WWitness
Erste SchritteFunktionenAkademieFree ToolsExperten-ChatPreiseBlog
Anmelden
Zurück zum Blog
30. März 2026

Kosten der EU-KI-Verordnung: Was KMU wirklich einplanen sollten

Eine nüchterne Aufschlüsselung dessen, was die EU-KI-Verordnung KMU tatsächlich kostet — die wahren Treiber sind Engineering, Dokumentation, Schulung und laufendes Monitoring.

Witness Team·7 Min. Lesezeit·Kosten EU-KI-VerordnungCompliance-Budget KI-VerordnungKI-Verordnung Kosten KMUKosten KI-RegulierungPreise KI-Verordnung

Aktualisiert am 25. Mai 2026 nach der Digital-Omnibus-Einigung der EU (7. Mai 2026): Die Compliance-Frist für Anhang-III-Hochrisikosysteme verschiebt sich vom 2. August 2026 auf den 2. Dezember 2027 (Anhang I auf den 2. August 2028). Die Transparenzpflichten nach Artikel 50(2) gelten weiterhin ab 2. August 2026. Siehe unser Omnibus-Update für die vollständige Zeitachse.

Was die EU-KI-Verordnung tatsächlich verlangt

Bevor man Kosten schätzt, lohnt sich ein präziser Blick darauf, was die Verordnung verlangt. Nicht jedes KI-System löst die schwergewichtigen Pflichten aus. Der Aufwand hängt von der Risikoeinstufung ab — und davon, ob das Unternehmen als Anbieter oder als Betreiber auftritt.

Für ein Hochrisiko-KI-System nach Anhang III muss ein Anbieter Folgendes erstellen und aufrechterhalten:

  • Ein Risikomanagementsystem über den gesamten Lebenszyklus (Art. 9)
  • Daten-Governance für Trainings-, Validierungs- und Testdaten (Art. 10)
  • Eine technische Dokumentation in der Tiefe von Anhang IV (Art. 11)
  • Aufzeichnungs- und Logging-Funktionen (Art. 12)
  • Transparenz und Gebrauchsanweisungen für Betreiber (Art. 13)
  • Menschliche Aufsicht — vom Anbieter konstruktiv vorgesehen, vom Betreiber wirksam ausgeübt (Art. 14)
  • Angemessene Genauigkeit, Robustheit und Cybersicherheit (Art. 15)
  • Ein Qualitätsmanagementsystem für die gesamte Anbietertätigkeit (Art. 17)
  • Eine Konformitätsbewertung vor dem Inverkehrbringen (Art. 43)
  • Beobachtung nach dem Inverkehrbringen und Meldung schwerwiegender Vorfälle (Art. 72, 73)

Betreiber von Hochrisiko-Systemen tragen weniger, aber eigenständige Pflichten: Überwachung des Betriebs, tatsächliche Wahrnehmung der menschlichen Aufsicht, Aufbewahrung der Logs sowie — für Behörden und mehrere Anwendungsfälle in der Privatwirtschaft — eine Grundrechte-Folgenabschätzung (FRIA) nach Artikel 27 vor der ersten Nutzung.

Jedes Unternehmen, das KI einsetzt, hat unabhängig vom Risikoniveau eine KI-Kompetenz-Pflicht nach Artikel 4: Mitarbeiterinnen und Mitarbeiter, die KI-Systeme bedienen oder von ihnen betroffen sind, müssen ein hinreichendes Verständnis ihrer Funktionsweise haben.

Bei Systemen mit begrenztem Risiko (Art. 50) reduzieren sich die Pflichten auf Transparenz: Personen müssen darüber informiert werden, dass sie mit einer KI interagieren, KI-generierte Inhalte sind zu kennzeichnen und bestimmte synthetische Medien sind als solche auszuweisen.

Systeme mit minimalem Risiko — die große Mehrheit der heute eingesetzten KI — kennen abseits der allgemeinen KI-Kompetenz-Pflicht keine verbindlichen Anforderungen.

Diese Aufzählung hat einen einfachen Zweck: Eine belastbare Kostenschätzung beginnt mit einer präzisen Pflichtenliste, und die Pflichtenliste beginnt mit einer korrekten Klassifizierung. Drei Minuten im kostenlosen Witness-Klassifikator liefern genau die artikelgenaue Pflichtenliste, die jedes Kostenmodell als Eingabe braucht.

