Wer heute KI im Betrieb einsetzt, steht nicht mehr nur vor einer Technikfrage. Wer AI Act Pflichten umsetzen muss, braucht vor allem Klarheit: Welche Systeme sind betroffen, welche Rolle hat das eigene Unternehmen, und was davon ist sofort organisatorisch lösbar? Gerade im Mittelstand und im Handwerk ist das entscheidend, weil meist niemand Zeit für theoretische Rechtsdebatten hat, die Umsetzung aber trotzdem sauber sitzen muss.
Viele Unternehmen starten an der falschen Stelle. Sie suchen erst nach einer vollständigen Gesetzesauslegung, bevor sie intern überhaupt erfassen, wo KI bereits eingesetzt wird. Das bremst. Sinnvoller ist ein pragmatischer Ansatz: erst Transparenz schaffen, dann Risiken bewerten, dann Verantwortlichkeiten und Nachweise aufbauen. Genau dort trennt sich belastbare Compliance von hektischem Aktionismus.
AI Act Pflichten umsetzen heißt zuerst: den eigenen Anwendungsfall verstehen
Der AI Act unterscheidet nicht pauschal zwischen „KI vorhanden“ und „KI nicht vorhanden“. Entscheidend ist, wie ein System eingesetzt wird, in welchem Kontext es Entscheidungen beeinflusst und welche Auswirkungen daraus entstehen können. Für ein kleines oder mittleres Unternehmen bedeutet das: Nicht jedes Tool ist automatisch ein Hochrisiko-System, aber auch scheinbar harmlose Anwendungen sollten nicht ungeprüft bleiben.
Besonders relevant wird es, wenn KI in Personalprozesse, Zugangskontrollen, Bonitätsbewertungen, sicherheitsrelevante technische Anwendungen oder in die Steuerung wesentlicher betrieblicher Entscheidungen eingreift. Auch bei zugekauften Lösungen gilt: Wer das System nutzt oder in eigene Abläufe einbindet, trägt Pflichten mit. Viele Entscheider unterschätzen genau diesen Punkt, weil sie davon ausgehen, dass allein der Softwareanbieter verantwortlich ist.
In der Praxis ist die erste Frage daher nicht, welches Gesetzeszitat einschlägig ist. Die erste Frage lautet: Wo im Unternehmen wird KI tatsächlich eingesetzt, getestet oder geplant? Dazu gehören auch Pilotprojekte, Assistenten in Fachsoftware, automatisierte Texterstellung, Bilderkennung, Prognosemodelle oder Systeme, die Mitarbeiter- oder Kundendaten verarbeiten.
Welche Rolle hat Ihr Unternehmen im AI Act?
Pflichten hängen stark davon ab, ob ein Unternehmen Anbieter, Betreiber, Importeur, Händler oder lediglich Nutzer eines KI-Systems ist. Im Mittelstand liegt der Schwerpunkt oft auf der Rolle als Betreiber. Das klingt zunächst einfacher, ist aber kein Freifahrtschein. Auch Betreiber müssen sicherstellen, dass Systeme bestimmungsgemäß eingesetzt werden, Vorgaben der Anbieter eingehalten werden und interne Kontrollen funktionieren.
Gerade bei individuell konfigurierten Lösungen wird es anspruchsvoller. Wenn ein Unternehmen ein bestehendes KI-System wesentlich verändert oder unter eigener Marke bereitstellt, kann sich die Rolle verschieben. Dann entstehen weitergehende Anforderungen an Dokumentation, Konformität und Risikomanagement. Dieses „es kommt darauf an“ ist kein juristischer Nebensatz, sondern praktisch relevant. Wer seine Rolle falsch einordnet, baut die falschen Maßnahmen auf.
Deshalb lohnt sich früh eine kurze, strukturierte Rollenprüfung pro System. Nicht als Papiertiger, sondern als Grundlage für Entscheidungen. Schon eine sauber dokumentierte Einordnung spart später Diskussionen in Audits, bei Kundenanfragen oder gegenüber Aufsichtsstellen.
