EU AI Act für KMU: So meisterst du die KI-Literacy-Pflicht

---

Warum du als Geschäftsführer jetzt nicht mehr wegschauen kannst

Seit dem 2. Februar 2025 gilt EU AI Act Artikel 4. Keine Übergangsfrist mehr, kein "wir schauen mal". Die sogenannte AI-Literacy-Pflicht ist aktiv — und betrifft dich als Betreiber von KI-Tools direkt. Auch wenn du "nur" ChatGPT im Betrieb nutzt.
Was ich in der Praxis sehe: Handwerksbetriebe und KMU haben in den letzten zwei Jahren KI-Tools eingeführt — oft organisch, oft ohne klare Regeln. Mitarbeitende nutzen ChatGPT für Angebotsentwürfe. Jemand fragt Copilot nach Kundendaten. Der Azubi baut einen Prompt mit Lieferantennamen drin. Niemand hat das abgestimmt, niemand hat es freigegeben. Das nennt sich Shadow-AI — und es ist in 95% der KMU Realität.
Das Problem daran ist nicht nur Compliance. Es ist Qualität, Haftung und Datenschutz gleichzeitig.
Die gute Nachricht: Du brauchst keinen Datenschutzbeauftragten auf Konzernebene und kein 40-seitiges Regelwerk. KI-Governance im KMU lässt sich pragmatisch bauen — mit fünf Artefakten, einem halben Arbeitstag und klaren Verantwortlichkeiten. Genau darum geht es hier.

---

EU AI Act Artikel 4: Was steckt wirklich dahinter?

Kurze Einordnung, ohne Juristendeutsch. Artikel 4 des EU AI Act verpflichtet Anbieter und Betreiber (sogenannte Deployers — also Unternehmen, die KI-Systeme einsetzen), dafür zu sorgen, dass Mitarbeitende und andere Personen, die in ihrem Auftrag handeln, ein ausreichendes KI-Kompetenzniveau haben.
Rollen- und kontextabhängig, wie die EU-Kommission selbst in ihrem Q&A klarstellt. Wer KI nur gelegentlich als Recherchehilfe nutzt, braucht eine andere Grundlage als wer automatisierte Entscheidungen trifft oder Kundendaten eingibt.
Und — das ist der Punkt, der viele KMU-Inhaber beruhigt — es gibt keine Pflicht zur formalen Wissensmessung. Keine Prüfungen, kein Zertifikat. Aber: Du musst nachvollziehbar machen können, dass du Maßnahmen ergriffen hast. Wer das nicht kann, steht im Streitfall schlecht da.
Bitkom Research hat im September 2024 erhoben: Nur 24% der deutschen Unternehmen haben sich überhaupt mit dem AI Act beschäftigt. 69% benötigen Unterstützung bei der Umsetzung. Das ist kein kleines Problem — das ist eine strukturelle Lücke im deutschen Mittelstand.

---

Das KMU-Minimal-Set: Fünf Artefakte, die du wirklich brauchst

Keine 20 Dokumente. Kein Steuerberater-Aufwand. Was folgt, ist das, was ich mit meinen Kunden in der Praxis aufbaue — und was tatsächlich funktioniert.

KI-Richtlinie (1–2 Seiten)

Die Richtlinie ist das Fundament. Sie regelt Zweck, Geltungsbereich, erlaubte und nicht erlaubte Nutzung — und sie schützt dich als Geschäftsführer. Nicht vor der KI, sondern vor unkontrollierter Nutzung im Betrieb.
Was rein muss: Welche Tools sind freigegeben? Was darf eingegeben werden, was nicht? Welche Ausgaben dürfen ohne Gegenlesen nach außen? Wer ist verantwortlich, wenn etwas schiefläuft?
Daniela, Inhaberin eines Holzbaubetriebs aus dem Schwarzwald, hat ihre Richtlinie auf einer DIN-A4-Seite. Oben drauf steht: "ChatGPT darf für Angebotsentwürfe genutzt werden. Kundendaten, Preise und Lieferantenkonditionen werden nicht eingegeben." Fertig. Das reicht als Einstieg — und es ist tausendmal besser als nichts.
Öffentliche Referenzen wie die KI-Richtlinie des Bezirksamts Berlin-Mitte oder die HOERBIGER AI Policy geben gute Strukturvorlagen — du nimmst daraus, was für einen Betrieb mit 5 bis 80 Mitarbeitenden passt, und streichst den Rest.

