Process Vision
Erstgespräch
← KI-News
KI-News

EU AI Act: Die KMU-Checkliste bis zum 2. August

In den ersten beiden Teilen dieser Serie ging es um die Einordnung: was am 2. August 2026 greift und in welche Risikoklassen KI-Anwendungen fallen. Jetzt wird es praktisch. Dieser Abschluss liefert die Schritte, die für ein KMU bis zum Stichtag wirklich zählen – ohne Compliance-Overkill, aber auch ohne blinde Flecken.

Eine Vorbemerkung: Der Digital Omnibus hat die strengsten Pflichten für Hochrisiko-Systeme auf Dezember 2027 verschoben. Das verschafft Luft, ändert aber nichts daran, dass die folgenden Schritte jetzt anstehen. Mehrere davon greifen unabhängig von der Frist.

Schritt 1: KI-Inventar erstellen

Alles beginnt mit einer ehrlichen Bestandsaufnahme. Listen Sie auf, wo überall KI im Unternehmen läuft – und denken Sie dabei nicht nur an offensichtliche Tools wie ChatGPT, sondern an eingebaute Funktionen in Software, die Sie längst nutzen.

Pro Anwendung notieren Sie:

  • Welches Tool, welcher Anbieter?
  • Wofür wird es eingesetzt, in welchem Prozess?
  • Wer nutzt es, mit welchen Daten?
  • Interagiert es direkt mit Kunden oder erzeugt es veröffentlichte Inhalte?

Dieses Inventar ist die Grundlage für alles Weitere. Ohne es lässt sich keine Pflicht sinnvoll zuordnen. Erfahrungsgemäß überrascht viele, wie viele KI-Funktionen sich über die Jahre eingeschlichen haben.

Schritt 2: Anwendungen in Risikoklassen einordnen

Gehen Sie das Inventar durch und ordnen Sie jede Anwendung einer Klasse zu – verboten, hoch, begrenzt, minimal. Die Mehrheit landet bei minimalem Risiko und braucht keine besonderen Maßnahmen.

Achten Sie besonders auf zwei Gruppen: Anwendungen mit direktem Kundenkontakt (begrenztes Risiko, Transparenzpflicht ab August) und Anwendungen, die über Menschen mitentscheiden – etwa in Personal oder Bonität (Hochrisiko, Pflichten ab Dezember 2027). Halten Sie das Ergebnis schriftlich fest. Diese Zuordnung ist später Ihr Nachweis, dass Sie das Thema strukturiert angegangen sind.

Schritt 3: Transparenz herstellen

Das ist die konkreteste Aufgabe mit Frist August 2026. Prüfen Sie für jede Anwendung mit Außenwirkung:

  • Erkennen Kunden, dass sie mit einem Chatbot oder Sprachassistenten und nicht mit einem Menschen kommunizieren?
  • Sind KI-generierte Inhalte im Marketing als künstlich erkennbar?
  • Gibt es einen klaren Hinweis dort, wo KI Inhalte erstellt oder Gespräche führt?

Diese Punkte sind meist mit kleinen Anpassungen erledigt – ein Hinweistext, eine Kennzeichnung. Wichtig ist, dass es bewusst gemacht und dokumentiert wird, nicht dem Zufall überlassen.

Schritt 4: KI-Kompetenz im Team sicherstellen

Die Pflicht zur KI-Kompetenz gilt bereits seit Februar 2025 und wird oft übersehen. Mitarbeitende, die mit KI arbeiten, müssen verstehen, was das Werkzeug kann, wo seine Grenzen liegen und welche Risiken bestehen.

Das verlangt keine Zertifikate, aber einen nachweisbaren Stand: eine interne Schulung, klare Nutzungsregeln, dokumentierte Einweisungen. Wer KI im Team einsetzt, sollte belegen können, dass das Team sie auch beurteilen kann. Eine kurze Hausordnung für den KI-Einsatz schlägt hier zwei Fliegen: Sie erfüllt die Pflicht und verhindert wildwuchernden Einsatz.

