Ihr IT-Systemhaus TTG Daten- und Bürosysteme GmbH für Unternehmen aus Nordthüringen und Südniedersachsen

KONTAKT

EU AI Act: Was Ihr Unternehmen jetzt konkret tun muss – die komplette Checkliste

Inhaltsverzeichnis

Veröffentlicht: 06. Juni 2026 · Lesezeit: ca. 14 Minuten

Es ist Dienstagmorgen. Ihr Vertriebsmitarbeiter hat die neue KI-gestützte CRM-Funktion aktiviert, die seit letztem Quartal im Einsatz ist – die Software priorisiert automatisch Leads und schlägt vor, welche Kunden mit welchem Angebot angesprochen werden sollen. Gleichzeitig nutzt Ihre Buchhalterin seit ein paar Wochen ein KI-Tool zur automatischen Belegerfassung. Und irgendwo in der Produktion läuft eine Qualitätsprüfungssoftware mit eingebetteter KI-Komponente.

Nichts davon haben Sie bewusst als „KI-Projekt“ gestartet. Es sind schlicht Softwarefunktionen, die das Arbeiten erleichtern. Doch genau hier beginnt die Herausforderung des EU AI Act: Das Gesetz fragt nicht danach, ob Sie sich als KI-Anwender verstehen – sondern danach, welche Systeme in Ihrem Unternehmen faktisch eingesetzt werden.

Wer jetzt nicht weiß, was im eigenen Betrieb läuft, riskiert nicht nur Bußgelder. Er verliert auch die Kontrolle über eines der wichtigsten Compliance-Themen der kommenden Jahre. Die gute Nachricht: Ein strukturierter Einstieg ist kein monatelanger Kraftakt – wenn Sie wissen, wo Sie anfangen müssen.

Die EU AI Act KMU Pflichten sind seit dem vollständigen Inkrafttreten der Verordnung (EU) 2024/1689 verbindlich – unabhängig davon, ob Sie KI selbst entwickeln oder nur als Anwender einsetzen. Für viele Unternehmen kam das schneller als erwartet.

Laut einer aktuellen Erhebung haben 78 % der Unternehmen noch keine nennenswerten Schritte in Richtung Compliance unternommen. Gleichzeitig wächst der KI-Einsatz rasant: 41 % aller deutschen Unternehmen nutzen KI aktiv. Das ergibt eine gefährliche Lücke – KI wird genutzt, aber die Spielregeln werden ignoriert. Gerade für kleine und mittelständische Unternehmen ist das ein ernstes Risiko, das sich mit den richtigen Schritten jedoch beherrschen lässt.

Dieser Artikel führt Sie Schritt für Schritt durch die acht wichtigsten Prüfpunkte: von der organisatorischen Grundlage über technische Mindestanforderungen bis hin zu Datenschutz, Dokumentation und dem richtigen Vorgehen, wenn ein Prüfpunkt noch nicht erfüllt ist. Am Ende wissen Sie genau, was heute, in 30 Tagen und langfristig zu tun ist.

KennzahlWertQuelle
Anteil der Unternehmen ohne nennenswerte Compliance-Schritte78 %responsibleailabs.ai, April 2026
Anteil der deutschen Unternehmen mit aktivem KI-Einsatz41 %Bitkom-Studie 2026
Maximales Bußgeld bei Verstößen gegen verbotene KI-Praktikenbis zu 35 Mio. EUR oder 7 % des weltweiten JahresumsatzesEU AI Act, Verordnung 2024/1689
Angestrebte Reduzierung des Compliance-Aufwands für KMU durch Digital Omnibus35 % bis 2029EU-Kommission / Digital Omnibus, November 2025

Warum diese Checkliste jetzt entscheidend ist: Was bei EU AI Act KMU Pflichten auf dem Spiel steht

Warum diese Checkliste jetzt entscheidend ist: Was bei EU AI Act KMU Pflichten auf dem Spiel steht – EU AI Act KMU Pflichten

Viele Unternehmer in der Region denken beim Stichwort „KI-Regulierung“ zunächst an große Konzerne. Das ist verständlich – aber falsch. Die EU-Verordnung 2024/1689 gilt grundsätzlich für alle Unternehmen, die KI-Systeme in der EU einsetzen oder bereitstellen. Ob Sie 5 oder 500 Mitarbeitende haben, spielt für die grundsätzliche Anwendbarkeit keine Rolle.

