Gilt die KI-Verordnung für ein 10-Personen-Unternehmen?

Ja. Die KI-Verordnung gilt für jeden Betreiber eines KI-Systems in der EU, unabhängig von der Mitarbeitendenzahl. Betreiber ist, wer ein KI-System unter eigener Verantwortung für berufliche Zwecke einsetzt. Nutzt dein 10-Personen-Unternehmen ChatGPT auf Unternehmensdaten, Gmail Smart Compose, einen KI-CV-Screener oder ein KI-fähiges CRM, bist du Betreiber. Die Pflichten skalieren mit dem Risiko (minimal, begrenzt, hoch), nicht mit der Firmengröße. Verhältnismäßigkeit betrifft den Umfang der Dokumentation, nicht die Anwendbarkeit.

Was ist der Unterschied zwischen KI-Verordnung und DSGVO?

Die DSGVO regelt die Verarbeitung personenbezogener Daten, auch durch KI. Die KI-VO regelt KI-Systeme selbst, einschließlich Systemen, die keine personenbezogenen Daten verarbeiten (z. B. KI in Industriesteuerungen). Die beiden überlappen stark, aber die Pflichten unterscheiden sich. DSGVO verlangt Rechtsgrundlage, Transparenz und Betroffenenrechte für personenbezogene Daten. Die KI-VO ergänzt Transparenz über KI-Einsatz, menschliche Aufsicht, Risikobewertung und ein KI-System-Verzeichnis. Praktisch: Verarbeitungsverzeichnis (DSGVO) und KI-Register (KI-VO) ähneln sich und können Datenquellen teilen, sind aber nicht dasselbe Dokument.

Wann gilt die KI-Verordnung für KMU?

Sie gilt bereits teilweise. Verbotene KI-Praktiken und die KI-Kompetenz-Pflicht gelten seit 2. Februar 2025. GPAI-Anbieterregeln seit 2. August 2025. Die Frist, auf die die meisten KMU planen sollten, ist der 2. August 2026, wenn die Hochrisiko-Pflichten greifen. Das deckt Recruiting-KI, Kreditwürdigkeits-KI, Mitarbeitendenbewertungs-KI, KI in essenziellen Diensten, Bildung und biometrische Kategorisierung ab. Volle Anwendbarkeit, inklusive Hochrisiko-KI in bestimmten regulierten Produkten, am 2. August 2027. Nutzt du KI heute in Einstellungs-, Kredit- oder Bewertungsentscheidungen, müssen deine Compliance-Dokumente vor August 2026 existieren, nicht danach.

Brauche ich eine DSFA für ChatGPT-Nutzung?

Unter DSGVO ist eine DSFA erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten bedeutet, typischerweise bei großflächiger, systematischer oder sensibler Verarbeitung personenbezogener Daten. Gelegentliches ChatGPT für Brainstorming und Entwürfe braucht meist keine DSFA. ChatGPT mit Kundendaten, Mitarbeitendendaten oder automatisierten Entscheidungen über Personen überschreitet die Schwelle. Die KI-VO ergänzt eine Grundrechte-Folgenabschätzung bei Hochrisiko-KI-Einsatz, die als Erweiterung der DSFA erfolgen kann. Praktisch für KMU: Würdest du die Daten nicht in ein öffentliches Spreadsheet packen, solltest du entweder einen Business-Grade-KI-Endpunkt mit AVV nutzen oder vorab eine DSFA machen.

Was gilt als Hochrisiko-KI-System?

Anhang III der KI-VO listet 8 Kategorien von Hochrisiko-KI: Biometrie, kritische Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung und Personalmanagement (inkl. Recruiting und Bewertung), Zugang zu essenziellen Diensten (Kredit, Versicherung, Notdienste), Strafverfolgung, Migration und Grenzkontrolle, Justiz und demokratische Prozesse. Für KMU sind Beschäftigung (jede KI in Recruiting, Beförderung, Aufgabenverteilung oder Leistungsbewertung) und Zugang zu essenziellen Diensten (Credit Scoring) am relevantesten. Fällt deine KI-Nutzung in eine dieser Kategorien, greifen zusätzliche Pflichten: DSFA plus Grundrechte-Folgenabschätzung, Aufsichtsmaßnahmen, Log-Protokoll und Offenlegung gegenüber Betroffenen.

