Die EU-Kommission hat ihre Arbeit an den Leitlinien fuer General-Purpose-AI-Modelle und an klareren Umsetzungshinweisen zum EU AI Act weiter konkretisiert. Fuer KMU ist das kein fernes Bruesseler Spezialthema. Sobald ein Betrieb Chatbots, Copilots, Schreibassistenten, Suchsysteme oder Branchen-Tools einkauft, stellt sich dieselbe operative Frage: Wer liefert welches Modell, welche Daten beruehrt es, und welche Verantwortung bleibt beim Unternehmen? Genau diese Frage gehoert jetzt in eine kurze KI-Lieferantenpruefung.
Die gute Nachricht: Ein kleines Unternehmen muss nicht selbst zum Modellpruefer werden. Es muss aber verhindern, dass KI-Beschaffung nur als Lizenzkauf behandelt wird. Ein Tool kann modern wirken und trotzdem unklar lassen, ob ein externer Modellanbieter beteiligt ist, welche Unterauftragnehmer genutzt werden, ob Trainings- oder Protokolldaten entstehen und wie neue Funktionen freigeschaltet werden. Der praktische Nutzen der GPAI-Debatte liegt fuer KMU darin, diese Unklarheiten frueh sichtbar zu machen.
Der Unterschied zwischen Tool und Modell wird zur Einkaufsfrage
Viele KI-Produkte erscheinen als vertraute Oberflaeche: CRM, Office-Suite, Supportsystem, HR-Plattform oder Dokumentensuche. Im Hintergrund koennen jedoch unterschiedliche Modellanbieter, Konnektoren und Datenwege stecken. Ein KMU muss deshalb nicht nur den Produktnamen notieren, sondern die KI-Komponente dahinter. Wird ein allgemeines Modell genutzt? Gibt es ein eigenes Modell des Anbieters? Werden Daten an einen Drittanbieter weitergegeben? Wird der Einsatz protokolliert?
Dieser Unterschied ist wichtig, weil Verantwortung sonst an der falschen Stelle gesucht wird. Wenn ein Anbieter nur die Oberflaeche liefert, aber ein anderes Unternehmen das Modell betreibt, gehoeren beide Namen in die Lieferantenakte. Wenn ein Tool mehrere KI-Funktionen hat, zum Beispiel Textgenerierung, Suche und automatische Zusammenfassung, reicht ein allgemeines Ja zur KI-Nutzung nicht. Jede Funktion braucht einen Zweck, eine Datenklasse und eine Stopplinie.
Die kleine GPAI-Pruefung fuer die Geschaeftsfuehrung
Eine praxistaugliche Pruefung passt auf eine Seite. Sie beginnt mit dem Arbeitsfall: Wofuer soll das Tool eingesetzt werden? Danach folgt die Datenfrage: Welche Inhalte werden eingegeben oder angebunden? Anschliessend kommt die Modellfrage: Welcher Anbieter, welches Modell oder welche Modellklasse wird genannt? Zum Schluss folgt die Kontrollfrage: Welche Ausgaben duerfen direkt genutzt werden, welche bleiben Entwurf, und wann muss ein Mensch pruefen?
- Arbeitsfall: Angebotsentwurf, Supportzusammenfassung, interne Suche, HR-Text, Rechnungspruefung oder Marketingentwurf.
- Datenklasse: oeffentlich, intern, kundenbezogen, personenbezogen, vertraulich oder besonders schutzwuerdig.
- Modell- und Anbieterhinweis: Hauptanbieter, Modellanbieter, Unterauftragnehmer und verfuegbare Sicherheitsunterlagen.
- Kontrollgrenze: reine Recherche, Entwurf, Freigabe durch Fachperson oder ausgeschlossene Handlung.
- Aenderungspfad: Wer prueft neue KI-Funktionen, Plugins oder Datenkonnektoren, bevor sie im Betrieb landen?
Warum das vor dem naechsten Upgrade passieren sollte
Viele KI-Funktionen kommen nicht als neues Projekt, sondern als Upgrade in bestehende Software. Genau dort ist das Risiko groesser als es wirkt. Mitarbeitende sehen eine neue Schaltflaeche und beginnen zu testen, bevor der Betrieb weiss, welche Datenwege dahinter liegen. Eine Lieferantenpruefung vor der Aktivierung ist schneller als eine spaetere Aufraeumaktion.
Der richtige Moment ist deshalb jede Vertragsverlaengerung, jedes Lizenzupgrade und jede neue KI-Funktion in einem bestehenden Tool. Die Frage lautet nicht: Duerfen wir KI ueberhaupt nutzen? Die bessere Frage lautet: Fuer welchen Arbeitsfall ist diese KI-Funktion freigegeben, welche Daten darf sie sehen, und welcher Nachweis des Anbieters liegt vor? So bleibt Innovation moeglich, ohne dass Beschaffung zur Blackbox wird.
Was heute konkret zu tun ist
Nehmen Sie die drei KI-Tools oder KI-Funktionen, die im Unternehmen am ehesten genutzt werden: Office-Assistent, Chatbot, CRM-Funktion, Dokumentensuche oder Branchenloesung. Legen Sie fuer jedes Tool eine Zeile an und fuellen Sie Arbeitsfall, Datenklasse, Anbieterhinweis, Pruefrolle und Stopplinie aus. Wo eine Antwort fehlt, steht nicht „passt schon“, sondern „Nachweis fehlt“. Das ist keine Buerokratie, sondern die kuerzeste Form von Fuehrungskontrolle.
Fuer DACH-KMU ist diese kleine Akte der pragmatische Weg zwischen Hype und Stillstand. Sie macht sichtbar, wo KI sofort als Entwurfshilfe nuetzt, wo sensible Daten begrenzt werden muessen und wo ein Anbieter vor dem Rollout noch Antworten liefern soll.
Quellen fuer diese Einordnung: EU-Kommission: GPAI-Leitlinien. EU-Kommission: Umsetzung des AI Act mit Leitlinien. NIST AI Risk Management Framework.
Nächster Schritt
Was heisst das für KI-Regeln und Nachweise?
- Nutzung sichtbar machen: Welche Teams nutzen welche KI-Tools?
- Daten und Freigaben klären: Was darf in ChatGPT, Copilot oder andere Tools?
- Nachweise vorbereiten: Regeln, Rollen und Unterweisung dokumentieren.
DACH-Hinweis: 10min KI Brief bleibt für KMU im gesamten DACH-Raum lesbar; konkrete Praxisangebote sind zuerst CH-first formuliert.
Das könnte dich auch interessieren
Welche Aufgabe kostet Ihr Büro jede Woche Zeit?
Wählen Sie den nächsten Schritt nach diesem Artikel: konkrete Büroarbeit priorisieren, zuerst kostenlos prüfen oder KI-Regeln/Nachweise klären.
Detailreport CHF 79 starten Kostenlosen Büro-KI-Check KI-Regeln prüfen