Ein konkretes Beispiel aus der Praxis: Ein Handwerksbetrieb aus Dingelstädt, der eine KI-gestützte Angebotskalkulationssoftware einsetzt, ist genauso betroffen wie ein Logistikunternehmen mit eigenem Entwicklungsteam. Das Gesetz unterscheidet nach Risikoklassen – nicht nach Unternehmensgröße. Und in diese Risikobetrachtung fallen viele Standardanwendungen, ohne dass sich die Inhaber dessen bewusst sind.

Laut Bitkom-Zahlen aus 2026 nutzen 41 % der deutschen Unternehmen KI aktiv – während gleichzeitig 78 % noch keine Compliance-Schritte unternommen haben. Diese Schere ist das eigentliche Risiko. Bei Verstößen gegen verbotene KI-Praktiken drohen Bußgelder von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes (EU AI Act, Art. 99). Selbst bei weniger schwerwiegenden Verstößen sind bis zu 15 Mio. EUR oder 3 % des Umsatzes möglich.

Unserer Erfahrung nach unterschätzen viele Inhaber, wie schnell sich KI in alltägliche Geschäftsprozesse einschleicht. Wer das heute systematisch erfasst und bewertet, vermeidet nicht nur rechtliche Risiken – er schafft auch die Grundlage für einen bewussten, strategischen KI-Einsatz. Die Digitalisierungsberatung der TTG GmbH unterstützt Betriebe im Eichsfeld und Umgebung dabei, genau diesen Überblick zu gewinnen – schnell und ohne bürokratischen Aufwand.

  • Erstellen Sie eine Liste aller Software, die in Ihrem Unternehmen eingesetzt wird – inklusive Cloud-Dienste und eingekaufte Tools.
  • Markieren Sie alle Anwendungen, bei denen automatisierte Entscheidungen oder Empfehlungen erzeugt werden.
  • Informieren Sie sich, ob Ihre Softwareanbieter bereits KI-Komponenten integriert haben – oft steht das klein im Changelog.
  • Klären Sie, welche dieser Systeme mit Personendaten arbeiten – das erhöht die Risikoklasse deutlich.
  • Notieren Sie, wer in Ihrem Unternehmen für welches KI-System verantwortlich ist.

Prüfpunkt 1 & 2: Organisatorische Grundlagen für EU AI Act KMU Pflichten schaffen

Bevor technische Maßnahmen greifen können, braucht Ihr Unternehmen eine organisatorische Basis. Viele Betriebe scheitern nicht an der Technik, sondern daran, dass keine klaren Verantwortlichkeiten existieren. Der EU AI Act fordert genau das: Wer setzt KI ein, wer trägt die Verantwortung, wer überwacht die Systeme?

Prüfpunkt 1: KI-Verantwortlichen benennen. Es muss in Ihrem Unternehmen eine Person geben, die den Überblick über alle KI-Systeme hat und als Ansprechpartner für Compliance-Fragen fungiert. Das muss keine Vollzeitstelle sein – aber die Aufgabe muss klar zugewiesen sein. In vielen kleineren Betrieben übernimmt das der IT-Verantwortliche oder der Geschäftsführer selbst.

Prüfpunkt 2: Mitarbeiterschulungen sicherstellen. Der EU AI Act verlangt, dass Personen, die KI-Systeme bedienen oder überwachen, ausreichend geschult sind. 53 % der deutschen kleinen und mittelständischen Unternehmen geben an, dass ihnen die interne KI-Kompetenz fehlt – das ist kein Einzelproblem, sondern eine strukturelle Herausforderung. Schulungen müssen dokumentiert und regelmäßig wiederholt werden.

Eine hilfreiche Orientierungshilfe für diese organisatorischen Schritte bietet das BMWK – Digitalisierung im Mittelstand, das praxisnahe Leitfäden für den strukturierten Einstieg bereitstellt.