Wer setzt die KI-Verordnung bei KMU durch?

Jeder EU-Mitgliedsstaat benennt eine oder mehrere zuständige nationale Behörden. Für die meisten KMU in Deutschland, Österreich und ähnlichen Märkten erweitern die bestehenden Datenschutzbehörden (BfDI, DSB) ihren Auftrag um KI-VO-Durchsetzung, oft neben einer sektorspezifischen Marktaufsichtsbehörde. Das KI-Büro der Kommission koordiniert grenzüberschreitende Fälle und befasst sich direkt mit GPAI-Anbietern. Praktisch für KMU: Eine Beschwerde (Mitarbeitende, Kund:innen, Wettbewerber) löst eine behördliche Anfrage aus, und du musst auf Verlangen Register, AUP und einschlägige Hinweisdokumente vorlegen können. Die Bußgelder sind umsatzabhängig (3 % bei den meisten Verstößen, 7 % bei verbotenen Praktiken), Verhältnismäßigkeit gilt also auch in der Durchsetzungspraxis.

Kann ich ChatGPT in der EU ohne AVV legal nutzen?

Für private oder nicht-berufliche Nutzung ist kein AVV nötig. Für jede berufliche Nutzung mit personenbezogenen Daten (Kundendaten, Mitarbeitendendaten, Lieferant:innen) verlangt die DSGVO einen AVV mit jedem Auftragsverarbeiter, auch KI-Anbietern. OpenAI bietet einen AVV für ChatGPT Team und Enterprise (plus API). Der Consumer-ChatGPT-Plan hat keinen AVV und sollte nicht für personenbezogene Daten im Business-Kontext genutzt werden. Gleiches gilt für Claude, Gemini, Copilot, Mistral und andere. Praktisch für KMU: Willst du generative KI auf Geschäftsdaten einsetzen, upgrade auf den Team- oder Business-Tarif deines Anbieters, unterzeichne den AVV, und du bist abgedeckt. Für 20 € pro Platz pro Monat sparst du kein Bußgeld von 100.000 €.

KI-Verordnung für KMU 2026: Compliance

KI-Verordnung-Compliance für KMU bedeutet, die Transparenz-, Dokumentations- und Risikomanagement-Pflichten der Verordnung (EU) 2024/1689 zu erfüllen, skaliert auf ein 5-bis-50-Personen-Team statt auf einen globalen Konzern. Für die meisten KMU heißt das: fünf schlanke Dokumente produzieren und aktuell halten, nicht eine GRC-Plattform aufbauen.

Hier ist die unbequeme Nachricht. Die meisten KMU denken, die KI-Verordnung sei ein Problem für Meta, OpenAI und Microsoft. Ist sie nicht. Die Verordnung gilt für Anbieter (die KI-Systeme bauen) und für Betreiber (die sie beruflich nutzen). Nutzt deine 10-Personen-Recruiting-Agentur einen KI-CV-Screener, deine 25-Personen-Klinik eine KI-Triage oder dein Marketing-Shop KI fürs A/B-Testing an Kundenentscheidungen, bist du Betreiber. Betreiberpflichten sind leichter als Anbieterpflichten, aber nicht null.

Die gute Nachricht. Die Verordnung verlangt keine Enterprise-Grade-Governance von KMU. Die EU-Kommissions-Leitlinien bekennen sich ausdrücklich zur Verhältnismäßigkeit: Deine Dokumentation darf kürzer sein, deine Risikobewertung einfacher, dein Audit-Trail kleiner. Dieser Leitfaden zeigt, wie Verhältnismäßigkeit für ein kleines Team wirklich aussieht.

Wenn du die Enterprise-Version suchst, siehe unsere DSGVO- und KI-VO-Checkliste. Dieser Artikel ist speziell für KMU, die dasselbe Compliance-Ergebnis mit einem Bruchteil des Aufwands brauchen.