Die wahren Kostentreiber

Compliance-Kosten sind keine einzelne Position. Sie sind die Summe aus vier Arten von Arbeit:

Engineering- und Produktzeit. Logging (Art. 12), Transparenzhinweise (Art. 50), Mechanismen für die menschliche Aufsicht (Art. 14) sowie die Genauigkeits- und Cybersicherheitsanforderungen aus Artikel 15 berühren in aller Regel das Produkt selbst. Das sind Entwicklungsaufgaben, keine Aktenarbeit.

Dokumentationszeit. Die technische Dokumentation nach Anhang IV ist detailliert. Sie umfasst Zweckbestimmung, Entwicklungsprozess, Architektur, Trainingsdaten, Validierungsmethoden, Maßnahmen zum Risikomanagement und Änderungsmanagement. Wer sie sauber ausfüllen will, braucht die Personen, die das System gebaut haben — nicht eine Junior-Kollegin, die blind aus einer Vorlage schreibt.

Rechtliche Prüfung. Risikoeinstufung, Grenzfälle bei verbotenen Praktiken nach Artikel 5 und die Zuordnung als Anbieter oder Betreiber profitieren von juristischer Begleitung. Die meisten KMU brauchen kein laufendes Mandat — sie brauchen gezielte Prüfung an klar abgegrenzten Entscheidungspunkten.

Schulung und laufendes Monitoring. Die KI-Kompetenz-Schulungen nach Artikel 4 sind ein wiederkehrender Posten. Risikomanagement nach Artikel 9 und die Beobachtung nach Artikel 72 sind dauerhaft, nicht einmalig. Ändert sich das System — neue Trainingsdaten, neue Funktionen, ein aktualisiertes Modell —, muss die Dokumentation mitziehen.

Kostenkategorien

Ein realistisches KMU-Budget ordnet sich in vier Kategorien:

Interne Personalzeit. Für die meisten Unternehmen die größte und am häufigsten unterschätzte Position. Für ein einzelnes Hochrisiko-System ist eine Planungsgröße von 40 bis 100 Stunden interner Arbeit über Engineering, Produkt, Compliance und Recht hinweg realistisch. Mehr Systeme, komplexere Architekturen oder eine geringe Dokumentationsreife verschieben den Wert nach oben. Der Compliance-Pfad für kleine und mittlere Unternehmen zeigt, wie kleinere Teams diese Last typischerweise über sechs Wochen verteilen.

Tooling. Software, die die Compliance-Arbeit strukturiert — Klassifizierung, Erstellung der Anhang-IV-Dokumentation, Risikoregister nach Artikel 9, FRIA nach Artikel 27, KI-Kompetenz-Schulungen nach Artikel 4, Beobachtung nach dem Inverkehrbringen — verwandelt das, was sonst eine Arbeit auf leerem Blatt wäre, in eine geführte Bearbeitung. Self-Service-Compliance-Tools liegen für KMU üblicherweise im Bereich von einigen hundert bis wenigen tausend Euro pro Jahr.

Rechtliche Prüfung. Gezielte Begutachtung der fertigen Dokumentation, der Klassifizierungsbegründung und etwaiger Artikel-5-Grenzfälle. Umfang und Honorar hängen von Zuschnitt und Rechtsraum ab, sind aber meist als kalkulierbares Mandat darstellbar — kein offenes Dauerverhältnis.

Optionales externes Audit oder Konformitätsbewertung durch Dritte. Für die meisten Anhang-III-Systeme genügt eine interne Konformitätsbewertung nach Anhang VI. Bei biometrischen Systemen nach Anhang III Nr. 1 kann eine Bewertung durch eine notifizierte Stelle nach Anhang VII erforderlich sein, soweit harmonisierte Normen oder gemeinsame Spezifikationen die Anforderungen nicht vollständig abdecken. Das ist eine separate Kostenposition.

Wie ein Self-Service-Tool in dieses Bild passt

Ein Self-Service-Tool ersetzt weder rechtliche Bewertung noch Engineering-Arbeit. Es senkt jedoch den strukturellen Mehraufwand, der sonst auf den internen Teams lastet:

  • Die Klassifizierung ist als Entscheidungsbaum strukturiert — die Ergebnisse sind konsistent und nachvollziehbar
  • Die Anhang-IV-Dokumentation wird aus ausgefüllten Formularen generiert, mit feldweisen Artikelverweisen, sodass jede Angabe einen rechtlichen Anker hat
  • Das Risikomanagement nach Artikel 9 wird in einem dauerhaften Register geführt statt projektweise neu erfunden
  • Die FRIA nach Artikel 27 ist als Vorlage für die geforderten Bestandteile aufgesetzt
  • Die KI-Kompetenz-Schulung nach Artikel 4 läuft modulbasiert mit Nachweis der Teilnahme
  • Updates lassen sich direkt im Workspace einpflegen, sobald sich das System ändert — ohne ein neues externes Mandat

Das Ergebnis ist Dokumentation, die im Eigentum des Unternehmens steht. Die Arbeit erledigen die Personen, die das System kennen. Das Tool liefert Struktur, Artikelverweise und Form — es gibt nicht vor, eine Anwältin zu sein.

