Zurück zum Blog
KI-Strategie

KI-Verordnung für luxemburgische KMU: was bis zum 2. August 2026 zu tun ist

Private KIDSGVOBeobachtung der Rechtsvorschriften
Nessim Medjoub
Direction de PME luxembourgeoise préparant la conformité AI Act à 100 jours du 2 août 2026

KI-Verordnung für luxemburgische KMU: was bis zum 2. August 2026 zu tun ist

Von LetzAgents, Team KI-Compliance Luxemburg. Veröffentlicht am 18. April 2026. Aktualisiert am 18. April 2026.

Im Überblick

  • Stichtag: Am 2. August 2026 wird die KI-Verordnung für Hochrisiko-Systeme nach Anhang III vollständig anwendbar, und die nationalen Sanktionen treten in Kraft (Quelle: Verordnung (EU) 2024/1689).
  • Bereits anwendbar: Artikel 4 (KI-Kompetenz) gilt seit dem 2. Februar 2025 für jedes Unternehmen, das ein KI-System einsetzt, ohne Schwelle (Quelle: artificialintelligenceact.eu).
  • Luxemburger Behörde: die CNPD betreibt über das Gesetzesvorhaben Nr. 8476 das nationale Reallabor (Quelle: cnpd.public.lu, chd.lu).
  • Förderung: das SME Package AI deckt 70 % der förderfähigen Kosten für ein Projekt von 3.000 € bis 25.000 € netto ab, bis zu 17.500 € Zuschuss (Quelle: guichet.public.lu).

Einleitung

Sie leiten ein luxemburgisches KMU und der 2. August 2026 taucht überall auf, sobald die KI-Verordnung zur Sprache kommt. Die Verordnung (EU) 2024/1689 tritt seit Februar 2025 stufenweise in Kraft: manche Pflichten gelten bereits, andere werden in etwas mehr als hundert Tagen vollständig anwendbar. Dieser Leitfaden präzisiert, was ein luxemburgisches KMU bis zum Sommer dokumentieren, schulen und nachverfolgen muss, mit lokalem Bezug: CNPD, Gesetzesvorhaben Nr. 8476, SME Package AI über guichet.lu.

1. Was sich am 2. August 2026 ändert

An diesem Datum ändern sich drei Punkte für jedes in Luxemburg tätige Unternehmen.

Die Pflichten für Hochrisiko-KI-Systeme nach Anhang III werden vollständig durchsetzbar: automatisierte Personalauswahl, Kredit-Scoring, bestimmte HR-Tools, Verwaltung wesentlicher Dienste (Quelle: Verordnung (EU) 2024/1689).

Artikel 85 eröffnet die Möglichkeit einer Beschwerde bei der nationalen Marktüberwachungsbehörde (Quelle: artificialintelligenceact.eu). Diese Anlaufstelle wird die CNPD sein.

Die nationalen Sanktionen werden wirksam: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken, 15 Millionen oder 3 % bei nicht-konformen Hochrisiko-Systemen, 7,5 Millionen oder 1 % bei Transparenzverstößen (Quelle: Verordnung (EU) 2024/1689, Artikel 99 ff.).

Für die Mehrheit der nicht-finanziellen KMU fallen alltägliche Nutzungen (Chatbot, interner Assistent, assistiertes Schreiben) nicht unter Hochrisiko. Was Sie betrifft: Transparenz, Schulung, Dokumentation.

💡 Gut zu wissen: Luxemburg bündelt die Verantwortung für die KI-Verordnung bei der CNPD über das Gesetzesvorhaben Nr. 8476, die nationale Marktüberwachungsbehörde per Voreinstellung (Quelle: cnpd.public.lu, chd.lu). Ein einziger öffentlicher Ansprechpartner für Ihre Fragen zur KI-Compliance.

2. KI-Kompetenz (Artikel 4), bereits anwendbar

Artikel 4 der KI-Verordnung, der sich der KI-Kompetenz (AI literacy) widmet, gilt seit dem 2. Februar 2025 (Quelle: artificialintelligenceact.eu/article/4). Er richtet sich an Anbieter und Betreiber von KI-Systemen, ohne Schwelle: jede Organisation, die ein KI-System einsetzt, fällt in den Anwendungsbereich.

Der Text verlangt, dass Ihr Personal und die Dritten, die diese Systeme betreiben, über ausreichende KI-Kompetenz verfügen, abgestimmt auf ihre Vorbildung, den Einsatzkontext und die betroffenen Personen (Quelle: offizieller Text der KI-Verordnung).