Wer sich frühzeitig um Datensicherheit beim KI-Einsatz – TTG GmbH kümmert, stellt sicher, dass organisatorische und technische Maßnahmen von Anfang an Hand in Hand gehen.

  • Benennen Sie schriftlich eine verantwortliche Person für KI-Compliance in Ihrem Betrieb.
  • Halten Sie in einer einfachen Tabelle fest, welche KI-Systeme von welchen Mitarbeitenden genutzt werden.
  • Planen Sie eine erste Schulungseinheit – 2 Stunden reichen für einen soliden Einstieg.
  • Prüfen Sie, ob Ihre Arbeitsverträge und Betriebsvereinbarungen den KI-Einsatz bereits abdecken.
  • Klären Sie mit Ihrem Betriebsrat (sofern vorhanden), ob Mitbestimmungsrechte beim KI-Einsatz bestehen.

Prüfpunkt 3 & 4: Technische Mindestanforderungen des EU AI Act erfüllen

Der EU AI Act definiert technische Anforderungen, die je nach Risikoklasse des eingesetzten Systems variieren. Für die meisten kleinen und mittelständischen Unternehmen, die KI als Anwender – nicht als Entwickler – nutzen, stehen zwei Kernpunkte im Vordergrund: Transparenz und menschliche Aufsicht.

Prüfpunkt 3: Transparenz gegenüber Betroffenen. Wenn Ihr Unternehmen KI-Systeme nutzt, die Entscheidungen über Menschen beeinflussen – etwa bei Kreditbewertungen, Bewerberauswahl oder personalisierten Angeboten – müssen die Betroffenen darüber informiert werden. Das gilt auch dann, wenn Sie die KI nicht selbst entwickelt haben, sondern als eingekaufte Standardsoftware einsetzen. Viele unterschätzen diese Pflicht als Anwender.

Prüfpunkt 4: Menschliche Kontrollmöglichkeit sicherstellen. Der EU AI Act verlangt für Hochrisiko-Systeme, dass ein Mensch jederzeit in der Lage ist, das KI-System zu überwachen, zu korrigieren oder abzuschalten. In der Praxis bedeutet das: Sie brauchen dokumentierte Eskalationswege und eine klare Regelung, wie mit KI-Ergebnissen umgegangen wird, die plausibel erscheinen, aber geprüft werden müssen.

Technische Normen, die konkrete Anforderungen an diese Systeme beschreiben, werden laut Ankündigung der europäischen Normungsorganisationen CEN und CENELEC voraussichtlich erst im vierten Quartal dieses Jahres verfügbar sein – ursprünglich waren sie für früher geplant. Das bedeutet: Rechtsunsicherheit bleibt, aber Untätigkeit ist keine Option.

Das BSI – KI sicher einsetzen bietet konkrete technische Orientierungshilfen, die bereits heute anwendbar sind. Als ISO/IEC 27001 zertifizierter IT-Partner – TTG GmbH helfen wir Ihnen, die technischen Anforderungen des AI Act in Ihre bestehende Sicherheitsarchitektur zu integrieren.

  • Prüfen Sie für jedes KI-System: Welche Entscheidungen werden automatisiert getroffen oder beeinflusst?
  • Dokumentieren Sie, wie Nutzer und Betroffene über den KI-Einsatz informiert werden.
  • Stellen Sie sicher, dass es einen klaren Prozess gibt, um KI-Empfehlungen manuell zu übersteuern.
  • Klären Sie mit Ihrem Softwareanbieter, welche Risikoklasse das eingesetzte System hat.
  • Legen Sie fest, wer bei einem technischen Fehler des KI-Systems sofort eingreifen darf und kann.

Prüfpunkt 5 & 6: Datenschutz und Datensicherheit im KI-Kontext

Prüfpunkt 5 & 6: Datenschutz und Datensicherheit im KI-Kontext – TTG GmbH Dingelstädt

KI und Datenschutz sind untrennbar verbunden. Fast jedes KI-System verarbeitet Daten – und sobald diese Daten Personen betreffen, greift neben dem EU AI Act auch die DSGVO. Wer beide Regelwerke nicht zusammendenkt, riskiert doppelte Compliance-Lücken.

