Die EU AI Act-Frist wirkt für viele KMU wie ein Anbieterthema: grosse Modelle, grosse Rechtsabteilungen, grosse Dokumentationsformulare. Genau diese Lesart ist zu bequem. Die EU beschreibt den General-Purpose AI Code of Practice als freiwilliges Werkzeug für Modellanbieter, mit Kapiteln zu Transparenz, Copyright sowie Safety und Security. Für Anwenderunternehmen entsteht daraus keine Pflicht, selbst Modellanbieter zu spielen. Aber es entsteht ein sehr praktisches Beschaffungssignal: Wer 2026 KI von OpenAI, Microsoft, Google oder einem Branchenanbieter einkauft, sollte nicht nur Preis und Funktionsliste vergleichen, sondern die Nachweisfähigkeit des Anbieters.
Das ist besonders für DACH-KMU wichtig, weil viele KI-Projekte nicht als IT-Grossprojekt starten. Ein Team testet einen Schreibassistenten, ein Supportbereich übernimmt Antwortvorschläge, Marketing lässt Produkttexte glätten, HR verdichtet Bewerbungsunterlagen. Nach drei Monaten ist die KI nicht mehr Experiment, sondern Teil der Aussenkommunikation. Wenn dann niemand weiss, welcher Dienst welche Daten verarbeitet, welche Ausgabe gekennzeichnet wird und welcher Mensch freigibt, wird aus einer Produktivitätsidee ein Vertrauensproblem.
Der Lieferantencheck vor dem nächsten Pilot
Die neue Frage im Einkauf lautet nicht: Hat der Anbieter ein schönes KI-Logo? Sie lautet: Kann der Anbieter erklären, wie Transparenz, Dokumentation und Copyright behandelt werden? Der GPAI-Code ist dabei kein Formular, das ein KMU kopieren muss. Er ist ein Raster, mit dem man Anbieter sortieren kann. Wer klare Angaben zu Modellherkunft, Trainings-/Copyright-Politik, Dokumentation, Sicherheitsprozess und EU-Umgang macht, ist für sichtbare Geschäftsprozesse besser geeignet als ein Tool, das nur mit Geschwindigkeit wirbt.
Ein kleines Unternehmen braucht dafür keine Rechtsabteilung. Es braucht eine zweiseitige Einkaufsliste. Vor jeder neuen KI-Lösung wird notiert: Wofür soll sie genutzt werden? Welche Daten gehen hinein? Berührt die Ausgabe Kunden, Bewerber, Preise, Verträge oder öffentliche Inhalte? Gibt es Anbieterinformationen zu Transparenz und Copyright? Gibt es eine Lösch-, Export- und Rollenlogik? Diese fünf Antworten reichen, um viele ungeeignete Piloten früh zu erkennen.
Ein Beispiel aus dem Vertrieb
Ein Maschinenbau-Zulieferer will Angebotsmails schneller schreiben. Das Team testet zwei Werkzeuge. Werkzeug A formuliert sehr gute Texte, beantwortet aber Datenschutz- und Dokumentationsfragen nur mit allgemeinen Marketingfloskeln. Werkzeug B ist sprachlich etwas nüchterner, zeigt aber klar, wie Daten verarbeitet werden, welche Administrationsrechte existieren und welche Modellinformationen bereitstehen. Für interne Skizzen kann A verlockend sein. Für echte Kundendokumente ist B der rationalere Start, weil der spätere Nachweis weniger improvisiert werden muss.
Der Unterschied zeigt sich nicht in der Demo, sondern im Fehlerfall. Wenn ein Kunde eine falsche Aussage im Angebot findet, reicht „die KI hat es vorgeschlagen“ nicht. Das Unternehmen muss erklären können, wer die Ausgabe geprüft hat und welches System beteiligt war. Genau deshalb gehört die Anbieterdokumentation an den Anfang, nicht als Nachtrag in den Moment der Beschwerde.
Die Drei-Farben-Regel für KI-Beschaffung
- Grün: interne Entwürfe ohne Kundendaten, Anbieter dokumentiert EU-/Transparenzgrundlagen, menschliche Freigabe ist gesetzt.
- Gelb: externe Texte oder Bewerber-/Kundendaten, aber noch kein Preis-, Rechts- oder Personalentscheid; hier braucht es Rollen, Logging und klare Anbieterantworten.
- Rot: automatische Zusagen, Ablehnungen, Preisfreigaben, rechtliche Bewertungen oder sensible Daten ohne belastbaren Nachweis und menschlichen Stopp.
Diese Farben verhindern, dass ein kleines Team jedes KI-Thema gleich behandelt. Ein Übersetzungsentwurf für eine interne Notiz braucht weniger Kontrolle als eine automatisch versendete Absage oder ein Angebotstext mit Liefertermin. Der Einkauf sollte deshalb nicht Toolkategorien bewerten, sondern Arbeitsfälle. Dasselbe Produkt kann für grüne Fälle passen und für rote Fälle ungeeignet sein.
Was Geschäftsführer diese Woche entscheiden sollten
Der sinnvolle Schritt ist klein: Legen Sie eine KI-Beschaffungsnotiz an, bevor der nächste Test startet. Darin stehen Arbeitsfall, Datenart, sichtbare Ausgabe, Anbieter-Nachweise und Freigabegrenze. Wenn ein Anbieter keine brauchbaren Informationen liefert, wird das Tool nicht automatisch verboten, aber es bleibt auf interne Entwürfe beschränkt. So entsteht Tempo mit Schutzgeländer.
Für 10min KI Brief ist das heutige Signal: Der GPAI-Code betrifft KMU nicht als Modellbauer, sondern als Käufer. Wer jetzt seine Toolauswahl nach Nachweisfähigkeit sortiert, reduziert 2026 Rechts- und Reputationsrisiko. Wer nur fragt, welches Tool am schnellsten schreibt, optimiert an der falschen Stelle.
Das könnte dich auch interessieren
Nächster Schritt
Was heisst das für KI-Regeln und Nachweise?
- Nutzung sichtbar machen: Welche Teams nutzen welche KI-Tools?
- Daten und Freigaben klären: Was darf in ChatGPT, Copilot oder andere Tools?
- Nachweise vorbereiten: Regeln, Rollen und Unterweisung dokumentieren.
DACH-Hinweis: 10min KI Brief bleibt für KMU im gesamten DACH-Raum lesbar; konkrete Praxisangebote sind zuerst CH-first formuliert.