KI-Compliance KMU · 8 Min. Lesezeit

KI-Compliance für KMU: Schnellstart in 5 Schritten | RechtAI

KI-Compliance für kleine und mittelständische Unternehmen: 5 konkrete Schritte zum EU-AI-Act-konformen Betrieb. Pragmatisch, umsetzbar — keine eigene Rechtsabteilung nötig.

Redaktion RechtAI · Fachlich geprüft
Juristen & Compliance-Experten, spezialisiert auf DSGVO und EU AI Act

KI-Compliance für KMU: Jetzt starten — in 5 Schritten

Viele Ratgeber zum EU AI Act richten sich an Großunternehmen mit eigener Compliance-Abteilung, Budget für externe Berater und einem ganzen Datenschutz-Team. Die Realität für Ihr Unternehmen sieht vermutlich anders aus: Sie nutzen einige KI-Tools, haben keine Rechtsabteilung, und müssen das Thema neben dem Tagesgeschäft angehen.

Dieser Leitfaden ist speziell für kleine und mittelständische Unternehmen (KMU) geschrieben. Er zeigt Ihnen, wie Sie EU-AI-Act-Compliance pragmatisch umsetzen — ohne Panik, ohne unnötigen Aufwand, aber mit klarem Blick auf das, was wirklich wichtig ist.

Ein wichtiger Vorteil vorab: Als KMU sind Sie in den meisten Fällen Deployer — also Nutzer von KI-Systemen anderer Anbieter, nicht selbst Entwickler. Das reduziert Ihre Pflichten erheblich, macht sie aber nicht null. Genau darum geht es in diesem Schnellstart.

Was KMU vom EU AI Act unterscheidet

Bevor wir in die Schritte einsteigen: Das EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen — unabhängig von Größe oder Branche. Was sich unterscheidet, sind die Pflichten je nach Rolle und Risikokategorie.

Als KMU ohne eigene KI-Entwicklung sind Sie fast immer Deployer (Nutzer). Das bedeutet:

  • Sie müssen keine eigene technische Dokumentation für das KI-System erstellen — das ist Aufgabe Ihres Softwareanbieters.
  • Sie müssen aber sicherstellen, dass Ihr Anbieter die Anforderungen erfüllt — und das nachweisen können.
  • Sie müssen menschliche Aufsicht bei Hochrisiko-Systemen sicherstellen.
  • Sie müssen Ihre Mitarbeiter schulen.
  • Für viele Standard-KI-Tools (Spam-Filter, einfache Empfehlungsalgorithmen) gelten keine besonderen Anforderungen.

Der häufigste Fehler bei KMU: Das Thema ignorieren, weil es “komplex” klingt. Der zweithäufigste: Sofort externe Berater engagieren, bevor man verstanden hat, ob überhaupt relevante Hochrisiko-Systeme im Einsatz sind. Beginnen Sie mit Schritt 1.

Schritt 1: KI-Inventar erstellen — in zwei Stunden

Bevor Sie irgendeine Compliance-Maßnahme ergreifen, müssen Sie wissen, welche KI-Systeme Ihr Unternehmen überhaupt nutzt. Das klingt selbstverständlich, wird aber regelmäßig übersprungen.

Erstellen Sie eine einfache Tabelle mit diesen Spalten:

KI-SystemZweckAnbieterNutzungsbereichRisiko (vorläufig)

Gehen Sie dabei systematisch vor — schauen Sie sich jede Abteilung an:

  • HR und Personalwesen: Bewerbermanagement-Tools, Leistungsbeurteilungssysteme, Onboarding-Assistenten
  • Marketing und Vertrieb: E-Mail-Automatisierung, Leadscoring, Chatbots auf der Website
  • Kundenservice: KI-gestützte Ticketsysteme, automatische Antwortvorschläge
  • Buchhaltung und Finanzen: Automatisierte Buchungsprüfung, Betrugserkennungssysteme
  • Produktion und Logistik: Predictive Maintenance, KI-gestützte Qualitätskontrolle
  • Interne Kommunikation: Microsoft Copilot, ChatGPT-Integration, GitHub Copilot

Wichtig: Fragen Sie auch die Mitarbeiter — viele KI-Tools werden auf Eigeninitiative genutzt, ohne dass die Geschäftsführung davon weiß (sogenannte “Shadow AI”). Ein freiwilliger, nicht sanktioniierter Meldeprozess deckt das auf.

