplettleitfaden

Q: Was ist die KI-Verordnung und wie betrifft sie KMU in Deutschland?

Die KI-Verordnung (KI-VO) ist die Verordnung (EU) 2024/1689, bekannt als EU AI Act. Sie gilt unmittelbar in Deutschland seit dem 1. August 2024 und tritt gestaffelt in Kraft: verbotene Praktiken (Art. 5) und KI-Kompetenz (Art. 4) ab dem 2. Februar 2025, GPAI-Pflichten ab dem 2. August 2025. Am 2. August 2026 erhalten die nationalen Behörden ihre Durchsetzungsbefugnisse. Die Hochrisiko-Fristen wurden durch den Digital Omnibus vom 7. Mai 2026 (formale Annahme ausstehend) verschoben: eigenständige Hochrisiko-Systeme nach Anhang III ab dem 2. Dezember 2027, in regulierte Produkte eingebettete KI nach Anhang I ab dem 2. August 2028. Sie betrifft jedes KMU, das KI-Systeme einsetzt, anbietet oder vertreibt, unabhängig von der Branche: Handel, Gesundheit, Industrie, Personalwesen, freie Berufe oder öffentlicher Sektor.

Q: Welche Pflichten hat ein deutsches KMU nach dem EU AI Act?

Ein KMU hat je nach Rolle und eingesetzten KI-Systemen fünf Pflichtenkomplexe. Art. 4: KI-Kompetenz des Personals fördern. Art. 5: keine verbotenen Praktiken einsetzen (Social Scoring, Emotionserkennung am Arbeitsplatz, biometrische Massen-Identifikation). Art. 26: bei Einsatz von Hochrisiko-Systemen Anweisungen befolgen, Protokolle führen, menschliche Aufsicht sicherstellen. Art. 50: Nutzer informieren, wenn sie mit einem Chatbot interagieren, KI-generierte Inhalte kennzeichnen. Art. 27: Grundrechte-Folgenabschätzung (FRIA) bei Hochrisiko-Einsatz in Personalwesen, Kredit, Versicherung oder öffentlichen Diensten.

Q: Welche Bußgelder drohen nach dem EU AI Act?

Das Bußgeldregime des Art. 99 KI-VO sieht drei Stufen vor: bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes bei Verstoß gegen verbotene Praktiken (Art. 5); bis zu 15 Mio. Euro oder 3 % bei Verstoß gegen die übrigen Pflichten für Anbieter und Betreiber, etwa Art. 16, Art. 26 oder Art. 50; bis zu 7,5 Mio. Euro oder 1 % bei falschen Auskünften gegenüber Behörden. Für die KI-Kompetenz nach Art. 4 legt die Verordnung keine spezifische Geldbuße fest, die Sanktionen überlässt sie hier den Mitgliedstaaten. Für KMU und Start-ups verpflichtet Art. 99.6 die Behörde, das Bußgeld nach Größe und Umsatz zu gewichten. In Deutschland ist die designierte Marktüberwachungsbehörde die Bundesnetzagentur (BNetzA), flankiert durch sektorale Behörden (BaFin, BSI, Landesdatenschutzbehörden).

Q: Wann beginnt die aktive Aufsicht in Deutschland?

Der Anwendungsfahrplan ist gestaffelt. Verbotene Praktiken und KI-Kompetenz gelten seit dem 2. Februar 2025. GPAI-Pflichten gelten seit dem 2. August 2025. Am 2. August 2026 erhalten die nationalen Behörden ihre Durchsetzungsbefugnisse. Der Rahmen für Hochrisiko-Systeme wurde durch den Digital Omnibus vom 7. Mai 2026 (formale Annahme ausstehend) nach hinten verschoben: eigenständige Hochrisiko-Systeme nach Anhang III ab dem 2. Dezember 2027, in produktregulierte Bereiche eingebettete Systeme nach Anhang I ab dem 2. August 2028.

Q: Welche KI-Praktiken sind für ein KMU verboten (Art. 5)?

Art. 5 verbietet auch KMU: Social Scoring natürlicher Personen, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (außer aus medizinischen oder sicherheitsrelevanten Gründen), biometrische Kategorisierung zur Ableitung von Rasse, politischer Meinung, sexueller Orientierung, Religion oder Gewerkschaftszugehörigkeit, Systeme, die Schwächen wegen Alter oder Behinderung ausnutzen, unterschwellige Techniken zur Verhaltensbeeinflussung, sowie biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum. Ein KMU, das Personalsoftware mit Video- oder Sprach-Emotionsanalyse einsetzt, verstößt seit dem 2. Februar 2025 gegen Art. 5.

