Seit dem 2. August 2025 gelten weitere Regeln der KI-Verordnung der Europäischen Union.

Was sich am 2. August 2025 durch die KI-Verordnung geändert hat – und was KMU jetzt wissen sollten

Last update: Reading Time: 4 minutes

Die KI-Verordnung der Europäischen Union tritt schrittweise in Kraft, damit Unternehmen Zeit haben, sich auf die neuen Regeln einzustellen. Ein wichtiges Datum war der 2. August 2025. Seit diesem Tag gelten weitere Regeln, die auch für KMU wichtig sein können.

Der 2. August 2025 – wichtig für GPAI-Entwickler

Viele KMU haben die EU-KI-Verordnung bislang als „Thema für später“ gesehen. Das ist allerdings ein Trugschluss: Bereits seit Februar 2025 haben alle unternehmen, die KI einsetzen, die Pflicht, die KI-Kompetenz Ihrer Mitarbeiter sicherzustellen. Hier gibt es keine Ausnahmen.

Seit Anfang August 2025 kommen weitere Regelungen dazu, von denen die meisten allerdings für fast alle KMU weniger bedeutsam sein dürften.

Konkret gilt nun:

  • Für KI-Systeme mit allgemeinem Verwendungszweck (General-Purpose AI, GPAI) – also große, vielseitige Modelle – gelten neue Regeln. Wer solche Modelle entwickelt, anpasst oder vertreibt, muss ab sofort eine technische Dokumentation, ein „Transparency Package“ und eine öffentliche Zusammenfassung der Trainingsdaten bereitstellen.
  • Mit dem KI-Verhaltenskodex für allgemeine Zwecke (Code of Practice) hat die EU dazu einen freiwilligen Leitfaden veröffentlicht, der dabei hilft, diese Anforderungen pragmatisch umzusetzen.
  • Verstöße gegen verbotene KI-Praktiken können ab sofort sanktioniert werden – und zwar mit drakonischen Bußgeldern von bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.
  • Eigentlich sollten nun auch die europäischen und nationalen Aufsichtsstrukturen einsatzbereit sein. Allerdings hinkt die Praxis den gesetzlichen Vorgaben hinterher. Für Deutschland war zum 2. August 2025 die zukünftige Aufsichtsbehörde noch nicht einmal benannt.

Was das für KMU in der Praxis heißt

Die gute Nachricht zuerst: Die meisten KMU fallen nicht in die Kategorie „Hochrisiko-KI“. Aber das heißt nicht, dass Sie die Verordnung ignorieren können. Denn ab jetzt wird zwischen zwei Rollen unterschieden, die auch für kleine Unternehmen relevant sind:

  • Anbieter entwickeln, vertreiben oder passen KI-Modelle an. Auch schon kleinere Anpassungen können dazu führen, dass Sie als Provider gelten – mit allen Pflichten rund um Dokumentation, Transparenz und Urheberrechtsfragen.
  • Wer KI-Modelle einsetzt, die von anderen bereitgestellt werden, ist ein Betreiber. Das ist bei KMU der Normalfall. Ihre Verantwortung liegt darin, die Systeme sorgfältig auszuwählen und im Betrieb korrekt einzusetzen.

Für KMU bedeutet das konkret: Dokumentation und Transparenz sind keine Kür mehr, sondern Pflicht. Auch wenn Sie „nur“ KI-Tools von Dritten einsetzen, sollten Sie wissen, welche Daten verarbeitet werden, wie Entscheidungen zustande kommen und welche Grenzen es gibt. Kunden und Geschäftspartner fragen zunehmend nach solchen Informationen – und wer hier souverän antworten kann, baut Vertrauen auf.

Die nächsten Meilensteine – was noch kommt

Der 2. August war ein wichtiger Schritt, und die KI-Verordnung hat einen Fahrplan mit weiteren Meilensteinen. Für KMU lohnt sich der Blick nach vorne:

  • Im Februar 2026 treten die Vorgaben für Hochrisiko-Systeme in Kraft. Dazu gehören zum Beispiel KI-Anwendungen in der Kreditvergabe oder im Personalwesen. Auch wenn Sie dort nicht aktiv sind, sollten Sie prüfen, ob einzelne Prozesse Ihres Unternehmens indirekt betroffen sein könnten.
  • Ab August 2026 müssen die Mitgliedsstaaten sogenannte KI-Sandboxes einrichten. Das sind Testumgebungen, in denen Unternehmen KI-Anwendungen unter Aufsicht entwickeln und ausprobieren können. Gerade für innovative KMU eröffnet das Chancen. Ein solches KI-Reallabor ist in Deutschland bereits in Betrieb, erfüllt aber offiziell noch nicht die Rolle, die ab 2026 vorgeschrieben ist.
  • Außerdem endet im August 2026 die Schonfrist für General-Purpose-AI. Ab dann wird die volle Durchsetzung inklusive Bußgeldern scharf gestellt.

Die 3 Schritte, die KMU jetzt gehen sollten

Damit der Übergang nicht zur Last-Minute-Aktion wird, sollten Sie schon heute starten. Drei Maßnahmen sind dabei entscheidend:

  1. Bestandsaufnahme machen
    Erstellen Sie eine Übersicht, welche KI-Systeme im Einsatz sind, und prüfen Sie, ob Sie als Anbieter oder Betreiber einzustufen sind.
  2. Verantwortung klären
    Benennen Sie eine Person, die sich um KI-Compliance kümmert. Das muss keine neue Stelle sein, aber eine klare Zuständigkeit verhindert, dass das Thema versandet.
  3. Partner suchen
    Suchen Sie sich einen Partner, der Sie pragmatisch unterstützen kann. Das Ziel muss es sein, die rechtlichen Verpflichtungen einzuhalten, ohne dabei die Wirtschaftlichkeit und den verstand zu verlieren.

Ihre wichtigsten Aufgaben im Überblick

  • Rollenklärung: Sind Sie Anbieter oder Betreiber? (Es gibt auch weitere Rollen, aber die sind die beiden häufigsten Fälle.)
  • Dokumentation: Erstellen Sie eine grundlegende Dokumentation Ihrer KI-Prozesse.
  • Transparenz: Können Sie Kunden und Partnern erklären, wie Ihre Systeme funktionieren?
  • Verantwortlichkeiten: Wer ist im Unternehmen für KI-Compliance zuständig?
  • Vorbereitung: Lassen Sie sich nicht von den nächsten Fristen überraschen.

Fazit: Früher handeln zahlt sich aus

Betrachten Sie die KI-Verordnung nicht als Innovationsbremse. Sie hilft dabei, einen verantwortungs- und risikobewussten Umgang mit künstlicher Intelligenz umzusetzen. Wer sich nicht sperrt, sondern frühzeitig mitzieht, hat die Chance, Vertrauen aufzubauen und Professionalität zu zeigen. Für KMU kann genau das zum Wettbewerbsvorteil werden.

Mit unserem Tool easy AI können KMU ihre KI-Prozesse einfach entsprechend der KI-Verordnung bewerten und ohne zusätzlichen Aufwand revisionssicher dokumentieren. Probieren Sie es aus.

(Das Titelbild für diesen Beitrag haben wir mit KI generiert.)

Mehr Beiträge zum Thema