Zum Hauptinhalt springen
KI-Integration13 min Lesezeit

EU AI Act ab 2. August 2026: Welche KI-Pflichten Ihr KMU jetzt erfüllen muss und wie Sie die Schulungspflicht abhaken

Welche KI-Pflichten Ihr KMU ab dem 2. August 2026 wirklich treffen, warum Artikel 4 schon seit Februar 2025 gilt und wie Sie die Schulungspflicht nachweisbar abhaken.

B
Berkan Demir
|

Bevor Sie über Schulungen, Richtlinien oder Bußgelder nachdenken, beantworten Sie eine einzige Frage: Sind Sie Anbieter oder Betreiber von KI? Anbieter entwickeln oder verkaufen ein KI-System unter eigenem Namen. Betreiber nutzen ein KI-System für ihre Arbeit, also etwa ChatGPT im Marketing oder Microsoft Copilot in der Buchhaltung. Die allermeisten KMU sind Betreiber. Und genau das verändert, welche Pflichten Sie wirklich treffen.

Es gibt also nicht die eine Antwort auf die Frage "Was muss ich jetzt tun?". Es kommt darauf an, wie und wofür Sie KI einsetzen. Dieser Beitrag gibt Ihnen kein Pauschalrezept, sondern ein Raster, mit dem Sie Ihre eigene Lage einordnen und die richtigen nächsten Schritte ableiten. Ich mache dabei keine Rechtsberatung. Ich ordne ein, was öffentlich belegt ist, damit Sie wissen, wo Sie genauer hinschauen sollten.

Warum diese Unterscheidung so viel ausmacht, sehen Sie schnell. Ein Anbieter muss technische Dokumentation führen, Konformität nachweisen und je nach Anwendungsfall ein ganzes Risikomanagement aufbauen. Ein Betreiber muss vor allem wissen, was er da tut, und das belegen können. Das ist ein gewaltiger Unterschied im Aufwand. Wer sich fälschlich für betroffen hält, baut Bürokratie auf, die er nicht braucht. Wer sich fälschlich für nicht betroffen hält, übersieht eine Pflicht, die längst läuft. Beides ist teuer, nur auf verschiedene Weise.

Die kurze Antwort zuerst

Für die meisten KMU als KI-Betreiber sind ab heute zwei Dinge relevant: die KI-Kompetenzpflicht aus Artikel 4, die bereits seit dem 2. Februar 2025 gilt, und die Transparenzpflichten aus Artikel 50, die ab dem 2. August 2026 anwendbar werden. Wer KI nutzt, braucht ein dokumentiertes KI-Verzeichnis, eine kurze Nutzungsrichtlinie und eine nachweisbare Mitarbeiterschulung. Die viel diskutierte Verschiebung durch den sogenannten Digital Omnibus betrifft etwas anderes, nämlich die Hochrisiko-Pflichten nach Anhang III. Sie nimmt Ihnen die Schulungspflicht nicht ab.

Hinweis

Laut dem Volltext von Artikel 4 müssen Anbieter und Betreiber von KI-Systemen Maßnahmen treffen, um nach besten Kräften ein ausreichendes Maß an KI-Kompetenz ihres Personals und anderer Personen sicherzustellen, die in ihrem Auftrag mit KI arbeiten. Diese Pflicht gilt seit dem 2. Februar 2025.

Worauf es ankommt: die Entscheidungs-Dimensionen

Bevor Sie ein einziges E-Learning buchen, ordnen Sie Ihre Situation entlang weniger klarer Achsen ein. Diese Dimensionen entscheiden, wie viel Aufwand für Sie angemessen ist. Nicht jeder Betrieb braucht dasselbe Programm.

