AI Act Umsetzung für KMU pragmatisch angehen

AI Act Umsetzung für KMU pragmatisch angehen

Wer in seinem Betrieb bereits mit KI arbeitet, hat oft kein Zukunftsprojekt mehr vor sich, sondern eine ganz praktische Realität: Texte werden automatisch erstellt, Bilder analysiert, Bewerbungen vorsortiert oder Serviceanfragen vorqualifiziert. Genau hier beginnt die Frage nach der AI Act Umsetzung für KMU – nicht irgendwann, sondern dort, wo Software heute schon Entscheidungen vorbereitet oder Prozesse beeinflusst.

Für kleine und mittelständische Unternehmen ist das Thema heikel, weil die Ressourcen knapp sind und gleichzeitig die Unsicherheit groß ist. Viele Geschäftsführer fragen sich zu Recht, ob sie überhaupt betroffen sind. Die ehrliche Antwort lautet: Das hängt davon ab, wie KI im Unternehmen eingesetzt wird, welche Rolle der Betrieb in der Wertschöpfungskette hat und ob aus einem scheinbar harmlosen Tool ein regulierter Anwendungsfall wird.

Was die AI Act Umsetzung für KMU wirklich bedeutet

Der EU AI Act ist kein allgemeines Verbot von Künstlicher Intelligenz. Er ordnet KI-Systeme nach Risiko ein und knüpft daran Pflichten. Für KMU ist das entscheidend, weil nicht jedes eingesetzte Tool denselben Aufwand auslöst. Wer mit einer einfachen Text-KI Marketingentwürfe erstellt, hat andere Anforderungen als ein Unternehmen, das KI für Personalentscheidungen, Bonitätsbewertungen oder sicherheitsrelevante Anwendungen nutzt.

In der Praxis scheitert die Umsetzung oft nicht an der Rechtslage selbst, sondern an fehlender Übersicht. Viele Betriebe nutzen bereits mehrere KI-Funktionen, ohne sie als solche sauber erfasst zu haben. Eine Software für Zeiterfassung mit intelligenter Mustererkennung, ein CRM mit automatischer Priorisierung oder ein Assistenzsystem im Kundenservice – all das kann regulatorisch relevant werden, auch wenn es im Alltag nur als nützliches Zusatzfeature wahrgenommen wird.

Deshalb ist der erste Schritt kein juristisches Gutachten, sondern ein strukturierter Bestandsabgleich. Welche Systeme sind im Einsatz, wer nutzt sie, mit welchem Zweck, auf welcher Datengrundlage und mit welcher Auswirkung auf Mitarbeitende, Kunden oder Dritte? Ohne diese Klarheit wird jede weitere Maßnahme ungenau.

Wo KMU beim AI Act typischerweise betroffen sind

Viele kleinere Unternehmen gehen zunächst davon aus, dass der AI Act nur Softwarehersteller oder große Plattformen betrifft. Das ist zu kurz gedacht. Betroffen sein können Anbieter, Importeure, Händler, Integratoren und auch Unternehmen, die KI-Systeme in ihrem Betrieb einsetzen. Gerade bei zugekauften Tools liegt ein häufiger Irrtum darin, die Verantwortung vollständig an den Anbieter abzugeben.

Das funktioniert nur begrenzt. Natürlich trägt der Hersteller zentrale Pflichten. Wer das System aber konkret im Unternehmen nutzt, muss dennoch verstehen, ob dieser Einsatz zulässig ist, welche Informationen vorliegen müssen und welche internen Regeln sinnvoll sind. Besonders kritisch wird es, wenn Standardsoftware im eigenen Prozess angepasst, mit eigenen Daten trainiert oder in sensible Entscheidungen eingebunden wird.

Typische Berührungspunkte im Mittelstand sind HR-Prozesse, Qualitätsprüfung per Bilderkennung, automatisierte Angebots- oder Preisvorschläge, KI-gestützte Kundenkommunikation und Prognosemodelle in Planung oder Instandhaltung. Im Handwerk kommen zusätzlich Anwendungen rund um Einsatzplanung, Dokumentation, Schadenserkennung oder automatische Auswertung von Baustellen- und Servicedaten hinzu. Nicht jede dieser Anwendungen fällt in den Hochrisikobereich. Aber jede sollte geprüft werden.

Der entscheidende Punkt: Nicht jede KI ist gleich riskant

Für die AI Act Umsetzung in KMU ist die Risikoklassifizierung der praktische Kern. Wer hier sauber arbeitet, spart später Aufwand. Denn es macht einen großen Unterschied, ob ein System nur unterstützend Inhalte erzeugt oder ob es Menschen bewertet, Zugänge steuert oder sicherheitsrelevante Abläufe beeinflusst.

Ein Teil der KI-Anwendungen wird nur begrenzte Transparenzpflichten auslösen. Andere Fälle können strengere Anforderungen nach sich ziehen, etwa Dokumentation, Überwachung, Qualitätsmanagement oder klare Verantwortlichkeiten. Und dann gibt es Anwendungen, die von vornherein unzulässig sind. Für die meisten KMU ist jedoch nicht das Verbot das Hauptproblem, sondern die Grauzone zwischen scheinbar harmlos und tatsächlich kritisch.

Genau deshalb ist pauschale Entwarnung genauso unbrauchbar wie pauschale Alarmstimmung. Wer KI nur oberflächlich einordnet, riskiert falsche Prioritäten. Ein Betrieb kann sehr wohl mehrere unkritische Tools einsetzen und gleichzeitig an einer einzigen Stelle ein hohes regulatorisches Risiko aufbauen – zum Beispiel bei automatisierter Bewerbervorauswahl oder bei KI-gestützter Bewertung von Mitarbeitenden.

So gelingt die AI Act Umsetzung für KMU in der Praxis

Die beste Vorgehensweise ist weder überbürokratisch noch improvisiert. Sie ähnelt eher einem guten Auditansatz: erst erfassen, dann bewerten, danach gezielt absichern. Unternehmen brauchen kein 200-seitiges Regelwerk, wenn sie zunächst fünf saubere Entscheidungen treffen.

Zuerst sollte ein KI-Inventar erstellt werden. Gemeint ist keine theoretische Liste aller denkbaren Tools, sondern ein belastbarer Überblick über die tatsächlich genutzten Anwendungen. Dazu gehören auch Testzugänge, Abteilungsinitiativen und Funktionen in bestehender Software.

Anschließend folgt die Einordnung der Rolle des Unternehmens. Entwickelt der Betrieb selbst KI, passt er Lösungen an, betreibt er sie nur oder setzt er sie als Anwender ein? Diese Abgrenzung ist wichtig, weil daran Pflichten hängen. Gerade im Mittelstand verschwimmen diese Rollen schnell, etwa wenn externe Systeme intern konfiguriert und in eigene Prozesse eingebettet werden.

Im dritten Schritt wird jede Anwendung nach Risiko und Einsatzkontext bewertet. Hier zählt nicht nur die Technologie, sondern vor allem der Verwendungszweck. Dasselbe Tool kann im Marketing unkritisch sein und im Personalwesen problematisch werden.

Danach werden Mindeststandards für Governance festgelegt. Das muss schlank bleiben, aber verbindlich sein. Wer darf welche KI nutzen? Welche Daten dürfen eingegeben werden? Welche Ergebnisse müssen menschlich geprüft werden? Wie werden Anbieterunterlagen, Freigaben und Änderungen dokumentiert? Schon mit klaren Regeln auf wenigen Seiten lassen sich viele Risiken reduzieren.

Erst im fünften Schritt lohnt sich die Vertiefung für kritische Anwendungen. Dann geht es um Nachweise, Verantwortlichkeiten, Schulung, vertragliche Absicherung und die Frage, ob bestehende Managementsysteme bereits Bausteine liefern. Unternehmen mit Erfahrung in Qualitätsmanagement oder Auditierung sind hier im Vorteil, weil viele Anforderungen nicht völlig neu sind. Dokumentenlenkung, Rollenklärung, Nachweisführung und systematische Verbesserung gehören in gut geführten Betrieben ohnehin zum Handwerkszeug.

Warum vorhandene Managementsysteme die Umsetzung erleichtern

Viele KMU unterschätzen, wie viel von der AI Act Umsetzung bereits im Unternehmen angelegt ist. Wer saubere Prozesse, klare Freigaben und dokumentierte Verantwortlichkeiten hat, startet nicht bei null. Gerade Verbindungen zu Qualitätsmanagement, Risikobetrachtung und internen Audits sind wertvoll.

Ein Betrieb mit funktionierender Prozesslandschaft kann KI-Anwendungen deutlich leichter in bestehende Strukturen integrieren. Statt ein paralleles Compliance-System aufzubauen, werden die relevanten Anforderungen an vorhandene Abläufe angedockt. Das spart Aufwand und erhöht die Akzeptanz in den Fachbereichen.

Auch im Handwerk ist das ein realistischer Weg. Dort hilft keine theoretische KI-Policy, wenn auf der Baustelle, im Büro oder im Kundendienst niemand weiß, was sie praktisch bedeutet. Nötig sind klare Regeln, die zum Arbeitsalltag passen: Welche App darf verwendet werden, wie werden Kundendaten geschützt, wer prüft automatisch erzeugte Protokolle, und wann ist eine menschliche Freigabe zwingend? Praxisnähe entscheidet über die Wirksamkeit.

Häufige Fehler bei der AI Act Umsetzung in KMU

Der erste Fehler ist das Abwarten. Viele Unternehmen hoffen, dass das Thema noch lange nur große Konzerne betrifft. Das ist riskant, weil KI längst in Standardsoftware eingebettet ist und damit schleichend in den Betrieb einzieht.

Der zweite Fehler ist blinder Aktionismus. Wer vorschnell umfangreiche Richtlinien schreibt, ohne die tatsächlichen Anwendungen zu kennen, produziert Papier statt Sicherheit. Mitarbeitende umgehen solche Regeln oft schon deshalb, weil sie im Alltag nicht brauchbar sind.

Der dritte Fehler ist die rein technische Sicht. AI-Compliance ist kein IT-Thema allein. Personal, Einkauf, Qualität, Fachbereich und Geschäftsleitung müssen zusammenarbeiten. Sonst wird zwar ein Tool geprüft, aber nicht der reale Einsatz im Prozess.

Und schließlich unterschätzen viele Unternehmen die Lieferantensteuerung. Wenn KI über externe Anbieter kommt, müssen Unterlagen, Zusicherungen und Verantwortlichkeiten sauber geprüft werden. Nicht jeder Anbieter liefert automatisch die Transparenz, die ein Unternehmen für seine eigene Absicherung braucht.

Was jetzt sinnvoll ist

Für die meisten KMU ist jetzt nicht der richtige Zeitpunkt für Perfektion, sondern für saubere Grundlagen. Wer seine KI-Anwendungen kennt, Zuständigkeiten festlegt und kritische Einsatzfälle früh identifiziert, hat bereits einen großen Teil des Risikos im Griff. Genau das ist der vernünftige Weg: pragmatisch, dokumentiert und passend zur eigenen Betriebsgröße.

Apexigma begleitet Unternehmen genau an dieser Schnittstelle zwischen Prozessklarheit und regulatorischer Sicherheit. Besonders für mittelständische Betriebe und das Handwerk ist entscheidend, dass AI-Compliance nicht als Fremdkörper eingeführt wird, sondern als praktikabler Teil des laufenden Betriebs.

Der klügste nächste Schritt ist deshalb kein Großprojekt, sondern ein ehrlicher Blick auf die eigene Praxis. Dort zeigt sich meist schnell, wo Handlungsbedarf besteht – und wo mit überschaubarem Aufwand echte Sicherheit gewonnen werden kann.

Termin vereinbaren