Governance Insight · EU AI Act & KMU

EU AI Act für KMU: Was Unternehmen jetzt wirklich tun müssen

Der EU AI Act schafft einen regulatorischen Rahmen für KI-Nutzung. Aber operative Governance beginnt früher — und ist für KMU relevanter als die meisten Compliance-Checklisten vermuten lassen.

Andy Candin · Gründer Aivisoul·Mai 2026

Was der EU AI Act wirklich ist — und was nicht

Der EU AI Act ist ein Regulierungsrahmen. Er definiert Kategorien, Anforderungen und Pflichten für bestimmte KI-Systeme — abhängig von Einsatzkontext, Risikopotenzial und Branche. Er ist kein Handbuch für operative KI-Governance. Und er löst keine Probleme, die in Unternehmen bereits heute entstehen.

Für KMU bedeutet das: Die regulatorische Frage — "Bin ich betroffen?" — ist wichtig. Aber sie ist nicht die erste Frage. Die erste Frage lautet: "Wissen wir überhaupt, welche KI-Systeme wir nutzen, wofür und unter wessen Verantwortung?"

Der EU AI Act regelt Compliance. Er löst keine operativen Probleme. Wer Governance nur als Compliance-Aufgabe versteht, löst das falsche Problem.

Betrifft der EU AI Act auch KMU?

Die kurze Antwort: Es kommt darauf an. Der EU AI Act unterscheidet nach Risikokategorien und Rollen — Anbieter, Betreiber, Importeur. Ob und in welchem Umfang ein KMU betroffen ist, hängt davon ab, welche KI-Systeme eingesetzt werden, in welchem Kontext und welche Rolle das Unternehmen dabei einnimmt.

Einige KI-Nutzungen können abhängig vom konkreten Einsatzkontext erhöhte regulatorische Anforderungen auslösen — etwa wenn KI-Systeme in sensiblen Bereichen wie Personalentscheidungen, Kreditbewertung oder kritischer Infrastruktur eingesetzt werden. Andere Nutzungen sind weniger regulatorisch relevant, aber operativ dennoch bedeutsam.

Für die meisten KMU gilt: Die regulatorische Prüfung ist ein notwendiger Schritt — aber kein Ersatz für operative Klarheit darüber, was tatsächlich im Einsatz ist. Diese Prüfung sollte in Abstimmung mit rechtlicher und organisatorischer Beratung erfolgen.

Compliance ist nicht dasselbe wie operative Kontrolle

Das ist der zentrale Punkt, den viele KMU-Führungskräfte beim Thema EU AI Act übersehen: Regulatorische Compliance — das Erfüllen von Dokumentations-, Transparenz- und Risikobewertungspflichten — setzt voraus, dass ein Unternehmen bereits weiß, was es tut.

Sichtbarkeit ist die Voraussetzung jeder Governance

Wer nicht weiß, welche KI-Tools im Einsatz sind, kann sie weder regulatorisch einordnen noch operativ kontrollieren. In vielen Unternehmen fehlt genau diese Grundlage: ein vollständiges Bild darüber, welche Systeme genutzt werden, mit welchen Daten, für welche Entscheidungen und unter wessen Verantwortung.

Checklisten ersetzen keine Governance

Compliance-Checklisten sind ein nützliches Werkzeug — aber sie schaffen keine operative Kontrollfähigkeit. Eine Checkliste kann bestätigen, dass ein Prozess dokumentiert ist. Sie kann nicht sicherstellen, dass dieser Prozess tatsächlich gelebt wird, dass Verantwortlichkeiten klar sind oder dass Review-Strukturen funktionieren.

Operative Governance bedeutet: Das Unternehmen kann jederzeit erklären, welche KI-Systeme es nutzt, wofür, mit welchen Daten und wer im Zweifelsfall verantwortlich ist. Das ist keine regulatorische Anforderung allein — es ist eine Führungsaufgabe.

Viele Risiken entstehen nicht bei der regulatorischen Prüfung — sie entstehen vorher, im operativen Alltag, wo KI-Tools genutzt werden, ohne dass Ownership, Review oder Dokumentation klar geregelt sind.

Was KMU jetzt konkret tun können

Operative KI-Governance muss nicht komplex beginnen. Der erste Schritt ist eine strukturierte Bestandsaufnahme — ein AI Usage Inventory. Vier Fragen sind dabei zentral:

  • Was wird genutzt — welche KI-Systeme, welche Anbieter, welche Versionen?
  • Wofür wird es genutzt — welche Prozesse, welche Entscheidungen, welche Datenkategorien?
  • Unter wessen Verantwortung — wer trägt Ownership, wer prüft, wer dokumentiert?
  • Mit welchem Review — wie werden KI-gestützte Ergebnisse geprüft, bevor sie wirksam werden?

Diese vier Fragen bilden die operative Grundlage — bevor regulatorische Einordnung, Risikoklassifizierung oder Compliance-Dokumentation beginnen können. Wer sie nicht beantworten kann, hat eine Governance-Lücke, unabhängig davon, ob der EU AI Act formal anwendbar ist oder nicht.

GO, IMPROVE, STOP — operative Richtungsentscheidungen

Der AGWOS-Ansatz (Aivisoul Governance Operating System) strukturiert diese Bestandsaufnahme in drei operative Richtungsentscheidungen: Jede relevante KI-Nutzung erhält eine klare Einschätzung — GO (Nutzung kann unter aktuellen Bedingungen fortgeführt werden), IMPROVE (Nutzung braucht klarere Ownership, Review oder Dokumentation) oder STOP (Nutzung pausiert, bis Kontrolle wiederhergestellt ist). Keine endlosen Risikodiskussionen. Klare Richtung. Menschliche Verantwortung bleibt sichtbar.

