EU AI Act 2026: Die komplette Compliance-Checkliste für den DACH-Mittelstand

Der EU AI Act ist keine Zukunftsmusik mehr, sondern bereits geltendes Recht in jedem Unternehmen, das KI einsetzt. Die ersten Pflichten gelten seit 2. Februar 2025, der nächste große Stichtag ist der 2. August 2026. Wer bis dahin kein KI-Inventar führt, Risikoklassen einordnet und KI-Kompetenz nachweisen kann, geht in die erste Welle der Marktaufsicht direkt hinein.

Dieser Leitfaden räumt mit den häufigsten Missverständnissen auf, ordnet die durch den Digital Omnibus verschobenen Fristen ein und liefert eine praxistaugliche Checkliste, die der DACH-Mittelstand direkt abarbeiten kann. Er ersetzt keine Rechtsberatung, aber er gibt Dir einen belastbaren Startpunkt.

Kurz erklärt

Der EU AI Act (Verordnung (EU) 2024/1689) gilt unmittelbar in allen Mitgliedstaaten, ohne nationales Umsetzungsgesetz. Seit Februar 2025 sind verbotene KI-Praktiken untersagt und die KI-Kompetenz-Pflicht (Art. 4) ist aktiv. Ab 2. August 2026 greifen Transparenzpflichten, das Sanktionsregime und die Marktaufsicht (in Österreich die KI-Servicestelle der RTR). Der Digital Omnibus vom Juni 2026 hat die strengen Hochrisiko-Pflichten nach hinten verschoben, die Grundarchitektur aber unangetastet gelassen. Bei Verstößen drohen bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes. Für KMU gilt jeweils der niedrigere Betrag. Die 9-Punkte-Checkliste in diesem Artikel zeigt, was jetzt konkret zu tun ist.

Inhalt

• 01 Was ist der EU AI Act, und warum gerade jetzt?
• 02 Der Digital Omnibus: Was sich 2026 geändert hat
• 03 Wer ist betroffen? Anbieter, Betreiber, Importeure, Händler
• 04 Die vier Risikoklassen erklärt
• 05 Alle Stichtage im Überblick
• 06 KI-Kompetenz nach Artikel 4: die unterschätzte Pflicht
• 07 Transparenzpflichten ab August 2026
• 08 Strafen: Was ein Verstoß kostet
• 09 Aufsicht in der DACH-Region
• 10 AI Act vs. DSGVO: Wo der Unterschied liegt
• 11 Die 9-Punkte-Checkliste für KMU
• 12 Häufige Fehler aus der Praxis
• 13 Wie lange dauert die Umsetzung, und welche KMU-Erleichterungen gibt es?
• 14 Praxisbeispiel: 35-Mitarbeiter-Dienstleister
• 15 FAQ
• 16 Quellen

Was ist der EU AI Act, und warum gerade jetzt?

Der EU AI Act, offiziell die Verordnung (EU) 2024/1689 vom 13. Juni 2024, ist das weltweit erste umfassende Regelwerk für künstliche Intelligenz. Er trat am 1. August 2024 in Kraft und wird in gestaffelten Stufen anwendbar. Anders als eine Richtlinie braucht eine EU-Verordnung kein nationales Umsetzungsgesetz: Sie gilt direkt und unmittelbar in Österreich, Deutschland und allen anderen 26 Mitgliedstaaten.

Der entscheidende Unterschied zu allem, was viele KMU bisher von Regulierung kennen: Der AI Act ist produktorientiert, nicht datenorientiert. Er betrachtet KI-Systeme als Produkte mit definierten Risiken, nicht primär den Schutz personenbezogener Daten. Damit liegt eine zusätzliche Pflichtenebene oberhalb der DSGVO, mit eigenen Dokumentations-, Transparenz- und Kompetenzanforderungen.

Wichtig ist auch der risikobasierte Ansatz: Reguliert wird nicht die Technologie, sondern der konkrete Einsatzzweck. Ein und dasselbe Sprachmodell kann je nach Anwendung „minimales Risiko" bedeuten oder als Hochrisiko-System gelten. Ein KI-Chatbot, der Öffnungszeiten beantwortet, ist etwas völlig anderes als derselbe Anbieter-Algorithmus, der Bewerber vorsortiert.

