EU AI Act: Diese Fristen gelten für Ihr Unternehmen – und was jetzt zu tun ist

Stellen Sie sich vor, Ihr Unternehmen nutzt seit zwei Jahren einen KI-gestützten Chatbot im Vertrieb. Das System ist nützlich, die Kunden sind zufrieden, die Einführung lief reibungslos. Dann landet eine Anfrage der Bundesnetzagentur auf Ihrem Tisch – und Sie stellen fest: Für Ihren Chatbot gelten seit Februar 2025 konkrete gesetzliche Anforderungen. Nicht ab 2027. Jetzt.

Das ist kein Extremfall. Es ist die Realität für tausende deutsche Mittelständler, die den EU AI Act noch als künftiges Regulierungsprojekt behandeln – obwohl er in Teilen bereits hartes Recht ist.

Wer lieber hört als liest: Die wichtigsten Fristen, Risikoklassen und Handlungsoptionen gibt es auch als KI-generierten Podcast.

Was seit Februar 2025 gilt

Die KI-Verordnung ist am 1. August 2024 in Kraft getreten. Sechs Monate später, am 2. Februar 2025, trat die erste Pflichtenstufe in Kraft – ohne Übergangsphase, ohne Ausnahme für KMU. Seit diesem Datum gilt zunächst das Verbot bestimmter KI-Praktiken nach Art. 5. Verboten sind KI-Systeme, die Menschen durch unterschwellige Techniken zu Entscheidungen drängen, die ihnen erheblichen Schaden zufügen – etwa Kaufentscheidungen, die sie unter anderen Umständen nicht getroffen hätten. Verboten ist auch Social Scoring: die Bewertung von Personen aufgrund ihres Verhaltens in einem Kontext für Entscheidungen in einem anderen. Wer solche Systeme betreibt, verstößt heute gegen geltendes EU-Recht.

Seit dem gleichen Datum gilt außerdem Art. 4, die Pflicht zur KI-Kompetenz. Anbieter und Betreiber müssen sicherstellen, dass Mitarbeitende die Funktionsweise, die Chancen und die Risiken der von ihnen genutzten KI-Systeme verstehen. Das Gesetz formuliert diese Pflicht bewusst offen – ein abschließender Nachweiskatalog existiert nicht. Als belastbare Grundlage gelten: dokumentierte Schulungen, interne KI-Leitlinien, die erlaubte und verbotene Anwendungsszenarien definieren, sowie die revisionssichere Protokollierung von Entscheidungen, die mit KI getroffen oder vorbereitet wurden.

Der Stufenplan: Was wann gilt

Die KI-Verordnung rollt gestaffelt über mehrere Jahre aus. Das ist absichtlich so konstruiert – Unternehmen sollen Zeit haben, sich vorzubereiten.

2. August 2025 – Anforderungen für KI-Modelle mit allgemeinem Verwendungszweck (GPAI). Wer Anwendungen auf Basis großer Sprachmodelle betreibt, muss Informationspflichten gegenüber Nutzern erfüllen. Bis zu diesem Datum müssen zudem die nationalen KI-Reallabore eingerichtet sein.

2. August 2026 – Die umfassenden Pflichten für Hochrisiko-KI-Systeme greifen. Risikomanagement, Daten-Governance, Konformitätsbewertung – alles wird verpflichtend für Unternehmen, die KI in kritischen Bereichen einsetzen.

2. Dezember 2027 – Hochrisiko-Systeme nach Anhang III der Verordnung, darunter KI im Personalmanagement und ähnlichen Bereichen, erhalten nach dem Vorschlag des Digitalen Omnibus (November 2025) eine verlängerte Übergangsfrist bis zu diesem Datum. Systeme nach Anhang I – Maschinen, Fahrzeuge – bis August 2028.

Geschäftsführer erkennt Handlungsbedarf bei KI-Compliance – EU AI Act Pflichten und Fristen im Überblick für den Mittelstand — Die vollständige rechtliche Referenz: EU AI Act Risikoklassen, Pflichten und Fristen im Überblick.

In welche Risikoklasse fällt Ihre KI?

Die KI-Verordnung arbeitet mit einem risikobasierten Ansatz. Vier Klassen, vier unterschiedliche Anforderungsniveaus.

Inakzeptables Risiko (verboten): Manipulation, Social Scoring, biometrische Massenüberwachung. Gilt seit Februar 2025. Für KMU im Vertrieb konkret: Marketing-KI, die Kunden systematisch durch psychologische Techniken zu Kaufentscheidungen drängt, die gegen ihre Interessen verstoßen.

Hohes Risiko: Systeme mit potenziell weitreichendem Einfluss auf die betroffene Person. Zwei KMU-relevante Beispiele: automatisierte Bewerber-Vorauswahl im Recruiting, KI-gestützte Kreditwürdigkeitsprüfung. Hier greifen ab August 2026 Risikomanagementpflichten, Daten-Governance-Anforderungen und eine Konformitätsbewertung.