Was der EU AI Act von KMU konkret verlangen kann

Ohne rechtliche Einordnung des konkreten Einzelfalls lässt sich keine definitive Aussage treffen — das ist der wichtigste Vorbehalt bei jedem Gespräch über EU AI Act und KMU. Was sich allgemein sagen lässt:

  • KI-Systeme, die in bestimmten Kontexten eingesetzt werden — etwa bei Personalentscheidungen, Bonitätsbewertungen oder sicherheitskritischen Anwendungen — können abhängig vom konkreten Einsatzkontext erhöhte regulatorische Anforderungen auslösen und bedürfen gesonderter organisatorischer und rechtlicher Prüfung.
  • Unternehmen, die KI-Systeme nicht selbst entwickeln, sondern als Betreiber nutzen, haben andere Pflichten als Anbieter — aber keine Pflichtlosigkeit.
  • Transparenz- und Dokumentationsanforderungen können auch für KMU relevant werden, wenn KI in Entscheidungsprozessen mit Außenwirkung eingesetzt wird.
  • Die regulatorische Einordnung hängt stark vom konkreten Anwendungsfall ab — pauschale Aussagen sind hier nicht möglich und nicht hilfreich.

Für eine verlässliche Einschätzung der regulatorischen Situation empfiehlt sich die Zusammenarbeit mit rechtlicher Beratung, die Erfahrung mit dem EU AI Act hat. Operative Governance und regulatorische Compliance ergänzen sich — sie ersetzen sich nicht gegenseitig.

Weiterführende Perspektiven

EU AI Act und KI-Governance sind keine isolierten Themen. Sie stehen im Kontext operativer Herausforderungen, die viele Unternehmen bereits heute betreffen:

  • Shadow AI im Unternehmen — Wie KI-Nutzung ohne Wissen der Führungsebene entsteht und welche operativen Konsequenzen das hat.
  • KI-Governance für Kanzleien — Wie Kanzleien KI kontrolliert nutzen können, ohne Mandantenvertraulichkeit und operative Verantwortung aus dem Blick zu verlieren.
  • EU AI Act Readiness Check — Erste strukturierte Einschätzung der regulatorischen Relevanz für Ihr Unternehmen.
  • AGWOS Framework — Die operative Governance-Logik hinter dem Aivisoul-Ansatz.

Häufige Fragen

Betrifft der EU AI Act auch kleine Unternehmen?

Grundsätzlich ja — der EU AI Act gilt unabhängig von der Unternehmensgröße, wenn KI-Systeme in bestimmten Kontexten eingesetzt werden. Ob und in welchem Umfang ein KMU konkret betroffen ist, hängt vom Einsatzkontext, der Risikokategorie des Systems und der Rolle des Unternehmens ab. Eine pauschale Antwort ist hier nicht möglich — eine rechtliche Einordnung des Einzelfalls ist empfehlenswert.

Wann wird KI-Nutzung regulatorisch relevant?

Regulatorische Relevanz entsteht nicht automatisch durch die Nutzung von KI, sondern hängt vom konkreten Einsatzkontext ab. KI-Systeme, die in sensiblen Bereichen eingesetzt werden — etwa bei Personalentscheidungen, Kreditbewertungen oder sicherheitskritischen Anwendungen — können erhöhte regulatorische Anforderungen auslösen. Operative Governance-Fragen (Sichtbarkeit, Ownership, Review) sind jedoch unabhängig von regulatorischer Relevanz bedeutsam.

Reicht DSGVO-Compliance allein aus?

Nein. DSGVO und EU AI Act adressieren unterschiedliche Aspekte. Die DSGVO regelt den Umgang mit personenbezogenen Daten. Der EU AI Act regelt bestimmte KI-Systeme nach Risikokategorie und Einsatzkontext. Beide Regelwerke können gleichzeitig anwendbar sein — und beide ersetzen nicht die operative Governance-Frage: Wer trägt Verantwortung für KI-gestützte Entscheidungen, und wie ist das dokumentiert?

Muss jede KI-Nutzung dokumentiert werden?

Eine pauschale Dokumentationspflicht für jede KI-Nutzung lässt sich ohne Kenntnis des Einzelfalls nicht ableiten. Was sich sagen lässt: Operative Dokumentation — wer nutzt was, wofür, mit welchen Daten, unter wessen Verantwortung — ist unabhängig von regulatorischen Pflichten eine sinnvolle Governance-Maßnahme. Sie schafft die Grundlage für regulatorische Einordnung, interne Kontrolle und Nachvollziehbarkeit im Streitfall.

Nächster Schritt

Viele Unternehmen wissen erst nach einer ersten strukturierten Bestandsaufnahme, welche KI-Nutzung operativ bereits stattfindet — und wo Review-, Verantwortungs- oder Dokumentationslücken entstehen könnten.

Wenn Sie einschätzen möchten, wie sichtbar und kontrollierbar KI-Nutzung in Ihrem Unternehmen aktuell ist:

Erste KI-Governance-Einschätzung anfragen

Manuelle Erstprüfung. Keine automatisierte Bewertung. Keine Rechtsberatung.

Mehr zur operativen Governance-Logik hinter diesem Ansatz: AGWOS Framework verstehen