€35Moder 7 % des Weltumsatzes: Höchststrafe für verbotene KI (KI-VO Art. 99(3))

Aug 2026Start der Hochrisiko-Pflichten (HR, Kredit, Bildung) (Verordnung (EU) 2024/1689)

5Dokumente, die die meisten KMU-Betreiber brauchen (KI-VO Kap. III, Abschnitt 3)

< 25%der EU-KMU haben heute eine dokumentierte KI-Policy (US Chamber / Eurostat, 2025)

Was KI-Compliance für ein KMU tatsächlich bedeutet

KI-VO-Compliance für einen KMU-Betreiber gliedert sich in drei Pflichten: wissen, welche KI-Systeme du nutzt; transparent darüber gegenüber betroffenen Personen sein; und grundlegende Aufzeichnungen führen, damit du beides auf Nachfrage belegen kannst. Das sind 80 % der Pflicht, und eine Person schafft das in einer Woche.

Die restlichen 20 % hängen davon ab, ob einer deiner KI-Einsätze als Hochrisiko gilt. Anhang III der KI-VO listet die Kategorien: beschäftigungsbezogene KI (Recruiting, Bewertung, Beförderungsentscheidungen), Kreditwürdigkeitsprüfung, Zugang zu essenziellen Diensten, Strafverfolgung, Migration, Justizverwaltung, demokratische Prozesse und bestimmte biometrische und bildungsbezogene Einsätze. Die meisten KMU nutzen entweder gar keine Hochrisiko-KI oder in einem Bereich (Recruiting ist der häufigste Fall).

Nutzt du Hochrisiko-KI, steigen deine Pflichten: eine Datenschutz-Folgenabschätzung, Verfahren zur menschlichen Aufsicht, ein Log-Protokoll des Systems und eine Offenlegung gegenüber der bewerteten Person. Immer noch leichter als Anbieterpflichten, immer noch verhältnismäßig, aber konkret.

Die KI-Governance-Bewertung sagt dir in unter 10 Minuten, ob deine aktuelle KI-Nutzung nach der Verordnung als Hochrisiko gilt, was deine Betreiberpflichten sind und wo die Lücken gerade sind.

Du bist womöglich schon Betreiber, ohne es zu wissen

Betreiber ist, wer ein KI-System unter eigener Verantwortung für berufliche Zwecke nutzt. Buchhalter:in mit KI-gestützter Spesenkategorisierung? Betreiber. Vertriebsteam mit KI-Lead-Scoring? Betreiber. HR-Person, die Copilot Absagemails entwerfen lässt? Wahrscheinlich Betreiber. Du erbst Betreiberpflichten in dem Moment, in dem du ein KI-System auf deine Betriebsdaten richtest, auch wenn du das Tool nicht gebaut hast.

Die Durchsetzungs-Zeitleiste 2026-2027

Die KI-VO ist am 1. August 2024 in Kraft getreten, aber ihre Pflichten greifen gestaffelt. Das ist wichtig für die KMU-Planung: Du brauchst nicht alle Dokumente am ersten Tag, aber du musst wissen, welche Fristen für welche deiner KI-Einsätze gelten. Die Stufe, die KMU zuerst trifft, ist die Hochrisiko-Kategorie ab August 2026. Den vollständigen Rechtstext findest du in der konsolidierten Fassung der Verordnung (EU) 2024/1689 auf EUR-Lex, und der Europäische Datenschutzausschuss (EDPB) veröffentlicht laufend Stellungnahmen zur Wechselwirkung von DSGVO und KI-Verordnung für KMU-Betreiber.

Datum	Was gilt ab da	Wen es trifft
2. Feb. 2025	Verbotene KI-Praktiken + KI-Kompetenz-Pflicht	Alle (Betreiber müssen angemessene KI-Kompetenz ihrer Mitarbeitenden sicherstellen)
2. Aug. 2025	Regeln für GPAI-Anbieter, Governance-Stellen, Sanktionen	GPAI-Anbieter (OpenAI, Anthropic, Google); betrifft KMU indirekt über Vendor-Dokumentation
2. Aug. 2026	Hochrisiko-Pflichten, die meisten Transparenzregeln, Konformitätsbewertung	KMU mit KI in Recruiting, Kredit, Mitarbeitendenbewertung, Bildung, essenziellen Diensten
2. Aug. 2027	Volle Anwendbarkeit, einschließlich Hochrisiko-KI in regulierten Produkten	Verbleibende Betreiberkategorien, Anhang-I-Produkte

Prüfe deine KI-Governance-Reife in 10 Minuten

Eine strukturierte Bewertung, die dir sagt, welche deiner KI-Einsätze unter die Verordnung fallen, welche Betreiberpflichten gelten und wo die schnellsten Compliance-Gewinne liegen. Kostenlos, ohne Anmeldung, Benchmark-Report inklusive.

