Die EU KI-Verordnung (Regulation EU 2024/1689) ist seit August 2024 in Kraft und wird bis August 2026 vollständig durchgesetzt. Dieser Leitfaden erklärt alles, was kleine und mittlere Unternehmen in der DACH-Region jetzt wissen und tun müssen.

Wichtige Fristen auf einen Blick

2. Februar 2025: Verbotene Praktiken (Art. 5) und AI Literacy (Art. 4) gelten
2. August 2025: GPAI-Regeln für generative KI-Modelle
2. August 2026: Hochrisiko-KI vollständig reguliert — Hauptdeadline
2. August 2027: Annex I Produkte (Medizinprodukte, Maschinen)

1. Wer ist betroffen?

Der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen oder für EU-Nutzer bereitstellen — unabhängig vom Firmensitz. Als Schweizer KMU bist du betroffen, wenn du EU-Kunden hast oder EU-Mitarbeitende mit KI-Systemen arbeitest.

Das Gesetz unterscheidet zwei Hauptrollen mit sehr unterschiedlichen Pflichten:

Provider (Anbieter)

Art. 3 Nr. 3

Du hast das KI-System selbst entwickelt oder unter eigenem Namen auf den Markt gebracht. Strengste Anforderungen: technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung.

Beispiele: Eigene ML-Modelle, proprietäre HR-Software, selbst entwickelte Chatbots

Deployer (Betreiber)

Art. 3 Nr. 4

Du nutzt ein KI-System eines anderen Anbieters für eigene Zwecke. Weniger Pflichten, aber: menschliche Aufsicht, Schulungen, Risikobewertung.

Beispiele: ChatGPT Enterprise, HR-SaaS mit KI, Microsoft Copilot

2. Die vier Risikoklassen

Verboten (Art. 5)

Seit 2. Februar 2025 absolut verboten. Kein Übergangszeitraum.

•Social Scoring durch staatliche Stellen
•Biometrische Massenüberwachung in Echtzeit
•Emotionserkennung am Arbeitsplatz (ohne Ausnahme)
•Manipulation des Unterbewusstseins
•Ausnutzung von Schwachstellen (Alter, Behinderung)

Hochrisiko (Annex III)

Strengste Compliance-Anforderungen. Hauptdeadline: 2. August 2026.

•HR-Systeme: CV-Screening, Bewerberauswahl, Leistungsbeurteilung
•Kreditvergabe und Bonitätsprüfung
•Biometrische Identifikation
•Kritische Infrastruktur (Energie, Wasser, Verkehr)
•Bildung: Prüfungsüberwachung, Bewertung

Begrenzt (Art. 50)

Transparenzpflichten — Nutzer müssen wissen, mit KI zu interagieren.

•Chatbots und virtuelle Assistenten
•Deepfakes und KI-generierte Inhalte
•Emotionserkennungssysteme (in Ausnahmefällen)

Minimales Risiko

Keine spezifischen Pflichten. Freiwillige Verhaltenskodizes empfohlen.

•KI-Spam-Filter
•KI-gestützte Lagerverwaltung
•Produktionsoptimierung ohne Personenbezug

3. Pflichten für Hochrisiko-Deployer

Als Unternehmen das ein Hochrisiko-KI-System betreibt (z.B. HR-Software mit KI), musst du folgende Massnahmen bis August 2026 umgesetzt haben:

AI Literacy sicherstellenArt. 4

Alle Mitarbeitenden die mit dem System arbeiten müssen über KI-Grundkenntnisse verfügen. Schulungen dokumentieren.

Sofort (seit Feb. 2025)

Menschliche Aufsicht gewährleistenArt. 14

Keine automatisierte Entscheidung ohne Möglichkeit zur menschlichen Überprüfung und Korrektur.

Vor Inbetriebnahme

Provider-Compliance prüfenArt. 26

Konformitätserklärung und technische Dokumentation vom Anbieter anfordern und aufbewahren.

Vor Inbetriebnahme

Nutzer informierenArt. 13

Alle Personen die vom System betroffen sind müssen über den KI-Einsatz informiert werden (Transparenz).

Ab Inbetriebnahme

Monitoring und ProtokollierungArt. 72

Laufendes Monitoring des Systems, automatische Protokollierung kritischer Entscheidungen.

Laufend

4. Bussgelder und Sanktionen

Der EU AI Act sieht drei Stufen von Sanktionen vor:

bis €35 Mio.

oder 7% Umsatz

Verstösse gegen verbotene Praktiken (Art. 5)

bis €15 Mio.

oder 3% Umsatz

Nichteinhaltung von Pflichten für Hochrisiko-Systeme

bis €7.5 Mio.

oder 1% Umsatz

Falsche oder irreführende Angaben gegenüber Behörden

Jetzt prüfen — kostenlos und in 5 Minuten

Nutze ai-risk-check.com um sofort zu erfahren welche Risikoklasse deine KI-Systeme haben und welche Massnahmen konkret nötig sind.

Kostenloser EU AI Act Check →

EU AI Act für KMU: Der vollständige Praxis-Guide 2026