Der praktikable Weg, um AI Act Pflichten umzusetzen
Wer den AI Act im Betrieb vernünftig umsetzen will, braucht keinen riesigen Compliance-Apparat. Nötig ist ein belastbarer Ablauf, der zu Größe, Branche und tatsächlichem KI-Einsatz passt.
Am Anfang steht ein KI-Inventar. Erfassen Sie systematisch, welche Anwendungen im Einsatz sind, wer sie nutzt, welchen Zweck sie erfüllen, welche Daten verarbeitet werden und ob externe Anbieter beteiligt sind. In vielen Unternehmen tauchen dabei mehr KI-Anwendungen auf als gedacht, weil Fachabteilungen Tools längst eigenständig eingeführt haben.
Danach folgt die Risikoeinordnung. Hier wird geprüft, ob es sich um verbotene Praktiken, Hochrisiko-Anwendungen, Systeme mit Transparenzpflichten oder eher um Anwendungen mit geringem Risiko handelt. Genau an dieser Stelle braucht es Augenmaß. Eine interne Wissensdatenbank mit generativer KI ist anders zu bewerten als ein System, das Bewerber vorsortiert oder technische Freigaben vorbereitet.
Auf Basis dieser Einordnung legen Sie Maßnahmen fest. Dazu gehören in der Regel klare Zuständigkeiten, Freigabeprozesse für neue KI-Anwendungen, Anforderungen an die Datenqualität, Vorgaben zur menschlichen Aufsicht und Regeln für Dokumentation und Nachweisführung. Wenn ein System kritischer ist, steigen Tiefe und Formalität der Maßnahmen. Wenn das Risiko gering ist, sollte auch der Verwaltungsaufwand angemessen bleiben.
Dokumentation ist kein Selbstzweck
Viele Unternehmen schrecken beim Thema Compliance vor allem vor der Dokumentation zurück. Verständlich. Niemand möchte zusätzliche Ordner produzieren, die im Alltag niemand nutzt. Beim AI Act sollte Dokumentation aber als Arbeitsmittel verstanden werden. Sie hilft, Entscheidungen nachvollziehbar zu machen und reduziert Haftungs- und Auditrisiken.
Wichtig ist vor allem, dass Dokumentation zur betrieblichen Realität passt. Ein kleiner Handwerksbetrieb mit wenigen KI-Anwendungen braucht kein Konzernhandbuch. Er braucht übersichtliche, gepflegte Nachweise: Welche Systeme werden genutzt? Wer ist verantwortlich? Welche Risiken wurden betrachtet? Welche Anweisungen gelten? Wie wird mit Fehlern oder Auffälligkeiten umgegangen?
Sinnvoll ist es, bestehende Managementsysteme zu nutzen, statt neue Parallelstrukturen aufzubauen. Wer bereits mit Qualitätsmanagement, Prozessbeschreibungen oder Auditplänen arbeitet, kann KI-Compliance dort integrieren. Das spart Aufwand und erhöht die Chance, dass Vorgaben im Alltag tatsächlich eingehalten werden.
Mitarbeitende sind ein zentraler Teil der Umsetzung
Technische Maßnahmen allein reichen nicht. Wer AI Act Pflichten umsetzen will, muss auch die Menschen im Betrieb mitnehmen. Das betrifft nicht nur IT oder Rechtsabteilung, sondern Fachverantwortliche, Führungskräfte und Anwender.
In der Praxis entstehen viele Risiken nicht durch böse Absicht, sondern durch unklare Nutzung. Ein Mitarbeiter lädt sensible Daten in ein externes Tool. Eine Abteilung verlässt sich auf KI-Ausgaben, ohne Ergebnisse zu prüfen. Eine Softwarefunktion wird genutzt, obwohl niemand weiß, nach welchen Kriterien sie Empfehlungen erzeugt. Solche Fälle lassen sich oft mit einfachen, verständlichen Regeln deutlich reduzieren.
