Published on

Müssen wir uns als kleines Unternehmen um den EU AI Act kümmern?

Authors

Ja — der EU AI Act kennt keine pauschale Ausnahme für kleine Unternehmen. Ob und welche Pflichten gelten, hängt von Ihrer Rolle (Provider oder Deployer) und der Risikoklasse des Systems ab, nicht von Mitarbeiterzahl oder Umsatz. Es gibt aber gezielte Erleichterungen für KMU und Kleinstunternehmen.

Die Begründung: Anknüpfung an Rolle und Risiko, nicht an Größe

Der Anwendungsbereich der Verordnung (EU) 2024/1689 ist in Artikel 2 an Tätigkeiten geknüpft — an das Inverkehrbringen, die Inbetriebnahme und die berufliche Nutzung von KI-Systemen. Eine Schwelle nach Unternehmensgröße, wie sie etwa manche Meldepflichten anderer Rechtsakte vorsehen, existiert hier nicht. Ein Zehn-Personen-Betrieb, der ein Hochrisiko-System nach Annex III einsetzt, ist genauso Deployer wie ein Konzern.

Entscheidend ist deshalb zuerst die Einordnung: Sind Sie Provider oder Deployer, und welcher Risikoklasse gehört das System an? Die meisten kleinen Unternehmen sind Deployer, die eingekaufte KI beruflich nutzen. Fällt das genutzte System in die Klasse „minimal“ oder „begrenzt“, beschränken sich die Pflichten im Wesentlichen auf Transparenz und — bei begrenztem Risiko — Kennzeichnung. Erst bei Hochrisiko-Systemen entstehen die umfangreicheren Deployer-Pflichten aus Artikel 26.

Der Gesetzgeber hat die Belastung für kleine Akteure bewusst abgefedert. Artikel 62 verpflichtet die Mitgliedstaaten zu KMU-freundlichen Maßnahmen, darunter vorrangiger Zugang zu regulatorischen Sandboxes und an die Unternehmensgröße angepasste, reduzierte Gebühren für die Konformitätsbewertung. Artikel 63 erlaubt Kleinstunternehmen zudem, bestimmte Elemente des Qualitätsmanagementsystems in vereinfachter Form zu erfüllen. Und bei Bußgeldern gilt für KMU und Start-ups nach Artikel 99 Absatz 6 jeweils der niedrigere der beiden Obergrenzen-Werte.

Wenn-dann: typische Sonderfälle

  • Sie nutzen nur Standard-Tools wie einen KI-Chatbot fürs Marketing: In der Regel begrenztes oder minimales Risiko — es greifen vor allem Transparenzpflichten, keine Hochrisiko-Auflagen.
  • Sie setzen KI im Recruiting oder in der Bonitätsprüfung ein: Das sind typische Annex-III-Felder — dann gelten die vollen Deployer-Pflichten, unabhängig von Ihrer Größe.
  • Sie sind Kleinstunternehmen (< 10 Beschäftigte, ≤ 2 Mio. € Umsatz nach Empfehlung 2003/361/EG): Vereinfachungen beim QMS nach Art. 63 sind möglich — die Kernpflichten bleiben.
  • Sie entwickeln selbst KI und verkaufen sie: Dann sind Sie Provider und tragen die Hauptlast der Pflichten — auch als Kleinbetrieb.
  • Sie tun nichts: Die fehlende Größenschwelle bedeutet, dass auch kleine Unternehmen ab dem Forcing Event 02.12.2027 in den Blick der Marktüberwachung geraten können.

Weiterführend

Ob Ihr konkretes System hochriskant ist, klärt der Deep-Dive zu den vier Risikoklassen auf ki-risikostufe.de; den vollständigen Kontext liefert der Leitfaden zum EU AI Act auf eu-ai-verordnung.de.

AEGIRA AI Navigator leitet die konkreten Pflichten für Ihr Unternehmen nachweisbar und audit-ready ab: aegira.ai.