Die EU-Kommission hat ihre Arbeit an den Leitlinien für General-Purpose-AI-Modelle und an klareren Umsetzungshinweisen zum EU AI Act weiter konkretisiert. Für KMU ist das kein fernes Bruesseler Spezialthema. Sobald ein Betrieb Chatbots, Copilots, Schreibassistenten, Suchsysteme oder Branchen-Tools einkauft, stellt sich dieselbe operative Frage: Wer liefert welches Modell, welche Daten berührt es, und welche Verantwortung bleibt beim Unternehmen? Genau diese Frage gehört jetzt in eine kurze KI-Lieferantenprüfung.
Die gute Nachricht: Ein kleines Unternehmen muss nicht selbst zum Modellpruefer werden. Es muss aber verhindern, dass KI-Beschaffung nur als Lizenzkauf behandelt wird. Ein Tool kann modern wirken und trotzdem unklar lassen, ob ein externer Modellanbieter beteiligt ist, welche Unterauftragnehmer genutzt werden, ob Trainings- oder Protokolldaten entstehen und wie neue Funktionen freigeschaltet werden. Der praktische Nutzen der GPAI-Debatte liegt für KMU darin, diese Unklarheiten früh sichtbar zu machen.
Der Unterschied zwischen Tool und Modell wird zur Einkaufsfrage
Viele KI-Produkte erscheinen als vertraute Oberfläche: CRM, Office-Suite, Supportsystem, HR-Plattform oder Dokumentensuche. Im Hintergrund können jedoch unterschiedliche Modellanbieter, Konnektoren und Datenwege stecken. Ein KMU muss deshalb nicht nur den Produktnamen notieren, sondern die KI-Komponente dahinter. Wird ein allgemeines Modell genutzt? Gibt es ein eigenes Modell des Anbieters? Werden Daten an einen Drittanbieter weitergegeben? Wird der Einsatz protokolliert?
Dieser Unterschied ist wichtig, weil Verantwortung sonst an der falschen Stelle gesucht wird. Wenn ein Anbieter nur die Oberfläche liefert, aber ein anderes Unternehmen das Modell betreibt, gehören beide Namen in die Lieferantenakte. Wenn ein Tool mehrere KI-Funktionen hat, zum Beispiel Textgenerierung, Suche und automatische Zusammenfassung, reicht ein allgemeines Ja zur KI-Nutzung nicht. Jede Funktion braucht einen Zweck, eine Datenklasse und eine Stopplinie.
Die kleine GPAI-Prüfung für die Geschäftsführung
Eine praxistaugliche Prüfung passt auf eine Seite. Sie beginnt mit dem Arbeitsfall: Wofür soll das Tool eingesetzt werden? Danach folgt die Datenfrage: Welche Inhalte werden eingegeben oder angebunden? Anschliessend kommt die Modellfrage: Welcher Anbieter, welches Modell oder welche Modellklasse wird genannt? Zum Schluss folgt die Kontrollfrage: Welche Ausgaben dürfen direkt genutzt werden, welche bleiben Entwurf, und wann muss ein Mensch prüfen?
- Arbeitsfall: Angebotsentwurf, Supportzusammenfassung, interne Suche, HR-Text, Rechnungsprüfung oder Marketingentwurf.
- Datenklasse: öffentlich, intern, kundenbezogen, personenbezogen, vertraulich oder besonders schutzwuerdig.
- Modell- und Anbieterhinweis: Hauptanbieter, Modellanbieter, Unterauftragnehmer und verfuegbare Sicherheitsunterlagen.
- Kontrollgrenze: reine Recherche, Entwurf, Freigabe durch Fachperson oder ausgeschlossene Handlung.
- Änderungspfad: Wer prüft neue KI-Funktionen, Plugins oder Datenkonnektoren, bevor sie im Betrieb landen?
Warum das vor dem nächsten Upgrade passieren sollte
Viele KI-Funktionen kommen nicht als neues Projekt, sondern als Upgrade in bestehende Software. Genau dort ist das Risiko grösser als es wirkt. Mitarbeitende sehen eine neue Schaltflaeche und beginnen zu testen, bevor der Betrieb weiss, welche Datenwege dahinter liegen. Eine Lieferantenprüfung vor der Aktivierung ist schneller als eine spätere Aufraeumaktion.
Der richtige Moment ist deshalb jede Vertragsverlaengerung, jedes Lizenzupgrade und jede neue KI-Funktion in einem bestehenden Tool. Die Frage lautet nicht: Dürfen wir KI überhaupt nutzen? Die bessere Frage lautet: Für welchen Arbeitsfall ist diese KI-Funktion freigegeben, welche Daten darf sie sehen, und welcher Nachweis des Anbieters liegt vor? So bleibt Innovation möglich, ohne dass Beschaffung zur Blackbox wird.
Was heute konkret zu tun ist
Nehmen Sie die drei KI-Tools oder KI-Funktionen, die im Unternehmen am ehesten genutzt werden: Office-Assistent, Chatbot, CRM-Funktion, Dokumentensuche oder Branchenloesung. Legen Sie für jedes Tool eine Zeile an und fuellen Sie Arbeitsfall, Datenklasse, Anbieterhinweis, Prüfrolle und Stopplinie aus. Wo eine Antwort fehlt, steht nicht „passt schon“, sondern „Nachweis fehlt“. Das ist keine Bürokratie, sondern die kuerzeste Form von Führungskontrolle.
Für DACH-KMU ist diese kleine Akte der pragmatische Weg zwischen Hype und Stillstand. Sie macht sichtbar, wo KI sofort als Entwurfshilfe nuetzt, wo sensible Daten begrenzt werden müssen und wo ein Anbieter vor dem Rollout noch Antworten liefern soll.
Quellen für diese Einordnung: EU-Kommission: GPAI-Leitlinien. EU-Kommission: Umsetzung des AI Act mit Leitlinien. NIST AI Risk Management Framework.
Das könnte dich auch interessieren
Nächster Schritt
Was heisst das für KI-Regeln und Nachweise?
- Nutzung sichtbar machen: Welche Teams nutzen welche KI-Tools?
- Daten und Freigaben klären: Was darf in ChatGPT, Copilot oder andere Tools?
- Nachweise vorbereiten: Regeln, Rollen und Unterweisung dokumentieren.
DACH-Hinweis: 10min KI Brief bleibt für KMU im gesamten DACH-Raum lesbar; konkrete Praxisangebote sind zuerst CH-first formuliert.