businessKMU Bayern·8 Min. Lesezeit

EU AI Act: Der Zeitplan 2025/2026 und was KMU jetzt wirklich tun müssen

Der EU AI Act gilt stufenweise. Wir erklären den Zeitplan in Klartext und zeigen, mit welchem schlanken Setup KMU AI Literacy und KI-Governance ohne Bürokratie umsetzen.

person
Christoph Helminger
4. Februar 2026
EU AI Act Zeitplan KI-Governance KMU Compliance Bayern

In fast jedem Microsoft-365-Audit, das wir derzeit bei KMU im Berchtesgadener und Traunsteiner Land durchführen, stoßen wir auf dasselbe Bild: ChatGPT läuft im Browser-Tab, Copilot ist lizenziert, einzelne Mitarbeitende haben sich zusätzlich noch zwei, drei KI-Tools selbst freigeschaltet — und niemand kann sagen, welche Daten dort eigentlich landen. KI ist im Arbeitsalltag angekommen, lange bevor die meisten Betriebe eine Regel dafür aufgestellt haben. Genau hier setzt der EU AI Act an, und genau deshalb ist er auch für Unternehmen relevant, die selbst keine KI entwickeln, sondern sie nur nutzen.

Die gute Nachricht vorweg: Für ein KMU ist der AI Act kein Grund zur Panik und kein Anlass für ein großes Compliance-Programm. Er ist eher ein willkommener Anlass, ein paar Dinge zu ordnen, die ohnehin geordnet gehören. In diesem Beitrag übersetzen wir den offiziellen Zeitplan in Klartext und zeigen, mit welchem schlanken Setup Sie die wichtigsten Pflichten erfüllen, ohne Ihre Teams auszubremsen.

Der Zeitplan: Was gilt wann?

Der AI Act ist seit dem 1. August 2024 in Kraft, gilt aber nicht auf einen Schlag, sondern in Stufen. Diese Eckdaten sollten Sie kennen:

  • Seit 2. Februar 2025: Bestimmte KI-Praktiken sind verboten (etwa Social Scoring oder manipulative Systeme). Gleichzeitig gilt die Pflicht zur AI Literacy — Unternehmen müssen Maßnahmen treffen, damit ihre Mitarbeitenden KI angemessen verstehen und einsetzen.
  • Seit 2. August 2025: Die Governance-Strukturen greifen, und es gelten Pflichten für Anbieter von General-Purpose-AI-Modellen (GPAI), also den großen Sprachmodellen, die hinter Copilot, ChatGPT & Co. stehen.
  • Ab 2. August 2026: Der AI Act ist im Wesentlichen voll anwendbar. Ab diesem Zeitpunkt übernehmen die nationalen Behörden die Aufsicht und Durchsetzung.
  • Bis 2. August 2027: Für bestimmte Hochrisiko-Anwendungen in regulierten Produkten gilt eine verlängerte Übergangsfrist.

Wichtig für die Einordnung: Der AI Act unterscheidet Rollen. Wer KI-Systeme entwickelt und in Verkehr bringt, ist Anbieter (Provider) und hat deutlich umfangreichere Pflichten. Die meisten KMU sind dagegen Betreiber (Deployer) — sie setzen fertige Tools ein. Für Betreiber ist der Pflichtenkatalog überschaubar, aber er ist nicht null. Die AI-Literacy-Pflicht trifft Sie unabhängig davon, ob Sie ein einziges KI-Tool selbst gebaut haben.

AI Literacy: Was die Pflicht praktisch bedeutet

AI Literacy klingt nach einem abstrakten Begriff aus Brüssel, meint aber etwas sehr Bodenständiges: Ihre Mitarbeitenden sollen verstehen, was die von ihnen genutzten KI-Tools können, wo deren Grenzen liegen und welche Risiken im Umgang mit ihnen entstehen. Es geht nicht um ein Informatikstudium, sondern um Handlungssicherheit im Alltag.