Rollen & Verantwortlichkeiten

Du brauchst keine große Governance-Struktur. Aber zwei bis vier klar definierte Rollen müssen sein. In der Praxis sieht das bei einem KMU oft so aus: Der Geschäftsführer trägt die Gesamtverantwortung. Eine Person im Betrieb — oft aus der Verwaltung oder IT — übernimmt die Rolle des KI-Verantwortlichen. Datenschutz wird entweder intern oder extern abgedeckt. Die Fachbereiche geben Use-Cases weiter und melden Probleme.
Mehr braucht es nicht. Entscheidend ist: Es muss jemanden geben, den Mitarbeitende fragen können. "Darf ich das?" — und die Antwort kommt zuverlässig.

Tool-Freigaben: Positivliste und Negativliste

Das ist der Bereich, wo Shadow-AI entsteht. Mitarbeitende nutzen Tools, die nie jemand freigegeben hat — weil es schlicht keine Positivliste gab.
Die Lösung ist simpel: Erstelle eine kurze Liste freigegebener Tools (z. B. ChatGPT mit Unternehmens-Account, Copilot, [dein internes Automatisierungstool]) und eine Negativliste (z. B. keine kostenlosen Consumer-Apps mit unklarer Datenweitergabe). Für neue Tools: ein 30-Minuten-Check, bei dem Datenschutz-Grundlage, Serverstandort und Terms of Service gecheckt werden. Kein neues Tool in produktiven Prozessen, bevor dieser Check passiert ist.
Andreas, der einen Fensterbaubetrieb mit 35 Mitarbeitenden führt, hat das so gelöst: Wer ein neues KI-Tool ausprobieren will, schreibt eine kurze E-Mail mit Link und Use-Case an seinen KI-Verantwortlichen. Antwort innerhalb von zwei Werktagen — Freigabe oder Ablehnung mit Begründung. Kein Komitee, kein Ticket-System. Zack, fertig.

Datenklassen & Eingaberegeln

Das ist der Bereich, den die meisten KMU komplett überspringen — und genau da entstehen die kritischen Fehler. Nicht jede Information darf in ein externes KI-System eingegeben werden.
Ein einfaches Vier-Klassen-Modell funktioniert gut: öffentlich (kann eingegeben werden), intern (nur mit freigegebenen Unternehmens-Accounts), vertraulich (nur in on-premise oder DSGVO-konforme Systeme), streng vertraulich (gar nicht in externe Systeme). Mitarbeitende brauchen keine Schulung in Datenschutzrecht — sie brauchen eine klare Tabelle, die ihnen sagt: "Kundenpreise = vertraulich, also nicht in ChatGPT."
Karl, der einen Spenglereibetrieb mit 22 Mitarbeitern führt, hatte genau dieses Problem: Ein Mitarbeiter hatte Angebotskalkulationen mit Einkaufspreisen in ChatGPT eingegeben. Kein böser Wille — er hatte einfach nicht gewusst, dass das ein Problem ist. Seit der Einführung einer simplen Datenklassen-Karte am Arbeitsplatz ist das Geschichte.

Logging & Schulungsnachweis

Zwei Dinge, die du dokumentieren solltest: erstens, welche Use-Cases mit welchen Tools und Datenklassen genutzt werden — nicht jede Anfrage, aber die regelmäßigen Prozesse. Und zweitens, wer wann welche KI-Kompetenzmaßnahme absolviert hat. Das ist der Nachweis für Artikel 4.
Kein aufwendiges System. Eine einfache Tabelle reicht — Use-Case, zuständige Person, genutztes Tool, Datenklasse, Datum. Für den Schulungsnachweis: Name, Datum, Thema, Format. Einmal im Jahr aktualisieren und ablegen.