„Warum jetzt?" lässt sich in einem Satz beantworten: Weil die ersten Pflichten bereits gelten und die nächste, für KMU spürbarste Stufe Anfang August 2026 scharf geschaltet wird. Wer wartet, bis „alles geklärt ist", verpasst genau das Zeitfenster, in dem Vorbereitung noch ruhig und günstig möglich ist.

Der Digital Omnibus: Was sich 2026 geändert hat

Hier liegt das wichtigste Update gegenüber älteren Ratgebern und zugleich der häufigste Fehler in kursierenden Checklisten. Bis Ende 2025 war die Umsetzung des AI Act sichtbar im Verzug: Harmonisierte Standards und Leitlinien fehlten, die Aufsichtsstrukturen waren noch im Aufbau. Die EU-Kommission legte daraufhin am 19. November 2025 den „Digital Omnibus on AI" vor, ein Paket gezielter Änderungen.

Nach zähen Verhandlungen erzielten die EU-Institutionen am 7. Mai 2026 eine politische Einigung, das Europäische Parlament stimmte am 16. Juni 2026 zu. Die finale Annahme durch den Rat wird vor dem 2. August 2026 erwartet. Wichtig: Bis zur förmlichen Veröffentlichung im Amtsblatt sind die neuen Fristen rechtlich noch nicht endgültig bindend. Plane deshalb mit Puffer, nicht auf Kante.

Das Paket verschiebt vor allem die strengen Hochrisiko-Pflichten, lässt die Grundarchitektur des AI Act (den risikobasierten Ansatz, die Governance-Struktur, die Kernpflichten) aber bewusst intakt. Die wichtigsten Änderungen:

• Hochrisiko-Systeme nach Anhang III (z. B. Recruiting, Kreditvergabe, Bildung): verschoben von 2. August 2026 auf 2. Dezember 2027.
• Hochrisiko-KI in regulierten Produkten nach Anhang I (Medizinprodukte, Maschinen, Fahrzeuge): verschoben auf 2. August 2028.
• Watermarking-Pflicht für Anbieter generativer KI (maschinenlesbare Kennzeichnung): für Bestandssysteme verschoben auf 2. Dezember 2026.
• Neues Verbot in Artikel 5: KI, die nicht-einvernehmliche intime Bilddarstellungen („Nudifier") oder Darstellungen sexuellen Kindesmissbrauchs erzeugt.
• KI-Kompetenz (Art. 4) wird abgemildert: Der Fokus verschiebt sich auf Unterstützungsmaßnahmen von Kommission und Mitgliedstaaten, statt einer unspezifischen Pflicht für Unternehmen. Die Pflicht für Betreiber von Hochrisiko-KI, ihr Personal für die menschliche Aufsicht zu schulen (Art. 26), bleibt jedoch bestehen.

Die zentrale Botschaft der Aufsichtsbehörden lautet trotzdem: Die Verschiebung ist Zeit zum Vorbereiten, nicht zum Aufhören. Standards und Leitlinien werden voraussichtlich erst kurz vor den neuen Fristen finalisiert. Wer dann erst startet, hat keinen Spielraum mehr.

Wer ist betroffen? Anbieter, Betreiber, Importeure, Händler

Der AI Act unterscheidet vier Rollen mit jeweils eigenen Pflichten:

1. Anbieter (Provider): Wer ein KI-System entwickelt oder unter eigenem Namen/eigener Marke in Verkehr bringt. Achtung: Auch wer ein zugekauftes System wesentlich anpasst oder unter eigener Marke betreibt, kann zum Anbieter werden.
2. Betreiber (Deployer): Wer ein KI-System unter eigener Verantwortung einsetzt. Das ist die Rolle der allermeisten KMU. Ihr nutzt ChatGPT, Microsoft Copilot, ein CRM mit KI-Funktionen oder ein Recruiting-Tool von einem Drittanbieter.
3. Importeur: Wer ein KI-System aus einem Drittland (z. B. USA) auf den EU-Markt bringt.
4. Händler: Wer ein KI-System in der Lieferkette bereitstellt, ohne Anbieter oder Importeur zu sein.

