EU AI Act für Startups und KMU: Der praktische Compliance-Leitfaden
Unter dem EU AI Act gibt es keine Größenausnahme. Wenn Ihr KI-System Menschen in der Europäischen Union betrifft, müssen Sie die Vorschriften einhalten, ob Sie nun 5 oder 5.000 Beschäftigte haben. Ein Zwei-Personen-Startup, das ein KI-Recruiting-Tool an einen einzigen deutschen Kunden verkauft, hat dieselben grundlegenden rechtlichen Pflichten wie ein Fortune-500-Konzern.
Die Verordnung ist gegenüber den Realitäten von Startups aber nicht blind. Die Verordnung (EU) 2024/1689 enthält spezifische Fördermaßnahmen für Startups, KMU und Kleinstunternehmen, reduzierte Bußgelder, Regulierungs-Sandboxes und vereinfachte Dokumentation. Wenn Sie früh planen, wird Compliance zu einem beherrschbaren Engineering-Problem statt zu einem unternehmensbedrohenden Rechtsrisiko.
Dieser Leitfaden behandelt jede KMU-relevante Regelung mit Kostenschätzungen, Priorisierungsrahmen und Praxisszenarien. Beginnen Sie mit unserer EU AI Act Compliance-Checkliste, wenn Sie eine Einführung in den Aufbau des Gesetzes brauchen.
TL;DR, AI-Act-Compliance für Startups
- Der AI Act gilt für alle Organisationen, unabhängig von der Größe. Es gibt keine pauschale KMU-Ausnahme.
- Reduzierte Sanktionen: KMU und Startups zahlen den niedrigeren der beiden Werte, den festen Eurobetrag oder den Prozentsatz des Umsatzes, also die Umkehrung der Formel für Großunternehmen. Die vollständige Aufschlüsselung finden Sie in unserem Leitfaden zu Sanktionen.
- Regulierungs-Sandboxes (Artikel 57-62) erlauben Startups, KI-Systeme unter Aufsicht zu entwickeln und zu testen, mit möglicher Immunität vor Bußgeldern bei gutgläubiger Teilnahme.
- Kleinstunternehmen (<10 Beschäftigte, <2 Millionen EUR Umsatz) profitieren von vereinfachten Anforderungen an die technische Dokumentation nach Artikel 62a.
- KI-Regulierungs-Sandboxes müssen KMU vorrangig Zugang gewähren, die Mitgliedstaaten sind rechtlich verpflichtet, Kleinunternehmen bevorzugt zu behandeln.
- Planen Sie realistisch: Ein Hochrisiko-KI-System bei einem schlanken Startup kostet 50.000-150.000 EUR, um es in Compliance zu bringen; Systeme mit minimalem Risiko kosten unter Umständen fast nichts.
- Beginnen Sie mit der Einstufung: Nutzen Sie ein kostenloses Werkzeug zur Risikoeinstufung, um Ihre Pflichten zu bestimmen, bevor Sie irgendetwas ausgeben.
Keine Größenausnahme, aber wichtige Fördermaßnahmen
Der AI Act enthält keine allgemeine Ausnahme für Kleinunternehmen. Artikel 3 definiert "Anbieter" und "Betreiber" ohne Bezug zur Unternehmensgröße, wenn Sie ein KI-System auf dem EU-Markt entwickeln oder nutzen, unterliegen Sie dem Gesetz, unabhängig von der Mitarbeiterzahl.
Der Gesetzgeber hat jedoch die unverhältnismäßige Belastung kleiner Unternehmen erkannt. Das Gesetz enthält mehrere KMU-spezifische Regelungen:
1. Verhältnismäßige Sanktionen (Artikel 99 Absatz 5)
Für KMU, einschließlich Startups, werden Bußgelder als der niedrigere Wert berechnet, entweder der feste Eurobetrag oder der Prozentsatz des Umsatzes. Für Großunternehmen gilt der höhere der beiden. Diese Umkehrung ist bedeutsam, ein Startup ohne Umsatz kann nicht auf Basis eines Prozentsatzes von null bestraft werden, und selbst ein profitables Kleinunternehmen zahlt fast immer den festen Betrag statt des Prozentsatzes.
2. Verpflichtende Regulierungs-Sandboxes (Artikel 57-62)
Jeder EU-Mitgliedstaat muss bis zum 2. August 2026 mindestens eine KI-Regulierungs-Sandbox einrichten. Diese Sandboxes müssen KMU und Startups vorrangig Zugang gewähren, auch solchen aus anderen Mitgliedstaaten. Die Teilnahme verschafft Ihnen direkten Zugang zu behördlicher Beratung und, entscheidend, Schutz vor Vollzugsmaßnahmen für gutgläubige Compliance-Bemühungen während des Sandbox-Zeitraums.