  • Rolle: Sind Sie Anbieter oder Betreiber? Als Betreiber entfallen die schweren Entwickler-Pflichten. Übrig bleiben Kompetenz und Transparenz. Das ist überschaubar.
  • Einsatztiefe: Setzen einzelne Mitarbeitende KI gelegentlich ein, oder hängen Kernprozesse daran? Je tiefer KI in Ihren Abläufen steckt, desto gründlicher müssen Inventur und Schulung sein.
  • Datenart: Geben Ihre Leute personenbezogene oder vertrauliche Daten in KI-Tools ein? Dann verzahnt sich der AI Act mit der DSGVO, und der Schutzbedarf steigt deutlich.
  • Außenwirkung: Stellen Sie selbst Chatbots oder KI-generierte Inhalte für Kunden bereit? Dann greift Artikel 50 mit konkreten Kennzeichnungspflichten ab August 2026.
  • Haftung und Mitbestimmung: Wer im Betrieb verantwortet KI? Gibt es einen Betriebsrat? Beides bestimmt, wie formal Sie vorgehen müssen.
  • Nachweisreife: Könnten Sie heute belegen, wer wann was zu KI gelernt hat? Wenn nicht, ist das Ihre erste Baustelle, nicht die Technik.

Diese sechs Achsen sind kein Selbstzweck. Sie übersetzen ein abstraktes Gesetz in eine Frage, die Sie als Geschäftsführer tatsächlich beantworten können: Wie groß ist mein Risiko, und wie viel Aufwand rechtfertigt es?

Achtung

Verwechseln Sie "verschoben" nicht mit "erledigt". Der Digital Omnibus verschiebt laut der Auswertung der Council-Einigung durch VerifyWise nur die eigenständigen Hochrisiko-Pflichten nach Anhang III auf den 2. Dezember 2027, und er ist zum heutigen Stand nicht einmal formell verabschiedet. Artikel 4 läuft seit Februar 2025, Artikel 50 kommt im August 2026. Wer auf eine generelle Verschiebung wartet, wartet auf etwas, das es nicht gibt.

Profil 1: Der typische KI-Betreiber, der KI nur nebenbei nutzt

Stellen Sie sich ein Berliner Dienstleistungsunternehmen mit 30 Mitarbeitenden vor. Ein paar Leute texten mit ChatGPT, das Office-Paket bringt Copilot mit, sonst nichts Spektakuläres. Genau das ist der Normalfall, und es ist der entspannteste. Sie sind reiner Betreiber, ohne Außenwirkung über Kunden-Chatbots.

Ihre Pflicht beschränkt sich im Kern auf Artikel 4. Sie müssen sicherstellen, dass Ihre Leute verstehen, was diese Werkzeuge können und wo sie versagen. Das ist keine akademische Übung. Es schützt Sie vor dem realen Schaden, dass jemand eine erfundene KI-Antwort ungeprüft an einen Kunden weitergibt.

Empfehlung: Ein kurzes Pflicht-E-Learning für alle, ein tieferer Workshop für die aktiven Nutzer, eine einseitige Nutzungsrichtlinie und eine schlichte Teilnehmerliste. Mehr braucht dieses Profil nicht. Wichtig ist, dass es passiert und dass es dokumentiert ist.

Sie fragen sich jetzt vermutlich, ob eine schlichte Teilnehmerliste wirklich genügt. In dieser Konstellation ist die ehrliche Antwort: meistens ja. Der Maßstab ist Plausibilität, nicht Perfektion. Wenn Sie zeigen können, dass jeder relevante Mitarbeitende eine inhaltlich passende Schulung durchlaufen hat, das Datum und die Dauer festgehalten sind und das Material noch greifbar ist, dann haben Sie für dieses Profil das Wesentliche. Eine teure Plattform mit Zertifikatsdruck macht die Sache nicht sicherer. Sie macht sie nur teurer. Investieren Sie die Energie lieber in den Inhalt als in die Form.