Q: Welche Transparenzpflichten gelten nach Art. 50?

Art. 50 sieht vier Transparenz-Anforderungen vor, anwendbar ab dem 2. August 2026. Nutzt Ihre Website oder App einen Chatbot mit natürlichen Personen, muss klar erkennbar sein, dass es sich um KI handelt. KI-generierte Inhalte (Bilder, Audio, Video, signifikanter Text) müssen maschinenlesbar und gegebenenfalls auch für Nutzer als KI-Inhalt gekennzeichnet sein. Deepfakes sind ausdrücklich als manipulierter Inhalt zu kennzeichnen. Werden zulässige Emotionserkennungs- oder biometrische Kategorisierungssysteme eingesetzt, sind die exponierten Personen zu informieren.

Verordnung (EU) 2024/1689 · KI-VO · In Kraft seit 1. August 2024

Was die KI-Verordnung ist und warum sie Ihr KMU betrifft

Die Verordnung (EU) 2024/1689 über Künstliche Intelligenz, bekannt als EU AI Act oder KI-VO, ist die erste horizontale Regulierung von KI weltweit. Sie ist am 1. August 2024 in Kraft getreten und gilt unmittelbar in allen EU-Mitgliedstaaten, ohne dass eine Umsetzung in nationales Recht nötig wäre. In Deutschland ist die designierte nationale Marktüberwachungsbehörde die Bundesnetzagentur (BNetzA), flankiert von sektoralen Behörden (BaFin, BSI, Landesdatenschutzbehörden). Die Verordnung klassifiziert KI-Systeme nach Risikostufen (verboten, hoch, begrenzt, minimal) und unterscheidet differenzierte Pflichten für Anbieter (entwickelt oder vertreibt) und Betreiber oder Deployer (setzt das System professionell ein). Die meisten KMU sind Betreiber. Der Digital Omnibus vom 7. Mai 2026 (formale Annahme ausstehend) hat einzelne Pflichten gelockert und die Hochrisiko-Fristen nach hinten verschoben: Anhang III ab dem 2. Dezember 2027, Anhang I ab dem 2. August 2028.

Die fünf Pflichten

Was der AI Act einem KMU vorschreibt, je Artikel

Jedes KMU sollte diese fünf Blöcke prüfen. Der konkrete Umfang hängt von der Rolle (Anbieter oder Betreiber) und der Art der eingesetzten KI-Systeme ab. Die meisten deutschen KMU sind Betreiber von Allzweck-Cloud-Assistenten oder von vertikalen Hochrisiko-Systemen (Personalwesen, Scoring, Gesundheit).

Art. 4 · KI-Kompetenz

KI-Kompetenz des Personals fördern

Jedes Unternehmen, das KI einsetzt oder bereitstellt, muss Maßnahmen ergreifen, um die KI-Kompetenz seines Personals und aller in seinem Namen handelnden Personen zu fördern (Bemühens-Pflicht). Die Pflicht bleibt bestehen.

Dokumentierte Schulung mit eigenem oder externem Material
Abdeckung von Rechtsrahmen, Risiken, DSGVO-Anwendung auf KI
Pro Person auditierbarer Nachweis vor Marktüberwachung
Nach dem Omnibus Bemühens-Pflicht, keine Erfolgs-Pflicht

Anwendbar seit2. Februar 2025 · Aktive Aufsicht ab 2. August 2026

Art. 5 · Verbote

Verbotene KI-Praktiken nicht einsetzen

Art. 5 verbietet unmittelbar, auch KMU, eine abschließend aufgezählte Liste von Anwendungen wegen Unvereinbarkeit mit Grundrechten.

Social Scoring natürlicher Personen
Emotionserkennung am Arbeitsplatz oder in Bildung
Biometrische Kategorisierung zur Ableitung von Rasse, Religion, sexueller Orientierung
Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum
Unterschwellige Techniken oder Ausnutzung von Schwächen

Anwendbar seit2. Februar 2025 · Bußgeld bis 35 Mio. Euro oder 7 % weltweiter Umsatz

Art. 26 · Betreiber

Pflichten des Betreibers (Deployer)

Setzt Ihr KMU ein Hochrisiko-KI-System professionell ein (Personal, Scoring, Versicherung, Bildung, kritische Infrastruktur), nimmt es die Rolle des Betreibers an und muss Art. 26 erfüllen.

