EU AI Act in der Praxis: Diese KI-Tools solltest Du intern verbieten, freigeben oder dokumentieren
Das eigentliche Problem: In vielen Unternehmen läuft KI einfach nebenbei mit
Mal ehrlich: Das größte Risiko beim EU AI Act ist nicht die abstrakte Gesetzesdebatte. Das Risiko entsteht im Alltag. Ein Mitarbeiter nutzt einen Chatbot für Kundenmails. Die Personalabteilung testet ein Tool für Bewerbungen. Im Marketing läuft ein Bildgenerator. Und niemand hat sauber entschieden, ob das intern erlaubt, dokumentationspflichtig oder komplett tabu ist.
Genau da wird es heikel. Denn der AI Act betrifft nicht nur große Plattformen oder Forschungslabore. Er trifft Unternehmen, die KI im operativen Alltag einsetzen. Und zwar oft früher, als viele denken. Wer jetzt keine klare Linie hat, riskiert nicht nur Bußgelder, sondern vor allem Chaos: unsaubere Prozesse, unsichere Datenflüsse und Entscheidungen, die später niemand erklären kann.
Was Du sofort verbieten solltest
Es gibt KI-Anwendungen, die Du intern nicht mit einer Grauzone behandeln solltest. Alles, was in Richtung Social Scoring, unzulässige Verhaltensbewertung oder systematische Grundrechtsverletzung geht, gehört raus. Punkt. Auch Tools, die Menschen heimlich bewerten, manipulieren oder ohne saubere Rechtsgrundlage sensible Entscheidungen vorbereiten, sind keine Spielwiese für Pilotprojekte.
Das betrifft nicht nur „böse“ Spezialsoftware. Auch scheinbar harmlose Anwendungen können kippen, wenn sie für die falsche Aufgabe eingesetzt werden. Ein Tool zur Mitarbeiteranalyse ist etwas anderes als ein Tool für Terminplanung. Ein KI-System für Textvorschläge ist etwas anderes als eines, das Bewerber sortiert. Der Unterschied liegt nicht im Marketing des Anbieters, sondern im Zweck im Unternehmen.
Wenn Du unsicher bist, ist die einfache Regel: Alles, was Menschen in kritischen Bereichen vorsortiert, bewertet oder ausschließt, braucht mindestens eine harte Prüfung. Und wenn der Einsatz auf Diskriminierung, intransparente Profilbildung oder Überwachung hinausläuft, dann sollte die Antwort intern nein sein.
Was Du freigeben kannst
Die gute Nachricht: Nicht jede KI-Nutzung ist riskant. Vieles lässt sich sauber freigeben, wenn der Anwendungsfall klar ist. Dazu gehören zum Beispiel interne Assistenten für Textentwürfe, Zusammenfassungen, Rechercheunterstützung, Wissenssuche oder die Strukturierung von Informationen. Auch KI-gestützte Helfer für Support, Vertrieb oder Dokumentenbearbeitung können völlig sinnvoll sein.
Der Trick ist nicht, KI zu blockieren. Der Trick ist, den Rahmen festzulegen. Ein Tool darf zum Beispiel für interne Entwürfe genutzt werden, aber nicht für Entscheidungen über Personal, Kreditwürdigkeit oder Compliance. Es darf Inhalte zusammenfassen, aber keine vertraulichen Daten ungeprüft nach außen geben. Es darf Teams entlasten, aber nicht zum heimlichen Ersatz von Verantwortung werden.
Für viele mittelständische Unternehmen reicht dafür eine einfache Freigabeliste. Darauf stehen nur die Tools und Einsatzzwecke, die wirklich erlaubt sind. Nicht abstrakt, sondern konkret: für welchen Bereich, mit welchen Daten, mit welcher Freigabe.