Profil 2: KMU mit sensiblen Daten oder Außenwirkung

Jetzt ein anderes Bild. Eine Steuerkanzlei, eine Arztpraxis oder ein Händler, der einen KI-Chatbot auf der Website betreibt. Hier kommen zwei Dinge zusammen: erhöhter Schutzbedarf bei den Daten und, im Chatbot-Fall, eine echte Außenwirkung.

Aus meinen Projekten kenne ich das Muster gut: Gerade in diesen Betrieben fließen vertrauliche Daten oft unbemerkt in öffentliche KI-Dienste, weil eine Sachbearbeiterin schnell einen Vertragstext zusammenfassen lassen will. Niemand handelt böswillig. Es fehlt nur die klare Regel und das Bewusstsein, dass diese Daten damit das Haus verlassen. Genau hier verzahnt sich der AI Act mit der DSGVO, und genau hier richtet eine einzige Zeile in der Nutzungsrichtlinie mehr aus als jede Technik.

Für Sie greift zusätzlich Artikel 50. Laut der Implementation Timeline des AI Act Service Desk der Europäischen Kommission beginnen die Transparenzregeln nach Artikel 50 am 2. August 2026 zu gelten, und ab diesem Datum startet auch die Durchsetzung auf nationaler und EU-Ebene. Praktisch heißt das: Wer mit Ihrem Chatbot spricht, muss erkennen können, dass eine KI antwortet. KI-generierte Inhalte und sogenannte Deepfakes müssen als solche kenntlich sein.

Das ist weniger dramatisch, als es klingt. Es geht nicht um eine Zertifizierung Ihres Chatbots, sondern um Ehrlichkeit gegenüber dem Kunden. Ein klarer Satz am Anfang des Chats genügt oft. Trotzdem unterschätzen viele Betriebe diesen Punkt, weil der Chatbot meist von einer Agentur eingebaut wurde und niemand intern dafür verantwortlich ist. Genau hier entsteht die Lücke. Übersetzen Sie die Pflicht auf Ihre Ebene: Es geht um Ihren Ruf und um Vertrauen. Ein Kunde, der merkt, dass er unwissentlich mit einer Maschine geschrieben hat, fühlt sich getäuscht. Die Kennzeichnung schützt also nicht nur vor einer Behörde, sondern vor diesem Vertrauensbruch. Das ist kein Komfort, das ist Risikovorsorge.

Tipp

Wenn Sie einen Kunden-Chatbot betreiben, formulieren Sie schon jetzt einen klaren Hinweistext ("Sie chatten mit einem KI-Assistenten") und prüfen Sie, ob KI-generierte Bilder oder Texte in Ihrem Marketing eine Kennzeichnung brauchen. Das ist eine Aufgabe von Stunden, kein Großprojekt. Aber sie will rechtzeitig vor dem 2. August 2026 erledigt sein.

Empfehlung: Alles aus Profil 1, plus eine verschärfte Datenregel in der Nutzungsrichtlinie (keine personenbezogenen oder vertraulichen Daten in öffentliche Tools) und ein dokumentierter Kennzeichnungsprozess für alle KI-Berührungspunkte mit Kunden. Bei der Verzahnung mit der DSGVO klären Sie die Details mit Ihrem Datenschutzbeauftragten oder einem Anwalt.

Profil 3: KMU, das selbst KI entwickelt oder stark anpasst

Das dritte Profil ist seltener, aber es gibt es: ein Software-Haus, das ein eigenes KI-Produkt baut, oder ein Betrieb, der ein KI-Modell so tief anpasst, dass er zum Anbieter wird. Hier wird es schnell komplex, und hier verlässt der Beitrag bewusst die Pauschalebene.

Sobald Sie Anbieter sind oder ein System in einen Hochrisiko-Anwendungsbereich nach Anhang III fällt, gelten deutlich umfangreichere Pflichten. Genau diese eigenständigen Hochrisiko-Pflichten sollen per Digital Omnibus auf den 2. Dezember 2027 verschoben werden. Für die meisten KMU ist Anhang III ohnehin selten direkt einschlägig. Aber wenn Sie zu diesem Profil gehören, ist das keine Sache für eine Checkliste im Blog. Das gehört in eine individuelle Bewertung mit Fachjuristen.