3. Vereinfachte Dokumentation für Kleinstunternehmen (Artikel 62a)
Kleinstunternehmen und Startups dürfen vereinfachte Formulare für Qualitätsmanagement-Systeme und technische Dokumentation nutzen. Die Europäische Kommission ist beauftragt, standardisierte Vorlagen speziell für kleine Anbieter zu entwickeln.
4. Standardisierte Compliance-Vorlagen
Das KI-Büro entwickelt standardisierte Vorlagen und Toolkits, um Kosten und Komplexität der Compliance-Dokumentation zu senken. Sie werden mit Beteiligung von KMU-Vertretern gestaltet und kostenlos verfügbar sein.
5. Vorrangiger Zugang zu Testeinrichtungen
Nationale Kompetenzzentren und Europäische Digitale Innovationszentren müssen KMU bevorzugten Zugang zu KI-Testinfrastruktur bieten. Dazu gehören Zugang zu Rechenressourcen, Datensätzen und technischem Fachwissen, die sonst unbezahlbar wären.
6. Verhaltenskodizes für Nicht-Hochrisiko-Systeme
Artikel 95 fördert die Entwicklung freiwilliger Verhaltenskodizes für KI-Systeme, die nicht als Hochrisiko eingestuft sind. Für Startups in den Stufen minimales oder begrenztes Risiko kann das Befolgen eines Branchenkodex der effizienteste Weg sein, verantwortungsvolle KI-Praktiken nachzuweisen, ohne den Aufwand der vollen Hochrisiko-Compliance.
Ist Ihr KI-System hochriskant?
Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.
Jetzt prüfenHäufige KI-Anwendungsfälle von Startups nach Risikostufe
Die Risikoeinstufung bestimmt 90 % Ihrer Pflichten und 95 % Ihrer Kosten. Nutzen Sie unser kostenloses Einstufungswerkzeug oder lesen Sie den ausführlichen Leitfaden, um zu bestimmen, wohin Ihr System fällt.
Minimales Risiko (keine Pflichten)
Die meiste Startup-KI fällt hierher. Wenn Ihr System nicht direkt mit natürlichen Personen in einer Weise interagiert, die Transparenz erfordert, und nicht in Anhang III als Hochrisiko-Anwendungsfall aufgeführt ist, haben Sie null verpflichtende Pflichten unter dem AI Act. Interne Werkzeuge, Analytics, Empfehlungssysteme, Suchalgorithmen und Optimierungssysteme sind typischerweise minimales Risiko.
Was zu tun ist: Dokumentieren Sie Ihre Einstufungsbegründung. Eine schriftliche Begründung ist ein starker Beleg für guten Glauben, falls eine Behörde Ihr System je hinterfragt.
Begrenztes Risiko (nur Transparenz)
KI-Systeme, die direkt mit Menschen interagieren, Chatbots, virtuelle Assistenten, Content-Generatoren, fallen unter begrenztes Risiko mit Transparenzpflichten nach Artikel 50. Die Anforderungen sind klar:
- Chatbots: Informieren Sie die Nutzer klar, dass sie mit einem KI-System interagieren (es sei denn, das ist aus den Umständen offensichtlich).
- KI-generierte Inhalte: Kennzeichnen Sie Ausgaben (Text, Audio, Bilder, Video) als künstlich erzeugt oder manipuliert.
- Emotionserkennung / biometrische Kategorisierung: Informieren Sie die analysierte Person.
Was zu tun ist: Fügen Sie Ihrer Benutzeroberfläche einen sichtbaren KI-Hinweis hinzu. Aktualisieren Sie Ihre Nutzungsbedingungen. Kennzeichnen Sie KI-generierte Inhalte mit Metadaten und sichtbaren Hinweisen. Der Compliance-Aufwand ist vernachlässigbar.
Hochrisiko (volle Compliance)
Wenn Ihr KI-System unter einen der in Anhang III aufgeführten Anwendungsfälle fällt, Beschäftigung, Kreditwürdigkeit, Bildung, Strafverfolgung, kritische Infrastruktur und andere, oder ein Sicherheitsbauteil eines Produkts ist, das unter harmonisiertes EU-Recht fällt, steht Ihnen das volle Compliance-Regime bevor: Risikomanagement (Artikel 9), Daten-Governance, technische Dokumentation (Artikel 17), menschliche Aufsicht, Konformitätsbewertung, Registrierung in der EU-Datenbank und Marktbeobachtung. Hier wird Startup-Compliance zu einem ernsthaften Projekt. Jeden Schritt finden Sie in unserer vollständigen Compliance-Checkliste.
Verboten (bereits untersagt)
Artikel 5 verbietet bestimmte KI-Praktiken grundsätzlich, unabhängig von Risikominderungsmaßnahmen. Diese Verbote sind seit dem 2. Februar 2025 durchsetzbar. Wenn Ihr Produkt auf unterschwellige Manipulation, Social Scoring, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit engen Ausnahmen), Ausnutzung schutzbedürftiger Gruppen oder Emotionserkennung am Arbeitsplatz/in der Bildung setzt, müssen Sie umschwenken oder diese Funktion abschalten. Für verbotene Praktiken gibt es keine Sandbox-Ausnahme.
