WWitness
Erste SchritteFunktionenAkademieFree ToolsExperten-ChatPreiseBlog
Anmelden
Zurück zum Blog
1. April 2026

EU-KI-Verordnung für KMU: Was kleine Unternehmen wissen müssen

Die EU-KI-Verordnung kennt keine Größenausnahme, aber KMU-freundliche Regelungen. Risikostufen, typische Anwendungsfälle und praktische Schritte vor dem Stichtag im August 2026.

Witness Team·7 Min. Lesezeit·EU-KI-Verordnung KMUKI-Verordnung KMUKI-Verordnung kleines UnternehmenEU-KI-Verordnung Start-upKI-Regulierung KMU

Aktualisiert am 25. Mai 2026 nach der Digital-Omnibus-Einigung der EU (7. Mai 2026): Die Compliance-Frist für Anhang-III-Hochrisikosysteme verschiebt sich vom 2. August 2026 auf den 2. Dezember 2027 (Anhang I auf den 2. August 2028). Die Transparenzpflichten nach Artikel 50(2) gelten weiterhin ab 2. August 2026. Siehe unser Omnibus-Update für die vollständige Zeitachse.

Keine Größenausnahme — aber kein Grund zur Panik

Die EU-KI-Verordnung gilt für jedes Unternehmen, das KI-Systeme entwickelt oder einsetzt, die Personen in der EU betreffen. Es gibt keine Mindestumsatzgrenze, keine Mitarbeiterschwelle und keine „zu klein, um reguliert zu werden"-Klausel. Ein Drei-Personen-Start-up und ein Konzern mit 50.000 Mitarbeitenden treffen für dasselbe KI-System dieselben Kernpflichten.

Trotzdem ignoriert die Verordnung die Realität kleinerer Unternehmen nicht. Mehrere Vorschriften nehmen ausdrücklich auf KMU Rücksicht, und der risikobasierte Aufbau führt dazu, dass die meisten typischen KMU-Anwendungsfälle in Kategorien mit minimalem oder gar keinem Compliance-Aufwand fallen.

Der mit Abstand wichtigste Schritt ist daher die Frage, wo Ihre KI-Systeme im Risikospektrum liegen. Sie entscheidet darüber, ob Sie nichts tun müssen, einen Hinweis ergänzen oder ein vollständiges Compliance-Programm aufsetzen. Eine belastbare Antwort auf die Risikofrage liefert der Witness-Risikoklassifikator in rund drei Minuten — gut ergänzt durch den Beitrag zur Frage, ob die KI-Verordnung überhaupt für Ihr Unternehmen gilt.

Die vier Risikostufen in einfachen Worten

Minimales Risiko — keine verbindlichen Pflichten

Ihr KI-System fällt in keine regulierte Kategorie. Die EU empfiehlt freiwillige Verhaltenskodizes, schreibt aber außer der allgemeinen KI-Kompetenz-Pflicht nach Artikel 4 keine Anforderungen vor. Die meisten KI-Systeme landen hier.

Begrenztes Risiko — als KI ausweisen

Ihr System interagiert mit Personen oder erzeugt Inhalte, die mit menschlich erstellten verwechselt werden könnten. Die KI-Beteiligung muss offengelegt werden. Konkret heißt das: Hinweise wie „Diese Antwort wurde von einer KI erzeugt" oder Kennzeichnung synthetischer Inhalte. Die Umsetzung ist einfach und kostengünstig.

Hohes Risiko — vollständiges Compliance-Programm

Ihr System fällt in eine der acht Anhang-III-Kategorien (Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienste, Strafverfolgung, Migration, Justiz) oder ist Sicherheitsbauteil eines Produkts unter EU-Harmonisierungsrechtsvorschriften. Erforderlich sind technische Dokumentation, Risikomanagement, Konformitätsbewertung und mehr.

Verboten — darf nicht eingesetzt werden

Ihr System fällt unter eine der acht verbotenen Praktiken nach Artikel 5, etwa Social Scoring, unterschwellige Manipulation oder ungerichtetes Auslesen von Gesichtsbildern. Der Einsatz in der EU ist unzulässig — keine Ausnahmen.