Prüfpunkt 5: Datenschutz-Folgenabschätzung für risikoreiche KI-Systeme. Setzt Ihr Unternehmen KI ein, die mit sensiblen Personendaten arbeitet – zum Beispiel in der Personalverwaltung, im Kundenscoring oder in der medizinischen Dokumentation – ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO in der Regel Pflicht. Diese muss vor dem Einsatz des Systems durchgeführt und dokumentiert werden.

Prüfpunkt 6: Datenminimierung und Zugriffsrechte prüfen. KI-Systeme sollten nur auf die Daten zugreifen, die sie tatsächlich benötigen. In der Praxis erleben wir häufig, dass eingekaufte KI-Tools standardmäßig deutlich mehr Datenzugriff erhalten als nötig. Eine Überprüfung der Berechtigungsstrukturen ist ein einfacher, aber wirkungsvoller Schritt.

Laut dem Bitkom KI-Barometer nutzen 25 % der deutschen kleinen und mittelständischen Unternehmen inzwischen KI – Tendenz stark steigend. Mit diesem Wachstum müssen Datenschutzkonzepte Schritt halten. Entscheidend ist dabei die Frage, ob Ihre KI-Anwendungen Daten in die Cloud oder zu Drittanbietern übertragen – und ob dafür ein entsprechender Auftragsverarbeitungsvertrag vorliegt.

Die Förderberatung für Digitalisierungsprojekte – TTG GmbH zeigt Ihnen außerdem, welche Förderprogramme die Kosten für eine rechtssichere KI-Einführung senken können – ein Aspekt, den viele Betriebe noch nicht auf dem Schirm haben.

  • Prüfen Sie, ob für Ihre KI-Systeme eine Datenschutz-Folgenabschätzung erforderlich ist – im Zweifel Datenschutzbeauftragten einbeziehen.
  • Überprüfen Sie die Zugriffsrechte aller KI-Tools: Welche Daten werden abgerufen, wohin fließen sie?
  • Stellen Sie sicher, dass Auftragsverarbeitungsverträge mit allen KI-Anbietern vorliegen.
  • Ergänzen Sie Ihre Datenschutzerklärung um den Hinweis auf KI-gestützte Verarbeitung.
  • Legen Sie fest, wie lange KI-generierte Daten und Protokolle gespeichert werden.

Prüfpunkt 7 & 8: Laufende Kontrolle und Dokumentation gemäß EU AI Act

Compliance ist kein Zustand, den man einmal erreicht und dann abhaken kann. Der EU AI Act verlangt eine kontinuierliche Überwachung der eingesetzten Systeme – und eine Dokumentation, die im Ernstfall belegt, dass Ihr Unternehmen seiner Sorgfaltspflicht nachgekommen ist.

Prüfpunkt 7: Monitoring und Incident-Management etablieren. Für Hochrisiko-KI-Systeme schreibt der EU AI Act ein aktives Post-Market-Monitoring vor: Sie müssen systematisch prüfen, ob das System weiterhin so funktioniert wie erwartet, und Abweichungen oder Fehler melden. Auch für niedrigschwellige Systeme empfehlen wir klare Prozesse: Wer bemerkt, wenn ein KI-Tool falsch oder unerwartet reagiert – und was passiert dann?

Prüfpunkt 8: Technische Dokumentation führen. Anbieter von Hochrisiko-KI-Systemen müssen umfangreiche technische Dokumentationen vorhalten. Als Anwender solcher Systeme sind Sie verpflichtet, vom Anbieter entsprechende Unterlagen einzufordern und diese aufzubewahren. Fehlt diese Dokumentation, kann das im Ernstfall Ihre Haftung begründen – auch wenn Sie das System nicht entwickelt haben.