Reduzierte Sanktionen für KMU und Startups
Die Sanktionsstruktur in Artikel 99 behandelt KMU grundlegend anders als Großunternehmen.
Die drei Bußgeldstufen
Die Umkehrformel für KMU
Für Großunternehmen gilt als anwendbares Bußgeld der jeweils höhere Wert, der feste Betrag oder der Prozentsatz des Umsatzes. Für KMU, einschließlich Startups, ist die Formel umgekehrt: Es gilt der jeweils niedrigere Wert.
Warum das in der Praxis zählt:
- Ein Startup mit 500.000 EUR Jahresumsatz, das einen Hochrisiko-Verstoß begeht, sieht sich einem Höchstbußgeld von 15.000 EUR gegenüber (3 % von 500.000 EUR), nicht von 15 Millionen EUR, weil 3 % des Umsatzes weit unter dem Höchstbetrag von 15 Millionen EUR liegen.
- Ein Startup ohne Umsatz sieht sich einer noch interessanteren Rechnung gegenüber. Bei null Umsatz beträgt der prozentbasierte Betrag 0 EUR. Ob eine Aufsichtsbehörde ein Bußgeld von null verhängen würde, ist ungeklärt, doch die rechtliche Formel begünstigt das Startup klar.
- Ein Großunternehmen mit 10 Milliarden EUR Umsatz sieht sich für denselben Verstoß den vollen 300 Millionen EUR gegenüber (3 % von 10 Milliarden EUR).
Dieser Verhältnismäßigkeitsmechanismus ist einer der wichtigsten KMU-Schutzmaßnahmen der gesamten Verordnung. Eine tiefergehende Analyse samt Vergleich mit DSGVO-Bußgeldern finden Sie in unserem vollständigen Leitfaden zu Sanktionen und Bußgeldern.
Mildernde Faktoren
Über die KMU-Formel hinaus verlangt Artikel 99 Absatz 7 von den Behörden, Art und Schwere des Verstoßes zu berücksichtigen, ob er vorsätzlich oder fahrlässig war, Maßnahmen zur Schadensminderung, den Grad der Zusammenarbeit und ob die Organisation den Vorfall freiwillig gemeldet hat. Für ein Startup, das seine Systeme einstuft, seine Compliance-Bemühungen dokumentiert und voll kooperiert, ist das praktische Bußgeldrisiko deutlich niedriger, als die Schlagzeilenwerte vermuten lassen.
KI-Regulierungs-Sandboxes
Die Artikel 57-62 begründen KI-Regulierungs-Sandboxes, kontrollierte Umgebungen, in denen Startups KI-Systeme vor der Markteinführung unter Aufsicht entwickeln, trainieren und testen. Jeder Mitgliedstaat muss bis August 2026 mindestens eine einrichten.
Was eine Regulierungs-Sandbox bietet
- Direkter Zugang zu behördlicher Beratung: Aufsichtspersonal prüft Ihr System und gibt Rückmeldung zur Compliance.
- Kontrollierte Testumgebung: Sie können Ihr KI-System unter kontrollierten Bedingungen an echten Daten testen (mit angemessenen Schutzmaßnahmen).
- Schutz bei gutem Glauben: Wenn Sie die Bedingungen der Sandbox einhalten und in gutem Glauben handeln, drohen Ihnen für während des Sandbox-Zeitraums erkannte Probleme keine Vollzugsmaßnahmen.
- Strukturierter Compliance-Weg: Die Sandbox gibt Ihnen einen klaren Fahrplan vom Prototyp zum marktreifen, konformen Produkt.
- Beschleunigter Marktzugang: Ein erfolgreicher Sandbox-Abschluss kann Ihre Konformitätsbewertung straffen.
Wie Sie sich bewerben
Jeder Mitgliedstaat verwaltet seine eigene Sandbox, typischerweise über die nationale Marktüberwachungsbehörde oder ein benanntes KI-Kompetenzzentrum. Der allgemeine Ablauf: Reichen Sie eine Beschreibung Ihres KI-Systems und seines Entwicklungsstands ein, vereinbaren Sie mit der Behörde einen Sandbox-Plan (Umfang, Zeitplan, Datenschutzmaßnahmen), entwickeln Sie unter Aufsicht mit periodischen Überprüfungen und erhalten Sie einen Abschlussbericht zum Compliance-Status, der Ihre Konformitätsbewertung stützt.
Artikel 57 Absatz 9 verlangt ausdrücklich, dass Sandboxes KMU und Startups vorrangig Zugang gewähren, auch grenzüberschreitenden Teilnehmern. Ein Startup mit Sitz in einem Mitgliedstaat kann sich für eine Sandbox in einem anderen bewerben.
