- Seit August 2025: Neue Regeln für General-Purpose-AI (GPAI)
- Transparenzpflichten für KI-Chatbots und -Inhalte in Kraft
- Bußgelder bis 35 Mio. € oder 7% des Jahresumsatzes möglich
- Die meisten KMU sind als Betreiber betroffen, nicht als Anbieter
- Nächste Frist: Februar 2026 (Hochrisiko-Vorgaben)
Der 2. August 2025 – was ist passiert?
Viele KMU halten die EU-KI-Verordnung (Verordnung (EU) 2024/1689) noch für Zukunftsmusik.
Falsch: Seit Februar 2025 gilt die KI-Kompetenz-Pflicht.
Und seit August 2025 sind weitere Regelungen dazugekommen.
Das bedeutet für euch: Die Schonfrist ist vorbei. Wer noch kein KI-Inventar hat und noch nicht geschult hat, sollte jetzt anfangen.
Was konkret gilt:
Seit dem 2. August 2025 sind folgende Regelungen in Kraft:
- General-Purpose-AI (GPAI): Entwickler müssen technische Dokumentation, Transparenz-Package und Trainingsdaten-Zusammenfassung bereitstellen
- KI-Verhaltenskodex: Die EU veröffentlichte einen freiwilligen Kodex zur pragmatischen Umsetzung
- Verbotene Praktiken: Verstöße werden mit Bußgeldern bis 35 Mio. € oder 7% des weltweiten Jahresumsatzes geahndet
- Aufsichtsstrukturen: Europäische und nationale Aufsicht sollte einsatzbereit sein
Was bedeutet das für KMU?
Die meisten KMU fallen nicht in die Kategorie der Hochrisiko-KI.
Aber: Ignorieren ist keine Option mehr.
Das bedeutet für euch: Auch wenn eure KI nicht hochriskant ist, musst ihr Transparenz und Kompetenz nachweisen können. Berater-Kosten gespart: 800-1.500 Euro für eine erste Compliance-Bestandsaufnahme.
Zwei zentrale Rollen
| Rolle | Beschreibung | Typisch für KMU? |
|---|---|---|
| Anbieter | Entwickelt, vertreibt oder passt KI-Modelle an | Selten |
| Betreiber | Setzt KI-Modelle ein, die andere bereitgestellt haben | Häufig |
Die meisten KMU sind Betreiber: Ihr nutzt ChatGPT, Copilot oder andere Tools – habt sie aber nicht selbst entwickelt.
Praktische Konsequenzen
Dokumentation und Transparenz sind keine Kür mehr, sondern Pflicht.
Auch wenn KMU nur externe Tools nutzen, solltet ihr verstehen:
- Welche Daten verarbeitet werden
- Wie Entscheidungen entstehen
- Wo die Grenzen der Systeme liegen
Kunden und Partner fragen zunehmend nach solchen Informationen.
Das bedeutet für euch: Bei Ausschreibungen oder Audits kann die Frage kommen: "Wie setzt ihr KI ein?" Wer dann ein sauberes KI-Inventar vorlegt, punktet. Wer improvisiert, verliert Vertrauen.
Die nächsten Meilensteine
| Termin | Was passiert |
|---|---|
| Februar 2026 | Vorgaben für Hochrisiko-Systeme treten in Kraft (Kreditvergabe, Personalwesen) |
| August 2026 | EU-Mitgliedsstaaten müssen KI-Sandboxes einrichten |
| August 2026 | Schonfrist für GPAI endet – volle Durchsetzung inklusive Bußgeldern |
3 Schritte, die ihr jetzt gehen solltet
1. Bestandsaufnahme machen
Erfasst, welche KI-Systeme im Einsatz sind. Prüft, ob ihr als Anbieter oder Betreiber einzustufen seid.
2. Verantwortung klären
Benennt eine Person für KI-Compliance. Das verhindert, dass das Thema im Tagesgeschäft untergeht.
3. Dokumentation starten
Beginnt mit der Dokumentation eurer KI-Prozesse – pragmatisch, aber strukturiert.
Checkliste: Eure Aufgaben
Diese Punkte solltet ihr jetzt angehen:
- Rollenklärung: Seid ihr Anbieter oder Betreiber?
- KI-Systeme im Unternehmen erfasst
- Dokumentation begonnen
- Transparenz gegenüber Kunden geplant
- Verantwortliche Person benannt
- Kommende Fristen im Blick
Fazit
Die KI-Verordnung wird nicht wieder verschwinden.
Wer jetzt die Basics umsetzt – KI-Inventar, Schulung, Dokumentation – hat bei den nächsten Fristen deutlich weniger Stress.
Nächster Stichtag: August 2026.
Dann kommen die Hochrisiko-Regeln und die volle Durchsetzung mit Bußgeldern.
Bis dahin habt ihr Vorlauf.
Nutzt ihn.
Und nebenbei: Eine saubere KI-Dokumentation ist auch intern nützlich. Wenn Mitarbeiter wechseln oder neue kommen, wissen alle sofort, welche KI-Tools im Einsatz sind – und wie sie genutzt werden dürfen. Das spart Einarbeitungszeit.