Empfehlung: Lassen Sie zuerst sauber feststellen, ob Sie rechtlich Anbieter sind und ob ein Anhang-III-Fall vorliegt. Diese Einordnung entscheidet über alles Weitere. Raten Sie hier nicht.

Ein Hinweis zur Beruhigung, falls Sie sich gerade fragen, ob Sie unbemerkt zum Anbieter geworden sind. Das passiert nicht dadurch, dass Sie ein fertiges Tool intensiv nutzen. Auch wer ChatGPT täglich einsetzt oder Copilot tief in seine Office-Welt einbindet, bleibt Betreiber. Anbieter werden Sie typischerweise erst, wenn Sie ein KI-System unter eigenem Namen auf den Markt bringen oder ein bestehendes Modell so verändern oder umwidmen, dass es im rechtlichen Sinne ein neues System wird. Für die große Mehrheit der KMU ist das nicht der Fall. Aber wenn Sie unsicher sind, ist genau das der Punkt, an dem sich eine fachjuristische Einschätzung lohnt, bevor Sie irgendetwas anderes anpacken.

So setzen Sie die KI-Kompetenzpflicht praktisch um

Für die ersten beiden Profile, also die große Mehrheit, lässt sich Artikel 4 in einem überschaubaren Ablauf erfüllen. Ich gehe ihn in der Reihenfolge durch, in der er sich in der Praxis bewährt. Die Reihenfolge ist kein Zufall. Jeder Schritt liefert die Grundlage für den nächsten. Wer mit der Schulung beginnt, bevor er weiß, welche Tools überhaupt im Haus sind, schult ins Blaue.

  1. KI-Inventur anlegen: Listen Sie jedes eingesetzte KI-Tool auf, inklusive der inoffiziellen Nutzung und der in Standardsoftware integrierten KI wie Copilot, damit Sie überhaupt wissen, worüber Sie reden.
  2. Rollen und Niveaus klassifizieren: Teilen Sie Ihre Leute in wenige Gruppen ein (alle Beschäftigten, aktive Nutzer, Entscheider), weil drei bis vier Lernpfade KMU-tauglich sind und zwanzig Einzel-Curricula es nicht sind.
  3. Nutzungsrichtlinie verabschieden: Schreiben Sie auf ein bis vier Seiten fest, welche Tools erlaubt sind und welche Daten hineindürfen, weil eine klare Regel Ihre Mitarbeitenden schützt und Sie absichert.
  4. Schulung durchführen: Vermitteln Sie, was KI kann und nicht kann, samt typischer Fehlerquellen wie Halluzinationen und Bias, weil ohne dieses Grundverständnis jede weitere Maßnahme auf Sand gebaut ist.
  5. Nachweise dokumentieren: Erfassen Sie pro Person Datum, Inhalt und Dauer der Schulung und bewahren Sie das Material auf, weil ohne Nachweis aus Sicht einer prüfenden Stelle nichts stattgefunden hat.
  6. Transparenzpflichten abdecken: Richten Sie dort, wo Sie Chatbots oder KI-Inhalte für Kunden bereitstellen, rechtzeitig Hinweistexte ein, weil Artikel 50 ab dem 2. August 2026 greift.
  7. Verantwortlichkeit festlegen: Benennen Sie eine zuständige Person und prüfen Sie Inventur, Richtlinie und Schulungen mindestens jährlich, weil KI-Tools sich schnell ändern und ein einmaliger Stand schnell veraltet.

Beispielhafte Tiefe, kein Gesetzesbefehl: Alle Beschäftigten 30 bis 60 Minuten E-Learning mit jährlicher Auffrischung, aktive Nutzer ein zwei- bis vierstündiger Workshop je Abteilung, Entscheider zugeschnittene Sessions. Der AI Act schreibt kein Format und kein Zertifikat vor. Angemessen muss es zum Kontext passen.