Zwei Punkte werden regelmäßig unterschätzt:

Extraterritorialität. Der AI Act gilt auch für Unternehmen außerhalb der EU, wenn der KI-Output in der EU verwendet wird. Schweizer Unternehmen mit EU-Kunden fallen damit indirekt darunter, ebenso jeder DACH-Mittelständler, dessen US-gehostetes Modell Ergebnisse für den EU-Markt liefert.

Indirekter KI-Einsatz zählt. Du fällst auch dann unter die Betreiberpflichten, wenn KI nur „eingebaut" ist, etwa über ein CRM mit Predictive-Funktionen, ein ERP mit KI-Forecasting oder eine Office-Suite mit integriertem Assistenten. Es gibt keine generelle KMU-Ausnahme von den Grundpflichten.

Die vier Risikoklassen erklärt

Der AI Act teilt KI-Systeme nach dem Einsatzzweck in vier Klassen. Jede hat eigene Pflichten:

Risikoklasse	Beispiele	Pflichten	Gilt ab
Unannehmbares Risiko (verboten)	Social Scoring, unterschwellige Manipulation, Ausnutzen von Schutzbedürftigkeit, ungezieltes Scraping von Gesichtsbildern, Emotionserkennung am Arbeitsplatz/in Bildung, Echtzeit-Fernidentifikation im öffentlichen Raum (enge Ausnahmen)	Vollständiges Verbot	2. Februar 2025
Hochrisiko (streng reguliert)	KI im Recruiting (CV-Screening!), Kreditvergabe, Versicherungs-Underwriting, kritische Infrastruktur, Medizinprodukte, Bildung, Strafverfolgung, Migration, Justiz (Anhang III)	Risikomanagement, Daten-Governance, technische Dokumentation, Logging, menschliche Aufsicht, Konformitätsbewertung	2. Dezember 2027 (Anhang III) / 2. August 2028 (Anhang I)
Begrenztes Risiko (Transparenz)	Chatbots, Voice-Agents, Deepfakes, KI-generierte Texte/Bilder/Audio/Video	Kennzeichnungs- und Hinweispflichten (Art. 50)	2. August 2026
Minimales Risiko (frei)	Spamfilter, KI in Videospielen, einfache Empfehlungssysteme	Keine Pflichten (freiwillige Kodizes empfohlen)	entfällt

Für die meisten KMU relevant sind Klasse 2 und 3. Der Klassiker: KI-gestützte Bewerber-Vorauswahl. Wer ein automatisiertes CV-Screening einsetzt (ob in Personio, in einem HR-Modul oder per eigenem Tool), betreibt ein Hochrisiko-System. Dann reicht es nicht, dem Anbieter zu vertrauen: Der Betreiber muss die Konformität belastbar nachweisen können.

Ein Trugschluss, der teuer wird: „Das Tool kommt von einem großen Anbieter, also passt das schon." Die Verantwortung als Betreiber lässt sich nicht vollständig auf den Hersteller abwälzen.

Alle Stichtage im Überblick

Die Roadmap nach aktuellem Stand (inklusive Digital Omnibus, vorbehaltlich der finalen Annahme durch den Rat):

Datum	Was gilt	Status
1. August 2024	AI Act tritt in Kraft, Fristen-Countdown beginnt	Erfolgt
2. Februar 2025	Verbotene KI-Praktiken (Art. 5) + KI-Kompetenz-Pflicht (Art. 4)	In Kraft
2. August 2025	Pflichten für GPAI-Modelle (z. B. GPT, Claude, Gemini), Governance-Strukturen, Sanktionsregime aufgebaut	In Kraft
2. August 2026	Transparenzpflichten (Art. 50), Durchsetzungsbefugnisse, Marktaufsicht (in AT: RTR)	Nächster Stichtag
2. Dezember 2026	Watermarking für generative Bestandssysteme + Compliance des neuen Art.-5-Verbots	Bevorstehend
2. Dezember 2027	Hochrisiko-Pflichten für eigenständige Anhang-III-Systeme (verschoben)	Bevorstehend
2. August 2028	Hochrisiko-Pflichten für Anhang-I-Systeme in regulierten Produkten (verschoben)	Bevorstehend

Merke: Auch wenn die strengen Hochrisiko-Pflichten erst Ende 2027 greifen, gelten die meisten Transparenzpflichten nach Art. 50 weiterhin ab 2. August 2026. Verschoben wurde nur die technische Watermarking-Pflicht der Anbieter. Die Kennzeichnungspflichten, die die meisten KMU betreffen, kommen also schon im August.

