Die europäische KI-Verordnung — der EU AI Act — ist seit August 2024 in Kraft und greift stufenweise. Seit Februar 2025 gelten die ersten Pflichten, weitere folgen bis 2026 und darüber hinaus. In vielen Unternehmen herrscht deshalb diffuse Unsicherheit: Dürfen wir ChatGPT noch nutzen? Brauchen wir einen KI-Beauftragten? Die gute Nachricht vorweg: Für die allermeisten kleinen und mittleren Unternehmen sind die tatsächlichen Pflichten überschaubar. Das größere Risiko liegt woanders — bei der unkontrollierten KI-Nutzung im Team.
Was der AI Act regelt — das Prinzip in einem Absatz
Die Verordnung sortiert KI-Systeme nach Risiko: Verbotene Praktiken (etwa Social Scoring) sind untersagt. Hochrisiko-Systeme — zum Beispiel KI in der Personalauswahl oder Kreditvergabe — unterliegen strengen Auflagen. Für den Rest, und dazu gehört fast alles, was KMU im Alltag nutzen, gelten vor allem Transparenz- und Kompetenzpflichten. Wer Chatbots, Textassistenten oder Übersetzungs-KI einsetzt, betreibt in aller Regel kein Hochrisiko-System.
Was KMU konkret betrifft
- KI-Kompetenz (Artikel 4, gilt seit Februar 2025): Wer KI einsetzt, muss sicherstellen, dass die eigenen Mitarbeitenden über ausreichende KI-Kenntnisse verfügen — angemessen zu Rolle und Einsatz. Eine kurze, dokumentierte Schulung erfüllt das für typische Büro-Nutzung.
- Transparenz: Interagieren Kunden mit einer KI — etwa einem Website-Chatbot — muss das erkennbar sein. Ein ehrlicher Hinweis wie „KI-Assistent" genügt; verstecken gilt nicht.
- KI-generierte Inhalte: Bestimmte synthetische Inhalte (z. B. Deepfakes) müssen gekennzeichnet werden. Normale KI-unterstützte Texte, die ein Mensch prüft und verantwortet, fallen nicht darunter.
- Vorsicht bei Personalthemen: KI, die Bewerbungen bewertet oder Mitarbeitende beurteilt, rutscht schnell in die Hochrisiko-Klasse. Solche Einsätze gehören vor der Einführung geprüft — nicht danach.
Das unterschätzte Risiko: Schatten-KI
Während Geschäftsführungen über Paragraphen nachdenken, nutzen Mitarbeitende längst private ChatGPT-Konten — mit Kundendaten, Vertragsentwürfen, Gesundheitsinformationen. Dieses Schatten-KI-Problem ist praktisch relevanter als jede AI-Act-Detailfrage, denn hier drohen echte DSGVO-Verstöße. Die Antwort ist nicht Verbieten (das funktioniert nachweislich nicht), sondern ein sauberer offizieller Weg: eine freigegebene Plattform mit Auftragsverarbeitungsvertrag, wie im Artikel zu Claude im Unternehmen beschrieben, plus klare Regeln.
Die pragmatische KI-Richtlinie in sieben Punkten
- Erlaubte Werkzeuge: Welche KI-Dienste sind freigegeben, welche nicht — mit dem offiziellen Zugangsweg.
- Datenregeln: Was darf eingegeben werden, was nie (Kundendaten nur über die freigegebene Plattform, keine Gesundheits- oder Gehaltsdaten).
- Verantwortung: KI liefert Entwürfe, ein Mensch prüft und verantwortet das Ergebnis — besonders bei allem, was das Haus verlässt.
- Transparenz: Wo Kunden mit KI interagieren, wird das kenntlich gemacht.
- Personalgrenze: KI-Einsatz in Bewerbung, Bewertung oder Kündigung nur nach expliziter Prüfung und Freigabe.
- Schulung: Jede Person, die KI nutzt, durchläuft eine kurze Einweisung — das deckt zugleich die Kompetenzpflicht aus Artikel 4 ab.
- Zuständigkeit: Eine benannte Person hält die Richtlinie aktuell und ist Anlaufstelle für Fragen.
Auf ein bis zwei Seiten passt das komplett. Entscheidend ist nicht juristische Perfektion, sondern dass die Regeln bekannt sind und der offizielle Weg bequemer ist als der Schatten-Weg.
Zeitplan und Bußgelder — nüchtern betrachtet
Die Bußgeldrahmen der Verordnung klingen dramatisch (bis zu 35 Millionen Euro oder 7 Prozent des Weltumsatzes), zielen aber auf verbotene Praktiken und Hochrisiko-Verstöße großer Anbieter. Für KMU ist der realistische Handlungsdruck ein anderer: Kunden und Auftraggeber fragen zunehmend nach dem KI-Umgang, Mitarbeitende brauchen Klarheit, und die Kompetenzpflicht gilt bereits. Wer jetzt Richtlinie und Schulung aufsetzt, ist dem Wettbewerb voraus statt hinterher. Beides bauen wir gemeinsam auf — in der KI-Integration und der Schulung KI im Arbeitsalltag.
