Kurzfassung: Der EU AI Act ist seit August 2024 in Kraft, wirkt aber gestaffelt. Für kleine und mittlere Unternehmen sind zwei Fristen relevant: August 2025 (verbotene Praktiken, AI-Literacy), August 2026 (Transparenz, GPAI-Pflichten). Pragmatische Checkliste, was jetzt bis Mitte 2026 zu tun ist.
Die wirklich relevanten Pflichten
- Transparenz: Nutzer müssen wissen, wenn sie mit einem KI-System interagieren (Chatbots, Deepfakes, Kundendaten-Verarbeitung).
- AI-Literacy: Mitarbeitende, die KI-Systeme bedienen, müssen dafür geschult sein (Art. 4).
- Dokumentation: Welche Systeme nutzen Sie, welche Daten gehen rein, welche Entscheidungen werden getroffen?
- Hochrisiko-Systeme: Nur relevant für sehr spezifische Use-Cases (Personal-Scoring, Kreditvergabe, biometrische Identifikation). Die meisten KMU sind nicht betroffen.
Was KMU konkret machen sollten
- Ein kurzes Inventar: welche KI-Tools werden wo im Betrieb eingesetzt?
- Datenschutzerklärung anpassen: Nutzung von KI-Tools explizit nennen.
- AGBs prüfen: Falls Sie KI-Features als Service anbieten, Transparenzpflichten einhalten.
- Kurzschulung der Mitarbeitenden (1–2 Stunden) zu den eingesetzten Tools – reicht für AI-Literacy-Pflicht.
- Prompt-Logging aktivieren, um nachvollziehen zu können, welche Daten wohin gingen.
Was Sie NICHT tun müssen
- Keine „KI-Beauftragten“ wie Datenschutzbeauftragte bestellen.
- Keine Modelle zertifizieren lassen – das ist Anbieter-Pflicht.
- Keine sechsstelligen Compliance-Budgets.
Wir unterstützen im Rahmen unserer IT-Services bei Umsetzung und Dokumentation.
Quellen
Reden wir über Ihren nächsten Freiraum-Moment.
Kostenlose Erstberatung, unverbindlich, 30 Minuten. Wir hören zu, skizzieren Optionen, Sie entscheiden.