KI-Kompetenz nach Artikel 4: die unterschätzte Pflicht

Artikel 4 ist die breiteste Einzelpflicht des gesamten AI Act und gleichzeitig die am häufigsten übersehene. Sie verlangt, dass Anbieter und Betreiber „nach besten Kräften ein ausreichendes Maß an KI-Kompetenz" ihres Personals und aller Personen sicherstellen, die in ihrem Auftrag mit KI-Systemen arbeiten. Das gilt unabhängig von der Risikoklasse, also auch dann, wenn Dein Team „nur" ChatGPT oder Copilot nutzt.

Was bedeutet das konkret?

• „Ausreichend" ist kontextabhängig. Eine Empfangskraft, die gelegentlich einen Chatbot nutzt, braucht ein anderes Niveau als ein Data-Analyst, der ein Scoring-Modell betreut. Die Schulung muss verhältnismäßig zu Rolle, Risiko und Einsatzkontext sein.
• Keine Zertifizierungspflicht. Es ist kein bestimmtes Examen, kein akkreditiertes Programm vorgeschrieben. Du wählst Format und Tiefe selbst. Ein praxisnahes Basismodul von oft vier bis sechs Stunden plus rollenspezifische Vertiefung gilt als gängige Untergrenze.
• Dokumentation ist entscheidend. Es gibt keine Pflicht, das Kompetenzniveau zu messen, aber Du solltest belegen können, welche Schulungen durchgeführt wurden: Teilnahmebestätigungen, LMS-Tracking, Schulungskonzept.
• Keine eigene Geldstrafe, aber ein Verstärker. Art. 4 hat keine eigenständige Bußgeldhöhe. Fehlende KI-Kompetenz wirkt aber als erschwerender Faktor bei anderen Verstößen und kann seit August 2025 zivilrechtliche Haftung begründen, wenn ungeschultes Personal mit KI Schaden anrichtet.
• Durchsetzung ab August 2026. Aufsicht und Durchsetzung der Kompetenzpflicht starten formal am 2. August 2026. Wer bis dahin nichts vorzuweisen hat, ist bereits angreifbar.

Praktisch heißt das: Ein dokumentiertes Schulungskonzept ist der günstigste erste Schritt zur AI-Act-Reife, und die Unterlagen fließen direkt in die tieferen Pflichten ein (menschliche Aufsicht nach Art. 14, Betreiberpflichten nach Art. 26, Transparenz nach Art. 50). In Österreich bieten WKO und WIFI (u. a. der „KI-Führerschein") fertige Schulungsbausteine an.

Transparenzpflichten ab August 2026

Ab dem 2. August 2026 greift Artikel 50. Für KMU stehen drei Regeln im Vordergrund:

1. Chatbot-Hinweis. Wer einen Chatbot oder Voice-Agent betreibt, der mit natürlichen Personen interagiert, muss diese eindeutig darüber informieren, dass sie mit einem KI-System kommunizieren. Eine versteckte Fußnote reicht nicht. Üblich ist ein klar sichtbarer Hinweis vor dem ersten Nachrichtenaustausch.
2. Kennzeichnung KI-generierter Inhalte. Texte, Bilder, Audio oder Video, die mit KI erzeugt oder manipuliert wurden, müssen gekennzeichnet werden, soweit sie veröffentlicht oder einem breiten Publikum zugänglich gemacht werden.
3. Deepfake- und Informationskennzeichnung. Deepfakes und KI-generierte Texte, die der Information der Öffentlichkeit über Angelegenheiten von öffentlichem Interesse dienen, sind explizit zu kennzeichnen.

Die rein technische, maschinenlesbare Markierung („Watermarking") durch Anbieter generativer Systeme wurde für Bestandssysteme auf den 2. Dezember 2026 verschoben. Die sichtbaren Kennzeichnungspflichten für Betreiber bleiben aber bei August 2026.