Entscheidend ist eine Feinheit, die in der Praxis oft übersehen wird: Die Pflicht gilt seit dem 2. Februar 2025, auch wenn die behördliche Aufsicht erst ab August 2026 startet. Sie müssen also bereits jetzt Maßnahmen ergriffen haben — die Tatsache, dass noch niemand kontrolliert, ändert nichts an der Verpflichtung selbst.

In der Umsetzung darf und sollte AI Literacy risikobasiert sein. Eine Sachbearbeiterin, die Copilot zum Formulieren von E-Mails nutzt, braucht andere Inhalte als ein Entwickler, der KI-generierten Code übernimmt. Aus unserer Erfahrung sind diese vier Punkte der Kern einer tragfähigen Schulung:

  • Rollen- und toolbezogen: Welche Tools sind in welcher Abteilung erlaubt, und was leisten sie konkret?
  • Datenregeln im Vordergrund: Was darf niemals in einen Prompt — und warum.
  • Typische Risiken benennen: Halluzinationen, Datenabfluss, KI-gestütztes Phishing, urheberrechtliche Fallstricke.
  • Dokumentation: Inhalte, Zielgruppe, Frequenz und Teilnahme festhalten — das ist Ihr Nachweis, falls jemand fragt.

Eine 30- bis 60-minütige, rollenspezifische Kurzschulung pro Team ist hier oft der größte Hebel. Sie schafft mehr Sicherheit als jedes 40-seitige Richtlinien-PDF, das niemand liest.

KI-Governance für KMU: Das Minimal-Setup, das funktioniert

Sie brauchen kein KI-Governance-Board und keinen eigens berufenen AI Officer. Was Sie brauchen, ist ein schlankes Gerüst, das die wichtigsten Risiken sofort senkt. In unseren IT-Consulting-Projekten hat sich folgendes Minimal-Setup bewährt:

  1. Tool-Liste: Eine kurze Übersicht, welche KI-Tools erlaubt sind (z. B. Microsoft Copilot mit eingeschalteten Datenschutz-Optionen) und welche ausdrücklich nicht. Damit beenden Sie das stille Wuchern der Shadow-IT.
  2. Datenregeln: Eine klare Aussage, welche Informationen niemals in Prompts gehören — Kunden- und Personaldaten, Passwörter, Schlüssel, vertrauliche Verträge.
  3. Rollen: Wer entscheidet über neue Tools, wer gibt frei, wer dokumentiert? Ein benannter Owner reicht oft.
  4. Zugriffe: Least Privilege, MFA und — wo lizenziert — Sensitivity Labels und DLP. Gerade in Microsoft 365 ist die Berechtigungsstruktur der praktische Hebel, der entscheidet, worauf Copilot überhaupt zugreifen kann.
  5. Incident-Plan: Was passiert, wenn doch einmal vertrauliche Daten in ein KI-Tool gelangt sind? Wer wird informiert, wer entscheidet?

Der Punkt mit den Zugriffsrechten ist der, der in der Praxis am meisten unterschätzt wird. Copilot zeigt einem Nutzer genau das, was dieser Nutzer ohnehin sehen darf — wenn aber die Berechtigungen über Jahre verwildert sind und der halbe Betrieb Lesezugriff auf das Geschäftsführungs-Laufwerk hat, dann macht KI diese Altlast plötzlich sichtbar und durchsuchbar. Eine saubere Berechtigungsstruktur ist deshalb Teil jeder KI-Einführung. Wer hier unsicher ist, sollte die Netzwerk- und Infrastruktur-Ebene vor dem KI-Rollout in Ordnung bringen.

Praxisbeispiel: KI-Policy und AI Literacy in zwei Wochen

Wie schlank das gehen kann, zeigt ein Projekt bei einem mittelständischen Betrieb in der Region. Ausgangslage: Mehrere Teams nutzten parallel verschiedene KI-Tools, ohne Regeln zu Daten und Freigaben — ein typischer Fall.