Aktueller Stand der Sandboxes in der EU
Stand Anfang 2026 haben mehrere Mitgliedstaaten Sandbox-Programme gestartet oder angekündigt: Spanien (AESIA, seit Ende 2024 in Betrieb, mit Fokus auf Finanzdienstleistungen, Gesundheitswesen und Beschäftigung), Frankreich (gemeinsame Sandbox von CNIL/ARCEP für generative KI), die Niederlande (RDI-Sandbox mit KMU-Fast-Track), Deutschland (BNetzA, erwartet Mitte 2026) und Finnland (Traficom mit Unterstützung des nationalen KI-Kompetenzzentrums). Das Europäische KI-Büro koordiniert diese Initiativen im Hinblick auf Interoperabilität und gegenseitige Anerkennung von Sandbox-Ergebnissen.
Die EU hat außerdem das EUSAiR-Pilotprogramm (European Sandbox for AI Regulation) im Rahmen von Horizont Europa finanziert, das einen europaweiten Sandbox-Rahmen für grenzüberschreitende KI-Systeme bietet. Die Teilnahme ist kostenlos.
Vereinfachte Dokumentation für Kleinstunternehmen
Artikel 62a führt vereinfachte Compliance-Pflichten für Anbieter ein, die nach der EU-KMU-Definition als Kleinstunternehmen gelten.
Was gilt als Kleinstunternehmen?
Nach der Empfehlung 2003/361/EG der Kommission:
- Weniger als 10 Beschäftigte, UND
- Jahresumsatz oder Bilanzsumme überschreitet 2 Millionen EUR nicht
Beide Bedingungen müssen erfüllt sein. Ein Startup mit 8 Beschäftigten und 5 Millionen EUR Umsatz qualifiziert sich nicht. Ein Startup mit 12 Beschäftigten und 1 Million EUR Umsatz qualifiziert sich ebenfalls nicht.
Welche Vereinfachungen gelten?
Für Kleinstunternehmen, die Hochrisiko-KI-Systeme anbieten, erlaubt der AI Act:
- Vereinfachtes Qualitätsmanagement-System: Statt des vollen Qualitätsmanagement-Systems nach Artikel 17 dürfen Kleinstunternehmen ein vereinfachtes Formular nutzen, das die wesentlichen Elemente verhältnismäßig abdeckt.
- Vereinfachte technische Dokumentation: Die Europäische Kommission entwickelt standardisierte Ausfüllvorlagen, die den Dokumentationsaufwand senken und dabei die Mindestanforderungen des Anhangs IV erfüllen.
- Leichtere Aufzeichnungspflichten: Die Protokollierungspflichten bleiben bestehen, doch Format und Tiefe dürfen reduziert werden.
Was NICHT vereinfacht wird
Selbst für Kleinstunternehmen können bestimmte Pflichten nicht reduziert werden:
- Risikomanagement (Artikel 9): Sie müssen Risiken weiterhin erkennen, analysieren und mindern. Der Prozess kann leichter sein, darf aber nicht ausgelassen werden.
- Daten-Governance (Artikel 10): Trainings- und Validierungsdaten müssen weiterhin relevant, repräsentativ und so fehlerfrei wie möglich sein.
- Konformitätsbewertung (Artikel 43): Sie müssen weiterhin eine Konformitätsbewertung abschließen, bevor Sie Ihr System auf den Markt bringen.
- Transparenz gegenüber Betreibern (Artikel 13): Sie müssen weiterhin klare Informationen über die Fähigkeiten und Grenzen Ihres Systems bereitstellen.
- Marktbeobachtung (Artikel 72): Sie müssen Ihr System weiterhin nach dem Betrieb beobachten und schwerwiegende Vorfälle melden.
Die Vereinfachungen reduzieren Format und Tiefe der Dokumentation, nicht die Substanz Ihrer Pflichten. Ein Kleinstunternehmen braucht weiterhin ein konformes KI-System, es hat nur weniger Papierkram, um das zu belegen.
Praktische Budgetplanung nach Risikostufe
Die Antwort auf "Wie viel kostet das?" hängt fast vollständig von Ihrer Risikostufe ab. Nachstehend realistische Schätzungen auf Grundlage früher Compliance-Projekte, Stand Anfang 2026.
Minimales / begrenztes Risiko: 0-2.000 EUR
Bei Systemen mit minimalem Risiko besteht die einzige Kostenposition darin, Ihre Einstufungsbegründung zu dokumentieren. Bei Systemen mit begrenztem Risiko kommen ein paar Stunden Frontend-Arbeit und eine kurze rechtliche Prüfung hinzu.
Hochrisiko (schlanker Startup-Ansatz): 50.000-150.000 EUR
Das untere Ende setzt interne Bearbeitung mit gezielter externer Unterstützung voraus; das obere Ende setzt umfangreiches Outsourcing voraus.