Strafen: Was ein Verstoß kostet

Das Sanktionsregime (Art. 99) ist, wie bei der DSGVO, bewusst abschreckend gestaffelt:

Verstoß	Höchststrafe
Verbotene Praktiken (Art. 5)	bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes
Verstöße gegen sonstige Pflichten (inkl. Hochrisiko, Betreiber-/Kompetenzpflichten)	bis zu 15 Mio. Euro oder 3 %
Falsche/irreführende Angaben gegenüber Behörden	bis zu 7,5 Mio. Euro oder 1 %

Für KMU gilt eine wichtige Erleichterung: Es wird jeweils der niedrigere der beiden Beträge angewendet (Art. 99 Abs. 6). Trotzdem kann selbst der niedrigere Wert existenzgefährdend sein. Neben Bußgeldern können Behörden Nachbesserungen anordnen oder den Betrieb eines KI-Systems untersagen, wenn akute Gefahr besteht. Dazu kommen Reputationsrisiken, wenn ein Verstoß öffentlich wird.

Aufsicht in der DACH-Region

Wer kontrolliert? Die Zuständigkeiten unterscheiden sich je nach Land:

Österreich. Zentrale Anlaufstelle ist die KI-Servicestelle bei der RTR (Rundfunk und Telekom Regulierungs-GmbH). Sie ist seit 2024/2025 als nationale Kontakt- und Beratungsstelle eingerichtet und übernimmt ab dem 2. August 2026 die Funktion der Marktüberwachungs- und Aufsichtsbehörde. Daneben bleiben sektorale Behörden zuständig: die Datenschutzbehörde (DSB) für DSGVO-Aspekte, die FMA für KI im Finanz- und Versicherungswesen, das BASG für medizinische KI, die Arbeitsinspektion im Beschäftigungskontext. Das Bundeskanzleramt koordiniert die nationale Umsetzung. KMU sollten früh die KI-Servicestelle und, bei personenbezogenen Hochrisiko-Fällen, die DSB kontaktieren.

Deutschland. Die Bundesnetzagentur (BNetzA) ist als zentrale Marktaufsicht designiert, ergänzt durch die Datenschutzbehörden und das BSI für Cybersecurity-Aspekte.

Schweiz. Als Drittland gilt der AI Act nicht direkt, wirkt aber indirekt bei EU-Markteintritt bzw. wenn KI-Output in der EU genutzt wird.

Praxistipp für DACH-übergreifende Teams: Ein aus Deutschland übernommenes Compliance-Programm lässt sich nicht 1:1 nach Österreich kopieren: Die Eskalationsketten und führenden Behörden unterscheiden sich.

AI Act vs. DSGVO: Wo der Unterschied liegt

Die häufigste Fehlannahme: „Wir sind DSGVO-konform, also passt das schon." Das stimmt nicht. AI Act und DSGVO ergänzen sich, ersetzen sich aber nicht:

• Die DSGVO schützt personenbezogene Daten. Der AI Act reguliert KI-Systeme als Produkte, inklusive Systemen, die gar keine personenbezogenen Daten verarbeiten.
• KI-Inventar, Risikoklassifizierung und KI-Kompetenz-Schulung sind eigene AI-Act-Pflichten zusätzlich zur DSGVO-Dokumentation.
• Die gute Nachricht: Wer DSGVO sauber umgesetzt hat, hat einen soliden Ausgangspunkt. Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge (AVV) und Datenschutz-Folgenabschätzungen (DSFA) überschneiden sich mit AI-Act-Anforderungen. Eine DSFA nach Art. 35 DSGVO deckt aber nicht automatisch die Grundrechte-Folgenabschätzung (FRIA) nach Art. 27 AI Act ab.

Kurz: DSGVO ist die Vorarbeit, nicht der Ersatz.

Die 9-Punkte-Checkliste für KMU

Diese Reihenfolge hat sich in der Praxis bewährt. Arbeite sie von oben nach unten ab.

1. KI-Inventar erstellen. Liste alle KI-Systeme im Unternehmen, inklusive „Schatten-KI" in Marketing, Sales, HR und IT. Hinein gehören ChatGPT, Claude, Copilot, Midjourney, CRM-KI-Funktionen, Chatbots auf der Website, Lead-Recherche-Tools, Meeting-Transkription. Für jedes System dokumentierst Du: Anbieter, Einsatzzweck, betroffene Datenkategorien und verantwortliche Person.