Ziel dieses Schritts ist keine perfekte Liste, sondern ein vollständiger Überblick. Zwei Stunden Aufwand reichen für den Anfang.

Schritt 2: Schnell-Klassifizierung nach Risiko

Sobald Sie Ihre KI-Systeme kennen, ordnen Sie sie den vier Risikokategorien des EU AI Acts zu. Für KMU gilt die folgende Faustformel:

Kategorie “Sofort prüfen” — Hochrisiko-Systeme

Diese Systeme kommen in Ihrem Unternehmen am häufigsten vor und lösen die meisten Compliance-Pflichten aus:

  • KI-gestützte Bewerberselektion oder Leistungsbeurteilung von Mitarbeitern
  • KI für Kreditvergabe oder Bonitätsprüfung gegenüber Kunden
  • Automatisierte Zugangskontrollen mit Gesichtserkennung
  • KI in sicherheitskritischen Produktionsprozessen

Wenn Sie ein solches System einsetzen: Lesen Sie Schritt 3 besonders sorgfältig — und ziehen Sie parallel den EU AI Act Compliance Leitfaden für den Mittelstand zurate.

Kategorie “Transparenz erforderlich” — Begrenzte Risiko-Systeme

  • Chatbots im Kundendienst: Nutzer müssen wissen, dass sie mit einer KI sprechen.
  • KI-generierte Texte oder Bilder, die nach außen kommuniziert werden: müssen als solche gekennzeichnet sein.

Kategorie “Kein besonderer Handlungsbedarf”

  • Spam-Filter, einfache Produktionsautomatisierung, Empfehlungsalgorithmen ohne Personenbezug, KI-Schreibhilfen für interne Dokumente

Die gute Nachricht für die meisten KMU: Ein Großteil der eingesetzten KI-Tools fällt in diese letzte Kategorie. Für sie brauchen Sie keine besondere Compliance-Dokumentation.

Eine vollständige Übersicht der Risikokategorien — inklusive konkreter Beispiele und gesetzlicher Fristen — finden Sie im Artikel EU-AI-Act 2026: Überblick für Unternehmen.

Schritt 3: Sofortmaßnahmen für Hochrisiko-Systeme

Falls Sie in Schritt 2 Hochrisiko-Systeme identifiziert haben, ist jetzt Handlungsbedarf. Die wichtigsten Maßnahmen als Deployer:

Anbieter schriftlich befragen

Schreiben Sie Ihren Softwareanbietern eine E-Mail mit diesen Fragen:

  1. Ist das System gemäß Anhang III EU AI Act als Hochrisiko-System klassifiziert?
  2. Liegt eine technische Dokumentation nach Art. 11 EU AI Act vor?
  3. Wurde eine Konformitätsbewertung durchgeführt?
  4. Wie ist das Human-in-the-Loop-Prinzip in unserem Anwendungsfall umgesetzt?
  5. Ist das System in der EU-Datenbank für Hochrisiko-KI registriert (Pflicht ab August 2026)?

Anbieter, die auf diese Fragen keine klare Antwort geben können, stellen ein Compliance-Risiko für Ihr Unternehmen dar. Dann müssen Sie entweder den Einsatz des Systems überdenken oder eine alternative Lösung suchen.

Menschliche Aufsicht sicherstellen

Als Deployer müssen Sie sicherstellen, dass kein Hochrisiko-System unkontrolliert und automatisch Entscheidungen über Menschen trifft. Das gilt besonders im HR-Bereich: Wenn ein KI-Tool Bewerber auswertet, muss ein Mensch die Empfehlung inhaltlich prüfen und dokumentiert abweichen können.

