Skip to main content

EU AI Act für KMU: Was bis 2. August 2026 praktisch vorzubereiten ist

EU AI Act KMU Compliance Governance AI Transformation

Viele KMU arbeiten längst mit KI in Assistenzfunktionen, internen Copilots oder ersten kundennahen Workflows. Das Problem ist nicht der Einstieg, sondern die Unsicherheit: Was ist bis 2. August 2026 tatsächlich vorzubereiten, ohne aus einem überschaubaren Einsatz ein unnötig schweres Compliance-Projekt zu machen?

Ich halte es in der Praxis für sinnvoll, den AI Act nicht als abstrakten Gesetzestext zu lesen, sondern als Umsetzungsaufgabe. Für viele mittelständische Teams geht es jetzt vor allem darum, Rollen sauber einzuordnen, Transparenz an den richtigen Stellen vorzusehen und die eigene KI-Nutzung nachvollziehbar zu dokumentieren.

Der Zeitpunkt ist relevant, weil viele Unternehmen aktuell vom Experiment in den Betrieb wechseln. Genau in dieser Phase entstehen typische Lücken: unklare Verantwortlichkeiten, fehlende Kennzeichnung von KI-Interaktionen und keine belastbare Übersicht darüber, welche Modelle oder Dienste überhaupt produktiv genutzt werden.

Rollen im Unternehmen als Arbeitsmodell einordnen

In KMU beginne ich nicht mit juristischen Definitionstabellen, sondern mit einem einfachen Arbeitsmodell. Die Frage lautet: Nutzen wir ein bestehendes KI-System nur im vorgesehenen Rahmen, passen wir es für eigene Zwecke an oder geben wir eine eigene Lösung an Dritte weiter?

Für die praktische Vorbereitung hilft diese Einordnung:

Ein Unternehmen handelt häufig eher wie ein Betreiber, wenn es einen externen Dienst einkauft und intern oder kundennah im vorgesehenen Rahmen nutzt. Es bewegt sich eher in Richtung Anbieterrolle, wenn es ein System substanziell anpasst, unter eigenem Namen bereitstellt oder in einer Form in Verkehr bringt, die über reine Nutzung hinausgeht. Dazwischen gibt es Konstellationen, in denen Partner, Plattformen, Fachbereiche und IT sich Verantwortlichkeiten teilen.

Wichtig ist dabei: Das ist ein Arbeitsmodell für die Umsetzung, keine abschließende rechtliche Einstufung. Welche Rolle tatsächlich einschlägig ist, hängt von der konkreten technischen und vertraglichen Ausgestaltung, der Dokumentation und dem Nutzungsszenario ab.

Für KMU ist diese Klärung trotzdem früh nötig, weil sich daran fast alles Weitere aufhängt: Dokumentation, Transparenz, Verantwortlichkeiten im Betrieb und der Umfang interner Kontrollen.

Nicht jeder KI-Einsatz ist gleich kritisch

In vielen mittelständischen Szenarien geht es zunächst um eher begrenzte Anwendungsfälle: Textentwürfe, interne Wissenssuche, Assistenz in Serviceprozessen oder Unterstützung bei Standardkommunikation. Solche Fälle sind praktisch anders zu behandeln als Einsätze, die deutlich sensibler in Prozesse, Entscheidungen oder regulierte Kontexte eingreifen.

Sobald ein Vorhaben Bereiche berührt, die typischerweise genauer geprüft werden sollten, steigt der Klärungsbedarf. Dazu zählen zum Beispiel Anwendungen mit Bezug zu Personalentscheidungen, Zugang zu Leistungen, besonders sensiblen Daten oder stark wirkungsrelevanten Entscheidungen. Diese Beispiele sind keine eigene rechtliche Kategorie und kein formaler Schwellenwert. Sie sind in der Praxis ein Signal dafür, dass Fachbereich, IT, Compliance und gegebenenfalls Rechtsberatung genauer hinschauen sollten.

Für viele KMU liegt die Entlastung deshalb nicht in pauschalen Aussagen, sondern in sauberer Abgrenzung. Wer einfache Assistenzfälle klar von sensibleren Szenarien trennt, kann Aufwand dort investieren, wo er tatsächlich nötig ist.

Transparenz so umsetzen, dass sie im Betrieb funktioniert

Transparenz ist in der Praxis oft weniger ein Grundsatzproblem als ein Umsetzungsproblem. Teams wissen meist, dass sie Nutzer nicht im Unklaren lassen sollten. Unklar bleibt eher, wo dieser Hinweis technisch, organisatorisch und gestalterisch sauber platziert wird.