Die entscheidende Nuance: die mit Artikel 4 verbundenen nationalen Sanktionen greifen am 2. August 2026, die Pflicht selbst ist aber bereits in Kraft. Eine im August 2026 eingereichte Beschwerde über eine Nutzung im Jahr 2025 ohne angemessene Schulung kann auf diese jüngste Nicht-Konformität gestützt werden. Wie in unserer Analyse der Risiken von Consumer-ChatGPT im Unternehmen beschrieben, erfassen Sie, was Ihre Teams im Alltag nutzen.

3. Die vier Risikoklassen für ein KMU

Die KI-Verordnung ordnet Systeme in vier Klassen ein. Hier die Einstufung für ein typisches luxemburgisches KMU.

Klasse

Beispiele luxemburgisches KMU

Im KMU vorhanden?

Empfohlene Maßnahme

Unannehmbar (verboten)

Social Scoring, Verhaltensmanipulation, Emotionserkennung im beruflichen Kontext

Nein, sehr seltene Nutzungen

Artikel 5 prüfen, falls Sie ein Überwachungssystem betreiben

Hohes Risiko (Anhang III)

Automatisierte Lebenslauf-Vorauswahl, Kredit-Scoring, Biometrie, kritische Infrastrukturen

Vor allem regulierte Sektoren und HR im großen Maßstab

Vollständige Prüfung, Dokumentation, menschliche Aufsicht, Eintragung in die EU-Datenbank

Begrenztes Risiko (Transparenz)

Kunden-Chatbot, interner KI-Assistent, generierte Marketing-Inhalte, synthetische Stimme

Ja, Mehrheitsfall

Nutzer darüber informieren, dass sie mit einer KI interagieren, generierte Inhalte kennzeichnen

Minimal

Spamfilter, Standard-Produktempfehlungen, Rechtschreibprüfung

Ja, allgegenwärtig

Keine neuen Pflichten. Interne Best Practices empfohlen

Für eine luxemburgische Fiduciaire, eine Anwaltskanzlei oder eine Immobilienagentur mit gängigen KI-Tools konzentriert sich der Kern der Arbeit auf das begrenzte Risiko. Sektorspezifische Hinweise: siehe unsere Seiten zu Fiduciaires und Anwälte und Notare.

4. Compliance-Checkliste zum 100-Tage-Countdown

Sechs Aktionen, die Sie vor dem 2. August 2026 anstoßen sollten, eher disziplinärer als budgetärer Natur.

  1. Die eingesetzten KI-Systeme erfassen. Öffentliche Chatbots, in Office-Suiten eingebettete Tools, Browser-Plugins, CRM- oder Buchhaltungs-Erweiterungen. Informelle Nutzungen einschließen.
  2. Anbieter und Datenstandort kartieren. Pro System: Anbieter, Server, Rechtsraum, Verarbeitung eingegebener Daten.
  3. Einen Schulungsplan KI-Kompetenz aufbauen. Zielgruppe, Format, Frequenz, Nachverfolgbarkeit. Ihre Unternehmens-KI-Strategie frühzeitig zu rahmen erleichtert die Verzahnung.
  4. Transparenzhinweise einführen. Chatbot als KI ausgewiesen, generierte Inhalte gekennzeichnet.
  5. Eine interne KI-Nutzungsrichtlinie erstellen. Zugelassene Tools, untersagte Daten (Berufsgeheimnis, Kundendaten, Gesundheitsdaten), Ansprechpartner im Zweifelsfall.
  6. Ein KI-Vorfallsregister führen. Anomalien (Halluzination, vermuteter Leak, verzerrte Entscheidung) mit Datum, System, ergriffener Maßnahme festgehalten.

Ausführungsreihenfolge: Punkte 1 und 2 in April und Mai, Punkte 3 bis 5 im Juni, Punkt 6 fortlaufend.

5. Luxemburger Ressourcen, die Sie nutzen sollten

Die CNPD (cnpd.public.lu) ist Ihre Referenzbehörde. Im Januar 2026, auf der Konferenz „KI-Verordnung in Aktion" in der Luxemburger Handelskammer vor mehr als 300 Teilnehmenden, hat sie den Hochlauf mehrerer Instrumente angekündigt (Quelle: cnpd.public.lu, Mitteilung vom 20. Januar 2026).

Das Reallabor der CNPD erlaubt es, einen innovativen KI-Einsatz unter Aufsicht zu testen, mit vorläufiger rechtlicher Rahmung. Nützlich, wenn Sie zwischen begrenztem und hohem Risiko schwanken. Die Initiative RE.M.I. (Regulation Meets Innovation) ist der dedizierte Dialogkanal zwischen Innovatoren und Regulator (Quelle: cnpd.public.lu, RE.M.I.-Dossier). Die Schulungen „Data Protection Basics: AI" bilden einen validen Baustein Ihres KI-Kompetenz-Programms für Mitarbeitende, die KI-Systeme auf personenbezogenen Daten betreiben.

