EU AI Act Checkliste 2026: Alle Pflichten für KMU Schritt-für-Schritt

EU AI Act 2026 – was jetzt wirklich auf Sie zukommt

Der EU AI Act ist nicht mehr "irgendwann". Er ist ab Februar 2026 für Unternehmen verbindlich. Und das betrifft auch Sie als KMU – nicht nur die Tech-Giganten.

Wichtig: Ab August 2026 drohen bei Nichteinhaltung Bußgelder von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes.

Doch keine Panik: Mit dieser Checkliste erfüllen Sie alle Pflichten systematisch und ohne externe Berater (die übrigens 5.000-15.000€ verlangen).

Die 3 wichtigsten Fakten auf einen Blick

Frist	Was ist zu tun?	Betrifft Sie?
Februar 2026	Verbotene KI-Praktiken stoppen	Alle Unternehmen
August 2026	High-Risk Pflichten umsetzen	Nur bei Hochrisiko-KI
August 2027	Vollständige Compliance	Alle KI-Systeme dokumentiert

Gute Nachricht: Die meisten KMU nutzen KI-Systeme der Kategorie "minimales Risiko" – das bedeutet wenig Aufwand.

📋 Schritt 1: KI-Inventarisierung (Woche 1-2)

Was Sie tun müssen:

Erfassen Sie alle KI-Tools in Ihrem Unternehmen – auch die, die Mitarbeiter "nebenbei" nutzen.

Die Inventar-Tabelle:

Tool-Name	Zweck	Risiko-Klasse	Verantwortlicher
ChatGPT	Texte schreiben	Minimal	Marketing
Notion AI	Notizen organisieren	Minimal	Alle
Canva AI	Bilder erstellen	Minimal	Marketing
Excel/Sheets	Datenanalyse	Minimal	Buchhaltung

Risiko-Klassen einfach erklärt:

🟢 Minimal Risiko (fast alle KMU-Tools):

Chatbots ohne sensible Daten
Spam-Filter
KI in Office-Programmen
Pflichten: Nur Transparenz (Nutzer informieren)

🟡 Begrenztes Risiko:

Chatbots, die mit Menschen interagieren
Pflichten: Kennzeichnungspflicht ("Ich bin ein Chatbot")

🟠 Hohes Risiko (selten in KMU):

KI bei Einstellungsentscheidungen
Kreditwürdigkeitsprüfung durch KI
Pflichten: Umfassende Dokumentation, Menschliche Überwachung

💡 Praxis-Tipp: 95% aller KMU nutzen nur "Minimal-Risiko"-KI. Prüfen Sie trotzdem genau!

📝 Schritt 2: Dokumentation aufbauen (Woche 3-4)

Was Sie dokumentieren müssen:

Für jedes KI-Tool eine kurze Dokumentation:

Tool: ChatGPT (Plus-Version)
Einsatzzweck: Erstellung von Marketingtexten, E-Mail-Entwürfen
Verantwortlich: Max Mustermann (Marketing)
Zuletzt geprüft: 15.02.2026
Risikoklasse: Minimal
Besonderheiten: Keine sensiblen Kundendaten werden eingegeben

Wo speichern?

Interne Dokumentation (SharePoint, Drive, Ordner)
Zugänglich für Geschäftsführung & IT-Beauftragten
Jährlich aktualisieren

👥 Schritt 3: Mitarbeiter schulen (Woche 5-6)

Die Pflicht zur AI Literacy (Art. 4 EU AI Act)

Wer muss geschult werden?

Alle Mitarbeiter, die KI-Systeme nutzen
Führungskräfte
Besonders: Personen, die KI-Entscheidungen beeinflussen

Was muss drin sein?

Grundverständnis KI (Was kann sie, was nicht?)
Richtiger Umgang mit KI-Systemen
Risiken erkennen (Halluzinationen, Bias)
Datenschutz bei KI-Nutzung
Menschliche Überwachung

Kostenlose Schulungs-Ressourcen:

Ressource	Format	Dauer	Kosten
BSI-Leitfaden	PDF	Selbststudium	Gratis
EU AI Act Kurs (Udemy)	Video	2h	29€
KI Expertenraum Kurs	Video + Praxis	2,5h	39€

⚠️ Schritt 4: Risikobewertung durchführen (Woche 7-8)

Der 4-Fragen-Test:

Frage 1: Nutzen wir KI für Entscheidungen über Menschen?

→ Einstellung, Kredit, Versicherung = Hohes Risiko

Frage 2: Verarbeiten wir sensible Daten (Gesundheit, Biometrie)?

→ Ja = Wahrscheinlich Hohes Risiko

Frage 3: Ist es ein "eingebettetes System" (Medizin, Autos, Justiz)?

→ Ja = Hohes Risiko

Frage 4: Nutzen wir nur Standard-Büro-KI (ChatGPT, Copilot)?

→ Ja = Minimal Risiko

🔒 Schritt 5: Bei High-Risk Erweiterte Pflichten (Woche 9-12)

Falls Sie doch High-Risk-KI nutzen:

Dann brauchen Sie:

Risikomanagement-System
Qualitätsmanagement für Daten
Technische Dokumentation
Protokollierung (Logging)
Menschliche Überwachung
Sicherheitskonzept
Konformitätserklärung

Hinweis: Für diese Fälle empfehlen wir dringend spezialisierte Beratung.

Häufige Fehler – und wie Sie sie vermeiden

❌ Fehler 1: "Der EU AI Act betrifft uns nicht"
Falsch! Auch Nutzung von ChatGPT im Unternehmen fällt unter den Act.

❌ Fehler 2: Externe Berater engagieren (15.000€)
Nicht nötig! Für Standard-KMU reichen diese Checklisten.

❌ Fehler 3: Alles auf einmal machen wollen
Besser: Schrittweise nach diesem Plan vorgehen.

✅ Fehler 4 vermeiden: Keine Dokumentation
Bußgeld-Trick: Wer dokumentiert, kann im Schadensfall nachweisen, dass er pflichtbewusst handelte.

Fazit: In 12 Wochen zur EU AI Act Compliance

Mit diesem Plan sind Sie bis August 2026 auf der sicheren Seite:

Woche 1-2: Inventarisierung
Woche 3-4: Dokumentation
Woche 5-6: Mitarbeiter schulen
Woche 7-8: Risikobewertung
Woche 9-12: Erweiterte Pflichten (falls nötig)

Der Aufwand für Standard-KMU: Ca. 8-12 Stunden insgesamt.

Der Nutzen: Kein Bußgeld, sicheres Geschäft, Wettbewerbsvorteil gegenüber zögerlichen Mitbewerbern.

EU AI Act Kurs für KMU

In unserem Kurs zeige ich Ihnen in 2,5 Stunden alle Details, Fallstricke und gebe Ihnen fertige Vorlagen.

Kurs entdecken