Für die hier beschriebenen, nutzernahen KI-Funktionen ist vor allem wichtig, dass Personen erkennen können, wenn sie mit einer KI-Funktion interagieren. Je nach Anwendungsfall kommen außerdem Hinweise auf KI-generierte Inhalte oder technische Markierungen in Betracht, dort wo solche Anforderungen einschlägig sind. Entscheidend ist, die Nutzerwahrnehmung nicht dem Zufall zu überlassen.

Ich würde das nicht als reinen UI-Text behandeln. In der Umsetzung betrifft es in der Regel mehrere Ebenen gleichzeitig: Produkttext, Prozessbeschreibung, Supportfähigkeit und gegebenenfalls technische Kennzeichnung im erzeugten Inhalt oder im Ausgabekanal. Wenn diese Punkte erst kurz vor Go-live betrachtet werden, entstehen fast immer unnötige Nacharbeiten.

Dokumentation klein anfangen, aber belastbar

Viele KMU brauchen kein schweres Governance-System, um sinnvoll zu starten. Was sie brauchen, ist eine belastbare Übersicht: Welche KI-Funktionen sind produktiv, welches Modell oder welcher Dienst steckt dahinter, wer verantwortet den Einsatz fachlich und technisch, und in welchem Prozess wird die Ausgabe verwendet?

Ich empfehle dafür eine schlanke Übersicht der eingesetzten Modelle und Funktionen, ergänzt um den jeweiligen Zweck, die Zielgruppe und die vorgesehenen Kontrollen. Das muss am Anfang kein großes Register sein. Es sollte aber so gepflegt sein, dass ein Unternehmen Fragen zu Herkunft, Einsatzbereich und Verantwortlichkeit schnell beantworten kann.

Ein nützlicher Grundsatz ist in vielen der hier beschriebenen KMU-Fälle: KI erstellt Vorschläge oder Entwürfe, und Menschen treffen die fachlich relevanten Entscheidungen. Das ist kein allgemeiner Compliance-Nachweis und kein sicherer Freifahrtschein. Es ist aber häufig ein sinnvoller Kontrollansatz, wenn Unternehmen einfache Assistenzfunktionen verantwortbar in bestehende Prozesse einbetten wollen.

2. August 2026 als Planungsdatum richtig einordnen

Für KMU ist es hilfreich, den 2. August 2026 nicht als pauschales Datum für alle denkbaren AI-Act-Pflichten zu lesen, sondern als praktisches Planungsdatum für die hier beschriebenen Vorbereitungsthemen. Dazu gehören vor allem nutzernahe Transparenz, Rollenklärung, einfache Dokumentation und die Frage, wo technische oder organisatorische Nachweise fehlen.

Diese Einordnung ist wichtig, weil Unternehmen sonst entweder zu wenig tun oder das Gegenteil: Sie bauen vorsorglich ein zu großes Programm für Anwendungsfälle, die im eigenen Haus noch gar nicht relevant sind. Beides kostet Zeit.

Besser ist ein gestufter Ansatz. Zuerst die produktiven und kundennahen KI-Funktionen erfassen. Dann Rollen und Verantwortlichkeiten je Einsatz klären. Danach Transparenz, Kennzeichnung und Dokumentation dort nachziehen, wo der konkrete Einsatz es erfordert.

Was ich KMU jetzt konkret empfehlen würde

Wenn heute bereits KI im Unternehmen genutzt wird, würde ich nicht mit Grundsatzdebatten beginnen. Ich würde die realen Einsätze erfassen, die verantwortlichen Personen benennen und jeden Einsatz danach prüfen, ob er ein einfacher Assistenzfall ist oder ob Merkmale vorliegen, die eine genauere fachliche, technische oder rechtliche Prüfung sinnvoll machen. Auf dieser Basis lassen sich Transparenzhinweise, technische Markierungen und Dokumentation mit überschaubarem Aufwand vorbereiten.

Wer diese Fragen nicht erst kurz vor dem Stichtag klärt, vermeidet die üblichen Reibungsverluste zwischen Fachbereich, IT und Compliance. Genau dabei unterstützen wir in unserer Arbeit zur AI Transformation: mit umsetzbaren Governance-Strukturen, technischer Einordnung und pragmatischen Betriebsmodellen für KI im Unternehmen.

Quellenhinweis: Dieser Beitrag basiert auf dem vorliegenden Research Brief. Er dient der praktischen Orientierung und stellt keine Rechtsberatung dar.