6. Compliance finanzieren: das SME Package AI

Der luxemburgische Staat hat seit März 2025 ein eigenes KI-Programm für KMU aufgelegt. Das SME Package AI erstattet 70 % der förderfähigen Kosten eines KI-Integrationsprojekts, bei einem Volumen von 3.000 € bis 25.000 € netto, also bis zu 17.500 € Zuschuss (Quelle: guichet.public.lu, Merkblatt SME Package AI).

Typische förderfähige Posten: Compliance-Prüfung, System-Kartierung, Schulung KI-Kompetenz, Rollout einer konformen KI-Lösung by design. Das Unternehmen führt das Projekt durch, bezahlt den Dienstleister und lässt sich anschließend über das Wirtschaftsministerium per guichet.lu erstatten.

Das SME Package AI besteht neben dem SME Package Digital: bei unterschiedlichen Projekten ist die Kumulation möglich. Die House of Entrepreneurship und die Chambre des Métiers begleiten die Antragstellung. Für die wirtschaftlichen Abwägungen siehe unseren Leitfaden zu den Kosten einer privaten KI für KMU in Luxemburg.

7. US-Cloud-LLM und Souveränität

Ein technischer Punkt, der den Unterschied macht: die Datenverarbeitungskette, wenn Sie ein großes Sprachmodell nutzen, das in den Vereinigten Staaten gehostet wird. Von den USA aus betriebene LLMs von Akteuren wie OpenAI, Anthropic, Google oder Microsoft fallen unter den US-amerikanischen Cloud Act (Gesetz von 2018), der US-Behörden erlaubt, den Zugriff auf Daten zu verlangen, die von einem US-Anbieter gehalten werden, unabhängig vom Standort. Diese Anbieter liefern solide Dienste: die Frage ist die Abstimmung mit DSGVO und KI-Verordnung.

Für ein luxemburgisches KMU in einem regulierten Sektor (Fiduciaire, Anwaltskanzlei, Arztpraxis, Versicherungsmakler, parastaatliches Unternehmen) erschwert diese Überlagerung den Compliance-Nachweis. Ein souveränes privates LLM, in Europa unter europäischer Kontrolle gehostet, vereinfacht diese Nachweise by design: Daten im europäischen Rechtsrahmen, direkte Prüfbarkeit, Nachverfolgbarkeit in einem einzigen Protokoll. Siehe unsere Ressource zum Datenschutz über eine private KI.

8. Drei Entscheidungen, die Sie diese Woche treffen sollten

Eine interne KI-Verantwortliche oder einen Verantwortlichen benennen. Eine einzige Person, nicht zwingend aus der IT-Leitung, zuständig für die Compliance-Akte und die Schulungskoordination. Ohne Eigentümer bleibt das Thema theoretisch.

Das KI-System-Inventar starten. Vollständige Liste, erstellt in Abstimmung mit jeder Abteilung.

Die Förderfähigkeit für das SME Package AI prüfen. Eine Vordiagnose klärt, ob Ihr Projekt (Prüfung, Schulung, gegebenenfalls Rollout einer privaten KI) in den Bereich von 3.000 € bis 25.000 € netto fällt, die zu 70 % bezuschusst werden. Warum LetzAgents begleitet diesen Schritt mit lokalem Bezug und souveräner KI-Infrastruktur.

📞 Ein kostenloses KI-Audit anfragen

FAQ: Ihre Fragen zur KI-Verordnung in Luxemburg

1. Wer ist die KI-Verordnungs-Behörde in Luxemburg?

Die CNPD ist per Voreinstellung als nationale Marktüberwachungsbehörde für die KI-Verordnung bestimmt, über das Gesetzesvorhaben Nr. 8476. Sie vereint einzige Anlaufstelle, Überwachung der Hochrisiko-Systeme nach Anhang III und Betrieb des Reallabors. Einziger Ansprechpartner für jede Frage der KI-Compliance in Luxemburg (Quelle: cnpd.public.lu, chd.lu).

2. Ab wann gilt die KI-Verordnung für mein KMU?

Artikel 4 zur KI-Kompetenz gilt seit dem 2. Februar 2025 für jedes Unternehmen, das ein KI-System einsetzt, ohne Größenschwelle. Die Pflichten für Hochrisiko-Systeme nach Anhang III und die nationalen Sanktionen werden am 2. August 2026 vollständig anwendbar (Quelle: Verordnung (EU) 2024/1689).

