Künstliche Intelligenz im KMU-Alltag – Regeln statt Zufall

Wenn Technik selbstverständlich wird, verschwindet sie oft aus dem Bewusstsein. Das gilt für Strom, für das Internet – und zunehmend auch für Künstliche Intelligenz. Sie läuft im Hintergrund, beschleunigt Abläufe, erleichtert Arbeit – bis man plötzlich merkt: Sie ist längst Teil des Systems.

Damit wächst eine neue Führungsaufgabe: Das bewusste Steuern von Künstlicher Intelligenz und sie nicht dem Zufall zu überlassen. Und dafür braucht es Regeln – wie im Straßenverkehr. Auf der Straße ist Bewegung nur deshalb möglich, weil Regeln gelten: Rechts vor links. Vorfahrt gewähren. Rot heißt stehen, Grün heißt fahren. Diese Regeln sind kein Selbstzweck. Sie schaffen Orientierung, verhindern Chaos – und geben allen die Sicherheit, sich frei zu bewegen. Man kann sie brechen, aber nicht ignorieren. Ohne sie gäbe es Stillstand oder Unfälle. Mit ihnen funktioniert der Verkehr: schnell, sicher, verlässlich.

Genauso verhält es sich mit Künstlicher Intelligenz. Auch hier entstehen Sicherheit und Tempo in der Nutzung nicht durch Kontrolle, sondern durch klare, einfache Regeln – Regeln, die festlegen, wer entscheidet, wer prüft und wann gebremst werden muss. Bei der Nutzung von KI nennt man diese Regeln Governance. Sie geben Organisationen denselben Rahmen, den Verkehrsregeln im Straßenverkehr bieten: Verantwortung ist verteilt, Zuständigkeiten sind klar, Entscheidungen nachvollziehbar. So bleibt KI ein Werkzeug – und wird nicht zum Selbstläufer.

Und genau das verlangt nun auch das Gesetz: Die seit 2. August 2024 geltende EU-Verordnung zur Nutzung von Künstlicher Intelligenz (EU AI Act) verpflichtet Unternehmen, das umzusetzen, was gute Führung ohnehin verlangt – nicht einfach fahren lassen, sondern das Steuer in der Hand behalten.

Was heißt das praktisch für den Mittelstand? KI kommt selten als Großprojekt, sondern über Funktionen, die längst mitlaufen:

• Copilot-Funktionen in Bürosoftware
• automatische Übersetzungen
• Chatbots im Kundenservice
• KI-Vorschläge in CRM- oder ERP-Systemen
• Texterstellung für Angebote oder Präsentationen

Das ist bequem – aber riskant. Denn wenn niemand den Überblick hat, entscheidet der Zufall, wie KI genutzt wird. Und wo der Zufall regiert, entstehen Risiken, die sich später kaum noch einfangen lassen. Der EU AI Act unterscheidet dabei nicht danach, ob ein Tool selbst entwickelt oder eingekauft wurde. Er gilt für alle, die Künstliche Intelligenz nutzen oder in Prozesse integrieren. Damit betrifft er auch den Mittelstand – und zwar dort, wo KI längst still und selbstverständlich mitläuft.

Praktische Konsequenz: Innerhalb weniger Wochen sollte jede Geschäftsführung eine einfache Bestandsaufnahme machen – mit drei Fragen:

• Welche Tools enthalten KI?
• Wer nutzt sie – und wofür?
• Welche Daten werden verarbeitet, insbesondere Kundendaten oder vertrauliche Inhalte?

Das Ganze braucht kein Projektteam und kein Budget. Ein einfacher Excel-Überblick reicht als Start völlig aus. Wichtig ist nicht die Perfektion, sondern der erste Überblick – denn ohne Übersicht gibt es keine Steuerung. Wer den Überblick hat, kann steuern. Und genau das macht der EU AI Act nun verbindlich: Aus „sollten“ wird „müssen“.