Erfreulich: Im Rahmen des Digital Omnibus hat die EU-Kommission angekündigt, standardisierte Dokumentationsvorlagen bereitzustellen und den Compliance-Aufwand für Unternehmen mit bis zu 750 Mitarbeitenden und 150 Mio. EUR Jahresumsatz deutlich zu reduzieren – um bis zu 35 % bis 2029. Diese Erleichterungen sind in Vorbereitung, aber noch nicht in Kraft: Wer jetzt strukturiert dokumentiert, ist für beide Szenarien gerüstet.

Eine belastungsfähige IT-Infrastruktur für den digitalen Wandel – TTG GmbH ist die technische Voraussetzung dafür, dass Monitoring und Dokumentation nicht zum Mehraufwand werden, sondern in bestehende Prozesse integriert sind.

  • Legen Sie einen festen Rhythmus für die Überprüfung Ihrer KI-Systeme fest – mindestens quartalsweise.
  • Richten Sie ein einfaches Fehlerprotokoll ein: Wer meldet was, an wen und bis wann?
  • Fordern Sie von jedem KI-Anbieter die technische Dokumentation des Systems schriftlich an.
  • Speichern Sie alle compliance-relevanten Unterlagen zentral und versioniert.
  • Prüfen Sie regelmäßig, ob Softwareupdates die Funktionsweise oder Risikoklasse eines KI-Systems verändert haben.

Was tun, wenn ein Prüfpunkt nicht erfüllt ist? Priorisierung nach Risiko

Kein Betrieb wird alle acht Prüfpunkte von heute auf morgen vollständig erfüllen können. Das ist keine Schwäche – das ist die Realität. Entscheidend ist, wie Sie mit Lücken umgehen: nicht ignorieren, sondern priorisieren.

Die wichtigste Faustregel: Risiko vor Aufwand. Beginnen Sie mit den Punkten, bei denen ein Verstoß die höchsten Konsequenzen hätte. Das sind in der Regel Systeme, die Entscheidungen über Menschen treffen – also Bewerbungsauswahl, Kreditbewertung, medizinische Unterstützung. Hier ist Nachbesserung dringend. Tools zur internen Prozessoptimierung ohne Personenbezug sind nachrangig.

Eine strukturierte Vorgehensweise empfiehlt auch das BSI – KI sicher einsetzen: erst Bestandsaufnahme, dann Risikoklassifizierung, dann gezielte Maßnahmen. Dieser Dreischritt ist auch für kleine Betriebe ohne eigene IT-Abteilung realistisch umsetzbar.

Als ISO/IEC 27001-zertifizierter IT-Partner mit über 25 Jahren Erfahrung in der Region unterstützen wir Unternehmen von Göttingen bis ins Eichsfeld dabei, genau diese Lückenanalyse strukturiert durchzuführen – und daraus einen umsetzbaren Maßnahmenplan zu entwickeln. Das klingt aufwändiger als es ist: In vielen Fällen reicht ein gemeinsamer halber Tag, um Klarheit zu schaffen.

SituationEmpfehlungWarum
KI trifft Entscheidungen über Personen (z. B. Bewerbung, Kredit)Sofortiger Handlungsbedarf – DSFA und Transparenzhinweise prüfenHöchste Risikoklasse, maximale Bußgelder
KI unterstützt interne Abläufe (z. B. Dokumentenverarbeitung)Mittelfristig: Dokumentation und Schulung sicherstellenNiedrigere Risikoklasse, aber Nachweispflichten bestehen
KI-Tool ohne Personenbezug (z. B. Produktionsoptimierung)Beobachten, Anbieter nach Risikoklasse befragenGeringes Risiko, aber Veränderungen durch Updates möglich

Nutzen Sie jetzt die Gelegenheit, Ihr Digitalisierungs-Potenzial prüfen lassen – bevor ein Auditor oder eine Aufsichtsbehörde die Initiative ergreift.

  • Erstellen Sie eine Risikomatrix: Welche Systeme haben den größten Schaden bei Nicht-Erfüllung?
  • Priorisieren Sie die drei dringlichsten Lücken und setzen Sie konkrete Termine.
  • Kommunizieren Sie intern offen: Ihr Team sollte wissen, warum bestimmte Änderungen kommen.
  • Suchen Sie externe Unterstützung, wenn interne Kapazitäten fehlen – das ist keine Niederlage, sondern kluge Ressourcenplanung.
  • Nutzen Sie verfügbare Sandbox-Angebote, die im Rahmen des Digital Omnibus für kleine Unternehmen vorgesehen sind.

