Die Nachricht wirkt zunächst weit weg vom Alltag eines kleinen Unternehmens: Die EU beschreibt den General-Purpose-AI Code of Practice als freiwilliges Werkzeug für Anbieter grosser KI-Modelle, um Pflichten zu Sicherheit, Transparenz und Copyright unter dem EU AI Act leichter nachzuweisen. Auf der offiziellen Seite zum GPAI Code of Practice steht zudem, dass Unterzeichner dadurch mehr Rechtssicherheit und weniger administrativen Aufwand erhalten können. Für ein deutsches KMU, das solche Modelle von OpenAI, Microsoft oder Google nur nutzt, ist das kein Herstellerpapier zum Abheften. Es ist ein Signal, welche Nachweise Kunden, Partner und Behörden in den nächsten Monaten indirekt erwarten werden.
Die operative Frage lautet deshalb nicht, ob ein kleiner Betrieb selbst einen Foundation Model Report schreiben muss. Die bessere Frage lautet: Welche KI-Ausgaben verlassen unser Team, und können wir im Zweifel erklären, auf welcher Grundlage sie entstanden sind? Die AI-Act-Debatte wandert damit von der Rechtsabteilung in Marketing, Support, HR und Vertrieb. Dort entstehen Texte, Chatbot-Antworten, Angebotsentwürfe, Bewerbermails und Produktbeschreibungen, die Menschen ausserhalb des Unternehmens sehen.
Aus Modellpflichten wird eine Nutzerspur
Viele Unternehmen schauen auf Toolnamen. Sie fragen: Ist ChatGPT erlaubt? Ist Copilot sicher? Darf Gemini genutzt werden? Diese Fragen sind verständlich, aber zu grob. Der Code of Practice zeigt gerade, dass die Herkunft, Transparenz und Dokumentation von KI-Leistung wichtiger werden. Für Nutzerunternehmen heisst das: Nicht jede Anwendung braucht denselben Aufwand, aber jede sichtbare Ausgabe braucht eine nachvollziehbare Nutzerspur.
Eine Nutzerspur ist kein dickes Handbuch. Sie beantwortet pro Arbeitsfall vier Punkte: Welches Tool oder welcher Dienst war beteiligt? Welche Daten gingen hinein? Welche Ausgabe wurde erzeugt? Wer hat sie vor Versand, Veröffentlichung oder Entscheidung geprüft? Wenn diese vier Antworten fehlen, entsteht ein Risiko, selbst wenn das Tool bekannt und beliebt ist.
Der Unterschied zwischen Entwurf und Aussenwirkung
Ein interner Entwurf ist noch keine öffentliche KI-Ausgabe. Ein automatisch versendeter Kundentext ist es sehr wohl. Dazwischen liegen viele Graubereiche: Ein Verkäufer übernimmt einen KI-formulierten Absatz fast unverändert in ein Angebot. Eine HR-Mitarbeiterin nutzt KI, um Absagen freundlicher zu schreiben. Das Marketing veröffentlicht eine Produktseite, deren Kernaussagen aus einem Prompt entstanden sind. Genau diese Fälle werden in kleinen Teams schnell normal, ohne dass jemand sie als KI-Nutzung führt.
Der praktische Start ist deshalb eine Liste sichtbarer Ausgaben. Nicht alle Tools. Nicht alle Prompts. Nur die Stellen, an denen Menschen ausserhalb des Kernteams eine KI-beeinflusste Ausgabe sehen. Dort entscheidet sich, ob Transparenz, fachliche Prüfung, Datenschutz und Markenvertrauen zusammenpassen.
Die Fünf-Felder-Liste für diese Woche
- Arbeitsfall: zum Beispiel Kundenmail, Stellenanzeige, Produkttext, Supportantwort oder Angebotsentwurf.
- Beteiligtes System: Tool, integrierter Assistent oder Branchenlösung.
- Eingabedaten: öffentliche Informationen, Kundendaten, interne Notizen oder sensible Daten.
- Ausgabe: Entwurf, Zusammenfassung, Empfehlung, Klassifizierung oder fertiger Text.
- Kontrolle: wer prüft Inhalt, Ton, Fakten, Preiszusagen und rechtliche Grenzen.
Diese Liste lässt sich in einer Stunde mit drei Personen beginnen: Geschäftsführung, operative Fachperson und jemand aus Marketing oder Administration. Wichtig ist nicht Vollständigkeit am ersten Tag, sondern ein gemeinsamer Blick. Sobald zehn Arbeitsfälle sichtbar sind, erkennt man Muster. Vielleicht gibt es zu viele freie Tools. Vielleicht fehlt nur eine Freigabe für Kundentexte. Vielleicht sind die riskanten Fälle gar nicht im Marketing, sondern im Support.
Was der Whistleblower-Hinweis praktisch bedeutet
Die EU erklärt beim AI Act Whistleblower Tool, dass Hinweise zu bestimmten AI-Act-Verstössen ab 2. August 2026 rechtlich anders relevant werden können. Für KMU ist das kein Grund zur Panik, aber ein guter Realitätstest. Wenn Mitarbeitende künftig einen problematischen KI-Prozess melden können, sollte die Geschäftsführung heute wissen, wo solche Prozesse überhaupt liegen. Unklare Schattennutzung ist dann nicht nur ineffizient, sondern reputationsgefährlich.
Ein Betrieb, der seine sichtbaren KI-Ausgaben sauber führt, wirkt dagegen professionell. Er kann einem Kunden erklären, dass eine Antwort mit KI vorbereitet, aber fachlich geprüft wurde. Er kann intern verbieten, dass Preise, Kündigungen, medizinische Aussagen oder rechtliche Zusagen automatisch entstehen. Und er kann neue Tools schneller testen, weil der erlaubte Arbeitsfall bereits beschrieben ist.
Die KMU-Entscheidung
Die Entscheidung für diese Woche lautet: Nicht noch ein Tool testen, bevor die sichtbaren KI-Ausgaben sortiert sind. Wer bereits mit KI arbeitet, sollte zehn reale Fälle sammeln und mit den fünf Feldern erfassen. Wer noch nicht produktiv arbeitet, sollte diese Liste vor dem ersten Pilot anlegen. So wird der AI Act nicht zu einem Sommer-2026-Schreck, sondern zu einer einfachen Führungsroutine.
Für 10min KI Brief ist das heutige Signal klar: Die Regulierung betrifft nicht nur Anbieter grosser Modelle. Sie verändert auch die Erwartung an Nutzer. KMU brauchen keine Konzernbürokratie, aber sie brauchen eine beweisbare Linie zwischen KI-Entwurf, menschlicher Prüfung und sichtbarer Ausgabe. Genau dort entsteht 2026 Vertrauen.
Das könnte dich auch interessieren
Nächster Schritt
Was heisst das für KI-Regeln und Nachweise?
- Nutzung sichtbar machen: Welche Teams nutzen welche KI-Tools?
- Daten und Freigaben klären: Was darf in ChatGPT, Copilot oder andere Tools?
- Nachweise vorbereiten: Regeln, Rollen und Unterweisung dokumentieren.
DACH-Hinweis: 10min KI Brief bleibt für KMU im gesamten DACH-Raum lesbar; konkrete Praxisangebote sind zuerst CH-first formuliert.