Joerg Michno Shield Blog Audit GitHub
← Zurueck zum Blog

EU AI Act fuer KMU: Die technische Compliance-Checkliste 2026

16. Juli 2026 · Joerg Michno · 12 min Lesezeit

Ab dem 2. August 2026 gelten die naechsten Pflichten des EU AI Act — Hochrisiko-KI-Systeme und GPAI-Modelle. Viele kleine und mittlere Unternehmen (KMU) wissen nicht, was konkret zu tun ist. Diese Checkliste uebersetzt die gesetzlichen Pflichten in technisch umsetzbare Schritte — ohne Consultant-Jargon, mit konkreten Tools und Daten.

Teste deine KI-Systeme jetzt

Kostenloser Scan gegen 225 Bedrohungsmuster — unter 10 ms, keine Registrierung.

Kostenlos testen → EU AI Act Audit ab 99 €

Inhalt

Die Deadline ist real — und Strafen sind hart

Der EU AI Act ist seit dem 1. August 2024 in Kraft und wird am 2. August 2026 fuer die naechste Stufe vollstaendig anwendbar.

DatumWas gilt
2. Februar 2025Verbotene KI-Praktiken (Art. 5) + KI-Kompetenz-Pflicht (Art. 4)
2. August 2025GPAI-Modelle (Governance-Pflichten)
2. August 2026Hochrisiko-KI-Systeme + Transparenzpflichten
2. August 2027Erweiterte Hochrisiko-Systeme
Strafen: Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken. Bis zu 15 Mio. € bei anderen Verstößen. Fuer KMU gelten die jeweils niedrigeren Schwellen.

KMU-Privilegien (Art. 55) — was dir hilft

Der AI Act ist nicht starr. Artikel 55 enthaelt explizite Erleichterungen fuer KMU:

Compliance ist fuer KMU leichter und billiger als fuer Konzerne — wenn man weiß, wie.

Die 10-Punkte-Compliance-Checkliste

1. KI-Inventar erstellen

Bevor du pruefen kannst, ob du compliant bist, musst du wissen, wo KI in deinem Unternehmen eingesetzt wird.

Konkret zu erfassen:

Tool-Tipp: Eine einfache Tabelle reicht. Spalten: System, Zweck, Anbieter, Datenfluesse, Risikoklasse.

2. Rolle bestimmen

RolleBist du das, wenn...
AnbieterDu entwickelst ein KI-System fuer den Verkauf
BetreiberDu setzt ein KI-System selbst ein
ImporteurDu bringst ein KI-System aus Nicht-EU-Laendern in die EU
HaendlerDu vertreibst ein KI-System auf dem EU-Markt

Die meisten KMU sind Betreiber — mit den geringsten, aber nicht-null Pflichten.

3. Risikoklassifizierung

RisikoklasseBeispielePflichten
Verboten (Art. 5)Social Scoring, ManipulationDarf nicht eingesetzt werden
HochrisikoHR-Auswahl, KreditbewertungVollstaendige Konformitaetsbewertung
Begrenztes RisikoChatbots, KI-InhalteTransparenz- & Kennzeichnungspflicht
MinimalSpam-Filter, EmpfehlungenKeine spezifischen Pflichten
Achtung: Viele KMU unterschaetzen ihre Risiko-Klasse. Ein KI-gestuetzter Bewerbungsfilter ist oft Hochrisiko (Art. 6).

4. Verbotene Praktiken pruefen (seit Feb. 2025)

Seit dem 2. Februar 2025 sind bestimmte KI-Anwendungen komplett verboten:

5. KI-Kompetenz sicherstellen (Art. 4 — AI Literacy)

Seit Februar 2025 muessen Personen, die KI-Systeme entwickeln oder betreiben, ueber ausreichende KI-Kompetenz verfuegen.

Konkret fuer KMU: Mitarbeiterschulung, Verstaendnis der Risiken (Prompt Injection, Datenabfluss), Dokumentation der Maßnahmen. Ein Halbtages-Workshop reicht oft.

6. Transparenzpflichten umsetzen

Ab dem 2. August 2026 muessen Nutzer von KI-Systemen informiert werden:

Technisch einfach: Disclaimer in Footer/Terms, maschinenlesbare Watermarks.

7. Technische Dokumentation

Fuer Betreiber von Hochrisiko-Systemen: Systemarchitektur, Datenfluesse, Sicherheitsmaßnahmen, Human Oversight, Test-Ergebnisse. KMU-Vorteil: Vereinfachte Doku reicht (Art. 55).

8. Menschliche Aufsicht (Human Oversight, Art. 14)

Hochrisiko-KI muss von Personen ueberwacht werden koennen: KI-Entscheidungen korrigierbar, Human-in-the-loop bei kritischen Entscheidungen, Notabschaltung moeglich.

9. Sicherheits-Testing und Monitoring

Du musst nachweisen, dass dein KI-System gegen Angriffe abgesichert ist:

ClawGuard Security-Check

Unser Scanner prueft KI-Eingaben gegen:

Sicherheits-Check fuer deine KI-Systeme

Teste auf Prompt-Injection, Datenabfluss und weitere Schwachstellen.

EU AI Act Audit ansehen →

10. Aufzeichnungen und Audit-Trail

Behoerden koennen Nachweise verlangen. Dokumentiere: Wann wurde welches KI-System eingesetzt? Welche Sicherheitsmaßnahmen? Wann wurden Mitarbeiter geschult? Ein simples Logbuch reicht fuer den Anfang.

Was KMUs jetzt konkret tun sollten

Aktionsplan

Die meisten KMUs scheitern nicht am Gesetz, sondern daran, dass niemand weiß, was zu tun ist. Diese Checkliste gibt dir den Rahmen. Die technische Umsetzung kannst du mit Tools wie ClawGuard automatisieren.

EU AI Act Compliance Audit

Statt eine Kanzlei 10.000-50.000 € zu zahlen: Automatisierter Check mit PDF-Report.

225 Patterns · Artikel-Referenzen · Self-Service · Ab 99 €

Audit anfordern →

Referenzen

  1. Europaeische Union. Regulatory framework for AI. EU Digital Strategy.
  2. Artificial Intelligence Act. Leitfaden fuer kleine Unternehmen.
  3. Sage. EU AI Act 2026 fuer den Mittelstand.
  4. TUEV Rheinland. Checkliste zur EU AI Act Compliance.
  5. EQS Group. EU AI Act Mini-Guide.