KI-Richtlinie Vorlage: Was KMU bis August brauchen

KI-Richtlinie Vorlage: Was KMU bis August brauchen

Bis zum 2. August 2026 müssen Unternehmen, die KI-Systeme einsetzen, ihre internen Regelwerke fertiggestellt haben. Wer bisher keine schriftliche KI-Richtlinie hat, steht jetzt unter Zeitdruck. Für viele KMU ist die Frage nicht mehr ob, sondern wie rasch eine praxistaugliche Vorlage umgesetzt werden kann.

Dieser Beitrag zeigt, was eine KI-Richtlinie für den Mittelstand enthalten muss, was der EU AI Act konkret verlangt, und warum eine strukturierte Vorlage schneller schützt als ein langes Rechtsgutachten.

Was der 2. August 2026 für KMU konkret bedeutet

Der EU AI Act (Verordnung EU 2024/1689) ist in Phasen in Kraft getreten. Bereits seit dem 2. Februar 2025 gilt Artikel 4: Jedes Unternehmen, das KI-Systeme nutzt, muss nachweisbar dafür sorgen, dass die betreffenden Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Seit diesem Datum sind auch verbotene KI-Praktiken wie Social Scoring rechtswidrig.

Am 2. August 2026 tritt die nächste, umfangreichere Stufe in Kraft. Ab dann gelten die vollständigen Anforderungen für sogenannte Hochrisiko-KI-Systeme: Risikomanagementsystem, lückenlose Dokumentation, menschliche Aufsicht und transparente Information der Betroffenen. Gleichzeitig müssen die nationalen Aufsichtsstrukturen in den Mitgliedsstaaten fertiggestellt sein.

Für KMU in der Schweiz und in Deutschland gilt: Wer heute ChatGPT im Kundendienst einsetzt, eine HR-Software mit KI-gestützter Vorauswahl nutzt oder automatisierte Scoring-Funktionen in der Buchhaltung verwendet, ist betroffen. Die Grösse des Unternehmens macht keinen Unterschied. Der Massstab ist der Anwendungsfall, nicht die Mitarbeiterzahl.

Was eine KI-Richtlinie leisten muss

Eine KI-Richtlinie ist kein Marketingdokument. Sie ist ein internes Regelwerk, das beschreibt, welche KI-Systeme im Unternehmen eingesetzt werden, wer für sie verantwortlich ist, welche Nutzungszwecke erlaubt sind und wo die Grenzen liegen. Gleichzeitig ist sie die Grundlage für Unterweisungen und Nachweise.

Konkret sollte eine praxistaugliche KI-Richtlinie für KMU mindestens sechs Bereiche abdecken:

1. KI-Inventar: Eine Liste aller im Unternehmen genutzten KI-Systeme, einschliesslich Software-Tools mit eingebetteten KI-Funktionen wie KI-gestützter Buchhaltung, Chatbots im Kundendienst oder automatisierten Auswertungsfunktionen in CRM-Systemen.

2. Risikoklassifizierung: Für jedes System muss bestimmt werden, in welche Risikoklasse des EU AI Act es fällt. Minimales Risiko erfordert keine besonderen Massnahmen ausser der allgemeinen Kompetenzpflicht nach Artikel 4. Begrenztes Risiko verlangt Transparenzhinweise. Hochrisiko-Systeme erfordern ein vollständiges Dokumentations- und Überwachungskonzept.

3. Zuständigkeiten: Wer genehmigt neue KI-Tools? Wer ist zuständig, wenn eine KI-gestützte Entscheidung angefochten wird? Diese Fragen müssen schriftlich geregelt sein, bevor eine Beschwerde eingeht oder eine Behörde anfrägt.

4. Nutzungsregeln: Welche Eingaben dürfen gemacht werden? Dürfen Kundendaten in externe KI-Systeme eingespeist werden? Wie wird mit KI-generierten Inhalten umgegangen, bevor sie nach aussen gehen? Diese Alltagsfragen entscheiden, ob eine Richtlinie tatsächlich gelebt wird.

5. Unterweisungsnachweis: Seit Februar 2025 gilt die KI-Kompetenzpflicht. Unternehmen müssen nachweisen können, dass relevante Mitarbeitende unterwiesen wurden. Eine einfache Unterschriftenliste reicht oft nicht. Gefordert ist eine dokumentierbare Lerneinheit mit Datum, Inhalt und Teilnahmebestätigung.

6. Aktualisierungszyklus: KI-Systeme und deren rechtliche Einordnung ändern sich. Eine Richtlinie, die 2025 erstellt und seitdem nicht angepasst wurde, kann bereits veraltet sein. Ein fester Überprüfungszyklus von mindestens einmal jährlich gehört in den Text.

Die häufigste Lücke: Das KI-Inventar fehlt

Die Bestandsaufnahme ist der schwierigste Schritt, weil viele Unternehmen gar nicht wissen, wie viele KI-Funktionen sie bereits einsetzen. KI ist keine separate Software, die man bewusst installiert. Sie ist eingebettet in Standardprodukte: in die Spam-Erkennung des E-Mail-Programms, in die Textvorschlags-Funktion von Outlook oder Teams, in die automatische Kategorisierung von Belegen in der Buchhaltung.

Der erste Schritt ist deshalb eine gezielte Bestandsaufnahme aller eingesetzten Tools, mit der Frage: Enthält dieses Produkt KI-Funktionen, die auf meine Geschäftsprozesse wirken? Wenn die Antwort Ja ist oder unklar bleibt, gehört das Tool in die Liste.