Jetzt ausprobieren

Die 5 Dokumente, die jeder KMU-Betreiber braucht

KI-Acceptable-Use-Policy (AUP)

Ein Dokument, 2 bis 4 Seiten, das deinem Team sagt, welche KI-Tools freigegeben sind, wofür und mit welchen Daten. Das ist das Fundament. Es erfüllt auch die KI-Kompetenz-Pflicht nach Art. 4 der Verordnung: Deine Leute müssen wissen, was sie nutzen und warum.

KI-Register (Verarbeitungsverzeichnis)

Eine Tabelle mit jedem genutzten KI-System: welche Daten, welcher Anbieter, welche Rechtsgrundlage, Risikoklassifikation und interne:r Owner. Für ein KMU sind 10 bis 30 Zeilen typisch. Das Register dient zugleich als Art. 30 DSGVO-Verzeichnis für KI-Systeme.

DSFA-light für Hochrisiko-Einsätze

Eine DSFA ist unter DSGVO bei hohem Risiko ohnehin Pflicht. Erweitere sie um die Grundrechte-Folgenabschätzung der KI-VO: Zweck, betroffene Personen, Risiken, Minderungsmaßnahmen. Für KMU 2 bis 5 Seiten pro Hochrisiko-System. Entfällt, wenn du keine Hochrisiko-KI nutzt.

Hinweispflichten

Wenn KI mit Kund:innen, Kandidat:innen oder Mitarbeitenden interagiert und die KI-Rolle aus dem Kontext nicht offensichtlich ist, musst du es kennzeichnen. Für KMU ist das oft ein Absatz in der Stellenanzeige ('wir nutzen KI beim CV-Screening'), ein Hinweis im Chatbot ('du chattest mit einer KI') oder eine Klausel in den Kundenbedingungen. Einfach, aber leicht vergessen.

Vendor-Log + AVVs

Eine kurze Liste jedes KI-Anbieters, mit Datum des AVV, den weitergegebenen Datenkategorien und der Hosting-Region. Das ist das Wahrscheinlichste, was eine Datenschutzbehörde bei einer Prüfung verlangt, und das am schlechtesten vorbereitete Item in den meisten KMU. Europäische KI-Datensouveränität zeigt, welche EU-Regionen und AVVs du bevorzugen solltest.

So schreibst du deine KI-AUP

Eine AUP ist das Tor zwischen deinem Team und der offenen Welt der KI-Tools, in einem Dokument. Für ein KMU ist das Ziel kein 40-seitiges Rechtsdokument. Es ist ein klares, 2-bis-4-seitiges Dokument, das alle in 5 Minuten lesen und umsetzen können. Dauert es länger, liest es niemand, und genau so beginnt Schatten-KI.

Das Dokument leistet zwei Dinge: Es sagt deinem Team, was erlaubt ist (damit klare Freigaben für Standardfälle existieren) und was nicht (damit Schatten-KI ein klares Nein bekommt). Beides ist gleich wichtig. Eine Policy, die nur Nein sagt, treibt Nutzung in den Untergrund. Eine Policy, die Ja ohne Bedingungen sagt, macht dich haftbar für alles, was danach passiert.

1. Geltungsbereich und Adressat:innen

2. Liste der freigegebenen Tools

3. Verbotene Einsätze

4. Mensch-im-Prozess-Regeln

5. Datenumgang

6. Offenlegungspflichten

7. Meldewege bei Vorfällen

Ein schlankes KI-Register aufbauen

Das KI-Register ist das hebelkräftigste Compliance-Dokument. Es ist auch das, das den meisten KMU fehlt. Der Zweck ist einfach: Eine Aufsichtsperson soll aus einem Dokument sehen können, welche KI-Systeme dein Unternehmen einsetzt, auf welchen Daten, mit welchem Risiko und unter welchem internen Owner. Ein Spreadsheet reicht. Eine Notion- oder Airtable-Tabelle reicht. Eine Word-Tabelle reicht. Du brauchst kein GRC-Tool, um anzufangen.