Hochrisiko (voller Enterprise-Ansatz): 200.000-500.000 EUR
Diese Spanne gilt für Organisationen mit komplexen KI-Systemen, mehreren Hochrisiko-Einsätzen oder Systemen, die eine Bewertung durch eine benannte Stelle erfordern (biometrische Identifizierung nach Artikel 43). Wesentliche Kostentreiber: externe Beratung (30.000-80.000 EUR), unabhängige Bias-Audits (20.000-50.000 EUR), Gebühren benannter Stellen (15.000-40.000 EUR), laufende Rechtsberatung (25.000-60.000 EUR) und Beobachtungsinfrastruktur (20.000-50.000 EUR).
Tipps zur Budgetplanung für Startups
- Erst einstufen, dann ausgeben: Nutzen Sie Legalithms kostenlose AI-Act-Bewertung, bevor Sie Budget zuweisen.
- Compliance in die Entwicklung einbauen: Nachrüsten ist 3-5x teurer, als es von Anfang an einzuplanen.
- Open-Source-Werkzeuge nutzen: Bias-Test-Frameworks (Fairlearn, AI Fairness 360) und Dokumentationsvorlagen sind kostenlos.
- Ressourcen bündeln: Treten Sie Verhaltenskodizes oder Branchenkonsortien bei, um Kosten zu teilen.
- Sandbox-Zugang beantragen: kostenlose behördliche Beratung und Testinfrastruktur.
Compliance-Priorisierung für schlanke Teams
Nachstehend ein 90-Tage-Rahmen für ein Startup mit 2-15 Personen und ohne eigenes Compliance-Personal, der die wirkungsvollsten Schritte zuerst anordnet.
Tage 1-30: Einstufen und bewerten
- Bauen Sie Ihr KI-Systeminventar auf: Listen Sie jedes KI-System auf, das Sie entwickeln, betreiben oder als Werkzeug eines Dritten nutzen. Folgen Sie unserem Inventar-Leitfaden für einen Schritt-für-Schritt-Prozess.
- Stufen Sie jedes System ein: Nutzen Sie das kostenlose Werkzeug zur Risikoeinstufung oder Legalithms Bewertung, um die Risikostufe zu bestimmen.
- Bestimmen Sie Ihre Rolle: Sind Sie Anbieter oder Betreiber? Die Pflichten unterscheiden sich erheblich.
- Prüfen Sie auf verbotene Praktiken: Gleichen Sie Ihre KI-Systeme mit Artikel 5 ab. Nutzt ein System verbotene Techniken, stellen Sie die Nutzung sofort ein.
- Dokumentieren Sie Ihre Einstufungsbegründung: Verfassen Sie für jedes System eine einseitige Begründung, warum es in seine Risikostufe fällt. Das ist Ihr erstes Compliance-Artefakt.
Tage 31-60: Vorrangige Pflichten angehen
- Setzen Sie Transparenzmaßnahmen um: Fügen Sie bei Systemen mit begrenztem Risiko Ihren Benutzeroberflächen KI-Hinweise hinzu. Das geht schnell und beseitigt eine ganze Kategorie rechtlicher Risiken.
- Starten Sie Ihr Risikomanagement-System: Beginnen Sie bei Hochrisiko-Systemen, Risiken, Minderungsmaßnahmen und Testpläne nach Artikel 9 zu dokumentieren.
- Beginnen Sie die technische Dokumentation: Fangen Sie an, Ihre Anhang-IV-Dokumentation zu schreiben. Nutzen Sie die standardisierten Vorlagen der Europäischen Kommission, sobald verfügbar, oder folgen Sie der Struktur in unserem Leitfaden zur Anhang-IV-Vorlage.
- Richten Sie Daten-Governance ein: Dokumentieren Sie Ihre Trainingsdatenquellen, Qualitätsmaßnahmen, Bias-Bewertungen und Datenschutzmaßnahmen.
- Bewerben Sie sich für eine Regulierungs-Sandbox: Reichen Sie Ihren Antrag bei der zuständigen nationalen Behörde ein. Selbst wenn Sie nicht sofort aufgenommen werden, zeigt der Antrag proaktive Compliance.
Tage 61-90: Formalisieren und auf die Bewertung vorbereiten
- Vollenden Sie Ihr Qualitätsmanagement-System: Dokumentieren Sie Ihre Prozesse für Design, Tests, Beobachtung und Reaktion auf Vorfälle nach Artikel 17.
- Führen Sie Bias- und Genauigkeitstests durch: Testen Sie systematisch auf Verzerrung, Genauigkeit, Robustheit und Cybersicherheit. Dokumentieren Sie die Ergebnisse.
- Bereiten Sie Ihre Konformitätsbewertung vor: Sammeln Sie alle Dokumentationen, Testergebnisse und Prozessbeschreibungen, die für die Selbstbewertung oder die Prüfung durch eine benannte Stelle nötig sind.
- Registrieren Sie in der EU-Datenbank: Bereiten Sie Ihre Registrierungsangaben für die Einreichung nach Artikel 49 vor.