Anschliessend folgt die Klassifizierung. Für die meisten KMU werden die genutzten Systeme in die Kategorien minimales Risiko oder begrenztes Risiko fallen. Das bedeutet: kein grosser Dokumentationsaufwand, aber trotzdem eine schriftliche Grundlage und dokumentierte Mitarbeiterunterweisung.

Was bei Hochrisiko-KI gilt

Hochrisiko-Systeme sind im Anhang III des EU AI Act aufgeführt. Für KMU besonders relevant sind dabei drei Bereiche:

Erstens die Personalauswahl: Wer eine Software nutzt, die Lebensläufe automatisch vorsortiert oder Bewerberprofile nach KI-Kriterien bewertet, betreibt ein Hochrisiko-System. Für dieses System braucht es ein Risikomanagementsystem, menschliche Aufsicht und eine technische Dokumentation. Bewerberinnen und Bewerber müssen wissen, dass KI in der Vorselektion eingesetzt wird.

Zweitens das Bonitätsscoring: KI-gestützte Bewertungen im Rahmen der Kreditvergabe, Zahlungsausfallprognosen oder automatisierte Freigaben für Bestelllimits können unter diese Kategorie fallen, wenn sie wesentliche Entscheidungen für Personen treffen.

Drittens die Mitarbeiterbewertung: Systeme, die Leistungskennzahlen automatisiert erheben und auswerten, zum Beispiel in der Logistik oder im Aussendienst, gelten als Hochrisiko, wenn die Ergebnisse für Entscheidungen über Arbeitsverhältnisse verwendet werden.

Wer ein solches System einsetzt, muss bis August 2026 handlungsfähig sein: Risikoanalyse dokumentiert, Überwachungsprozesse definiert, Mitarbeitende unterwiesen, Betroffene informiert.

Warum eine Vorlage besser ist als ein individuelles Rechtsgutachten

Ein Rechtsgutachten klärt Fragen. Eine Vorlage löst Aufgaben. Für KMU, die keine eigene Compliance-Abteilung haben, ist eine gut strukturierte Richtlinienvorlage oft der schnellste und praktischste Weg zur Umsetzung.

Eine Vorlage enthält die Pflichtabschnitte bereits im richtigen Format, die korrekte Terminologie aus dem EU AI Act, und sie zeigt, wo die unternehmensspezifischen Felder auszufüllen sind. Das spart Zeit bei der Erstellung und reduziert das Risiko, wichtige Elemente zu vergessen.

Wichtig ist, dass die Vorlage an das eigene Unternehmen angepasst wird. Eine generische Vorlage, die unverändert übernommen wird, schützt nicht. Entscheidend ist, dass das KI-Inventar mit den tatsächlich genutzten Systemen gefüllt ist, dass die Zuständigkeiten mit echten Personen verknüpft sind und dass der Unterweisungsnachweis tatsächlich erbracht wird.

Drei Wochen bis August: Was jetzt konkret zu tun ist

Wer bis Ende Juli eine erste, dokumentationsfähige KI-Richtlinie haben will, kann mit einem strukturierten Drei-Schritte-Plan arbeiten:

In der ersten Woche steht die Bestandsaufnahme: Alle genutzten Tools mit KI-Funktion werden gelistet. Jede Abteilung befragt, welche Software-Tools sie täglich nutzt. Ergebnis: eine vollständige Liste mit Tool-Name, Anbieter und Hauptfunktion.

In der zweiten Woche erfolgt die Klassifizierung: Jedes Tool wird eingeordnet. Minimales Risiko, begrenztes Risiko oder Hochrisiko. Bei Unklarheit hilft ein Blick auf den Anhang III des EU AI Act oder eine kurze Rückfrage beim Anbieter: Gilt dieses Produkt als Hochrisiko-KI-System gemäss EU AI Act?

In der dritten Woche wird die Richtlinie fertiggestellt und die Unterweisung durchgeführt. Die Richtlinie wird von der Geschäftsführung verabschiedet. Mitarbeitende, die KI-Systeme nutzen, erhalten eine dokumentierte Kurzunterweisung mit Unterschriftsnachweis oder digitaler Bestätigung.

Wer diesen Plan bis Ende Juli umsetzt, geht mit einer nachweisbaren Grundlage in den August. Das ist kein vollständiges Compliance-Programm, aber es zeigt, dass das Unternehmen die Anforderungen ernst nimmt und aktiv arbeitet.

Was KMU in der Schweiz beachten müssen

Die Schweiz ist nicht EU-Mitglied und der EU AI Act gilt nicht unmittelbar als schweizerisches Recht. Trotzdem sind Schweizer Unternehmen häufig betroffen: wenn sie Produkte oder Dienstleistungen in die EU exportieren, wenn sie mit EU-Kunden zusammenarbeiten oder wenn ihre KI-Systeme Outputs erzeugen, die EU-Bürger betreffen.

Zudem zeichnet sich ab, dass die Schweiz eigene KI-Governance-Anforderungen entwickelt, die sich stark an den europäischen Massstäben orientieren. Wer heute eine solide KI-Richtlinie nach EU AI Act-Massstab aufbaut, schafft damit auch die Grundlage für zukünftige schweizerische Anforderungen, ohne später alles neu erarbeiten zu müssen.

Für Schweizer KMU gilt dieselbe Empfehlung wie für ihre deutschen Pendants: Jetzt mit der Bestandsaufnahme beginnen, eine Vorlage nutzen und die Unterweisung dokumentieren.

Recherchebasis: Datenschutz Einfach: EU AI Act August 2026. CaraLegal: KI-Richtlinie im Unternehmen. CompliantDesk: EU AI Act KMU 2026.