Begrenztes Risiko

EU AI Act für KMU: Praxis-Leitfaden für kleine und mittlere Unternehmen

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

KMU haben unter Art. 11/29 + 62 erleichterte Verfahren: vereinfachte technische Doku, Sandboxes, kostenfreie Beratung durch nationale Aufsicht. Die meisten KMU nutzen nur GPAI (ChatGPT, Copilot) und Standard-SaaS — Compliance-Aufwand ist überschaubar mit den richtigen Schritten.

Der EU AI Act trifft KMU härter, als ihre Ressourcen erlauben. Anders als Konzerne können KMU keine 5-köpfige Compliance-Abteilung aufbauen. Die Verordnung erkennt das an: Art. 11 erlaubt vereinfachte technische Doku, Art. 62 gibt KMU Vorrang in regulatorischen Sandboxes, viele nationale Aufsichten bieten kostenfreie Beratung. Dieser Leitfaden zeigt den pragmatischen Compliance-Pfad.

Was die meisten KMU realistisch nutzen

Typische KMU-KI-Landschaft: - ChatGPT/Copilot/Claude für Texte, Mails, Recherche → GPAI, Art. 50 Disclosure, Art. 4 KI-Literacy - Microsoft 365 Copilot → Standard-AVV, minimal/limited - Personio/SAP/Workday HR → Annex III Nr. 4 wenn Material Influence; CV-Filter ja, Excel-Auswertung nein - Salesforce/Hubspot CRM mit KI → meist minimal - Buchhaltungs-KI (lexoffice, sevdesk) → minimal - Newsletter-Personalisierung → meist minimal - Webseiten-Chatbot → Art. 50

Kaum Annex-III-Hochrisiko, fast nie Annex-I. Realistisch: 90% der KMU haben minimal/limited-risk-KI.

5-Schritte-Programm für KMU

Schritt 1 — Inventar (1 Tag): Liste alle Tools mit KI-Funktionen. Frage IT, HR, Marketing, Vertrieb. Berücksichtige SaaS-Tools — viele haben versteckte KI.

Schritt 2 — Klassifikation (2-3 Tage): Pro Tool: Risiko-Klasse bestimmen. Kostenfreier Quick-Check auf ai-risk-check.com. Bei Annex III: tiefer einsteigen.

Schritt 3 — KI-Literacy-Schulung (1 Tag): Alle Mitarbeiter, die KI nutzen. 2-stündige Standard-Schulung reicht für KMU. Dokumentation der Teilnahme.

Schritt 4 — AGB & Datenschutz (1 Woche): Datenschutzerklärung um KI-Hinweise ergänzen. AVV mit allen KI-Anbietern. Cookie-Banner falls KI-Tracking.

Schritt 5 — Monitoring & Update (laufend): Quartalsweise Inventar aktualisieren. Bei neuen Tools: Re-Klassifikation. Aufsichtsbehörden-Newsletter abonnieren.

Geschätzter Aufwand: 5-10 Personentage einmalig, 1-2 Tage/Quartal laufend.

Sandboxes und kostenlose Beratung

KMU haben besondere Privilegien: - Art. 62: Vorrangiger Zugang zu KI-Sandboxes — kostenfreie Test-Umgebung mit Aufsicht - Art. 56: AI Office unterstützt KMU bei Compliance-Verständnis - Nationale Aufsichten: BNetzA (DE), RTR (AT) bieten kostenfreie Erst-Beratung - Industrie-/Handelskammern: WKO (AT), DIHK (DE), economiesuisse (CH) haben KI-Hotlines

Praxis: vor Investition in teures Compliance-Tool die kostenfreie Beratung anrufen — viele Fragen klären sich dort.

Was KMU NICHT tun müssen

Vermeiden Sie Overcompliance — KMU haben Erleichterungen: - Vereinfachte technische Doku (Art. 11 Abs. 1 UAbs. 2): kein 200-Seiten-Wälzer - FRIA nur bei Annex III: wenn Sie kein Hochrisiko-System haben, keine FRIA nötig - EU-Datenbank nur als Provider: als reiner Deployer KMU nicht meldepflichtig (Behörden-Ausnahme) - Kein Notified Body bei minimal/limited: Eigenzertifizierung reicht - Keine Konformitätserklärung: nur bei Hochrisiko

Ehrlich: Wenn Sie nur ChatGPT, Office Copilot und Standard-SaaS nutzen, sind Ihre Compliance-Pflichten überschaubar.

Bussgelder für KMU realistisch eingeschätzt

Art. 99 Abs. 6 erkennt KMU explizit an: "Bussgelder müssen verhältnismässig sein und KMU-Lebensfähigkeit berücksichtigen."

In der Praxis 2026 erwartete KMU-Bussen: - Verbotene Praktiken (Art. 5): selten betroffen, sonst 5-stellig bis 6-stellig - Annex-III ohne Doku: 4-stellig bis 5-stellig bei kooperativem Verhalten - Art. 4 KI-Literacy nicht dokumentiert: 4-stellig bis 5-stellig - Art. 50 Chatbot ohne Disclosure: 3-stellig bis 4-stellig

Deutlich unter den Maximalstrafen von 7%/35 Mio. EUR — die treffen Konzerne. KMU mit gutem Willen und dokumentierter Bemühung sind in der Regel safe.

Häufige Fragen

Mein KMU nutzt nur ChatGPT — was muss ich tun?

Drei Dinge: (1) Art. 4 KI-Literacy-Schulung Mitarbeiter (1-2h), (2) AVV mit OpenAI Enterprise oder Microsoft Copilot, (3) Datenschutzerklärung um KI-Hinweis ergänzen. Wenn Sie keine Mandanten-/Kunden-Daten in Prompts geben, sind Sie weitgehend safe.

Brauche ich einen Datenschutzbeauftragten für KI?

Nicht zwingend wegen AI Act. Wenn Sie ohnehin DSB-Pflicht haben (DSGVO Art. 37), sollte er auch AI-Act-Themen abdecken. KMU ohne DSB-Pflicht: einer Mitarbeiter als KI-Beauftragter benennen reicht.

Mein KMU verkauft eine selbstgebaute KI-Funktion — bin ich Provider?

Ja. Dann gelten Art. 16ff. (Provider-Pflichten). Risikoklasse bestimmt Detail: Minimal/Limited (Standard-Self-Assessment), High-Risk (volle Konformität, ggf. Notified Body). Nutzen Sie ai-risk-check.com für die Klassifikation.

Was kostet AI-Act-Compliance für ein 50-Personen-KMU?

Realistisch: 5-15.000 CHF/EUR einmalig (Inventar + Schulung + Doku) plus 2-5.000 EUR/Jahr laufend. Bei Annex-III-System: zusätzlich 10-50k einmalig (Konformitätsbewertung). Self-Service-SaaS wie ai-risk-check.com (CHF 290/Jahr Pro) decken den Grossteil ab.

Gilt der AI Act auch für Schweizer KMU?

Direkt nur, wenn Output EU-Kunden erreicht (Art. 2 Abs. 1 lit. c). Wer rein im Inland verkauft, ist formal nicht erfasst — sollte aber wegen revDSG Art. 22 (Profiling) und FINMA-Erwartungen analoge Compliance aufbauen. Schweizer KMU mit DACH-/EU-Kunden: voll erfasst.

Relevante Rechtsgrundlagen

Art. 11 EU AI ActArt. 62 EU AI ActArt. 99 Abs. 6

Klassifiziert Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jede KMU-KI.

Kostenloser EU AI Act Quick-Check →

Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle Branchen Quick-Check