EU-KI-Verordnung für KMU: Pflichten, Bußgelder und der Weg zur Compliance
Eine strukturierte Referenz für Geschäftsführer und operativ geprägte Unternehmen. Mit Betreiberpflichten, Stichtagen, ISO/IEC-42001-Governance und dem dreistufigen Compliance-Pfad vor dem August-2026-Stichtag.
Zeitleiste der KI-VO-Pflichten für europäische KMU
Stichtage und Anforderungsstufen für KMU als Betreiber unter der EU-KI-Verordnung (2024-2026).
| Pflicht | Rechtsgrundlage | Gilt seit / ab | Betroffene Unternehmen | Sanktion bei Nichteinhaltung |
|---|---|---|---|---|
| KI-Kompetenznachweispflicht für Beschafigte | Artikel 4 KI-VO | 2. Februar 2025 | Alle Arbeitgeber, deren Beschafigte in-Scope-KI nutzen | Bis zu 15 Mio. Euro oder 3 % des Jahresumsatzes |
| Verbot verbotener KI-Praktiken | Artikel 5 KI-VO | 2. Februar 2025 | Alle Anbieter und Betreiber | Bis zu 35 Mio. Euro oder 7 % des Jahresumsatzes |
| Hochrisiko-Betreiberpflichten | Artikel 26-29 KI-VO | 2. August 2026 | Unternehmen, die Anhang-III-KI von Anbietern nutzen | Bis zu 15 Mio. Euro oder 3 % des Jahresumsatzes |
| Anhang-III-Kategorie: KI im Personalwesen | Anhang III KI-VO | 2. August 2026 | HR-/Recruiting-Werkzeuge mit KI | Bis zu 15 Mio. Euro oder 3 % des Jahresumsatzes |
| Anhang-III-Kategorie: Zugang zu wesentlichen Dienstleistungen | Anhang III KI-VO | 2. August 2026 | Finanz-, Versicherungs-, Kreditwerkzeuge mit KI | Bis zu 15 Mio. Euro oder 3 % des Jahresumsatzes |
| DSGVO-Artikel-28-AVV mit KI-Anbietern | DSGVO / KI-VO-Schnittstelle | Bereits durchsetzbar | Alle Unternehmen mit KI-SaaS-Anbietern | Bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes (DSGVO) |
| ISO/IEC 42001 KI-Governance-Standard | ISO/IEC 42001:2023 | Freiwillig (empfohlen vor August 2026) | KMU, die strukturierte Governance anstreben | Entfallt: freiwillig, aber audit-fähig |
Häufig gestellte Fragen
Drei Schlüsselthemen zur KI-VO-Compliance: Was muss ich wann tun, bin ich Anbieter oder Betreiber, und brauche ich ISO/IEC 42001?
Was fordert die EU-KI-Verordnung von KMU, und bis wann?
Die EU-KI-Verordnung (KI-VO) schafft eine gestufte Pflichtstruktur. Die erste Stufe (bereits durchsetzbar) ist Artikel 4: Jedes Unternehmen, dessen Beschafigte KI-Systeme im Geltungsbereich nutzen, muss sicherstellen, dass diese Personen über ein ausreichendes Maß an KI-Kompetenz für ihre Aufgabe verfügen. Das ist kein Schulungszertifikat; es ist eine dokumentierte Bewertung: Wer nutzt KI, für welche Entscheidungen, und versteht die Person die Grenzen und Fehlerquellen des Werkzeugs? Wer KI-gestutzte Werkzeuge in Personalwesen, Finanzen, Kundendienst oder Rechtsabteilung einsetzt, ohne diese Kompetenz dokumentiert zu haben, ist bereits nicht compliant. Die zweite Stufe greift am 2. August 2026: Pflichten für Anbieter und Betreiber von Hochrisiko-KI-Systemen nach Anhang III der KI-VO. Hochrisikokategorien, die für KMU relevant sind, umfassen KI im Personalwesen (Lebenslauf-Screening, Leistungsüberwachung, Beförderungsentscheidungen), im Zugang zu wesentlichen Dienstleistungen (Kreditwürdigkeitsprüfung, Versicherungspreisgestaltung, Kreditvergabe) und im Betrieb kritischer Infrastruktur. Die meisten KMU sind Betreiber. Sie nutzen das KI-Produkt eines Anbieters, entwickeln keine eigene KI. Betreiberpflichten nach den Artikeln 26 bis 29 umfassen: Konformitätsdokumentation führen, menschliche Überwachungsverfahren einrichten, Zwischenfalle protokollieren und schwerwiegende Risiken dem Anbieter melden. Die CE-Kennzeichnung oder Konformitätserklärung Ihres Anbieters deckt Ihre Betreiberpflichten nicht automatisch ab. Sanktionen für verbotene KI-Praktiken nach Artikel 5 betragen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Nichteinhaltung der Hochrisiko-Vorschriften nach den Artikeln 26 bis 29 wird mit bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes geahndet. Der praktische Dreischritt für ein KMU mit 10 bis 250 Beschafigten: (1) alle eingesetzten KI-Werkzeuge inventarisieren und gegen Anhang III klassifizieren; (2) eine Artikel-4-Kompetenzbewertung für alle KI-nutzenden Beschafigten durchfuhren und dokumentieren; (3) einen KI-Operations-Audit beauftragen. Mittelstand-Digital bietet kostenfreie Readiness-Workshops als Einstieg für deutsche und österreichische Unternehmen.