- Richten Sie die Marktbeobachtung ein: Etablieren Sie Prozesse für laufende Beobachtung, Erkennung von Vorfällen und Meldung.
Das ist ein ehrgeiziger Zeitplan. Ist Ihr System komplex oder sind Sie ressourcenbeschränkt, verlängern Sie auf 120-180 Tage, aber verzögern Sie den Start nicht. Die Frist am 2. August 2026 steht fest.
Praxisszenarien für Startups
Szenario 1: SaaS-Chatbot-Startup (begrenztes Risiko)
Praxisbeispiel: Ein 5-Personen-SaaS-Startup hat einen Kundenservice-Chatbot für E-Commerce-Unternehmen gebaut. Der Chatbot nutzt ein feingetuntes großes Sprachmodell, um Produktfragen zu beantworten, Retouren abzuwickeln und komplexe Anliegen an menschliche Mitarbeiter zu eskalieren. Das Startup hat 200 B2B-Kunden in Deutschland, Frankreich und den Niederlanden. Der Jahresumsatz beträgt 800.000 EUR.
Risikoeinstufung: Begrenztes Risiko. Der Chatbot interagiert direkt mit natürlichen Personen und muss die Transparenzpflichten nach Artikel 50 erfüllen. Er ist nicht in Anhang III aufgeführt und trifft keine Entscheidungen mit rechtlichen oder ähnlich erheblichen Auswirkungen.
Pflichten:
- Stellen Sie sicher, dass jeder Nutzer vor oder zu Beginn der Interaktion klar darüber informiert wird, dass er mit einem KI-System interagiert.
- Wenn der Chatbot Text erzeugt, der für von Menschen verfasste Inhalte gehalten werden könnte, kennzeichnen Sie ihn als KI-generiert.
- Kein Risikomanagement-System, keine technische Dokumentation und keine Konformitätsbewertung erforderlich.
Geschätzte Compliance-Kosten: 500-1.500 EUR. Das deckt das Hinzufügen eines sichtbaren Banners "Sie chatten mit einem KI-Assistenten", die Aktualisierung der Nutzungsbedingungen und eine kurze rechtliche Prüfung ab. Die Engineering-Arbeit ist eine einzige Sprint-Aufgabe.
Sanktionsrisiko (Worst Case): Nach der KMU-Formel beträgt das Höchstbußgeld für einen Transparenzverstoß den niedrigeren Wert aus 15 Millionen EUR oder 3 % von 800.000 EUR = 24.000 EUR. Das realistische Bußgeld für ein erstmaliges, gutgläubiges Versäumnis wäre weit niedriger, wahrscheinlich eine Verwarnung oder eine Anordnung zur Korrektur.
Szenario 2: HR-Tech-Startup mit KI-Lebenslauf-Filterung (Hochrisiko)
Praxisbeispiel: Ein HR-Tech-Startup mit 12 Beschäftigten hat ein KI-gestütztes Bewerbermanagementsystem gebaut. Die Kernfunktion ist die automatisierte Lebenslauf-Filterung: Das System bewertet Bewerber nach Qualifikationen, Erfahrung und Kompetenzen und ordnet sie dann für die Prüfung durch Recruiter. Das Startup verkauft an mittelgroße Unternehmen in der gesamten EU. Der Jahresumsatz beträgt 2,5 Millionen EUR.
Risikoeinstufung: Hochrisiko. KI-Systeme, die bei der Einstellung und Auswahl natürlicher Personen eingesetzt werden, konkret zur Prüfung oder Filterung von Bewerbungen und zur Bewertung von Bewerbern, sind ausdrücklich in Anhang III, Bereich 4 Buchst. a aufgeführt. Das ist nicht diskutabel, es ist ausdrücklich benannt.
Pflichten (als Anbieter): Volles Risikomanagement-System, das Bias-Risiken dokumentiert (Geschlecht, Ethnie, Alter, Behinderung), umfassende technische Dokumentation nach Anhang IV, systematische Bias-Tests über geschützte Merkmale hinweg, Design der menschlichen Aufsicht, damit Recruiter Rangfolgen übersteuern können, Qualitätsmanagement nach Artikel 17, Konformitätsbewertung durch Selbstbewertung (für Beschäftigungs-KI nach Artikel 43 zulässig), Registrierung in der EU-Datenbank und Marktbeobachtung.
Geschätzte Compliance-Kosten: 80.000-120.000 EUR bei einem schlanken Ansatz. Die größten Kostenposten sind Bias-Tests (15.000-25.000 EUR), technische Dokumentation (15.000-25.000 EUR) und externe Rechtsberatung (10.000-15.000 EUR). Risikomanagement, Qualitätsmanagement und Beobachtungsinfrastruktur kann das Startup intern bewältigen.