Gebrauchsanweisung des Anbieters befolgen
Menschliche Aufsicht an kompetente und entscheidungsbefugte Personen übertragen
Relevanz der Eingabedaten kontrollieren
Protokolle mindestens sechs Monate aufbewahren
Schwerwiegende Vorfälle an Anbieter und Marktüberwachung melden
Betriebsrat vor Inbetriebnahme informieren (§ 87 Abs. 1 Nr. 6 BetrVG)

Anwendbar abAnhang III: 2. Dezember 2027 · Anhang I: 2. August 2028

Art. 27 · FRIA

Grundrechte-Folgenabschätzung

Bestimmte Betreiber (öffentliche Stellen, Erbringer öffentlicher Dienstleistungen, Banken, Versicherungen) müssen vor Inbetriebnahme eines Hochrisiko-Systems die Auswirkungen auf Grundrechte bewerten.

Beschreibung der Prozesse, in denen das System eingesetzt wird
Vorgesehener Nutzungszeitraum und Häufigkeit
Kategorien betroffener Personen
Spezifische Risiken für Grundrechte
Maßnahmen menschlicher Aufsicht und Risikominderung
Mitteilung des Ergebnisses an die Marktüberwachungsbehörde

Anwendbar ab2. Dezember 2027 (betroffene Sektoren)

Art. 50 · Transparenz

Nutzer über KI-Einsatz aufklären

Art. 50 verpflichtet zu Transparenz gegenüber natürlichen Personen, die mit KI-Systemen oder mit KI-generierten Inhalten interagieren.

Klarer Hinweis, wenn der Nutzer mit einem Chatbot spricht
Maschinenlesbare Kennzeichnung synthetischer Inhalte (Bild, Audio, Video, Text)
Ausdrückliche Kennzeichnung von Deepfakes und Manipulationen
Information exponierter Personen bei zulässiger Emotionserkennung

Anwendbar ab2. August 2026 · Bußgeld bis 15 Mio. Euro oder 3 % weltweiter Umsatz

DSGVO · BDSG

Die DSGVO gilt parallel weiter

Der AI Act ersetzt die DSGVO nicht. Jedes KI-System, das personenbezogene Daten verarbeitet, muss zusätzlich die Verordnung (EU) 2016/679 und das BDSG einhalten.

Rechtsgrundlage für die Verarbeitung (Art. 6 DSGVO)
Information der Betroffenen (Art. 13 und 14)
Datenschutz-Folgenabschätzung (DSFA, Art. 35) bei Bedarf
Prüfung von Drittlandsübermittlungen bei Cloud-Assistenten
Datenminimierung gemäß Leitlinien der Datenschutzaufsichtsbehörden

AufsichtBfDI und Landesdatenschutzbehörden · Bußgelder bis 20 Mio. Euro oder 4 % weltweiter Umsatz

Anwendungsfahrplan

Wann welche Pflicht greift

Die Verordnung tritt gestaffelt in Kraft. Für ein deutsches KMU sind sechs Daten relevant.

1. Aug 2024

Inkrafttreten der Verordnung.Der AI Act ist EU-weit anwendbares Recht. Der Anwendungsfahrplan beginnt zu laufen.

2. Feb 2025

Verbote (Art. 5) und KI-Kompetenz (Art. 4) anwendbar.Jedes KMU, das Software mit Emotionsanalyse am Arbeitsplatz oder Social-Scoring einsetzt, muss diese abschalten. Die dokumentierte Schulung ist bereits Pflicht.

2. Aug 2025

GPAI-Pflichten anwendbar.Treffen Anbieter von Allzweckmodellen (OpenAI, Anthropic, Google, Mistral). KMU als Betreiber übernehmen diese Pflichten nicht, sollten sie aber kennen.

2. Aug 2026

Durchsetzungsbefugnisse und Transparenzpflichten.Die nationalen Behörden erhalten ihre Durchsetzungsbefugnisse, die aktive BNetzA-Aufsicht startet. Es greifen Art. 50 (Transparenz) und das Bußgeldregime. Dies ist nicht der Start der Hochrisiko-Pflichten: diese wurden durch den Digital Omnibus nach hinten verschoben.

