Seit dem EU AI Act sind zwei Missverständnisse weit verbreitet: erstens, dass er nur für große Konzerne gilt. Zweitens, dass er so komplex ist, dass KMU ihn ignorieren können.
Beides ist falsch.
Die meisten KMU fallen tatsächlich nicht unter Hochrisiko-Kategorien. Chatbots für interne Nutzung, Textzusammenfassungen, Dokumentenanalyse — das ist in der Regel kein hochriskantes KI-System im Sinne des AI Acts. Insofern ist die öffentliche Diskussion über Konformitätsbewertungen und CE-Kennzeichnung für die meisten KMU übertrieben.
Was aber gilt: Transparenzpflichten bei KI-Outputs gegenüber Personen, Nutzungsrichtlinien, Dokumentation des KI-Einsatzes, und — ab 2025 vollständig in Kraft — AI Literacy als Pflicht für alle Mitarbeitenden, die KI-Systeme einsetzen.
AI Literacy ist kein Nice-to-have. Es ist eine rechtliche Anforderung. Unternehmen, die keine dokumentierte Schulung nachweisen können, sind exponiert.
Der pragmatische erste Schritt: Ein KI-Inventar erstellen (welche Systeme nutzen wir?), Risikoklassen prüfen, Nutzungsrichtlinie verabschieden, Literacy-Training dokumentieren. Das ist Special Governance in einem Tag — nicht ein mehrmonatiges Compliance-Projekt.