Richten Sie hierfür eine interne Richtlinie ein: “KI-Empfehlungen sind Input, keine Entscheidung.” Das kostet wenig, schützt aber erheblich. Für HR-spezifische Anforderungen empfehlen wir den Leitfaden DSGVO & KI im Bewerber-Screening.

Erstes KI-Register anlegen

Dokumentieren Sie für jedes Hochrisiko-System mindestens:

  • Name und Version des Systems
  • Anbieter und Vertragsgrundlage
  • Zweck und Einsatzbereich
  • Verantwortliche Person intern
  • Status der Anbieter-Dokumentation
  • Datum der letzten Überprüfung

Ein einfaches Spreadsheet reicht als Anfang — Vollständigkeit schlägt Perfektion.

Schritt 4: Dokumentation in der Praxis — was wirklich nötig ist

Viele KMU schrecken vor “Compliance-Dokumentation” zurück, weil sie sich aufwändige Bürokratie vorstellen. In der Praxis ist der Minimalstandard für Deployer ohne Hochrisiko-Systeme sehr überschaubar:

Wenn Sie keine Hochrisiko-Systeme einsetzen:

  • Halten Sie Ihr KI-Inventar aus Schritt 1 aktuell.
  • Stellen Sie sicher, dass KI-generierte Inhalte nach außen gekennzeichnet sind.
  • Informieren Sie Website-Besucher über KI-Chatbots.

Das war’s. Kein zusätzlicher Dokumentationsaufwand.

Wenn Sie Hochrisiko-Systeme einsetzen:

Zusätzlich zum KI-Register aus Schritt 3 dokumentieren Sie:

  • Risikobewertung: Eine kurze Einschätzung, wie das System Grundrechte der betroffenen Personen beeinflussen kann.
  • Menschliche Aufsicht: Wer überprüft KI-Empfehlungen — und wie oft?
  • Schulungsnachweis: Welche Mitarbeiter wurden wann zu dem System geschult?
  • Incident-Log: Falls das System fehlerhafte Entscheidungen trifft — wann, was, wie reagiert?

Die systematische Checkliste für diese Punkte finden Sie in unserer EU-AI-Gesetz Compliance-Checkliste.

Schritt 5: Team schulen und Prozesse etablieren

Compliance lebt von Menschen, nicht von Dokumenten. Der letzte und dauerhafteste Schritt ist die Integration in Ihren Alltag.

Kurze Einführung für alle Mitarbeiter (1 Stunde)

Erklären Sie Ihrem Team:

  • Warum das EU AI Act relevant ist
  • Was “Hochrisiko-KI” bedeutet und welche Tools ihr Unternehmen darunter fallen
  • Was “Human-in-the-Loop” in der Praxis heißt
  • Wie Mitarbeiter neue KI-Tools intern melden können (einfaches Formular genügt)

Freigabeprozess für neue KI-Tools einführen

Ab sofort sollte jede neue KI-Anwendung einen kurzen internen Prüfprozess durchlaufen:

  1. Wer will das Tool einsetzen, wozu?
  2. Fällt es in eine Risikokategorie?
  3. Liegt Anbieter-Dokumentation vor?
  4. Wer ist intern verantwortlich?

Ein einfaches Formular oder eine Checkliste reicht. Ziel ist nicht Bürokratie, sondern Bewusstsein.

Jährliche Überprüfung einplanen

KI entwickelt sich schnell — und damit auch die eingesetzten Tools. Planen Sie einmal jährlich eine kurze Überprüfung:

  • Welche neuen KI-Tools wurden eingeführt?
  • Hat sich die Risikoeinstufung bekannter Systeme geändert?
  • Sind Anbieter-Dokumentationen aktuell?