2. Rolle bestimmen. Bist Du beim jeweiligen System Betreiber, Anbieter, Importeur oder Händler? Für die meisten KMU lautet die Antwort „Betreiber", aber sobald Du ein System unter eigener Marke einsetzt oder wesentlich anpasst, kann sich das ändern.

3. Risikoklasse je System einordnen. Welches Tool fällt in welche Klasse? Recruiting- und Scoring-Tools sind häufig Hochrisiko, Marketing- und Office-Tools meist begrenztes oder minimales Risiko. Die Einordnung ist haftungsrelevant. Bei Unklarheit extern beraten lassen oder die KI-Servicestelle nutzen.

4. KI-Kompetenz aufbauen (Art. 4). Erstelle ein dokumentiertes Schulungskonzept: ein Basismodul für alle Mitarbeitenden mit KI-Kontakt, rollenspezifische Vertiefung für Power-User und Verantwortliche. Plane regelmäßige Auffrischung ein. Nachweis über Teilnahmebestätigungen oder LMS-Tracking.

5. Transparenz-Hinweise einführen. Chatbots, KI-Texte und KI-Bilder kennzeichnen: auf der Website, in E-Mails, in der Kundenkommunikation. Bereite das jetzt vor, damit es zum 2. August 2026 sitzt.

6. Datenschutz synchronisieren (DSGVO + AI Act). AVV mit KI-Anbietern aktualisieren, Verarbeitungsverzeichnis ergänzen, DSFA/FRIA wo nötig. Ein AVV-Update mit OpenAI, Anthropic, Microsoft und Google ist Pflicht, sobald personenbezogene Daten im Spiel sind.

7. Governance & Verantwortlichkeiten klären. Wer ist intern für KI verantwortlich? Wie laufen Freigabeprozesse? Welche Eskalationswege gelten bei Halluzinationen oder Bias? Ein AI-Act benötigt zwar keinen formalen „KI-Beauftragten", klare Owner-Strukturen sind aber das Fundament jeder belastbaren Compliance.

8. Vendor-Prüfung durchführen. Prüfe Deine KI-Anbieter: EU-Hosting? Werden Deine Daten zum Modelltraining verwendet? Liegt eine EU-Konformitätserklärung bzw. ein AI-Act-Statement vor? Schreibe die Anbieter aktiv an und dokumentiere die Antworten. Anbieter wie Anthropic haben eigene AI-Act-Statements veröffentlicht, ein guter Referenzpunkt für die eigene Anfrage.

9. Laufend pflegen. KI-Compliance ist kein Einmalprojekt. Inventar, Schulungen und Richtlinien verändern sich monatlich. Best Practice: ein quartalsweises Review mit klarem Owner.

Checkliste zum Abhaken

• ☐ KI-Inventar vollständig (inkl. Schatten-KI)
• ☐ Rolle je System bestimmt (Betreiber/Anbieter)
• ☐ Risikoklasse je System dokumentiert
• ☐ KI-Kompetenz-Schulungskonzept aktiv & dokumentiert
• ☐ Transparenz-Hinweise für Chatbots & KI-Inhalte vorbereitet
• ☐ AVV mit KI-Anbietern aktualisiert, Verzeichnis ergänzt
• ☐ Interne KI-Richtlinie & Verantwortlichkeiten festgelegt
• ☐ Vendor-Prüfung abgeschlossen (EU-Hosting, Trainings-Policy)
• ☐ Quartalsweises Review terminiert