Der EU AI Act ist ein klar strukturiertes Regelwerk, das Führung in den Mittelpunkt stellt. Er verlangt von Unternehmen nicht, komplexe Technologie zu verstehen, sondern Verantwortung sichtbar und überprüfbar zu übernehmen.

Im Kern geht es um drei einfache Prinzipien: Verantwortung, Risiko und Transparenz.

• Verantwortung, weil die Geschäftsführung nach Artikel 4 verpflichtet ist, klare Zuständigkeiten und Entscheidungswege festzulegen.
• Risikomanagement, weil Unternehmen nach Artikel 9 und 10 nachweisen müssen, dass sie den Einsatz von KI einschätzen, steuern und überwachen können.
• Transparenz, weil Artikel 13 bis 15 festlegen, dass KI-Einsatz dokumentiert, nachvollziehbar und für Dritte überprüfbar sein muss.

Diese Prinzipien sind praktische Führungsarbeit: Wer KI nutzt, muss wissen, wo sie läuft, welche Entscheidungen sie beeinflusst und wer dafür einsteht. In der Praxis bedeutet das: Ein mittelständisches Unternehmen muss kein aufwändiges Governance-Projekt mit vielen Beteiligten aufsetzen, sondern einen klaren Rahmen schaffen, der diese drei Grundpfeiler trägt.

Die Anforderungen des Gesetzes lassen sich mit wenigen, klaren Bausteinen erfüllen. Entscheidend ist nicht ein dicker Maßnahmenplan, sondern ein verlässlicher Rahmen, der sich im Alltag anwenden lässt:

1. Zuständigkeiten klären:

• Legen Sie fest, wer über neue KI-Tools entscheidet.
• Bestimmen Sie eine zentrale Person oder Stelle, die Freigaben dokumentiert (z.B. Datenschutz, Geschäftsführung oder ein KI-Verantwortlicher).
• Das muss kein Vollzeitjob sein – entscheidend ist, dass nicht jeder selbst entscheidet.

2. Freigaben einführen:

• Führen Sie einen klaren Freigabeprozess ein, der maximal 10 Minuten dauert.
• Beispiel: Steckbrief mit 5 Fragen (Was? Wer? Welche Daten? Externe Übermittlung? Zweck?).
• Keine Freigabe = kein Einsatz.

3. Risiken zweistufig prüfen:

• Stufe 1: Standardtools mit geringer Datenverarbeitung → kurze Checkliste.
• Stufe 2: Tools mit sensiblen Daten oder hoher Tragweite → ausführliche Prüfung.
• Das lässt sich in kleinen Unternehmen auch pragmatisch lösen – z.B. durch die Kombination aus Datenschutz + Geschäftsführung.

3. Datengrenzen festlegen:

• Definieren Sie klar, welche Daten in KI-Systeme eingespeist werden dürfen (z.B. keine Kundendaten ohne Freigabe).
• Das schützt nicht nur rechtlich, sondern verhindert teure Datenlecks.

4. Nachvollziehbarkeit sichern:

• Jede Freigabe, jede Änderung, jede Prüfung kurz dokumentieren. Kein Roman – zwei Zeilen reichen.
• Ziel: Im Fall einer Prüfung können Sie sofort zeigen, dass Regeln bestehen und angewendet werden.

So entsteht kein Bürokratiemonster, sondern ein funktionierender Entscheidungsrahmen, mit dem auch ein 50-Mann-Betrieb handlungsfähig bleibt.

Der EU AI Act ist bereits in Kraft. Aber seine Pflichten greifen in Etappen. Genau das verleitet aktuell viele Unternehmen zu einem gefährlichen Trugschluss: „Wir haben ja noch Zeit.“ Fakt ist: Diese Übergangszeit ist keine Schonfrist. Sie ist die Phase, in der Führung ihre Hausaufgaben machen muss.