2. Dez 2027

Hochrisiko-Systeme aus Anhang III anwendbar.Eigenständige Hochrisiko-Systeme (Personalwesen, Scoring, Bildung, kritische Infrastruktur, Justiz) fallen unter Art. 26 (Betreiber) und Art. 27 (FRIA). Datum durch den Digital Omnibus verschoben (formale Annahme ausstehend).

2. Aug 2028

Hochrisiko-Systeme aus Anhang I anwendbar.KI-Systeme, die in produktregulierte Bereiche eingebettet sind (Spielzeug, Medizinprodukte, Fahrzeuge, Aufzüge), fallen vollständig unter den Anwendungsbereich. Datum durch den Digital Omnibus verschoben.

Bußgeldregime

Was ein Verstoß kosten kann (Art. 99)

Art. 99 sieht drei Bußgeldstufen je nach Schwere des Verstoßes vor. Für KMU und Start-ups verlangt Art. 99.6 eine Gewichtung nach Größe und Umsatz. Zuständige Behörde in Deutschland ist die designierte Bundesnetzagentur, flankiert von Sektoralbehörden. Für die KI-Kompetenz nach Art. 4 legt die Verordnung keine spezifische Geldbuße fest, die Sanktionen überlässt sie hier den Mitgliedstaaten.

35 Mio. € oder 7 % des weltweiten Jahresumsatzes des Vorjahres, der jeweils höhere Betrag Verbotene Praktiken (Art. 5)

15 Mio. € oder 3 % des weltweiten Jahresumsatzes, der jeweils höhere Betrag Übrige Pflichten für Anbieter und Betreiber (Art. 16, 26, 50)

7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes, der jeweils höhere Betrag Falsche Auskünfte gegenüber Behörde

KMU Art. 99.6 verpflichtet die Behörde, das Bußgeld bei KMU und Start-ups nach Größe und Umsatz zu gewichten Verhältnismäßigkeit

Umsetzung

Den AI Act Schritt für Schritt umsetzen

Ein KMU, das bei null startet, kann den Großteil der Verordnung in sechs bis zwölf Wochen parallel zum Tagesgeschäft abarbeiten.

Schritt 1

Inventar der KI-Systeme

Listen Sie alle eingesetzten KI-Systeme auf, auch die impliziten: ChatGPT im Browser, Copilot in Office 365, automatische Übersetzer, HR-Assistenten, Lieferanten-Scoring, Web-Chatbots.

Schritt 2

Risikoklassifikation

Für jedes System klären: verboten (Art. 5), hochriskant (Anhang III), begrenzt riskant (Chatbot, Generierung) oder minimal. Daraus ergeben sich die anwendbaren Pflichten.

Schritt 3

Dokumentierte Mitarbeiterschulung

Rollen Sie die Art.-4-Schulung mit pro Person auditierbarem Nachweis aus. Sie ist die früheste Pflicht (seit Februar 2025) und die Grundlage für die übrige Compliance.

Schritt 4

Interne KI-Richtlinie

Beschließen Sie ein kurzes Dokument (zwei bis vier Seiten) zu zugelassenen Tools, erlaubten Eingabedaten, Verantwortlichen und Schatten-KI-Vermeidung. Kommunizieren Sie es formell.

Schritt 5

Transparenz gegenüber Kunden

Wenn das KMU Chatbots oder KI-generierte Inhalte veröffentlicht, bereiten Sie die Art.-50-Hinweise und die Kennzeichnung vor dem 2. August 2026 vor.

Schritt 6

FRIA und Protokolle bei Bedarf

Nur wenn das KMU öffentliche Stelle, öffentlicher Dienstleister, Bank oder Versicherer ist und Hochrisiko-Systeme einsetzt. FRIA dokumentieren, Protokolle mindestens sechs Monate aufbewahren.

Häufige Fragen

Die häufigsten Fragen rund um KI-VO und KMU

Was ist die KI-Verordnung und wie betrifft sie KMU in Deutschland?