Was dokumentiert werden muss
Hier machen die meisten Unternehmen den Fehler. Sie denken bei Dokumentation sofort an schwere Aktenordner und lange Governance-Prozesse. Das muss es nicht sein. Aber es muss nachvollziehbar sein.
Wenn ein KI-Tool im Unternehmen genutzt wird, solltest Du festhalten: Wofür wird es eingesetzt? Welche Daten fließen hinein? Wer darf es nutzen? Welche Ergebnisse werden manuell geprüft? Und wer trägt die Verantwortung, wenn etwas schiefgeht?
Das gilt besonders für Anwendungen, die mit Kunden-, Mitarbeiter- oder Bewerberdaten arbeiten. Auch wenn das Tool selbst nicht „hochrisikoreich“ im klassischen Sinn ist, kann der Einsatz im Unternehmen trotzdem erklärungsbedürftig sein. Und genau dafür brauchst Du eine einfache Dokumentation, die im Zweifel innerhalb von Minuten auffindbar ist.
Praktisch heißt das: Eine schlanke Tool-Liste, eine Risikoklassifizierung und klare Hinweise pro Anwendung. Nicht perfekt. Aber belastbar. Wer heute seine KI-Nutzung nicht einmal intern sauber aufschreibt, wird morgen bei einer Prüfung oder im Streitfall ein Problem haben.
So gehst Du in der Praxis vor
Der beste Einstieg ist nicht ein riesiges KI-Regelwerk. Der beste Einstieg ist ein Inventar. Welche Tools laufen schon? Wer nutzt sie? Und wofür? Oft kommen dabei Überraschungen ans Licht. Das Vertriebsteam arbeitet längst mit einem externen Assistenten. Im Recruiting testet jemand ein Bewertungstool. Im Backoffice werden Dokumente hochgeladen, ohne dass klar ist, ob das überhaupt erlaubt ist.
Danach sortierst Du die Tools in drei klare Gruppen: verbieten, freigeben, dokumentieren. Verboten ist alles mit unzulässigem Risiko oder unklarer rechtlicher Basis. Freigegeben ist alles, was einen klaren Zweck hat, keine heiklen Daten braucht und kontrolliert eingesetzt wird. Dokumentieren musst Du alles, was relevant ist, aber nicht komplett unkritisch.
Dann kommt der Teil, den viele unterschätzen: Schulung. Mitarbeiter müssen wissen, was sie nutzen dürfen und was nicht. Das ist keine einmalige Folie im Intranet. Das ist eine echte KI-Kompetenz im Alltag. Wer ein Tool bedient, muss die Grenzen kennen. Sonst entsteht das klassische Muster: Das Tool kann viel, also wird es für zu viel genutzt.
Warum gerade KMU jetzt handeln sollten
Große Unternehmen bauen oft eigene Governance-Strukturen auf. Kleine und mittlere Unternehmen brauchen etwas anderes: Klarheit mit wenig Aufwand. Genau dafür ist der AI Act zwar anspruchsvoll, aber nicht unlösbar. Es gibt sogar Erleichterungen für KMU, etwa vereinfachte Dokumentation und unterstützende Vorgaben. Trotzdem bleibt die Pflicht: Wer KI einsetzt, muss den Einsatz kennen und steuern.
Die eigentliche Chance liegt darin, früh Ordnung zu schaffen. Dann wird KI nicht zum Risikofaktor, sondern zu einem Werkzeug mit Leitplanken. Und genau das will ein Geschäftsführer wissen: Wo hilft das Tool, wo schadet es, und wer trägt am Ende die Verantwortung?
Wenn Du jetzt anfängst, brauchst Du kein Monsterprojekt. Du brauchst eine klare Liste, drei Kategorien und eine kurze interne Regel. Aber ohne diesen Start wird aus „wir testen mal KI“ sehr schnell ein echtes Compliance-Problem.
Wenn Du wissen willst, wie Du das für Dein Unternehmen pragmatisch aufsetzt — melde dich bei mir.