---

Praxis-Checkliste: In zwei Stunden startklar

Das ist das Minimal-Set für den ersten Aufschlag. Kein Anspruch auf Vollständigkeit — aber besser als 80% dessen, was aktuell in deutschen KMU existiert.
KI-Richtlinie: Vorhanden? Schriftlich? Mitarbeitende informiert?
Rollen: Wer ist KI-Verantwortliche/r? Wer deckt Datenschutz ab? Wer entscheidet über neue Tools?
Tool-Freigaben: Gibt es eine Positivliste? Gibt es einen definierten Prüfprozess für neue Tools?
Datenklassen: Gibt es eine Klassifizierung? Wissen Mitarbeitende, was sie eingeben dürfen?
Schulungsnachweis: Wurde mindestens eine KI-Kompetenzmaßnahme durchgeführt? Ist sie dokumentiert?
Logging: Sind die wichtigsten KI-Prozesse erfasst (Use-Case, Tool, Datenklasse)?
Wenn du bei mehr als drei Punkten "Nein" hast, weißt du, wo du anfangen musst.

---

Typische Fehler aus KMU und Handwerk

Der häufigste Fehler: "Wir haben das ja intern besprochen." Intern besprochen bedeutet nichts. Ohne schriftliche Richtlinie, ohne dokumentierten Beschluss, ohne Schulungsnachweis existiert es für eine Prüfung nicht.
Zweithäufigster Fehler: Die Richtlinie wird von der Geschäftsführung erstellt und dann nie kommuniziert. Mitarbeitende wissen von nichts. Das schützt dich nicht — und es funktioniert auch operativ nicht.
Und dann ist da noch das Phänomen der Überkomplexit. Ich habe Unternehmen gesehen, die ein 35-seitiges Governance-Dokument bestellt haben, das dann im Ordner verstaubt. Niemand liest es, niemand hält sich dran. Lieber zwei Seiten, die jeder versteht — und die tatsächlich angewendet werden.
Meiner Erfahrung nach ist die beste KI-Governance diejenige, die Mitarbeitende als Hilfe wahrnehmen und nicht als Kontrolle. Der Ton in der Richtlinie macht da einen riesigen Unterschied.

---

KI-Governance als Fundament — nicht als Bremse

Guter Governance-Aufbau dauert keine Monate. Er braucht Klarheit, eine halbe Sitzung mit den richtigen Leuten und die Bereitschaft, etwas Schriftliches zu verabschieden.
In der Synclaro Academy bauen wir im 12-Wochen-Sprint nicht nur Automatisierungen — wir legen vorher das Governance-Fundament. Datenklassen, Richtlinie, Rollenverteilung, Schulungsnachweis. Das geht parallel, kostet keine extra Monate und ist am Ende der Sprint-Phase dokumentiert und in der Praxis verankert.
Der Unterschied zwischen Betrieben, die KI-Governance als Bürokratie sehen, und denen, die sie als Qualitätssicherung verstehen: Die zweite Gruppe skaliert schneller — weil sie weiß, was erlaubt ist, und ohne Zögern umsetzt.
Für KMU, die jetzt einschätzen wollen wo sie stehen, bieten wir ein kostenloses 15-minütiges Erstgespräch an — einen schnellen Governance-Quickcheck, der zeigt, was bereits passt und wo der nächste konkrete Schritt liegt. Buchbar unter synclaro.de/academy/beratung.

---

Glossar

KI-Richtlinie: Internes Dokument, das regelt, wie Mitarbeitende KI-Tools nutzen dürfen — Zweck, Freigaben, Grenzen, Verantwortlichkeiten.
KI-Beauftragter: Person im Unternehmen, die Freigaben koordiniert, Fragen beantwortet und Schulungsmaßnahmen organisiert. Kein Vollzeit-Job in KMU, sondern eine Zusatzrolle.
Deployer: EU-AI-Act-Begriff für Unternehmen, die KI-Systeme betreiben — also auch KMU, die ChatGPT oder andere Tools im Betrieb einsetzen.
Tool-Freigabe: Strukturierter Kurzprozess, mit dem neue KI-Tools auf Datenschutz-Konformität und Sicherheit geprüft werden, bevor sie produktiv eingesetzt werden.
Datenklassifizierung: Einteilung von Informationen in Kategorien (z. B. öffentlich, intern, vertraulich, streng vertraulich), die bestimmt, was in externe KI-Systeme eingegeben werden darf.
Logging: Dokumentation, welche KI-Prozesse, Tools und Datenklassen im Betrieb genutzt werden — Basis für Nachvollziehbarkeit und Prüffähigkeit.