Zusammenfassung: EU AI Act KMU Pflichten – was sofort, was in 30 Tagen, was langfristig zu tun ist

Compliance beginnt nicht mit einem perfekten System – sie beginnt mit dem ersten konkreten Schritt. Damit Sie nicht im Ungefähren bleiben, hier eine klare Einteilung nach Zeithorizont.

Sofort (diese Woche): Erstellen Sie eine Übersicht aller KI-Systeme in Ihrem Unternehmen. Benennen Sie eine verantwortliche Person. Prüfen Sie, ob eines der eingesetzten Systeme in eine Hochrisikokategorie fällt. Das dauert in den meisten Betrieben einen halben Arbeitstag – nicht mehr.

In 30 Tagen: Holen Sie bei Ihren Softwareanbietern die technische Dokumentation und Angaben zur Risikoklassifizierung ein. Planen Sie eine erste Schulung für Mitarbeitende, die KI-Systeme nutzen. Prüfen Sie, ob bestehende Datenschutzunterlagen (DSGVO-Verzeichnis, Datenschutzerklärung, Auftragsverarbeitungsverträge) aktualisiert werden müssen.

Langfristig (3–6 Monate): Entwickeln Sie einen kontinuierlichen Monitoring-Prozess. Integrieren Sie KI-Compliance in Ihre regelmäßigen IT-Sicherheitsreviews. Beobachten Sie die Entwicklung der technischen Normen von CEN und CENELEC sowie die Umsetzung des Digital Omnibus – beide werden die konkreten Anforderungen weiter präzisieren.

Wichtig: 78 % der Unternehmen haben bislang nicht gehandelt. Wer jetzt beginnt, gehört zur Minderheit, die sich einen echten Wettbewerbsvorteil sichert – nicht nur in Bezug auf Compliance, sondern auch im Vertrauen von Kunden und Geschäftspartnern. Die EU AI Act KMU Pflichten sind dabei kein bürokratisches Hindernis, sondern eine Chance, den eigenen KI-Einsatz strukturiert, sicher und zukunftsfest aufzustellen.

  • Sofort: KI-Systeme inventarisieren und Verantwortlichen benennen.
  • In 30 Tagen: Dokumentation anfordern, Mitarbeitende schulen, Datenschutz aktualisieren.
  • Langfristig: Monitoring einrichten, Normen verfolgen, Compliance in Regelprozesse integrieren.
  • Bei Unsicherheit: Externe Unterstützung holen – das spart Zeit und vermeidet teure Fehler.
  • Regelmäßig: Prüfen, ob neue KI-Funktionen in bestehenden Tools die Compliance-Situation verändert haben.

Ihre Checkliste: So starten Sie jetzt

  1. Inventarisieren Sie alle KI-Systeme in Ihrem Unternehmen – inklusive eingekaufter Software mit KI-Funktionen.
  2. Benennen Sie schriftlich eine verantwortliche Person für KI-Compliance in Ihrem Betrieb.
  3. Klassifizieren Sie jedes KI-System: Welche Risikoklasse hat es laut Anbieter oder EU AI Act?
  4. Fordern Sie von Ihren Softwareanbietern die technische Dokumentation und Risikoangaben schriftlich an.
  5. Prüfen Sie, ob eine Datenschutz-Folgenabschätzung für Ihre KI-Systeme erforderlich ist.
  6. Aktualisieren Sie Datenschutzerklärung, Verarbeitungsverzeichnis und Auftragsverarbeitungsverträge um den KI-Einsatz.
  7. Schulen Sie alle Mitarbeitenden, die KI-Systeme nutzen – mindestens eine dokumentierte Einheit.
  8. Richten Sie einen festen Überprüfungsrhythmus (quartalsweise) für Ihre KI-Systeme ein und dokumentieren Sie die Ergebnisse.

Häufig gestellte Fragen

Gilt der EU AI Act auch für kleine Unternehmen mit weniger als 50 Mitarbeitenden?