Sanktionsrisiko (Worst Case): Der niedrigere Wert aus 15 Millionen EUR oder 3 % von 2,5 Millionen EUR = 75.000 EUR. Das ist das absolute Maximum für ein Hochrisiko-Compliance-Versagen, spürbar, aber überlebbar für ein Unternehmen dieser Umsatzgröße.
Szenario 3: Fintech-Startup, das eine Kredit-Scoring-API eines Dritten nutzt (Betreiber)
Praxisbeispiel: Ein Fintech-Startup mit 8 Beschäftigten hat eine Kreditplattform gebaut. Das Startup baut keine eigene KI, es integriert eine Kredit-Scoring-API eines etablierten Drittanbieters. Die API nimmt die Finanzdaten des Antragstellers als Eingabe und liefert einen Kreditrisiko-Score zurück. Das Startup nutzt diesen Score als einen Faktor unter mehreren in seinen Kreditentscheidungen. Der Jahresumsatz beträgt 1,2 Millionen EUR.
Risikoeinstufung: Hochrisiko-Betreiber. KI-basiertes Kredit-Scoring ist in Anhang III, Bereich 5 Buchst. b aufgeführt. Auch wenn das Startup das KI-System nicht gebaut hat, macht es die Nutzung unter seiner Verantwortung zu einem Betreiber mit eigenen Pflichten. Die Abgrenzung finden Sie in unserem Leitfaden Anbieter vs. Betreiber.
Pflichten (als Betreiber): Prüfen der Konformitätsbewertung des Anbieters (CE-Kennzeichnung, Konformitätserklärung, Betriebsanleitung), Umsetzung der menschlichen Aufsicht, damit ein Mensch Kreditentscheidungen prüft und übersteuern kann, Durchführung einer Grundrechte-Folgenabschätzung (FRIA) vor dem Betrieb, Aufbewahrung von Protokollen für mindestens sechs Monate, Information betroffener Personen über die KI-Beteiligung und Beobachtung der Leistung mit Meldung von Vorfällen.
Geschätzte Compliance-Kosten: 15.000-40.000 EUR. Die Betreiberlast ist leichter als die Anbieterlast, weil das Startup keine technische Dokumentation erstellen und keine Konformitätsbewertung durchführen muss, doch es muss weiterhin die Compliance des Anbieters prüfen, Aufsicht umsetzen, eine FRIA durchführen und die Beobachtung aufrechterhalten. Ausführliche Anweisungen finden Sie in unserem FRIA-Leitfaden.
Sanktionsrisiko (Worst Case): Der niedrigere Wert aus 15 Millionen EUR oder 3 % von 1,2 Millionen EUR = 36.000 EUR.
Förder- und Unterstützungsressourcen
Die EU hat mehrere Unterstützungsmechanismen speziell für Startups und KMU eingerichtet, die sich in der KI-Regulierung zurechtfinden müssen:
Europäische Digitale Innovationszentren (EDIHs)
Das EU-Netzwerk aus über 200 Europäischen Digitalen Innovationszentren bietet KMU kostenlose oder subventionierte Leistungen, darunter:
- KI-Compliance-Bewertungen und Lückenanalysen
- Zugang zu Test- und Experimentiereinrichtungen
- Technische Schulungen zu bewährten Verfahren der KI-Entwicklung
- Vernetzung mit anderen Startups und Regulierungsexperten
Finden Sie Ihr nächstgelegenes EDIH im EDIH-Katalog der Europäischen Kommission.
Nationale KI-Kompetenzzentren
Jeder Mitgliedstaat baut nationale KI-Kompetenzzentren auf, die Beratung zur nationalen Umsetzung des AI Act, technische Unterstützung bei der Dokumentation, Anbindung an Sandboxes und branchenspezifische Beratung bieten.
Ressourcen des EU-KI-Büros
Das Europäische KI-Büro veröffentlicht Leitfäden, standardisierte Compliance-Vorlagen, FAQs und Aktualisierungen zum Vollzugszeitplan, alle kostenlos auf der Website der Kommission verfügbar.
Kostenlose Werkzeuge
- Legalithm AI-Act-Bewertung: kostenloses Werkzeug zur Risikoeinstufung, das Ihre Pflichten in Minuten bestimmt.
- Legalithm AI-Act-Leitfaden: Artikel-für-Artikel-Leitfaden zum AI Act mit praktischem Kommentar.
EU-Förderprogramme
Mehrere EU-Förderinstrumente unterstützen KI-Compliance für KMU:
- Programm Digitales Europa: Zuschüsse für die Digitalisierung von KMU, einschließlich Werkzeugen für KI-Compliance.
- Horizont Europa: Forschungs- und Innovationsförderung, die compliance-bezogene F&E abdecken kann.
- InvestEU: Finanzierung und Garantien für KMU-Investitionen in KI-Infrastruktur und Compliance.
- Nationale Aufbau- und Resilienzpläne: Viele Mitgliedstaaten haben in ihren nationalen Plänen Mittel für KI-Einführung und Compliance vorgesehen.