In zwei Wochen haben wir gemeinsam eine einseitige KI-Nutzungsrichtlinie mit klaren Do's und Don'ts erstellt, die erlaubten Tools definiert, rollenbasierte Kurzschulungen aufgesetzt und die Zugriffsrechte in Microsoft 365 nachgeschärft. Das Ergebnis: deutlich weniger Shadow-IT, eine nachvollziehbar bessere Datensicherheit und klare Zuständigkeiten — ohne dass die Teams in ihrer täglichen Arbeit ausgebremst wurden. Der Aufwand stand in keinem Verhältnis zum Risiko, das vorher unkontrolliert im Raum stand.

Was KMU für 2026 konkret vorbereiten sollten

Wenn Sie 2026 nicht unter Druck reagieren wollen, sind das die sinnvollsten Schritte — in dieser Reihenfolge:

  • AI-Literacy-Programm aufsetzen: kurz, rollenspezifisch, wiederkehrend.
  • KI-Policy schreiben und einen Freigabeprozess für neue Tools definieren.
  • Datenklassifikation und Sensitivity Labels einführen, damit Vertrauliches technisch geschützt ist.
  • Zugriffsrechte auf Dateien, Teams und SharePoint kontrollieren und aufräumen.
  • Verantwortlichkeiten festlegen und Schulungen dokumentieren.
  • Lieferanten und Tools prüfen: Verträge, Datenschutz, und wo möglich eine EU Data Boundary.

Die eigentliche Arbeit liegt selten in der Technik, sondern im Festlegen klarer Regeln. Sobald diese stehen, ist die Umsetzung in Microsoft 365 oder in der vorhandenen Tool-Landschaft meist schnell erledigt. Wer hier zusätzlich die Datensicherheit härten will, findet im Bereich IT-Security & Cybersecurity die passenden Maßnahmen — von DLP über Sensitivity Labels bis zum Incident-Prozess.

Fazit

Der EU AI Act ist kein bürokratisches Monster, sondern ein klarer Hinweis: KI braucht Governance, sobald Menschen sie im Arbeitsalltag nutzen. Für KMU sind drei Dinge entscheidend — eine pragmatische AI-Literacy-Schulung, klare Tool-Regeln und belastbare Datenleitplanken. Die AI-Literacy-Pflicht gilt bereits seit Februar 2025, die volle Geltung kommt im August 2026. Wer die wenigen Wochen, die ein solches Minimal-Setup kostet, jetzt investiert, steht in einem Jahr deutlich entspannter da — und nutzt KI dann nicht trotz, sondern wegen klarer Regeln sicherer und produktiver.

EU AI ActAI LiteracyKI-GovernanceComplianceKMUBayernMicrosoft 365Datenschutz

Projekt besprechen?

Wir setzen um, was wir hier beschreiben — in Bayern und dem gesamten DACH-Raum.

mailKontakt aufnehmen

Weitere Artikel

KI-Agent Microsoft Copilot Studio Automatisierung Mittelstand Bayern
businessKMU Bayern·9 Min.

KI-Agenten im Mittelstand: Was Copilot Studio 2026 wirklich leistet

Chatbot oder echter Agent? Was Copilot Studio 2026 für KMU realistisch leistet, was es kostet – und wo die ehrlichen Grenzen liegen.

9. Juni 2026Weiterlesenarrow_forward
Vernetzte IT-Infrastruktur und Cloud-Systeme für KMU im Berchtesgadener Land
businessKMU Bayern·8 Min.

IT-Trends 2026: Was für KMU im Berchtesgadener Land wirklich zählt

Die meisten Trendberichte bleiben abstrakt. Wir ordnen ein, welche Entwicklungen 2026 für mittelständische Betriebe in Bayern tatsächlich Substanz haben – und was Sie jetzt vorbereiten sollten.

15. Januar 2026Weiterlesenarrow_forward
IT-Budgetplanung KMU mit Laptop, Diagrammen und Kostenauswertung
businessKMU Bayern·8 Min.

IT-Kosten optimieren: Wo KMU 2025 wirklich sparen – und wo nicht

Lizenzen, Cloud, Wartungsverträge – in vielen KMU summiert sich die IT zu einem teuren Flickenteppich. Wo sich Optimieren lohnt und wo Sparen ins Geld geht.

18. Februar 2026Weiterlesenarrow_forward