Die «KI-Verordnung» ist die Verordnung (EU) 2024/1689, bekannt als EU AI Act. Sie gilt unmittelbar in Deutschland seit dem 1. August 2024 und tritt gestaffelt in Kraft: verbotene Praktiken (Art. 5) und KI-Kompetenz (Art. 4) ab dem 2. Februar 2025, GPAI-Pflichten ab dem 2. August 2025. Am 2. August 2026 erhält die Bundesnetzagentur ihre Durchsetzungsbefugnisse. Der Rahmen für Hochrisiko-Systeme wurde durch den Digital Omnibus verschoben: Anhang III ab dem 2. Dezember 2027, Anhang I ab dem 2. August 2028. Sie betrifft jedes KMU, das KI-Systeme einsetzt, anbietet oder vertreibt, unabhängig von der Branche.

Welche Pflichten hat ein deutsches KMU nach dem EU AI Act?

Ein KMU hat fünf Pflichtenkomplexe je nach Rolle und eingesetzten KI-Systemen. Art. 4: KI-Kompetenz des Personals fördern. Art. 5: keine verbotenen Praktiken einsetzen. Art. 26: bei Hochrisiko-Einsatz Anweisungen befolgen, Protokolle führen, menschliche Aufsicht. Art. 50: Nutzer informieren, KI-Inhalte kennzeichnen. Art. 27: FRIA bei Hochrisiko-Einsatz in sensiblen Sektoren.

Wir nutzen nur ChatGPT, gilt der AI Act trotzdem?

Ja. Der Einsatz von Cloud-KI-Assistenten (ChatGPT, Copilot, Gemini, Claude) löst mindestens zwei Pflichten aus: Bemühens-Pflicht zur Förderung der KI-Kompetenz des Personals (Art. 4) und, bei Chatbot-Einsatz gegenüber Kunden, Aufklärungs- und Kennzeichnungspflicht (Art. 50). Hinzu kommen DSGVO und BDSG: Daten in Public-Cloud-Assistenten können eine Drittlandsübermittlung darstellen und brauchen Rechtsgrundlage sowie AVV.

Welche Bußgelder drohen?

Art. 99 sieht drei Stufen vor: bis 35 Mio. Euro oder 7 % weltweiter Jahresumsatz bei Verstoß gegen Verbote (Art. 5); bis 15 Mio. Euro oder 3 % bei den übrigen Anbieter- und Betreiberpflichten (etwa Art. 16, 26, 50); bis 7,5 Mio. Euro oder 1 % bei falschen Auskünften. Für die KI-Kompetenz nach Art. 4 legt die Verordnung keine spezifische Geldbuße fest, die Sanktionen überlässt sie hier den Mitgliedstaaten. Art. 99.6 verpflichtet zur Gewichtung nach Größe und Umsatz bei KMU und Start-ups. Zuständig in Deutschland: Bundesnetzagentur.

Wann beginnt die aktive Aufsicht in Deutschland?

Verbote und KI-Kompetenz: seit 2. Februar 2025. GPAI: seit 2. August 2025. Durchsetzungsbefugnisse der BNetzA und Transparenzpflichten (Art. 50): 2. August 2026. Der Hochrisiko-Rahmen wurde durch den Digital Omnibus verschoben (formale Annahme ausstehend): Anhang III ab 2. Dezember 2027, Anhang I ab 2. August 2028.

Was bedeutet KI-Kompetenz nach Art. 4 und wie erfüllt man sie?

Art. 4 verpflichtet Anbieter und Betreiber, Maßnahmen zu ergreifen, um die KI-Kompetenz ihres Personals zu fördern. Nach dem Digital Omnibus vom 7. Mai 2026 ist die Vorgabe als Bemühens-Pflicht formuliert, nicht als Erfolgs-Pflicht; die Pflicht bleibt jedoch bestehen. Erfüllt mit einer dokumentierten Schulung zu Rechtsrahmen, Risiken, DSGVO-Anwendung, Transparenz und Verboten. Freshlab bietet eine schlüsselfertige Schulung für 20 Euro pro Teilnehmer mit Zertifikat und kryptographisch signiertem Dossier. Mehr unter Art. 4 KI-VO Schulung.

Welche KI-Praktiken sind für ein KMU verboten (Art. 5)?

Art. 5 verbietet auch KMU: Social Scoring, Emotionserkennung am Arbeitsplatz und in Bildung (außer aus medizinischen oder sicherheitsrelevanten Gründen), biometrische Kategorisierung nach Rasse, Religion, sexueller Orientierung, Systeme, die Schwächen ausnutzen, unterschwellige Techniken, sowie biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum. Ein KMU mit HR-Software, die Emotionen per Video oder Sprache analysiert, verstößt seit Februar 2025 gegen Art. 5.