Wenn Sie diese sieben Schritte gehen, fällt am Ende fast nebenbei etwas Wertvolles ab: ein Audit-Paket. Bündeln Sie die Ergebnisse an einem Ort, also die Nutzungsrichtlinie, die KI-Inventur mit Risikoeinstufung, die Lernpfad-Definitionen je Rolle, die Schulungsnachweise je Person, die Schulungsmaterialien, die jährlichen Review-Notizen und die benannte Verantwortlichkeit. So lässt sich die Erfüllung von Artikel 4 plausibel belegen, ohne dass Sie im Ernstfall hektisch Unterlagen zusammensuchen. Dieses Paket ist Ihr ruhiger Stand, wenn jemand fragt. Glück ist keine dokumentierte Kompetenzmaßnahme. Ein geordnetes Audit-Paket schon.

Dieser letzte Satz ist wichtiger, als er aussieht. "Angemessen" bedeutet, dass eine Lagerkraft, die KI nie anfasst, nicht denselben Stoff braucht wie jemand, der täglich Kundentexte mit einem Sprachmodell entwirft. Die Versuchung, alle über einen Kamm zu scheren und ein einziges Video für die gesamte Belegschaft abzuspielen, ist groß. Sie ist auch verständlich, weil sie einfach wirkt. Aber sie produziert genau die leere Pflichterfüllung, die im Ernstfall nicht trägt. Differenzieren Sie lieber grob nach Rollen, als pauschal nach unten. Das spart sogar Zeit, weil die meisten Mitarbeitenden nur das schmale Grundpaket brauchen und nur wenige die Tiefe.

Hinweis

Die Europäische Kommission stellt zu ihrem Living Repository klar, dass das bloße Nachahmen der dort gesammelten Praktiken keine automatische Konformitätsvermutung mit Artikel 4 verschafft. Eine fertige Vorlage von der Stange reicht also nicht. Sie müssen die Maßnahmen auf Ihren Betrieb zuschneiden.

Was oft unterschätzt wird

In meinen Bestandsaufnahmen bei Betrieben dieser Größe sehe ich zwei Lücken immer wieder. Die erste ist die Schatten-KI. In der offiziellen Lizenzliste taucht Copilot auf, aber niemand fragt, wer privat welches Tool für die Arbeit nutzt. Wer nur die Rechnungen durchsieht, übersieht die halbe Realität. Fragen Sie aktiv nach.

Die zweite Lücke betrifft externe Kräfte. Artikel 4 erfasst ausdrücklich auch andere Personen, die in Ihrem Auftrag KI bedienen. Das schließt Freelancer und Dienstleister ein. Wer nur die Festangestellten schult, lässt eine Tür offen. Und die teuerste Variante ist der Pflichttermin ohne Substanz: eine 90-Minuten-Veranstaltung, in der niemand eine Frage stellt. So etwas hält keiner Plausibilitätsprüfung stand. Der Maßstab ist ähnlich wie bei der Vorbereitung auf eine DSGVO-Prüfung. Es zählt, ob Inhalt und Nachweis zur Tätigkeit passen.

Manche sagen, mit einem fertigen Online-Kurs ist die Sache erledigt. Das ist zu viel versprochen. Ein guter Kurs deckt die Grundlagen ab, also was KI kann und nicht kann, Halluzinationen, Bias. Aber er kennt Ihre Tools nicht, Ihre Daten nicht und Ihre Prozesse nicht. Genau dort entstehen die teuren Fehler. Der Kurs ist der Anfang, nicht das Ende. Ein vierter Stolperstein lauert in der Zeit: KI-Tools ändern sich schnell, und Schulungsunterlagen ohne jährliche Auffrischung verlieren ihre Aussagekraft. Was 2026 korrekt war, kann 2027 überholt sein. Deshalb gehört der jährliche Review in den Kalender, nicht in die Kategorie "irgendwann".