Häufige Fehler aus der Praxis

• Fehler 1: AI Act als reines IT-Thema. Der Hebel liegt in HR, Marketing und Sales, also genau dort, wo KI täglich genutzt wird. Die IT sieht oft nur einen Bruchteil der Schatten-KI.
• Fehler 2: Schatten-KI ignorieren. Mitarbeitende nutzen private ChatGPT-Accounts mit Kundendaten, ein direkter DSGVO-Verstoß und AI-Act-Risiko. Eine ehrliche Mitarbeiterbefragung deckt typischerweise zwei- bis dreimal so viele KI-Tools auf, als die IT auf dem Schirm hat.
• Fehler 3: Inventar einmal erstellen und vergessen. Realität: Es verändert sich monatlich. Ohne quartalsweises Review veraltet es sofort.
• Fehler 4: Transparenzhinweise nur formal. Behörden prüfen, ob Kennzeichnung praktisch wirkt, nicht nur, ob irgendwo ein Hinweis steht.
• Fehler 5: Recruiting-Tools nicht als Hochrisiko erkennen. Bewerberdaten sind besonders sensibel, der Schaden bei Audits entsprechend hoch.
• Fehler 6: Vendor-Prüfung vergessen. Wer AVV und Anbieter-Konformität nicht prüft, hat eine offene Flanke, inklusive der Frage, wer für Halluzinationen haftet.
• Fehler 7: Auf veraltete Fristen verlassen. Viele kursierende Checklisten nennen noch die Vor-Omnibus-Daten oder behaupten gar, die Verbote und die Kompetenzpflicht starteten erst 2026. Beides gilt seit Februar 2025.

Wie lange dauert die Umsetzung, und welche KMU-Erleichterungen gibt es?

Eine realistische Implementierungszeit für ein vollständiges AI-Act-Basis-Setup im Mittelstand liegt bei 8 bis 12 Wochen, vom Inventar über die Risikoklassifizierung bis zur dokumentierten Governance. Solo-Selbständige und kleine Teams schaffen das schneller; größere Mittelständler mit komplexer IT-Landschaft brauchen eher 16 bis 20 Wochen.

Der AI Act nimmt KMU ausdrücklich in den Blick, sie werden im Gesetzestext dutzendfach erwähnt. Die wichtigsten Erleichterungen:

• Kostenfreier, vorrangiger Zugang zu regulatorischen Reallaboren (Sandboxes), in denen sich Hochrisiko-Systeme unter Aufsicht entwickeln lassen.
• Vereinfachte Dokumentationsvorlagen, die die EU-Kommission bereitstellt.
• Gedeckelte Bußgelder (es gilt der niedrigere von Fix- oder Prozentbetrag).
• Reduzierte Gebühren bei Konformitätsbewertungen.
• Spezielle Info- und Schulungsangebote, in Österreich u. a. über WKO, WIFI und die KI-Servicestelle der RTR.

Praxisbeispiel: 35-Mitarbeiter-Dienstleister in der DACH-Region

Ein typischer Fall: ein Dienstleistungsunternehmen mit 35 Mitarbeitenden, Sitz in Österreich, EU-weites Kundengeschäft. KI-Tools im Einsatz: Microsoft Copilot für Office, ChatGPT Teams im Marketing, ein CRM mit KI-Scoring im Vertrieb, ein Tool zur Bewerber-Vorauswahl im Recruiting, dazu ein Lead-Recherche-Dienst. Bei der ersten Bestandsaufnahme tauchten drei zusätzliche Schatten-Tools im Marketing auf, die nie offiziell freigegeben waren.

Vorgehen: ein Quickscan-Tag mit Geschäftsführung, IT, Marketing- und HR-Lead. Ergebnis war eine Tabelle mit elf KI-Systemen, davon eines Hochrisiko (Bewerber-Vorauswahl), drei mit Transparenzpflichten (Website-Chatbot, KI-Bilder, automatisierte Mails), sieben im minimalen Risiko. Die priorisierte Roadmap fokussierte zuerst das Hochrisiko-Tool: Anbieter kontaktieren, Konformitätsnachweis anfordern, internen Prüfprozess dokumentieren, menschliche Aufsicht definieren. Parallel startete die KI-Kompetenz-Schulung als Pflichtmodul für alle Mitarbeitenden mit KI-Kontakt.

Der wichtigste Lerneffekt: Die größten Risiken lagen nicht in der offiziellen IT-Landschaft, sondern in der Schatten-KI, und in der falschen Annahme, ein zugekauftes Recruiting-Tool sei „Sache des Anbieters".