Die minimalen Spalten:

KI-Register: minimale Spalten

Systemname (z. B. Gmail Smart Compose). Anbieter (Google). Zweck (E-Mail-Entwurf). Datenkategorien (Kundendaten, interne Docs, keine). Rechtsgrundlage (berechtigtes Interesse / Vertrag). Risikoklasse nach KI-VO (minimal / begrenzt / hoch). Hosting-Region (EU / US / unbekannt). AVV unterschrieben (J/N + Datum). Interne:r Owner (Name). Zuletzt geprüft (Datum, quartalsweise).

Das Register aufzufüllen dauert in einem 20-Personen-Unternehmen meist 2 bis 4 Stunden. Eine kurze Team-Umfrage (die KI-Nutzungsumfrage ist genau dafür gemacht), Abgleich mit den Finanzunterlagen (jedes bezahlte KI-Tool hinterlässt eine Rechnung), und du schreibst das Register. Schwierig ist nicht der Aufbau, sondern die Pflege, wenn jemand ein neues Tool hinzufügt. Leg die Überprüfung in einen wiederkehrenden Kalendertermin, quartalsweise.

Die KI-Nutzung deines Teams erfassen

Eine strukturierte Umfrage, die jedes KI-Tool sichtbar macht, das dein Team nutzt, inklusive Schatten-KI. Nutze die Ergebnisse als Entwurf deines KI-Registers.

Jetzt ausprobieren

Hinweispflichten gegenüber Kund:innen und Kandidat:innen

Art. 50 KI-VO verlangt Offenlegung in vier Situationen: wenn jemand mit einem KI-System interagiert (außer aus dem Kontext offensichtlich), wenn Inhalte KI-generiert sind und mit menschlichen verwechselt werden könnten, wenn Emotionserkennung oder biometrische Kategorisierung eingesetzt wird, und wenn synthetische Medien erstellt werden. Für KMU sind die praktischen Pflichten enger, als sie aussehen.

Einsatz	Hinweis nötig?	KMU-taugliche Formulierung
KI-CV-Screening	Hochrisiko + Transparenz	Ein Satz in Stellenanzeige und Eingangsbestätigung
Kund:innen-Chatbot	Art. 50	'Du chattest mit einer KI' in der ersten Nachricht
KI-Entwürfe für interne E-Mails (menschlich geprüft)	nicht extern, Mensch im Prozess	entfällt
KI-generiertes Marketing-Bild	synthetische Inhalte	Alt-Text oder Bildunterschrift: 'KI-generiert'
Emotionserkennung in Kundenanrufen	Oft verboten; Geltungsbereich prüfen	Vor Aktivierung juristische Beratung

Häufige Fallen und wie du sie umgehst

DIY-KMU-Compliance

Kosten: ein paar Stunden deiner Zeit plus 0 bis 200 € für ein Vorlagen-Paket
Verhältnismäßig zum tatsächlichen Risiko eines 15-Personen-Teams
Du behältst das Wissen im Haus und verstehst, was du unterschrieben hast
Fertig in einer Woche, nicht in einem Quartal

Enterprise-GRC-Plattform

Kosten: 20.000 bis 100.000 € pro Jahr für Lizenzen und Beratung
Gebaut für Banken und Krankenhäuser, nicht für 20-Personen-Recruiting-Agenturen
Tooling entwächst dem Team: das Dashboard, in das niemand einloggt
Fertig in einem Quartal, veraltet in einem Jahr

Fünf Fallen, die KMU härter treffen als Großunternehmen:

1. Compliance als einmaliges Projekt behandeln. Ein Register, das du im März geschrieben und nie aktualisiert hast, ist schlimmer als kein Register, weil es falsche Sicherheit vortäuscht. Leg die Überprüfung quartalsweise in den Kalender und halte sie so kurz, dass Aktualisierung 30 Minuten dauert, nicht 3 Tage.