Deshalb sollten Unternehmen Schulungen nicht als Formalität behandeln. Gute Schulung heißt hier nicht, alle mit Verordnungstexten zu überfrachten. Entscheidend ist, dass Mitarbeitende ihren konkreten Anwendungsfall verstehen: Was darf ich eingeben? Was muss ich prüfen? Wann muss ich Rücksprache halten? Wo dokumentiere ich Auffälligkeiten?
Typische Stolpersteine bei der Umsetzung
Ein häufiger Fehler ist die Annahme, KI-Compliance betreffe nur große Tech-Unternehmen. Tatsächlich sind gerade kleine und mittlere Betriebe betroffen, weil sie immer häufiger KI-gestützte Standardsoftware einsetzen. Der zweite Fehler ist blinder Aktionismus. Es werden Richtlinien geschrieben, bevor überhaupt klar ist, welche Systeme vorhanden sind.
Auch die Trennung zwischen Datenschutz, IT-Sicherheit, Qualitätsmanagement und AI Act wird oft zu stark gedacht. In der Realität greifen diese Themen ineinander. Schlechte Datenqualität, fehlende Zugriffsregeln oder unklare Prozessverantwortung sind nie nur ein Einzelproblem. Sie schwächen zugleich Compliance und operative Leistung.
Ein weiterer Stolperstein ist die ausschließliche Orientierung am Tool-Anbieter. Dessen Unterlagen sind wichtig, ersetzen aber nicht die eigene Bewertung. Denn der Anbieter kennt Ihr konkretes Einsatzszenario nicht im Detail. Genau daraus ergeben sich aber oft die eigentlichen Risiken.
AI Act Pflichten umsetzen mit Augenmaß im Handwerk und Mittelstand
Gerade im Handwerk wird KI häufig sehr zweckorientiert eingesetzt – etwa bei Einsatzplanung, Angebotsunterstützung, Dokumentation, Bildauswertung oder Kundenkommunikation. Das ist wirtschaftlich sinnvoll, darf aber nicht dazu führen, dass neue Systeme ohne klare Regeln in sensible Abläufe rutschen.
Für kleinere Betriebe ist deshalb ein schlanker Umsetzungsansatz meist der richtige Weg. Nicht jede Anforderung braucht ein eigenes Projekt. Oft reicht es, vorhandene Prozesse sauber zu ergänzen: Beschaffung mit KI-Prüfschritt, Verantwortlichkeiten für Freigaben, einfache Nutzungsrichtlinien, dokumentierte Risikobewertung und regelmäßige Überprüfung der eingesetzten Anwendungen.
Genau darin liegt auch der Vorteil einer praxisnahen Beratung. Sie übersetzt regulatorische Anforderungen in Abläufe, die im Betrieb funktionieren, statt zusätzlich zu belasten. Apexigma verbindet dabei KI-Compliance mit Prozessverständnis und Managementsystemen – ein Ansatz, der besonders für mittelständische Unternehmen und Handwerksbetriebe tragfähig ist.
Was jetzt sinnvoll ist
Wenn Sie das Thema noch nicht strukturiert angegangen sind, ist jetzt nicht der Moment für Perfektionismus, sondern für einen klaren Start. Erfassen Sie Ihre KI-Anwendungen, ordnen Sie Rollen und Risiken ein und verankern Sie die wichtigsten Regeln im Tagesgeschäft. Wer früh Ordnung schafft, reduziert später nicht nur Compliance-Risiken, sondern trifft auch bessere Entscheidungen bei Auswahl und Nutzung von KI.
Der AI Act ist kein Thema für die Schublade. Er ist ein Anlass, den eigenen KI-Einsatz sauber, nachvollziehbar und betrieblich sinnvoll aufzustellen. Genau das zahlt sich aus – in Audits, gegenüber Kunden und vor allem im laufenden Betrieb, wenn Technik nicht nur modern wirkt, sondern verlässlich funktioniert.