Typische KMU-Anwendungsfälle und ihre Risikostufe

Hier wird es praktisch. Die folgenden KI-Anwendungen werden in KMU tatsächlich eingesetzt, jeweils mit ihrer wahrscheinlichsten Einstufung:

KI-AnwendungRisikostufeBegründungWas zu tun ist
Chatbot auf der WebsiteBegrenztInteraktion mit Personen (Art. 50)Kennzeichnung als KI
Produktempfehlungs-EngineMinimalKeine regulierte KategorieKeine Pflichten
KI-gestütztes E-Mail-MarketingMinimalKeine regulierte KategorieKeine Pflichten
Content-Erstellung (Blog, Social Media)BegrenztErzeugt synthetischen Text (Art. 50)Als KI-generiert kennzeichnen, wenn ohne menschliche redaktionelle Kontrolle veröffentlicht
KI-Kundenservice-AgentBegrenztInteraktion mit Personen (Art. 50)Kennzeichnung als KI
KI-gestütztes Bewerber-Screening / CV-FilterungHochBeschäftigungsentscheidungen (Anhang III, Bereich 4)Vollständige Compliance: Dokumentation, Risikomanagement, Konformitätsbewertung
KI-BonitätsbewertungHochWesentliche Dienste (Anhang III, Bereich 5(b))Vollständige Compliance + FRIA
KI-gestützte Mitarbeiter-Performance-ÜberwachungHochBeschäftigung (Anhang III, Bereich 4(b))Vollständige Compliance
Predictive MaintenanceMinimalKeine regulierte KategorieKeine Pflichten
BetrugserkennungMinimalAusdrücklich aus Anhang III 5(b) ausgenommenKeine Pflichten
KI-PrüfungsaufsichtHochBildung (Anhang III, Bereich 3(d))Vollständige Compliance
KI-gestützte VersicherungspreisbildungHochWesentliche Dienste (Anhang III, Bereich 5(c))Vollständige Compliance + FRIA

Das Muster ist eindeutig: Die meisten typischen KMU-Anwendungsfälle fallen unter minimales oder begrenztes Risiko. Hochriskant werden vor allem konkrete Anwendungsfälle, in denen Entscheidungen über Beschäftigung, Kreditwürdigkeit, Bildung oder Zugang zu wesentlichen Diensten getroffen werden.

KMU-freundliche Regelungen in der Verordnung

Mehrere Vorschriften begünstigen kleinere Unternehmen ausdrücklich:

Reduzierte Bußgelder (Art. 99 Abs. 6)

Für KMU (einschließlich Start-ups und Kleinstunternehmen) gilt jeweils der niedrigere der beiden Bußgeldbeträge. Bei großen Unternehmen ist es der höhere von Festbetrag oder Umsatzanteil. Für KMU heißt das:

  • Verbotene Praktiken: gedeckelt bei 35 Millionen € (nicht 7 % des Umsatzes)
  • Hochrisiko-Verstöße: gedeckelt bei 15 Millionen € (nicht 3 % des Umsatzes)
  • Falsche Auskünfte: gedeckelt bei 7,5 Millionen € (nicht 1 % des Umsatzes)

In der Praxis liegt der Prozentsatz für KMU stets unter dem Festbetrag, sodass KMU den prozentualen Wert zahlen. Ein Unternehmen mit 5 Millionen € Jahresumsatz hat bei einem Hochrisiko-Verstoß eine maximale Bußgeldobergrenze von 150.000 € (3 %), nicht 15 Millionen €. Was diese Investition tatsächlich umfasst, behandeln die konkreten Kostenposten der Compliance im Detail — realistische KMU-Budgets liegen meist im niedrigen vierstelligen Bereich.

Vereinfachte technische Dokumentation (Art. 11 Abs. 2)

Die Kommission ist ermächtigt, eine vereinfachte Form der technischen Dokumentation für KMU und Start-ups festzulegen. Dadurch wird der Aufwand zur Erfüllung von Anhang IV reduziert, ohne die Anforderungen der Verordnung zu unterschreiten.

Reallabore (Art. 57–62)

Die Mitgliedstaaten müssen KI-Reallabore einrichten, die ein kontrolliertes Umfeld zur Entwicklung und Erprobung von KI-Systemen vor dem Inverkehrbringen bieten. Artikel 62 stellt ausdrücklich klar, dass kleinen Anbietern und Start-ups vorrangiger Zugang zu diesen Reallaboren gewährt werden muss. Die Gebühren sind ebenfalls an die finanzielle Leistungsfähigkeit von KMU anzupassen — das heißt: reduziert oder erlassen.

Verhältnismäßigkeitsprinzip

Die Verordnung formuliert ihre Pflichten durchgängig im Lichte der Verhältnismäßigkeit. Risikomanagement muss „angemessen zum Risiko" sein (Art. 9), die Beobachtung „angemessen" (Art. 72). Das eröffnet KMU legitimen Spielraum, die Umsetzung an die eigene Größe anzupassen.