Schritt 5: Verantwortliche benennen

Compliance braucht eine Adresse. Legen Sie fest, wer im Unternehmen für das Thema KI zuständig ist – wer das Inventar pflegt, neue Tools prüft und die Fristen im Blick behält. In kleinen Unternehmen ist das oft eine einzelne Person mit anderen Aufgaben, das genügt. Entscheidend ist, dass es überhaupt jemanden gibt.

Diese Rolle sorgt auch dafür, dass das Inventar lebt. KI-Tools kommen und gehen schnell; ein einmal erstelltes Verzeichnis veraltet sonst innerhalb von Monaten.

Schritt 6: Hochrisiko-Systeme früh vorbereiten

Falls Sie eine Hochrisiko-Anwendung identifiziert haben – etwa in der Personalauswahl – nutzen Sie die verschobene Frist bis Dezember 2027 aktiv. Beginnen Sie jetzt mit der Dokumentation, statt am Ende unter Druck zu geraten.

Sinnvoll ist, vom Anbieter die nötigen Unterlagen zur Konformität einzufordern und festzulegen, wie die menschliche Aufsicht im Prozess konkret aussieht. Wer ein solches System einsetzt, sollte jederzeit erklären können, wie eine Entscheidung zustande kommt und wo ein Mensch eingreift. Das ist kein Papier-Selbstzweck, sondern oft auch fachlich der bessere Prozess.

Was Sie nicht tun müssen

Genauso wichtig wie die To-dos ist, was entfallen kann. Sie müssen keine eigene KI-Abteilung aufbauen, keine teuren Zertifizierungen kaufen und keine Panik vor jedem KI-Tool entwickeln. Die meisten KMU-Anwendungen fallen unter minimales Risiko. Der Aufwand konzentriert sich auf wenige Stellen: Transparenz im Kundenkontakt, Kompetenz im Team und ein gepflegter Überblick.

Auch gilt: Die Bußgeld-Höchstsätze, die in Schlagzeilen kursieren, zielen auf gravierende Verstöße großer Akteure. Für KMU gelten die niedrigeren Obergrenzen. Das Ziel ist nicht Angst, sondern ein sauber geführtes Haus.

Compliance ist ein Prozess, kein Projekt

Der wichtigste Gedanke zum Abschluss: Der AI Act ist nicht mit einem einmaligen Kraftakt erledigt. KI-Einsatz verändert sich laufend, also muss auch das Inventar laufend gepflegt werden. Wer Compliance als Prozess aufsetzt – mit klarer Verantwortung, regelmäßigem Blick und einfachen Routinen – ist langfristig besser dran als jemand, der einmal hektisch alles abarbeitet und dann vergisst.

Genau das ist der Kern unserer Arbeit: nicht ein Tool gegen ein Problem zu stellen, sondern den Prozess so aufzusetzen, dass er trägt. Ein gut geführter KI-Überblick ist dabei nicht nur Pflichterfüllung – er macht sichtbar, wo KI im Unternehmen wirklich Nutzen bringt und wo sie nur Lärm erzeugt.

Der nächste Schritt

Sie wollen die Checkliste nicht allein abarbeiten? Der schnellste Weg ist ein strukturierter Start: gemeinsam das KI-Inventar aufnehmen, die Risikoklassen klären und einen schlanken Fahrplan bis zum Stichtag aufsetzen.

In einem kostenlosen Erstgespräch schauen wir auf Ihre konkrete Lage und zeigen, welche Schritte für Sie zählen – und welche Sie sich sparen können. Termin unter process-vision.de.

Das war Teil 3 von 3 unserer Serie zum EU AI Act für KMU. Die ersten beiden Teile finden Sie im Blog: der Überblick zum 2. August und die Einordnung der Risikoklassen.

Quellen: