Compliance
KI-Verordnung in 5 Minuten: Der Praxis-Guide für KMUs
EU AI Act: Was musst du als KMU wirklich tun? Keine Paragraphen, keine Panik, nur konkrete Schritte.
Für: Geschäftsführer, Teamleads, Compliance-Verantwortliche
Ziel: Du weißt danach, was zu tun ist. Heute noch.
Dein Schnellcheck: 3 Fragen
Bevor wir starten, drei Fragen. Ehrlich beantworten.
| Frage | Ja | Nein |
|---|---|---|
| Nutzt dein Unternehmen KI-Tools? (ChatGPT, Copilot, Chatbots...) | ☐ | ☐ |
| Setzt ihr KI für Personalentscheidungen ein? (Recruiting, Bewertung) | ☐ | ☐ |
| Habt ihr KI-generierte Inhalte auf eurer Website? | ☐ | ☐ |
Auswertung:
- Alles „Nein"? Der AI Act betrifft dich kaum. Trotzdem weiterlesen, das ändert sich schnell.
- Mindestens 1x „Ja"? Lies weiter. Du hast Handlungsbedarf.
Was ist der EU AI Act?
Eine Zeile: Die erste KI-Verordnung der Welt. Gilt in der gesamten EU.
| In Kraft seit | August 2024 |
| Gilt für | Alle, die KI nutzen oder anbieten |
| Ansatz | Risikobasiert (mehr Risiko = mehr Pflichten) |
| Vorbild | DSGVO für Daten → AI Act für KI |
Keine Theorie mehr. Jetzt zu deinen Pflichten.
Die Risiko-Matrix: Wo stehst du?
Der AI Act teilt KI in vier Risikostufen. Deine Pflichten hängen davon ab.
| Stufe | Was bedeutet das? | Beispiele | Deine Pflichten |
|---|---|---|---|
| 🔴 Verboten | Geht gar nicht | Social Scoring, manipulative KI, Emotionserkennung am Arbeitsplatz | Nicht nutzen. Punkt. |
| 🟠 Hoch | Kritische Entscheidungen | KI im Recruiting, Kreditprüfung, Bildung | Dokumentation, menschliche Aufsicht, Schulung |
| 🟡 Begrenzt | Interaktion mit Menschen | Chatbots, KI-generierte Inhalte | Kennzeichnungspflicht |
| 🟢 Minimal | Alltagsnutzung | ChatGPT für Texte, Übersetzung, Recherche | Keine besonderen Pflichten |
Realität für 90% der KMUs: Du bist bei 🟢 oder 🟡.
Kategorie 🟢 Minimal: Business as usual
Das betrifft dich, wenn du KI so nutzt:
- ChatGPT, Claude, Perplexity für Recherche und Texte
- KI-Übersetzung
- Spam-Filter
- KI-gestützte Suche in Tools
Deine Pflichten
Keine spezifischen AI-Act-Pflichten.
Trotzdem wichtig
| Datenschutz | Keine personenbezogenen Daten in KI-Tools ohne Prüfung |
| Qualität | Outputs prüfen (KI halluziniert) |
| DSGVO | Gilt weiterhin. Unverändert. |
Kategorie 🟡 Begrenzt: Transparenz ist Pflicht
Das betrifft dich, wenn:
- Du einen Chatbot auf deiner Website hast
- Du KI-generierte Texte oder Bilder veröffentlichst
- Kunden mit KI interagieren (ohne es zu wissen)
Deine Pflicht: Kennzeichnen
| Situation | Was du tun musst |
|---|---|
| Chatbot | Hinweis: „Du sprichst mit einem KI-Assistenten" |
| KI-generierter Text | Hinweis: „Mit KI-Unterstützung erstellt" |
| KI-generiertes Bild | Kennzeichnung sichtbar oder in Beschreibung |
| Synthetische Medien / Deepfakes | Klar erkennbare Markierung |
Umsetzung: 1 Stunde Arbeit
- Chatbot-Disclaimer hinzufügen (IT-Ticket, 15 Min)
- Redaktionsrichtlinie für KI-Inhalte erstellen (Template unten)
- Team informieren
Template Redaktionsrichtlinie:
KI-generierte oder KI-unterstützte Inhalte werden gekennzeichnet mit:
„Dieser Inhalt wurde mit KI-Unterstützung erstellt."
Platzierung: Am Ende des Textes / In der Bildbeschreibung
Verantwortlich: [Name/Rolle]
Fertig.
Kategorie 🟠 Hoch: Hier wird's ernst
Das betrifft dich, wenn KI bei diesen Entscheidungen mitmischt:
| Bereich | Beispiele |
|---|---|
| Personal | KI sortiert Bewerbungen, bewertet Leistung, empfiehlt Beförderungen |
| Finanzen | KI prüft Kreditwürdigkeit, berechnet Versicherungsprämien |
| Bildung | KI bewertet Prüfungen, entscheidet über Zulassungen |
| Kritische Infrastruktur | KI steuert Energie, Wasser, Verkehr |
Deine Pflichten als Nutzer
Du entwickelst die KI nicht — aber du nutzt sie. Das bringt Pflichten.
| Pflicht | Was konkret |
|---|---|
| Dokumentation | Schriftlich festhalten: Welches Tool, wofür, seit wann |
| Menschliche Aufsicht | KI empfiehlt, Mensch entscheidet. Immer. |
| Information | Betroffene wissen lassen, dass KI im Spiel ist |
| Schulung | Wer das Tool bedient, muss es verstehen |
| Logs aufbewahren | Nutzungsdaten mindestens 6 Monate speichern |
Beispiel: KI im Recruiting
Du nutzt ein Tool, das Bewerbungen vorsortiert oder rankt.
Checkliste:
- ☐ Tool und Zweck dokumentiert
- ☐ HR-Team geschult
- ☐ Finale Entscheidung durch Menschen sichergestellt
- ☐ Bewerber über KI-Einsatz informiert (Stellenanzeige/Prozess)
- ☐ Logs werden gespeichert (min. 6 Monate)
Zeitaufwand: 1-2 Tage, einmalig. Dann Routine.
Kategorie 🔴 Verboten: Finger weg
Diese KI-Anwendungen sind ab Februar 2025 illegal. Ohne Ausnahme.
| Verboten | Bedeutung |
|---|---|
| Social Scoring | Menschen nach Sozialverhalten bewerten |
| Manipulative KI | Unterschwellige Beeinflussung von Verhalten |
| Emotionserkennung am Arbeitsplatz | KI analysiert Gefühle von Mitarbeitenden |
| Biometrische Kategorisierung | Klassifizierung nach Rasse, Religion, Sexualität |
| Predictive Policing (Einzelpersonen) | Vorhersage, ob jemand straffällig wird |
Für KMUs meist irrelevant. Aber wenn ein Tool-Anbieter so etwas verspricht: Nicht kaufen.
Der Zeitplan: Was gilt wann?
| Datum | Was passiert |
|---|---|
| Feb 2025 | Verbote gelten |
| Aug 2025 | Transparenzpflichten für generative KI |
| Aug 2026 | Hochrisiko-Regeln vollständig wirksam |
| Aug 2027 | Alle übrigen Regeln |
Dein nächster Termin: Februar 2025 - Verbote prüfen.
Danach: August 2025 - Transparenz sicherstellen.
Was kostet Ignorieren?
Der AI Act hat Strafen. Echte.
| Verstoß | Maximalstrafe |
|---|---|
| Verbotene KI | 35 Mio. € oder 7% Jahresumsatz |
| Hochrisiko-Verstöße | 15 Mio. € oder 3% Jahresumsatz |
| Falsche Angaben | 7,5 Mio. € oder 1% Jahresumsatz |
Realität für KMUs: Die Maximalsummen treffen dich nicht. Aber proportionale Strafen können trotzdem wehtun. Und Reputationsschäden erst recht.
Wahrscheinlichkeit 2025: Gering für KMUs. Behörden fokussieren auf große Anbieter. Aber: Beschwerden können Kontrollen auslösen.
Dein 7-Tage-Plan
Konkret. Ohne Berater. Diese Woche machbar.
Tag 1-2: Bestandsaufnahme
Erstelle eine Liste aller KI-Tools im Unternehmen.
| Tool | Wer nutzt es? | Wofür? | Risikostufe |
|---|---|---|---|
Frag aktiv nach. Viele Tools haben KI eingebaut, ohne dass es offensichtlich ist.
Tag 3: Risiko-Einordnung
Für jedes Tool: Welche Kategorie?
- 🟢 Minimal → Keine AI-Act-Pflichten
- 🟡 Begrenzt → Kennzeichnung nötig
- 🟠 Hoch → Dokumentation + Aufsicht + Schulung
- 🔴 Verboten → Sofort stoppen
Tag 4: Quick Wins umsetzen
Transparenzpflichten erfüllen:
- ☐ Chatbot-Hinweis auf Website
- ☐ KI-Kennzeichnung für veröffentlichte Inhalte
- ☐ Redaktionsrichtlinie erstellen
Tag 5: Hochrisiko prüfen (falls relevant)
Wenn ihr KI im Recruiting, Kredit oder Bildung nutzt:
- ☐ Dokumentation erstellen
- ☐ Menschliche Aufsicht sicherstellen
- ☐ Betroffene informieren
- ☐ Verantwortliche Person benennen
Tag 6: Team informieren
Kurze Nachricht an alle:
Betreff: KI-Nutzung im Unternehmen - kurzes Update
Hi Team,
wir haben unsere KI-Nutzung geprüft und ein paar Regeln festgelegt:
- [Tool X, Y, Z] sind freigegeben für [Zweck]
- Keine sensiblen Daten (Kundendaten, Personaldaten) in KI-Tools
- KI-generierte Inhalte werden gekennzeichnet
Fragen? [Ansprechpartner]
Mehr Details: [Link zu interner Doku]
Tag 7: Dokumentation ablegen
Alles an einem Ort:
- Tool-Liste mit Risikoeinstufung
- Redaktionsrichtlinie
- Schulungsnachweis (falls Hochrisiko)
- Verantwortlichkeiten
Fertig. Du bist compliant.
Die 5 häufigsten Fehler
| Fehler | Warum problematisch | Besser |
|---|---|---|
| „Betrifft uns nicht" | Jeder, der ChatGPT nutzt, ist betroffen | Bestandsaufnahme machen |
| Keine Kennzeichnung | Verstoß bei jedem KI-Chatbot, jedem KI-Text | Disclaimer hinzufügen |
| KI entscheidet allein | Bei Hochrisiko verboten | Mensch hat letztes Wort |
| Keine Dokumentation | Bei Kontrolle kein Nachweis | Einfache Liste führen |
| Einmal gemacht, nie aktualisiert | Neue Tools, neue Risiken | Quartalsweise prüfen |
Checkliste: AI Act Ready
- ☐Tool-Inventar erstellt
- ☐Risikostufen zugeordnet
- ☐Chatbot-Disclaimer live
- ☐KI-Content-Kennzeichnung definiert
- ☐Hochrisiko-Prozesse dokumentiert (falls vorhanden)
- ☐Team informiert
- ☐Ansprechpartner benannt
- ☐Dokumentation abgelegt
7 von 8? Du bist weiter als 90% der KMUs.
Fazit: 3 Sätze
- Der AI Act gilt für dich, sobald du KI nutzt.
- Für die meisten KMUs bedeutet das: Kennzeichnen + Dokumentieren.
- Eine Woche Arbeit. Kein Anwalt nötig. Heute anfangen.
Ressourcen
| AI Act Volltext (deutsch) | EUR-Lex |
| EU-Kommission FAQ | ec.europa.eu |
| BSI-Leitfaden KI-Sicherheit | bsi.bund.de |
Weiter lernen
Der AI Act ist der Anfang. KI-Kompetenz im Team ist der nächste Schritt.