FAQ: Häufige Fragen zum EU AI Act

Ab wann gilt der EU AI Act konkret? Gestaffelt: Verbotene Praktiken und KI-Kompetenz seit 2. Februar 2025, GPAI-Pflichten seit 2. August 2025, Transparenzpflichten und Durchsetzung ab 2. August 2026. Die strengen Hochrisiko-Pflichten wurden durch den Digital Omnibus auf 2. Dezember 2027 (Anhang III) bzw. 2. August 2028 (Anhang I) verschoben.

Muss mein Solo-Business oder kleines KMU den AI Act umsetzen? Ja. Sobald Du KI im professionellen Kontext einsetzt, auch nur ChatGPT für die Kundenkommunikation, gelten Transparenz- und KI-Kompetenz-Pflichten. Es gibt keine generelle KMU-Ausnahme, aber gedeckelte Strafen und Erleichterungen.

Was kostet ein Verstoß? Bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken, bis 15 Mio. oder 3 % für sonstige Pflichtverstöße, bis 7,5 Mio. oder 1 % für Falschangaben. Für KMU gilt jeweils der niedrigere Betrag.

Wer kontrolliert das in Österreich? Die KI-Servicestelle bei der RTR übernimmt ab 2. August 2026 die Marktaufsicht. Ergänzend sind DSB (Datenschutz), FMA (Finanz), BASG (Medizin) und die Arbeitsinspektion sektoral zuständig; das Bundeskanzleramt koordiniert. In Deutschland ist die Bundesnetzagentur federführend.

Reicht meine bestehende DSGVO-Dokumentation? Nein. AI Act und DSGVO ergänzen sich, ersetzen sich aber nicht. KI-Inventar, Risikoklassifizierung und KI-Kompetenz-Schulung sind eigene Pflichten. Wer DSGVO sauber umgesetzt hat, hat aber gute Vorarbeit geleistet.

Hat der Digital Omnibus den AI Act „entschärft"? Nein. Er hat Fristen verschoben und einzelne Pflichten präzisiert, die Grundarchitektur aber unangetastet gelassen. Die Verschiebung ist Vorbereitungszeit, kein Freibrief. Bis zur förmlichen Annahme durch den Rat und Veröffentlichung im Amtsblatt sind die neuen Daten zudem rechtlich noch nicht endgültig bindend.

Was hat KI-Kompetenz mit der Tool-Auswahl zu tun? Sehr viel: Je transparenter und EU-näher Deine Tools sind, desto einfacher wird die Vendor-Prüfung. Werkzeuge mit EU-Hosting, klarer „kein Training auf Kundendaten"-Policy und sichtbarer KI-Kennzeichnung reduzieren den Dokumentationsaufwand spürbar.

Quellen & weiterführende Links

• Verordnung (EU) 2024/1689 (EU AI Act), Amtsblatt der EU
• Europäische Kommission, „AI Act", Shaping Europe's digital future: digital-strategy.ec.europa.eu
• Europäische Kommission, „AI Literacy: Questions & Answers": digital-strategy.ec.europa.eu
• AI Act Service Desk der EU, Implementierungs-Timeline: ai-act-service-desk.ec.europa.eu
• Artikel 4 (KI-Kompetenz) im Volltext: artificialintelligenceact.eu/article/4
• RTR, KI-Servicestelle (Österreich): rtr.at
• RTR, Hinweise zum Digital Omnibus on AI: rtr.at
• WKO, „AI Act: Pflichten für Unternehmen": wko.at
• Gibson Dunn, „EU AI Act Omnibus Agreement: Postponed High-Risk Deadlines": gibsondunn.com
• Travers Smith, „EU agrees to delay key AI Act compliance deadlines": traverssmith.com

---

Dieser Beitrag dient der fachlichen Orientierung und ersetzt keine Rechtsberatung. Bei Hochrisiko-Anwendungen (Anhang III) empfehlen wir ausdrücklich die Validierung durch spezialisierte Anwältinnen und Anwälte für IT- und Datenschutzrecht. Stand: Juni 2026.

Du willst KI im Unternehmen einsetzen, ohne die Compliance-Flanke offen zu lassen? timelit.ai ist als KI-Produktivitäts-Copilot nativ auf Microsoft 365 gebaut, sicher in Europa gehostet und nutzt Deine Daten nicht für Modelltraining, genau die Punkte, die Du bei der Vendor-Prüfung ohnehin abhaken musst. Demo buchen.