Seit dem 2. Februar 2025 gelten die ersten verbindlichen Regelungen des EU AI Acts – und viele Unternehmen haben davon noch nichts gehört. Was für Grosskonzerne nach Bürokratie klingt, betrifft KMU schneller als gedacht: besonders wer KI für Personalentscheidungen, Kreditprüfungen oder automatisierte Kundenbewertungen nutzt.
Was der EU AI Act für Unternehmen bedeutet
Das Gesetz klassifiziert KI-Systeme nach Risikostufen. Für die meisten KMU relevant sind zwei Kategorien: „minimales Risiko“ (z. B. Chatbots, Texterstellung) und „hohes Risiko“ (z. B. KI in HR, Finanzentscheidungen, Biometrie).
Hochrisiko-Systeme – und dazu zählt bereits ein einfaches KI-Tool zur Lebenslauf-Vorauswahl – unterliegen strengen Anforderungen: Transparenz, menschliche Aufsicht, technische Dokumentation und eine Risikofolgenabschätzung.
Was das konkret für Ihren Alltag bedeutet
Chatbots und Texterstellung: Kein Problem. Diese Systeme fallen unter minimales Risiko und erfordern nur einfache Transparenzhinweise – z. B. „Dieser Text wurde mit KI-Unterstützung erstellt“.
KI im Recruiting oder Kreditwesen: Hier greift der AI Act direkt. Sie brauchen eine Dokumentation, welche Systeme Sie nutzen, wie Entscheidungen getroffen werden und wie Betroffene widersprechen können.
DSGVO bleibt: Der AI Act ersetzt die Datenschutzgrundverordnung nicht – er kommt hinzu. Datenminimierung, Zweckbindung und Auskunftspflichten bleiben vollständig in Kraft.
Fünf Sofortmassnahmen für KMU
- KI-Inventar erstellen: Liste aller KI-Tools im Unternehmen mit Anbieter, Verwendungszweck und Risikokategorie.
- Verarbeitungsverzeichnis updaten: Ergänzen Sie bestehende DSGVO-Dokumentation um KI-Einträge.
- Datenschutzhinweise anpassen: Informieren Sie Nutzer, wenn KI-Systeme eingesetzt werden.
- Menschliche Kontrolle sicherstellen: KI darf vorbereiten – entscheiden muss immer ein Mensch.
- Anbieter prüfen: Fragen Sie Ihren KI-Anbieter nach seiner AI-Act-Compliance-Dokumentation. Seriöse Anbieter haben diese längst.
Kostenlose Ressource: Bitkom-Leitfaden
Der Bitkom hat 2025 einen Praxisleitfaden „KI und Datenschutz“ (Version 2.0) veröffentlicht – kostenlos unter bitkom.org. Für die interne Risikofolgenabschätzung eignet sich das EU-Formular, das viele Landesdatenschutzbehörden bereitstellen.
KI-Compliance klingt nach trockenem Verwaltungsaufwand. In der Praxis ist es oft eine Excel-Tabelle und ein kurzes Meeting mit Ihrem Datenschutzbeauftragten – kein Juristen-Projekt.
Mehr praxisnahe KI-Tipps für Ihr Unternehmen? Der 10min-ki-brief erscheint jeden Montag – jetzt kostenlos abonnieren.
Weiterführende Artikel:
EU AI Act: 5 Monate bis zur Deadline — ist Ihr Unternehmen bereit?
EU AI Act: Was Ihr Unternehmen jetzt wissen muss
42 Prozent der Industrieunternehmen nutzen KI in der Produktion – warum das Ihre Chance ist