Häufig gestellte Fragen
Kann ich die Compliance verschieben, wenn ich noch keinen Umsatz habe?
Nein. Die Pflichten des AI Act werden durch das Inverkehrbringen oder die Inbetriebnahme eines KI-Systems in der EU ausgelöst, nicht durch den Umsatz. Ein Startup ohne Umsatz, das eine Beta-Version eines Hochrisiko-KI-Systems für Nutzer in der EU startet, muss ab dem Moment des Starts die Vorschriften einhalten. Die reduzierte Bußgeldformel bedeutet jedoch, dass Ihr finanzielles Risiko in der umsatzlosen Phase minimal ist. Der praktische Rat: Nutzen Sie die umsatzlose Phase, um Compliance in Ihr Produkt einzubauen, damit Sie vom ersten Tag an konform starten.
Gilt der AI Act außerhalb der EU?
Ja. Artikel 2 begründet einen extraterritorialen Anwendungsbereich: Der AI Act gilt für Anbieter, die KI-Systeme auf dem EU-Markt bereitstellen, unabhängig davon, wo sie niedergelassen sind. Er gilt auch, wenn KI-Ergebnisse in der EU genutzt werden. Ein US-Startup, das an EU-Kunden verkauft, oder ein israelisches Unternehmen, dessen KI-Ergebnisse EU-Unternehmen erreichen, muss die Vorschriften einhalten.
Was, wenn ich nur KI-Werkzeuge von Dritten nutze?
Sie sind wahrscheinlich Betreiber. Betreiber haben eigene Pflichten unter dem AI Act, darunter die Prüfung der Anbieter-Compliance, die Umsetzung der menschlichen Aufsicht, die Aufbewahrung von Protokollen und die Information betroffener Personen. Die Pflichten sind leichter als die Anbieterpflichten, aber nicht null. Ist das Werkzeug des Dritten als Hochrisiko eingestuft, können Ihre Betreiberpflichten auch die Durchführung einer Grundrechte-Folgenabschätzung umfassen. Die vollständige Aufschlüsselung finden Sie in unserem Leitfaden Anbieter vs. Betreiber.
Mein KI-System ist nicht in Anhang III aufgeführt, bin ich sicher?
Wahrscheinlich, aber nicht automatisch. Anhang III listet zwar die konkreten Anwendungsfälle auf, die als Hochrisiko eingestuft sind, doch Artikel 6 erfasst auch KI-Systeme, die Sicherheitsbauteile von Produkten sind, die unter harmonisiertes EU-Recht fallen (Medizinprodukte, Maschinen, Spielzeug usw.). Zudem hat die Europäische Kommission die Befugnis, Anhang III mit der Zeit zu erweitern. Ihre Einstufungsbewertung sollte regelmäßig überprüft werden, mindestens jährlich und nach jeder wesentlichen Änderung der Funktionalität oder des vorgesehenen Zwecks Ihres Systems.
Wie lange dauert die Compliance für ein Startup?
Minimales/begrenztes Risiko: Tage bis wenige Wochen. Hochrisiko: 3-6 Monate für ein fokussiertes Team mit Engineering-Ressourcen und externer Rechtsberatung. Die längsten Vorlaufposten sind Bias-Tests, technische Dokumentation und Konformitätsbewertung. Für komplexe Hochrisiko-Systeme mit mehreren Anwendungsfällen: 6-12 Monate, erwägen Sie, sich für eine Regulierungs-Sandbox zu bewerben.
Was passiert, wenn ich übernommen werde, überträgt sich die Compliance?
Bietet der Erwerber das System unter seinem eigenen Namen an, wird er zum neuen Anbieter und erbt alle Pflichten. Läuft das System unter dem ursprünglichen Namen weiter, bleibt die bestehende Compliance-Dokumentation gültig. Die Compliance-Due-Diligence zum AI Act wird bei M&A zum Standard, konform zu sein, bevor eine Übernahme ansteht, erhöht Ihre Bewertung und verringert Reibung im Deal.
Nächste Schritte
- Stufen Sie Ihre KI-Systeme ein mit Legalithms kostenlosem Bewertungswerkzeug.
- Bestimmen Sie Ihre Rolle, Anbieter oder Betreiber.
- Folgen Sie der Compliance-Checkliste in unserem Schritt-für-Schritt-Leitfaden 2026.
- Bewerben Sie sich für eine Regulierungs-Sandbox, wenn Sie ein Hochrisiko-System entwickeln.
- Bauen Sie Compliance von Anfang an in Ihr Produkt ein, das ist günstiger, schneller und ergibt ein besseres Produkt.
Die Unternehmen, die früh in Compliance investieren, werden in einem Markt, in dem Vertrauen, Transparenz und Rechtssicherheit für Unternehmenskunden zunehmend wertvoll sind, einen Wettbewerbsvorteil haben. Fangen Sie heute an. Die Frist steht fest, Ihr Vorsprung nicht.