Sind KMU nach der EU-KI-Verordnung Anbieter oder Betreiber, und was bedeutet das?
Die Unterscheidung ist für die Compliance-Praxis entscheidend. Ein Anbieter nach der KI-VO ist ein Unternehmen, das ein KI-System entwickelt und auf dem Markt bereitstellt. Ein Betreiber ist ein Unternehmen, das das KI-System eines Anbieters im Rahmen seiner eigenen Geschäftstätigkeit nutzt. Die meisten KMU mit 10 bis 250 Beschafigten sind Betreiber, keine Anbieter. Anbieter tragen die schwersten Pflichten. Konformitätsbewertung vor Markteinführung, technische Dokumentation, Registrierung in der europäischen KI-Datenbank und CE-Kennzeichnung. Betreiber tragen eigene, von den Anbieterpflichten unabhängige Pflichten nach den Artikeln 26 bis 29: Sie müssen die Gebrauchsanweisung des Anbieters befolgen, die vorgeschriebenen Mensch-im-Loop-Maßnahmen umsetzen, Zwischenfalle protokollieren, den Anbieter über schwerwiegende Risiken informieren und Aufzeichnungen über die Nutzung führen. Diese Betreiberpflichten werden nicht durch das Unterzeichnen der Nutzungsbedingungen des Anbieters erfüllt. Der Betreiber ist selbst dafür verantwortlich, dass die menschliche Überwachung tatsächlich in seinen eigenen Prozessen implementiert ist. Die praktische Konsequenz für KMU, die KI-Werkzeuge in Personalwesen, Finanzen oder kundenseitigen Prozessen einsetzen: Überprüfung der Anbietervertrage auf KI-VO-Compliance-Klauseln, Prüfung ob der Anbieter eine Konformitätserklärung für die relevante Anhang-III-Kategorie vorgelegt hat, und Dokumentation des eigenen Mensch-im-Loop-Verfahrens für jede KI-gestutzte Entscheidung. Ein KI-Operations-Audit ist der schnellste Weg, diese Dokumentation in strukturierter Form zu erstellen. Für KMU, die grossere Unternehmenskunden beliefern, wirkt sich die Betreiber-Compliance-Positionierung zunehmend auf die Beschaffungsfähigkeit aus. Das Aufbauen dieser Governance-Fähigkeit vor August 2026 ist daher sowohl regulatorische Pflicht als auch Wettbewerbsvorteil für KMU in B2B-Lieferketten.
Was ist ISO/IEC 42001:2023 und brauchen KMU es für die KI-VO-Compliance?
ISO/IEC 42001:2023 ist der erste internationale Standard für KI-Managementsysteme, veröffentlicht von der Internationalen Organisation für Normung im Dezember 2023. Er legt Anforderungen für Aufbau, Einführung, Pflege und ständige Verbesserung eines KI-Managementsystems fest. Er ist von der KI-VO nicht explizit vorgeschrieben, gilt aber als das am weitesten anerkannte Governance-Grundgerüst, um sowohl die Betreiberpflichten der KI-VO als auch die KI-Governance-Erwartungen von Unternehmenskunden nachzuweisen. Für KMU liegt der praktische Nutzen von ISO/IEC 42001:2023 darin, dass er wesentlich schlanker als eine vollständige NIST-AI-RMF-1.0-Implementierung ist und dieselben zentralen Governance-Bereiche abdeckt: Risikoklassifizierung, menschliche Überwachung, Zwischenfallmanagement und Transparenz. Er lasst sich zudem sauber auf ISO 9001 (Qualitatsmanagementsystem) und ISO 27001 (Informationssicherheitsmanagementsystem) aufsetzen. Zertifizierungen, die viele Mittelstandsunternehmen bereits besitzen. Die Betreiberpflichten der KI-VO nach den Artikeln 26 bis 29 verlangen ISO/IEC 42001 nicht ausdrücklich. Was sie verlangen, sind dokumentierte Mensch-im-Loop-Verfahren, Zwischenfallprotokolle und Konformitätsdokumentation. ISO/IEC 42001 liefert den strukturellen Rahmen, um diese Dokumentation in pruftauglicher Form zu erstellen und zu pflegen. Unternehmen, die ISO/IEC 42001 vor August 2026 einfuhren, sind gegenüber nationalen Aufsichtsbehörden und gegenüber Unternehmenskunden deutlich besser positioniert. Ein strukturierter KI-Operations-Audit ist der empfohlene Vorgängerschritt vor der ISO/IEC-42001-Einführung.
KI-VO-Pflichten kartieren: bevor August 2026 kommt
Der Vectimo KI-Operations-Audit ist der strukturierte Diagnoseschritt vor jeder Compliance- oder Implementierungsentscheidung. Zwei Wochen, fester Umfang, 2.500 Euro pauschal. Kein Dauerauftrag als Einstiegsvoraussetzung. Unser leitender Berater war 14 Jahre bei einem der grossten europäischen Mobilitatsunternehmen tätig, zuletzt als Director of AI Strategy & Delivery. Das Audit klassifiziert Ihre KI-Werkzeuge gegen Anhang III, identifiziert Artikel-4-Kompetenzlücken, prüft Ihre DSGVO-Artikel-28-Lieferantenpflichten und erstellt eine Governance-Roadmap nach ISO/IEC 42001:2023. Kein Upselling, bevor Sie die Roadmap gesehen haben.