Und noch ein Wort zu den Bußgeldern, weil die Zahlen gern als Druckmittel herumgereicht werden. Laut Artikel 99 können Verstöße gegen die verbotenen Praktiken mit bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden, Verstöße gegen sonstige Pflichten mit bis zu 15 Mio. Euro oder 3 Prozent. Für KMU und Start-ups gilt dabei jeweils der niedrigere der beiden Werte. Die Sanktion ist also gedeckelt. Direkte EU-Bußgelder knüpfen zudem nicht an eine fehlende Schulung allein an. Wer mit dem 35-Millionen-Maximalwert Angst schürt, verkauft Ihnen etwas. Das reale Risiko liegt eher in Haftung und Reputation als in einem Maximalbußgeld.

Mein Fazit

Der EU AI Act ist für die meisten KMU kein Monster, sondern eine überschaubare Hausaufgabe. Wenn Sie Betreiber sind, und das sind Sie mit hoher Wahrscheinlichkeit, dann läuft alles auf drei Dinge hinaus: ein ehrliches KI-Verzeichnis, eine kurze Nutzungsrichtlinie und eine dokumentierte Schulung. Damit sind Sie für Artikel 4 sauber aufgestellt, und für Artikel 50, falls er Sie betrifft, ergänzen Sie ein paar Hinweistexte.

Das Wichtigste ist die Reihenfolge. Beginnen Sie mit der Einordnung, nicht mit dem Einkauf. Erst wenn Sie wissen, ob Sie Anbieter oder Betreiber sind, wie tief KI in Ihren Abläufen steckt und ob Kunden mit Ihrer KI in Berührung kommen, wissen Sie, welcher Aufwand für Sie angemessen ist. Alles andere wäre geraten.

Und zur viel zitierten Verschiebung: Verlassen Sie sich nicht darauf. Zum heutigen Stand ist der Digital Omnibus nicht im Amtsblatt veröffentlicht, und er betrifft die Hochrisiko-Pflichten, nicht Ihre Schulungspflicht. Wer jetzt ordentlich aufstellt, was ohnehin gilt, ist auf der sicheren Seite, egal wie das politische Verfahren ausgeht.

Ich habe geklärt, ob mein Unternehmen rechtlich Anbieter oder Betreiber von KI ist.
Ich habe ein vollständiges KI-Verzeichnis inklusive integrierter KI (z. B. Copilot) und Schatten-KI.
Ich habe geprüft, ob bei uns personenbezogene oder vertrauliche Daten in KI-Tools fließen.
Ich weiß, ob wir Kunden-Chatbots oder KI-generierte Inhalte mit Außenwirkung einsetzen (Artikel 50).
Ich habe meine Mitarbeitenden in wenige Rollen- und Kompetenzgruppen eingeteilt.
Ich habe eine verbindliche KI-Nutzungsrichtlinie auf ein bis vier Seiten verabschiedet.
Ich kann pro Person Datum, Inhalt und Dauer der KI-Schulung belegen.
Ich habe eine verantwortliche Person für KI-Governance benannt und einen jährlichen Review-Termin gesetzt.
Ich habe externe Kräfte und Freelancer, die in meinem Auftrag KI nutzen, in die Schulung einbezogen.
Nächster Schritt: KI-Inventur in einer einfachen Tabelle starten, mit aktiver Nachfrage zur Schatten-KI.
Nächster Schritt: Lernpfade je Rolle definieren und ein Schulungsformat festlegen.
Nächster Schritt: Nutzungsrichtlinie entwerfen und bei Mitbestimmung den Betriebsrat früh einbinden.
Nächster Schritt: DSGVO- und Artikel-50-Fragen mit Datenschutzbeauftragtem oder Anwalt klären.