Begrenztes Risiko: Chatbots im Kundenservice, generative KI-Assistenten. Hier gelten primär Transparenzpflichten: Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren. Diese Anforderung gilt bereits heute.

Minimales Risiko: Spam-Filter, Texthilfen, Empfehlungsalgorithmen ohne erhebliche Auswirkungen auf Personen. Keine neuen Anforderungen.

Die meisten deutschen KMU landen bei begrenztem Risiko – mit einer wichtigen Ausnahme: Wer KI im Recruiting oder in der Kreditprüfung einsetzt, ist Hochrisiko. Auch wenn das System nur zur Vorauswahl dient.

KI-Chatbot Haftungsrisiko Mittelstand – LG Kiel und LG Hamburg belegen die Betreiberhaftung für KI-Outputs — Teil 2 der Serie: Warum Chatbot-Aussagen als Willenserklärungen Ihres Unternehmens zählen – und was zwei aktuelle Urteile bedeuten.

Was der Gesetzgeber für KMU eingebaut hat

Der EU AI Act enthält bewusst Erleichterungen für kleine und mittlere Unternehmen. Art. 62 der Verordnung sieht vor, dass KMU bei Verstößen jeweils den niedrigeren Betrag aus dem vorgegebenen Sanktionsrahmen zahlen. Während für Großunternehmen bei Verstößen gegen die Verbote bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes fällig werden können, gilt für KMU stets der niedrigere der beiden Beträge.

KMU erhalten außerdem vorrangigen Zugang zu den nationalen KI-Reallaboren. Diese kontrollierten Testumgebungen erlauben es, Hochrisiko-Systeme unter realen Bedingungen zu erproben – begleitet von der Aufsichtsbehörde, vor der formalen Konformitätsbewertung. Die Bundesnetzagentur betreibt das nationale KI-Reallabor und stellt zusätzlich Schulungsangebote und Beratungsleistungen für KMU bereit. Hinzu kommen Gebührenerleichterungen bei Konformitätsbewertungen und vereinfachte Anforderungen an technische Unterlagen.

Keine Entwarnung: Was der Digitale Omnibus wirklich bedeutet

Der Vorschlag zum Digitalen Omnibus (November 2025) wird in vielen Unternehmenskommentaren als Entspannungssignal gelesen. Das ist ein Missverständnis.

Ja, bestimmte Fristen werden verschoben: Hochrisiko-Systeme nach Anhang III bis Dezember 2027, Systeme nach Anhang I bis August 2028. Und ja, die direkte Pflicht zur KI-Kompetenz nach Art. 4 soll aus einer Unternehmensverantwortung in eine Verpflichtung der Mitgliedstaaten umgewandelt werden.

Aber: Die Verbote nach Art. 5 gelten bereits – ohne Aufschub. Und die Haftung nach deutschem Recht bleibt unberührt: Organisationspflichtverletzungen nach § 823 BGB, Leitungsverantwortung nach AktG und GmbHG. Unternehmen, die den Aufbau von Governance-Strukturen auf Fristverschiebungen stützen, riskieren, dass die erste Prüfung kommt, bevor die Dokumentation steht.

Human-in-the-Loop Kontrollmechanismus für KI-Entscheidungen im Mittelstand – strukturelle Antwort auf EU AI Act Compliance-Pflichten — Die strukturelle Antwort auf KI-Haftung und EU AI Act Pflichten: was Human-in-the-Loop für Ihren Betrieb bedeutet.

Was jetzt zu tun ist

Der EU AI Act ist kein Projekt für die Rechtsabteilung. Er betrifft jeden im Unternehmen, der KI-Tools einsetzt, einkauft oder steuert.

Drei Schritte, die unmittelbar sinnvoll sind: Erstens eine Bestandsaufnahme der eingesetzten KI-Systeme – mit der konkreten Frage, in welche Risikoklasse sie fallen. Zweitens der sofortige Ausschluss verbotener Praktiken, insbesondere in Marketing und Kundenservice. Das gilt bereits heute. Drittens der Aufbau einer Dokumentation: Schulungsnachweise, interne KI-Leitlinien, Entscheidungsprotokolle – revisionssicher und auditierbar.

Der KI-Governance Stresstest beantwortet genau diese Fragen – in einem Tag, remote, mit einem konkreten Ergebnisbericht. Für 2.900 Euro wissen Sie, wo Ihr Unternehmen steht, bevor die Bundesnetzagentur die Frage stellt.

Wer die Pflichten systematisch angehen will: Das KI-Betriebsmodell beschreibt, wie Governance, Human-in-the-Loop und Compliance-Dokumentation als integriertes System zusammenwirken – so dass der EU AI Act nicht zur Bürde wird, sondern zur belastbaren Grundlage.