Welche Pflichten hat ein Betreiber nach Art. 26?

Beim Einsatz eines Hochrisiko-KI-Systems (Personal, Scoring, Versicherung, Bildung, kritische Infrastruktur, Justiz) verlangt Art. 26: Gebrauchsanweisung befolgen, menschliche Aufsicht kompetenten und entscheidungsbefugten Personen übertragen, Eingabedaten kontrollieren, Protokolle mindestens sechs Monate aufbewahren, schwerwiegende Vorfälle melden, natürliche Personen über KI-basierte Entscheidungen informieren. Im Arbeitskontext zusätzlich Information des Betriebsrats vor Inbetriebnahme (§ 87 Abs. 1 Nr. 6 BetrVG).

Wann ist eine FRIA Pflicht?

Art. 27 verpflichtet Betreiber, die öffentliche Stellen, Erbringer öffentlicher Dienstleistungen oder Akteure in sensiblen Sektoren (Banken, Versicherungen) sind, zur FRIA vor Inbetriebnahme eines Hochrisiko-Systems. Die FRIA beschreibt Einsatzprozesse, Nutzungszeitraum, betroffene Personengruppen, Risiken für Grundrechte und Aufsichtsmaßnahmen. Das Ergebnis wird der Marktüberwachung mitgeteilt. Ein KMU als Dienstleister einer Behörde oder Bank kann verpflichtet sein, den Kunden bei dessen FRIA zu unterstützen.

Welche Transparenzpflichten gelten nach Art. 50?

Art. 50 sieht vier Anforderungen ab dem 2. August 2026 vor. Chatbots mit natürlichen Personen: klar erkennbarer KI-Hinweis. KI-generierte Inhalte (Bild, Audio, Video, signifikanter Text): maschinenlesbare Kennzeichnung und ggf. Nutzerhinweis. Deepfakes: ausdrückliche Kennzeichnung. Zulässige Emotionserkennung oder biometrische Kategorisierung: Information der exponierten Personen.

Wie passt lokale KI ohne Cloud-Anbindung zur AI-Act-Compliance?

Lokale KI (LLM on-premise) entbindet nicht von der Verordnung, vereinfacht aber mehrere Bausteine. DSGVO: keine zu rechtfertigende Drittlandsübermittlung. Art. 4: Schulung ist identisch. Art. 50: gilt für Chatbots in jedem Fall. Vorteile lokaler KI im Hinblick auf den AI Act: volle Nachvollziehbarkeit der Eingabedaten, lückenlose Protokolle unter eigener Kontrolle, keine Schatten-KI mit sensiblen Daten, BDSG-Konformität für besonders schützenswerte Daten. Mehr unter Lokale KI ohne Cloud-Anbindung.

Was gilt für GPAI-Modelle, die ein KMU einsetzt?

Die GPAI-Pflichten der Art. 53 ff. (technische Dokumentation, Urheberrechts-Compliance, Trainingsdaten-Zusammenfassung) treffen den Modellanbieter, nicht das KMU als Nutzer. Als Betreiber eines GPAI-basierten Tools (ChatGPT, Copilot, Mistral) gilt für Ihr KMU die normale Betreiberpflicht: Art. 4, Art. 50 und DSGVO. Wenn Ihr KMU ein GPAI-Modell in ein selbst vermarktetes Produkt integriert, übernimmt es Anbieterpflichten dafür.

Nächste Schritte

Ressourcen für die AI-Act-Umsetzung im KMU

Schlüsselfertige Lösungen für die dringendsten Blöcke der Verordnung.

Starten Sie mit der dringendsten Pflicht: der Art.-4-Schulung

Sie ist seit Februar 2025 anwendbar, hat die kürzeste Frist und ist gleichzeitig die dokumentarische Grundlage für die übrige Compliance. Eine dokumentierte Schulung mit signiertem Dossier deckt die Bemühens-Pflicht gegenüber BNetzA ab und senkt das Haftungsrisiko aus unsachgemäßer KI-Nutzung.

Art. 4 KI-VO Schulung ansehen Mit Experten sprechen

EU AI Act Pflichten für KMU in Deutschland (2026): Komplettleitfaden