2. Annehmen, Free-Tier-KI sei außerhalb des Geltungsbereichs. Der KI-VO ist dein Vendor-Preisplan egal. Wenn Gemini eine Kandidat:innen-Absage schreibt, fällt Gemini in den Geltungsbereich. Consumer-Accounts sind für Compliance meist schlechter, nicht besser, wegen Training-Defaults und fehlender AVVs. Schatten-KI in KMU ist fast immer eine Consumer-Account-Geschichte.

3. Eine Policy schreiben, die niemand liest. Eine 40-seitige AUP ist schlimmer als eine 2-seitige, weil Compliance-durch-Vermeidung keine Compliance ist. Sprich umgangssprachlich. Ein Beispiel pro Regel. Links auf Vertiefung für Interessierte.

4. Die Mitarbeitenden-Seite vergessen. Dein Team ist betroffen unter DSGVO. Es hat Anspruch darauf zu wissen, welche KI die Arbeit berührt und besonders, welche KI die Person bewertet. Mitarbeitendenvertrauen in KI ist nicht nur nice-to-have; es wird DSGVO- und KI-VO-Pflicht, sobald du KI in Performance-Reviews, Dienstplanung oder im disziplinarischen Kontext nutzt.

5. Die Frist 2027 als Puffer sehen. August 2026 trifft Recruiter:innen, HR-Tech-Nutzer:innen und Kredit-nahe Unternehmen. Berührt deine KI Einstellungsentscheidungen, ist das deine Frist, nicht 2027. Der komplette KI-Adoption-Change-Management-Plan zeigt, wie du Governance-Arbeit so sequenzierst, dass du nicht in der Woche davor Dokumente in Panik baust.

Die Falle der synthetischen Compliance

Das schlechteste Compliance-Ergebnis sind nicht fehlende Dokumente. Es sind Dokumente, die poliert aussehen, aber einen Prozess beschreiben, dem niemand folgt. Behörden prüfen, ob dein Register mit der realen Tool-Nutzung übereinstimmt, ob deine AUP zu dem passt, was am Dienstagnachmittag tatsächlich passiert, ob Hinweise in Kundenflüssen auftauchen. Sagen die Unterlagen etwas anderes als die Realität, machen die Unterlagen es schlimmer.

Starte mit einer Readiness-Bewertung

Bevor du die Dokumente schreibst, finde heraus, was du wirklich brauchst. Die KI-Readiness-Bewertung zeigt deine Betreiberpflichten, in welche Risiko-Stufe deine KI-Einsätze fallen und den schnellsten Weg zu jedem der 5 Dokumente.

Jetzt ausprobieren

KI-VO-Compliance für ein KMU ist gelebte Praxis, kein einmaliges Projekt. Die fünf Dokumente sind der Boden. Die Kultur, sie aktuell zu halten, macht daraus ein Fundament. Für einen tieferen Blick auf das eingebettete Workflow-Muster, das diese Dokumente stützen, siehe unseren Schwester-Leitfaden zu KI im Mittelstand.

KI-VO-Compliance für KMU in 5 Punkten

- Du bist wahrscheinlich Betreiber. Das löst Transparenz-, Dokumentations- und Aufsichts-Pflichten aus, skaliert auf deine Größe.
- August 2026 gelten die Hochrisiko-Pflichten. Recruiting-KI, Kredit-KI, Bewertungs-KI fallen in diese Stufe.
- 5 Dokumente decken 80 % der KMU-Pflichten ab: AUP, KI-Register, DSFA-light, Hinweise, Vendor-Log.
- Dimensioniere die Dokumente fürs Team: 2 bis 4 Seiten pro Stück, keine 40. In 5 Minuten lesbar halten.
- Quartalsweise Überprüfung schlägt einmalige Perfektion. Termin fix, kurz halten, tatsächlich machen.

KI-Verordnung für KMU: Der Compliance-Leitfaden 2026

Was KI-Compliance für ein KMU tatsächlich bedeutet

Die Durchsetzungs-Zeitleiste 2026-2027

Prüfe deine KI-Governance-Reife in 10 Minuten