• 1. August 2024 – Das Gesetz ist in Kraft.
• 2. Februar 2025 – Es gelten erste harte Pflichten: Verbot illegaler KI, Schulungspflichten für Mitarbeitende, erste Prüfungen durch Aufsichtsbehörden.
• 2. August 2025 – Transparenzpflichten für generative KI greifen, Sanktionen können verhängt werden.
• 2. August 2026 – Hochrisiko-Systeme unterliegen den vollen Anforderungen.
• 2. August 2027 – Ende der Übergangsfrist.

Wer jetzt startet, kann die Anforderungen ruhig und geordnet in bestehende Abläufe integrieren. Wer wartet, muss später unter Druck nacharbeiten.

Die Einführung eines Rahmens kann einfach und in 4–6 Wochen erfolgen. Viele Mittelständler haben ähnliche Prozesse bereits in anderen Bereichen umgesetzt, z.B. beim Datenschutz.

Ein pragmatischer Startpfad könnte so aussehen:

1. Woche 1–2: Bestandsaufnahme

• Abteilungsweise abfragen, wo KI im Einsatz ist.
• Ergebnisse in einer einfachen Übersicht bündeln.
• Verantwortlichkeiten benennen.

2. Woche 3–4: Regeln festlegen

• Freigabeprozess beschließen (max. 1 Seite).
• Zuständigkeiten festschreiben.
• Datengrenzen definieren.

3. Woche 5–6: Umsetzung & Takt

• Pilot mit 1–2 Abteilungen.
• Reporting-Takt (z.B. quartalsweise) einführen.
• Schulungspflicht planen und umsetzen.

Wichtig: Es geht nicht darum, alles perfekt zu machen – sondern darum, überhaupt steuerungsfähig zu werden. Und wenn Sie mit einem leichten System starten, können Sie es später leicht und schrittweise ausbauen, wenn die Integration neuer und komplexerer KI-Systeme ansteht.

Der EU AI Act macht es nicht optional, Regeln für KI festzulegen. Er macht es verpflichtend. Die gute Nachricht: Wer das Thema jetzt sauber aufsetzt, hat einen klaren Überblick, rechtliche Sicherheit und die Basis, KI strategisch einzusetzen. Wer abwartet, verliert diesen Handlungsspielraum – und riskiert Haftung.

Ohne Regeln kein Überblick. Ohne Überblick keine Kontrolle. Ohne Kontrolle kein Schutz. Jetzt ist die Zeit, den Rahmen zu setzen.

Nebenstehend finden Sie drei Dokumente zum Thema als Download:

• Leitfaden „KI-Kompetenz in Vorstand und Geschäftsführung“: Erklärt die vier Steuerungsfelder, die drei Verantwortungsfragen und den Entscheidungsrahmen, den Geschäftsleitungen brauchen, um KI verantwortungsvoll zu steuern.
• KI-Dossier „KI-Governance gestalten“ Zeigt, wie mittelständische Unternehmen klare Regeln für den KI-Einsatz aufbauen können: mit Zuständigkeiten, einfachen Freigabeprozessen und klaren Meldewegen – rechtssicher und praxistauglich.
• KI-Dossier „Der EU AI Act – Grundlagen“: Bietet einen kompakten Überblick zu den Regelungen des EU AI Act: Welche Pflichten jetzt auf Unternehmen zukommen, welche Fristen gelten und warum insbesondere die Geschäftsführung handeln muss.

Diese Materialien vertiefen die im Artikel beschriebenen Ansätze und geben konkrete Vorlagen, wie mittelständische Unternehmen Künstliche Intelligenz rechtzeitig und wirksam einführen und steuern können.

Wenn Sie zum Thema Fragen haben oder vertieftere Informationen erhalten möchten, melden Sie sich bitte bei der Autorin unter den angegebenen Kontaktdaten.

1. KI als Wettbewerbsfaktor – Geschäftsmodelle neu denken
   Jetzt lesen

2. EU AI Act – was jetzt rechtlich auf KMU zukommt
   Jetzt lesen

3. KI strategisch führen – nicht einfach nur nutzen
   Jetzt lesen