KI‑Compliance im Mittelstand: EU AI Act & ISO/IEC 42001

KI ist im Mittelstand angekommen: Laut aktuellen Zahlen setzen rund 36 % der deutschen Unternehmen bereits KI ein – Tendenz stark steigend. Das gilt zunehmend auch für KMU.

Regulatorischer Fahrplan (EUR‑Lex)

Der EU AI Act (Verordnung (EU) 2024/1689) bringt ein gestaffeltes Pflichtenprogramm:

• Verbotene Praktiken: 6 Monate nach Inkrafttreten (seit 2. Februar 2025).
• General‑Purpose/Foundation‑Modelle (GPAI): ab 2. August 2025 – inkl. öffentlicher Trainingsdaten‑Zusammenfassung (Template der EU‑Kommission verfügbar) und Code of Practice.
• Übrige Pflichten: ab 2. August 2026; einzelne Hochrisiko‑Regeln später. Offizielle Texte findest du bei EUR‑Lex; die Kommission stellt zudem GPAI‑Leitlinien und das Zusammenfassungs‑Template bereit. In Deutschland wird nach Entwürfen die Bundesnetzagentur zentrale Aufsichtsrolle übernehmen (Aufsicht „Mosaik“).

Was das konkret für KMU heißt

1) Risiko & Scope klären (EU AI Act): Bin ich Anbieter oder Anwender? Ist mein Use‑Case Hochrisiko? Daraus folgen Pflichten wie Risikomanagement, Protokollierung, Technische Dokumentation/CE und ggf. Registrierung (Anhang IV). Starte mit einer systematischen Use‑Case‑Inventur und einem kurzen AI‑Act‑Screening pro Anwendungsfall.

2) Datenschutz sauber aufsetzen (DSGVO): Prüfe Rechtsgrundlagen, Transparenz, DPIA und beteilige im HR‑Kontext den Betriebsrat (Mitbestimmung bei Überwachungstechnik). Die Datenschutzkonferenz liefert eine aktuelle Orientierungshilfe zum KI‑Einsatz.

3) Sicherheit & Qualität sicherstellen (BSI): Setze auf Security‑by‑Design: Bedrohungsanalysen für generative KI, abgesicherte Integrationen (z. B. Prompt‑Filter/Output‑Kontrollen), Incident‑Prozesse und laufende Evaluation gegen Halluzinationen/Leakage – komprimiert im BSI‑Management‑Blitzlicht.

4) Lieferanten & Datenflüsse managen: Verträge auf IP/Copyright, Verarbeitung, Audit‑Rechte und Exit (Modell/Cloud‑Wechsel) prüfen. Der EU Data Act stärkt Datenzugang/Portabilität (Anwendung ab 12. September 2025). Transatlantische Datentransfers sind durch das EU‑US Data Privacy Framework (DPF) aktuell gerichtsfest bestätigt – Beobachtung bleibt sinnvoll.

KI im Qualitätsmanagement: ISO 9001 trifft ISO/IEC 42001

Wer KI im Qualitätsmanagement nutzt, profitiert von bestehenden Managementsystemen:

• ISO 9001 liefert Struktur, Verantwortlichkeiten und den PDCA‑Zyklus – ideal, um KI‑Prozesse (z. B. visuelle Prüfungen, CAPA‑Priorisierung, Lieferantenbewertung) einzubetten.
• ISO/IEC 42001 ergänzt dies um ein AI‑Managementsystem (AIMS): Governance, Rollen, Ziele, AI‑Risikomanagement und Monitoring – anschlussfähig an ISO 9001/27001. Ergebnis: Weniger Reibung, bessere Audit‑Fähigkeit und belastbare Nachweisführung gegenüber Kunden/Behörden.

Praxis‑Quick‑Wins:

• KI‑Register aufbauen (Use‑Case, Zweck, Daten, Risiken, DPIA‑Status, Logging‑Nachweise).
• Standard‑Artefakte nutzen (Model‑/Data‑Cards, Testprotokolle, Freigabevermerk).
• GPAI‑Transparenz vorbereiten (öffentliche Trainingsdaten‑Zusammenfassung nach EU‑Template).

Förderung & Hilfe

Das BMWK‑Netzwerk „Mittelstand‑Digital“ bietet praxisnahe Unterstützung und Schulungen – mit wachsendem Fokus auf KI‑Readiness.

Ausblick

ie nächsten 12–24 Monate sind die Gestaltungsphase: Wer jetzt Dokumentation, Sicherheit und Lieferanten‑Governance standardisiert und ISO/IEC 42001 mit ISO 9001 verbindet, erfüllt nicht nur den EU AI Act, sondern schafft ein Qualitätssiegel für verlässliche KI – messbar in kürzeren Audits, schnellerer Markteinführung und höherem Kundenvertrauen.

FAQ