3. Welche Pflichten gelten für ein nicht-finanzielles KMU?

Drei Achsen für die Mehrheit der KMU außerhalb des Finanzbereichs und großflächig automatisierter HR: Schulung KI-Kompetenz für das Personal (Artikel 4, bereits anwendbar), Transparenz gegenüber Nutzern von Systemen mit begrenztem Risiko, Dokumentation interner KI-Nutzungen. Hohes Risiko bleibt ohne automatisierte Entscheidungsfindung auf sensiblen Dossiers marginal (Quelle: artificialintelligenceact.eu).

4. Finanziert das SME Package AI die Compliance?

Ja. Es erstattet 70 % der förderfähigen Kosten eines KI-Projekts für ein luxemburgisches KMU, zwischen 3.000 € und 25.000 € netto, also bis zu 17.500 € Zuschuss. Förderfähige Posten: Prüfung, Kartierung, Schulung KI-Kompetenz, Rollout einer konformen KI-Lösung. Antrag über guichet.lu (Quelle: guichet.public.lu).

5. Welche Sanktionen drohen bei Nicht-Konformität?

Wirksam am 2. August 2026 in drei Stufen: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken, 15 Millionen oder 3 % bei nicht-konformen Hochrisiko-Systemen, 7,5 Millionen oder 1 % bei Transparenzverstößen (Quelle: Verordnung (EU) 2024/1689, Artikel 99 ff.). Für ein KMU bleibt die praktische Priorität Dokumentation und Schulung.

Auf die KI-Verordnung vorbereiten, ohne Überreaktion

Die KI-Verordnung zwingt die Mehrheit der KMU in Luxemburg nicht zu einer radikalen Neuausrichtung. Sie verlangt Disziplin: erfassen, dokumentieren, schulen, nachverfolgen. Hundert Tage reichen aus, um ein operatives Compliance-Niveau zu erreichen, wenn das Thema von einer internen verantwortlichen Person getragen und durch das SME Package AI gestützt wird. Warten Sie nicht bis zum 2. August, um die interne Schulung zu starten: Artikel 4 ist bereits anwendbar.

📞 Ein kostenloses KI-Audit anfragen

Über die Autorin / den Autor

LetzAgents stellt für luxemburgische KMU und regulierte Organisationen eine souveräne private KI bereit, in Europa gehostet, konform mit DSGVO und KI-Verordnung. Unser Team verfolgt die nationale Umsetzung der KI-Regulierung seit ihrer Veröffentlichung im Juni 2024.

Dieser Artikel stützt sich auf die Verordnung (EU) 2024/1689, die offiziellen Mitteilungen der CNPD (cnpd.public.lu), das Gesetzesvorhaben Nr. 8476 (chd.lu), die Merkblätter von guichet.public.lu zu den SME Packages und das offizielle Portal artificialintelligenceact.eu.

Schlagwörter

ki-verordnung kmu luxemburg, ai act compliance unternehmen, ki-verordnung stichtag 2. august 2026, artikel 4 ki-kompetenz pflicht, cnpd ki-verordnung behoerde luxemburg, pflichtschulung ki unternehmen, ki-verordnung hochrisiko-systeme kmu, sme package ai luxemburg compliance, ki-verordnung gesetzesvorhaben 8476, cnpd reallabor

Entdecken Sie unsere anderen Artikel

Compliance officer examinant des alertes réglementaires sur un tableau de bord IA dans un cabinet financier luxembourgeois
KI-Strategie·

Regulatorische Überwachung in Luxemburg: welche Quellen beobachten und wie 2026 automatisieren?

CSSF, CNPD, CAA, Legilux, EUR-Lex: vollständiges Panorama der regulatorischen Quellen in Luxemburg. Fristen 2026: DAC8, SFDR, AI Act. Leitfaden für Compliance Officers und Wirtschaftsprüfer.

Weiterlesen
Permanence telephonique pme luxembourg
Kundendienst·

Wie sichern Sie einen zuverlässigen Telefonservice für Ihr KMU in Luxemburg in 2026?

Sekretariat, SVI oder KI-Telefonagent? Vergleich der Telefonservice-Lösungen für KMU in Luxemburg. SME Packages AI bis 70 % Förderung.

Weiterlesen
comment-elaborer-strategie-ia-efficace-structure-LetzAgents
KI-Strategie·

Wie entwickeln Sie 2026 eine effektive KI-Strategie für Ihr Unternehmen in Luxemburg?

ChatGPT zu installieren ist keine KI-Strategie. Dieser 6-Schritte-Leitfaden zeigt Ihnen, wie Sie Ihre Prozesse auditieren, Anwendungsfälle priorisieren und die Datensouveränität von Anfang an berücksichtigen.

Weiterlesen
Alle Artikel ansehen