Bußgelder als Vergleichsmaßstab

Die Kosten der Compliance haben eine Obergrenze. Die Kosten der Nichteinhaltung nicht. Artikel 99 der EU-KI-Verordnung legt die maximalen Bußgelder fest:

VerstoßMaximales Bußgeld
Verbotene KI-Praktiken (Art. 5)35 Millionen € oder 7 % des weltweiten Jahresumsatzes, je nachdem, was höher ist
Verstöße gegen Pflichten für Hochrisiko-Systeme oder Transparenzpflichten15 Millionen € oder 3 % des weltweiten Jahresumsatzes
Falsche, unvollständige oder irreführende Auskünfte an Behörden7,5 Millionen € oder 1 % des weltweiten Jahresumsatzes

Für KMU greift Artikel 99 Abs. 6 mit dem niedrigeren der beiden Beträge — Festbetrag oder Prozentsatz. Damit ist das Worst-Case-Risiko begrenzt, aber nicht beseitigt. Der kostenlose Bußgeld-Rechner für Artikel 99 rechnet die Obergrenzen in Sekunden für den eigenen Umsatz aus und macht damit aus abstrakten Zahlen ein konkretes Bild. Hinzu kommen nichtmonetäre Konsequenzen: Marktentzug des KI-Systems, Reputationsschäden und Konflikte mit Kundinnen und Kunden, die Compliance zunehmend als Beschaffungskriterium voraussetzen.

Die Entscheidungsgrundlage

Die Compliance-Frage für die meisten KMU lautet nicht „hohe Beratungsrechnung oder gar nichts tun". Sie liegt auf einem Spektrum zwischen zwei ehrlichen Optionen:

Intern aufbauen und mit effizientem Tooling dokumentieren. Die eigenen Engineering- und Compliance-Teams produzieren die Dokumentation, unterstützt durch Software, die Struktur und Artikelgenauigkeit absichert. Externe rechtliche Prüfung wird gezielt eingesetzt, wo sie den größten Nutzen bringt — Grenzfälle bei der Klassifizierung, Artikel-5-Analyse und ein abschließender Durchgang durch die fertige Dokumentation.

Mehr Arbeit auslagern. Anwaltskanzleien und spezialisierte Beratungen können die Dokumentation im Auftrag erstellen. Der Umfang ist größer, der Zeitplan länger, und die fachlichen Grundlagen muss das interne Team trotzdem liefern — niemand außerhalb des Unternehmens kennt Architektur, Trainingsdaten und operative Kontrollen besser als die Personen, die sie betreiben. Die Gegenüberstellung interner und externer Umsetzungswege macht die Trade-offs jeder Option transparent.

Die meisten KMU landen irgendwo dazwischen. Ein realistisches Budget für ein einzelnes Hochrisiko-KI-System mit interner Engineering-Kapazität und gezielter externer Prüfung liegt im ersten Jahr im niedrigen vierstelligen Bereich, der laufende Erhalt deutlich darunter. Höhere Komplexität, mehrere Rechtsräume oder eine schwächere Dokumentationsreife verschieben den Wert nach oben.

Die Verordnung ist neu, der Stichtag ist verbindlich (2. August 2026 für die meisten Hochrisiko-Pflichten nach Art. 113), und die Bußgeldobergrenze ist substanziell. Ein diszipliniertes, intern geführtes Programm mit gutem Tooling und gezielter rechtlicher Prüfung ist für KMU fast immer der effizienteste Weg.

Welche Pflichten konkret auf Ihr KI-System zutreffen, lässt sich mit einer kostenlosen Klassifizierung in wenigen Minuten klären — am Ende steht die artikelgenaue Pflichtenliste, die jedes Budget belastbar macht.

Prüfen Sie, ob die EU-KI-Verordnung für Sie gilt

Kostenlose Klassifizierung in 3 Minuten. Keine Anmeldung erforderlich.

Jetzt starten