EU AI Act Annex-III-Deadline — 2. Dezember 2027 (Omnibus) Jetzt prüfen →
Alle Ratgeber
How-To

EU AI Act: Die ersten Schritte für KMU in 30 Tagen

Zuletzt aktualisiert: Juni 2026·6 Min. Lesezeit
TL;DR

Der pragmatische Einstieg für KMU in vier Wochen: Woche 1 — KI-Inventar erstellen (auch Schatten-KI). Woche 2 — pro System Rolle (Provider/Deployer) und Risikoklasse bestimmen. Woche 3 — die bereits geltenden Sofortpflichten umsetzen (KI-Kompetenz Art. 4, Verbote Art. 5 prüfen, Transparenz Art. 50 planen). Woche 4 — Roadmap gegen die Fristen aufstellen (Watermarking 2. Dez 2026, Hochrisiko 2. Dez 2027). Klein anfangen, dokumentieren, iterieren.

Anfangen ist die halbe Compliance

Viele KMU verharren beim EU AI Act in Schreckstarre — das Regelwerk wirkt überwältigend. Dabei ist der Einstieg gut strukturierbar. Dieser 30-Tage-Plan bringt Sie von null zu einer belastbaren Grundlage, ohne Beraterheer und ohne Lähmung. Das Prinzip: klein anfangen, dokumentieren, iterieren.

Woche 1: KI-Inventar erstellen

Sie können nichts klassifizieren, was Sie nicht kennen. Erfassen Sie jedes KI-System, das in Ihrem Unternehmen eingesetzt wird oder entwickelt wird — inklusive der Schatten-KI, also Tools, die einzelne Mitarbeitende ohne offizielle Freigabe nutzen. Fragen Sie in die Abteilungen hinein: Welche KI-Funktionen stecken in eurer Software? Welche Tools nutzt ihr? Das Ergebnis ist eine Liste mit Systemname, Zweck, Anbieter und Einsatzbereich.

Woche 2: Rolle und Risikoklasse bestimmen

Gehen Sie die Inventarliste durch und klären Sie pro System zwei Fragen:

1. Rolle: Sind Sie Provider (Sie bringen es unter eigenem Namen in Verkehr) oder Deployer (Sie nutzen ein fremdes System)? Im Regelfall sind KMU Deployer. 2. Risikoklasse: Fällt der Anwendungsfall unter ein Verbot (Art. 5), unter Annex I/III (hochrisiko), unter Art. 50 (begrenzt) oder ist er minimal?

Dokumentieren Sie die Einordnung mit kurzer Begründung — diese Begründung wird im Zweifel zum prüfungsrelevanten Artefakt.

Woche 3: Sofortpflichten umsetzen

Konzentrieren Sie sich auf das, was bereits gilt:

  • KI-Kompetenz (Art. 4): Rollen Sie eine Basisschulung aus und dokumentieren Sie sie. Diese Pflicht gilt seit Februar 2025.
  • Verbote (Art. 5): Prüfen Sie, ob ein System eine verbotene Praktik umsetzt (z. B. Emotionserkennung am Arbeitsplatz). Wenn ja → sofort einstellen.
  • Transparenz (Art. 50): Planen Sie die Kennzeichnung bei kundenseitigen Chatbots und KI-Inhalten (Watermarking-Frist 2. Dez 2026).

Erstellen Sie zudem eine knappe KI-Nutzungsrichtlinie, die Schatten-KI eindämmt.

Woche 4: Roadmap gegen die Fristen

Stellen Sie die Systeme den Fristen gegenüber:

  • 2. Dezember 2026: Watermarking/Kennzeichnung synthetischer Inhalte (Art. 50(2)).
  • 2. Dezember 2027: Hochrisiko Annex III (Digital Omnibus).
  • 2. August 2028: Hochrisiko Annex I.

Für jedes Hochrisiko-System planen Sie das Pflichtenprogramm (Risikomanagement, technische Dokumentation, ggf. FRIA). Für begrenzt-riskante Systeme reicht die Transparenz-Umsetzung. Priorisieren Sie nach Frist und Risiko.

Was Sie NICHT tun müssen

Nicht jedes KMU braucht sofort ein komplettes Compliance-Managementsystem. Wenn Sie nur minimal- und begrenzt-riskante KI einsetzen, sind Ihre Pflichten überschaubar: KI-Kompetenz, Transparenz, gesunder Menschenverstand. Übererfüllung kostet unnötig Zeit und Geld. Der risikobasierte Ansatz des AI Act erlaubt es ausdrücklich, den Aufwand an das tatsächliche Risiko anzupassen.

Fazit

Compliance beginnt mit Sichtbarkeit: Inventar, Rolle, Risikoklasse. Setzen Sie zuerst die bereits geltenden Sofortpflichten um (KI-Kompetenz, Verbote, Transparenz-Planung) und richten Sie dann eine Roadmap gegen die Fristen aus. In 30 Tagen kommen Sie von Unsicherheit zu einem dokumentierten, belastbaren Fundament — den Rest bauen Sie iterativ darauf auf.

Häufig gestellte Fragen

Wo fange ich beim EU AI Act an?+

Mit einem KI-Inventar: Erfassen Sie jedes eingesetzte oder entwickelte KI-System, inklusive Schatten-KI. Erst wenn Sie wissen, was im Einsatz ist, können Sie pro System Rolle und Risikoklasse bestimmen und die Pflichten ableiten.

Welche Pflichten muss ich sofort erfüllen?+

Die bereits geltenden: KI-Kompetenz nach Art. 4 (seit Februar 2025), die Vermeidung verbotener Praktiken (Art. 5) und die Planung der Transparenz-Kennzeichnung (Art. 50, Watermarking-Frist 2. Dezember 2026). Diese gelten unabhängig von den Hochrisiko-Fristen.

Braucht jedes KMU ein volles Compliance-System?+

Nein. Der AI Act ist risikobasiert. Wer nur minimal- und begrenzt-riskante KI einsetzt, hat überschaubare Pflichten (KI-Kompetenz, Transparenz). Der Aufwand darf an das tatsächliche Risiko angepasst werden — Übererfüllung kostet unnötig.

Wie gehe ich mit Schatten-KI um?+

Erfassen Sie sie im Inventar und führen Sie eine KI-Nutzungsrichtlinie ein, die regelt, welche Tools erlaubt sind und wie mit sensiblen Daten umzugehen ist. Schatten-KI ist das größte praktische Risiko, weil die Compliance sonst nicht weiß, was im Einsatz ist.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Leutrim Miftaraj

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Juni 2026

Alle RatgeberWissenshub
EU AI Act erste Schritte: KMU in 30 Tagen | ai-risk-check.com