---

Häufig gestellte Fragen

Was ist KI-Governance im KMU?

KI-Governance im KMU bezeichnet den strukturierten Rahmen, der regelt, wie Mitarbeitende künstliche Intelligenz im Betrieb nutzen dürfen. Dazu gehören eine schriftliche KI-Richtlinie, klare Rollenverteilungen, ein Freigabeprozess für Tools, Datenklassifizierung und der Nachweis von Schulungsmaßnahmen. Ziel ist nicht Bürokratie, sondern Qualitätssicherung, Datenschutzkonformität und Haftungsklarheit.

Was fordert EU AI Act Artikel 4 von Unternehmen?

Artikel 4 verpflichtet Betreiber von KI-Systemen — also auch KMU, die ChatGPT oder ähnliche Tools einsetzen — sicherzustellen, dass Mitarbeitende und Beauftragte ein ausreichendes KI-Kompetenzniveau haben. Die EU-Kommission stellt klar: Es braucht keine formale Prüfung, aber Maßnahmen müssen rollen- und kontextangemessen organisiert und dokumentiert sein. Die Pflicht gilt seit dem 2. Februar 2025.

Welche fünf Artefakte braucht ein KMU für KI-Governance mindestens?

Das Minimal-Set besteht aus: (1) einer KI-Richtlinie auf ein bis zwei Seiten, (2) definierten Rollen und Verantwortlichkeiten, (3) einer Tool-Freigabeliste mit kurzem Prüfprozess, (4) einer Datenklassifizierung mit klaren Eingaberegeln und (5) einem Schulungsnachweis für Artikel-4-Konformität. Wer diese fünf Punkte abgedeckt hat, ist besser aufgestellt als der Großteil der deutschen KMU.

Was ist Shadow-AI und warum ist sie ein Problem?

Shadow-AI bezeichnet die unkontrollierte Nutzung von KI-Tools im Betrieb — ohne Wissen oder Freigabe der Unternehmensleitung. Mitarbeitende geben dabei möglicherweise vertrauliche Kundendaten, Preiskalkulationen oder interne Prozesse in externe Systeme ein. Das schafft Datenschutzrisiken, Haftungsprobleme und unkontrollierte Qualität in Outputs. Eine einfache Positivliste freigegebener Tools ist die direkteste Gegenmaßnahme.

Muss ich als kleiner Handwerksbetrieb den EU AI Act überhaupt ernst nehmen?

Ja — sobald du KI-Tools im Betrieb einsetzt, bist du als Deployer im Sinne des AI Act betroffen. Das gilt auch für kleine Betriebe. Die gute Nachricht: Der Aufwand für ein angemessenes Minimal-Set ist überschaubar. Eine einseitige Richtlinie, eine klare Rollenverteilung und eine dokumentierte Schulungsmaßnahme sind ein guter Start — und besser als alles, was aktuell in den meisten Betrieben vorhanden ist.

Wie lange dauert der Aufbau einer KI-Governance im KMU?

Der erste Aufschlag — Richtlinie, Rollenverteilung, Tool-Freigabeliste, Datenklassen-Karte — lässt sich in zwei bis drei Stunden erarbeiten, wenn die richtigen Leute im Raum sitzen. Für einen vollständig dokumentierten und in der Praxis verankerten Governance-Rahmen reichen in der Regel vier bis acht Wochen bei konsequenter Umsetzung.

---

Und jetzt?

Du weißt, was du brauchst. Der nächste Schritt ist Umsetzung — und die muss nicht kompliziert sein. In der Synclaro Academy bauen wir KI-Governance als festes Fundament in den 12-Wochen-Sprint ein: pragmatisch, dokumentiert, für Betriebe mit 5 bis 250 Mitarbeitenden. Keine Konzern-Templates, keine unnötige Komplexität.
Wenn du erst einmal einschätzen willst, wo dein Betrieb aktuell steht, ist das kostenlose 15-Minuten-Erstgespräch der richtige Einstieg — ein schneller Governance-Quickcheck, konkret und ohne Umwege.
Zur Synclaro Academy | Erstgespräch buchen