Das ist kein aufwändiges Audit, sondern eine strukturierte Reflexion — ein halber Arbeitstag pro Jahr.

KMU-spezifische Erleichterungen im EU AI Act

Das Gesetz enthält einige Regelungen, die explizit auf KMU ausgerichtet sind:

  • Proportionalität bei Bußgeldern: Für KMU gilt bei Verstößen der jeweils niedrigere Betrag — Prozentsatz des Umsatzes oder Fixbetrag. Das schützt vor unverhältnismäßig hohen Geldbußen.
  • Verhaltenskodizes: KMU können branchenspezifischen Verhaltenskodizes beitreten, die als Nachweis für Good-Faith-Compliance gelten.
  • Nationale Anlaufstellen: Die zuständigen nationalen Behörden (in Deutschland die Bundesnetzagentur) sind verpflichtet, KMU-spezifische Orientierungshilfen bereitzustellen.
  • Phased Rollout: Die volle Anwendung tritt erst am 2. August 2026 in Kraft — es gibt Zeit für schrittweise Umsetzung.

Was wirklich nicht warten kann

Trotz der Übergangszeiträume gibt es zwei Bereiche, in denen sofortiger Handlungsbedarf besteht:

1. Verbotene KI-Praktiken sind seit dem 2. Februar 2025 durchsetzbar. Prüfen Sie jetzt: Setzt Ihr Unternehmen oder ein Ihrer Anbieter eines der folgenden verbotenen Systeme ein?

  • Social-Scoring-Systeme zur Bewertung von Menschen nach Verhalten
  • Emotionserkennung am Arbeitsplatz
  • Biometrische Echtzeit-Überwachung im öffentlichen Raum
  • KI-Systeme zur psychologischen Manipulation von Nutzern

Falls ja: Sofort abschalten. Keine Übergangsfristen.

2. KI-Transparenz gegenüber Kunden: Wenn Ihr Unternehmen Chatbots oder KI-generierte Inhalte einsetzt, müssen Nutzer jetzt darüber informiert werden — nicht erst 2026.

Womit anfangen?

Wenn Sie nach diesem Leitfaden einen klaren ersten Schritt suchen: Erstellen Sie heute Ihr KI-Inventar. Öffnen Sie ein Spreadsheet, listen Sie alle KI-Tools auf, die Ihr Unternehmen nutzt, und machen Sie eine vorläufige Risikoeinstufung. Dieser eine Schritt — zwei Stunden Aufwand — gibt Ihnen die Klarheit, die Sie für alles Weitere brauchen.

Für die detaillierte Umsetzung bei Hochrisiko-Systemen empfehlen wir:

Haben Sie Fragen zu Ihrer spezifischen Situation? Kontaktieren Sie uns unter kontakt@rechtai.de.

Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für individuelle Compliance-Fragen empfehlen wir die Konsultation eines auf IT-Recht oder KI-Recht spezialisierten Rechtsanwalts.

Weitere Artikel

AI Datenschutz DSGVO

Künstliche Intelligenz und Datenschutz: Wie KMUs AI rechtssicher einsetzen

DSGVO & KI für Unternehmen: Art. 22 automatisierte Entscheidungen, Datenschutz-Folgenabschätzung für KI-Systeme und praktische Checkliste für KMUs.

EU AI Act IT-Dienstleister

EU AI Act für IT-Dienstleister 2026: Compliance-Leitfaden für Softwareunternehmen

Anbieter oder Betreiber? Konkrete Pflichten für IT-Dienstleister unter dem EU AI Act 2026: GPAI, Hochrisiko-KI, Dokumentation und Deadlines für Softwareunternehmen.

Datenschutzerklärung Website Deutschland

Datenschutzerklärung für Websites schreiben: Pflichtangaben 2026

Datenschutzerklärung für deutsche Websites: Alle Pflichtangaben nach DSGVO, Muster-Formulierungen und häufige Fehler — praxisnah für Selbstständige und KMU.