Der Compliance-Zeitplan

Die wichtigsten Stichtage für KMU:

DatumWasAuswirkung auf KMU
2. Februar 2025Verbot bestimmter Praktiken + KI-KompetenzBereits in Kraft. Sicherstellen, dass keine verbotenen KI-Anwendungen genutzt werden. KI-Kompetenz-Schulungen starten.
2. August 2025Pflichten für Allzweck-KI + BußgeldregelnBetrifft vor allem große KI-Modellanbieter. KMU, die GPT, Claude o. ä. nutzen, sind nicht direkt von den GPAI-Pflichten erfasst.
2. August 2026Pflichten für Hochrisiko-Systeme, Betreiberpflichten, FRIA, TransparenzDer große Stichtag. Wer Hochrisiko-KI-Systeme einsetzt, muss Dokumentation, Risikomanagement und Konformitätsbewertung abgeschlossen haben.
2. August 2027Anhang-I-Produkt-eingebettete KINur relevant, wenn Ihre KI Sicherheitsbauteil eines Produkts unter EU-Harmonisierungsrechtsvorschriften ist (Medizinprodukte, Maschinen u. ä.).

Für die meisten KMU ist der 2. August 2026 der entscheidende Stichtag. Das sind etwa vier Monate ab Veröffentlichung dieses Beitrags.

Praktische Schritte für KMU mit begrenzten Ressourcen

Schritt 1: KI-Bestand erfassen (Woche 1)

Listen Sie jedes KI-gestützte Werkzeug, jede Funktion und jeden Dienst auf, den Ihr Unternehmen entwickelt oder nutzt. Drittanbieter-KI-Tools gehören dazu — wer sie beruflich einsetzt, kann Betreiber sein und entsprechende Pflichten haben.

Schritt 2: Jedes System klassifizieren (Woche 1–2)

Für jedes System klären:

  • Erfüllt es überhaupt die KI-Definition aus Art. 3 Abs. 1?
  • In welche Risikostufe fällt es?
  • Sind Sie Anbieter, Betreiber oder beides?

Ein interaktiver Klassifikator erledigt das in wenigen Minuten pro System.

Schritt 3: KI-Kompetenz adressieren (Woche 2–3)

Diese Pflicht ist bereits durchsetzbar. Stellen Sie sicher, dass Mitarbeiterinnen und Mitarbeiter, die mit KI-Systemen arbeiten, die Grundlagen verstehen: Funktionsweise, Grenzen und Rechtsrahmen. Dokumentieren Sie die Schulung. Die kostenlose KI-Kompetenz-Vorlage liefert ein an Artikel 4 ausgerichtetes Programm, das Sie unmittelbar an Ihr Unternehmen anpassen können.

Schritt 4: Pflichten bei begrenztem Risiko erfüllen (Woche 3–4)

Wenn Sie Systeme mit begrenztem Risiko einsetzen, setzen Sie die Transparenzmaßnahmen um. Hinweise an Chatbots ergänzen, KI-generierte Inhalte kennzeichnen und das Vorgehen dokumentieren.

Schritt 5: Hochrisiko-Dokumentation angehen (Woche 4–12)

Für Hochrisiko-Systeme ist hier die eigentliche Arbeit:

  1. Technische Dokumentation nach Anhang IV erstellen
  2. Risikomanagementsystem nach Artikel 9 einrichten
  3. Daten-Governance nach Artikel 10 dokumentieren
  4. Menschliche Aufsicht nach Artikel 14 gestalten und dokumentieren
  5. Konformitäts-Selbstbewertung nach Art. 43 / Anhang VI durchführen
  6. Bei Anwendbarkeit FRIA nach Artikel 27 durchführen
  7. In der EU-Datenbank nach Artikel 49 registrieren

Das wirkt umfangreich, aber Self-Service-Compliance-Tools zerlegen jede Anforderung in geführte Felder mit Erläuterungen. Eine technisch versierte Person, die das System kennt, schafft die Dokumentation in Tagen, nicht Monaten.

Schritt 6: Compliance erhalten (laufend)

Beobachtung nach dem Inverkehrbringen einrichten (Art. 72). Bei Systemänderungen die Dokumentation aktualisieren. Logs mindestens sechs Monate aufbewahren (Art. 19). Schwerwiegende Vorfälle innerhalb von 15 Tagen melden (Art. 73).

Der Self-Service-Ansatz

Die Compliance-Branche war traditionell auf Großunternehmen mit sechsstelligen Budgets ausgerichtet. KMU brauchen einen anderen Weg: bezahlbare Werkzeuge, die so geführt sind, dass eine CTO oder Compliance-Verantwortliche die Arbeit ohne externe Beratung erledigen kann.

Die Witness-Plattform ist genau dafür gebaut. Beginnen Sie mit einer kostenlosen KI-System-Klassifizierung und erstellen Sie anschließend mit geführten Compliance-Tools die Dokumentation, die Ihre Risikostufe verlangt. Der vollständige Ablauf — Klassifizierung, Dokumentation, Risikomanagement, FRIA, Konformitätsbewertung — ist zu KMU-tauglichen Preisen verfügbar, ohne Enterprise-Vertriebsprozess.

Prüfen Sie, ob die EU-KI-Verordnung für Sie gilt

Kostenlose Klassifizierung in 3 Minuten. Keine Anmeldung erforderlich.

Jetzt starten