Ja, grundsätzlich gilt der EU AI Act für alle Unternehmen, die KI-Systeme in der EU einsetzen oder bereitstellen – unabhängig von der Unternehmensgröße. Allerdings sieht der Digital Omnibus der EU-Kommission erleichterte Compliance-Bedingungen für Unternehmen mit bis zu 750 Mitarbeitenden vor, darunter vereinfachte Leitfäden und standardisierte Dokumentationsvorlagen. Auch wenn diese Erleichterungen noch nicht vollständig in Kraft sind, lohnt es sich, die Entwicklung aufmerksam zu verfolgen.

Welche KI-Anwendungen sind in meinem Betrieb wirklich betroffen?

Betroffen sind grundsätzlich alle Systeme, die automatisierte Entscheidungen treffen oder Empfehlungen für Menschen generieren – etwa Bewerbungsmanagementsoftware, Kreditbewertungstools, KI-gestützte Kundenkommunikation oder automatisierte Qualitätskontrolle. Viele dieser Funktionen sind in Standardsoftware eingebettet. Fragen Sie Ihre Softwareanbieter aktiv, ob und welche KI-Komponenten enthalten sind – das ist Ihr erster und wichtigster Schritt.

Was kostet mich die Umsetzung der EU AI Act Pflichten als Mittelständler?

Das hängt stark vom Ausgangszustand und den eingesetzten Systemen ab. Viele Betriebe kommen mit einem strukturierten Halbtag für die Bestandsaufnahme und einigen Stunden für Dokumentation und Schulung aus. Bei komplexeren Systemen oder wenn externe Unterstützung nötig ist, steigen die Kosten – sind aber oft über Förderprogramme mitfinanzierbar. Unserer Erfahrung nach ist der tatsächliche Aufwand für die meisten kleineren Betriebe überschaubar, wenn man methodisch vorgeht.

Ich nutze KI nur über eingekaufte Software – bin ich trotzdem verantwortlich?

Ja, auch als Anwender tragen Sie Verantwortung. Der EU AI Act unterscheidet zwischen Anbietern (die KI entwickeln) und Betreibern (die KI einsetzen). Als Betreiber sind Sie verpflichtet, Systeme nur entsprechend ihrer Zweckbestimmung einzusetzen, Mitarbeitende zu schulen, die Aufsicht sicherzustellen und vom Anbieter die notwendigen Informationen einzufordern. Die Verantwortung liegt nicht allein beim Softwareanbieter.

Was passiert, wenn ich jetzt noch nichts unternehme?

Bei Verstößen gegen den EU AI Act drohen je nach Schwere Bußgelder von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes. Realistisch für kleine Betriebe sind zunächst Verwarnungen und Nachbesserungspflichten – aber auch diese können mit erheblichem Aufwand verbunden sein. Zudem wächst das Risiko mit jedem Monat, in dem KI-Systeme ohne Prüfung weiterlaufen. Früh handeln ist günstiger als nachträglich korrigieren.

Lesetipps – weitere Ratgeber der TTG GmbH

Über den Autor
Martin Trappe ist Geschäftsführer der TTG Daten- und Bürosysteme GmbH in Dingelstädt. Mit über 25 Jahren Erfahrung im IT-Mittelstand betreut er kleine und mittelständische Unternehmen in Nordthüringen, Eichsfeld und Südniedersachsen. Die TTG GmbH ist ISO/IEC 27001 zertifiziert – dem höchsten Standard für Informationssicherheit.

Kontakt aufnehmen · Über TTG GmbH

Wissen Sie gerade, welche KI-Systeme in Ihrem Unternehmen laufen – und welche davon unter den EU AI Act fallen?

Digitalisierungspotenzial ausschöpfen

Welche Prozesse können Sie automatisieren? Die TTG GmbH analysiert Ihr Unternehmen und entwickelt einen praxisnahen Digitalisierungsplan für KMU im Eichsfeld.

Digitalisierungspotenzial prüfen lassen

Comments are closed.

Preview Image ProvenExpert.com entsperren ProvenExpert.com immer entsperren Mehr Informationen