Zum Hauptinhalt springenZur Navigation springen
Business & Strategie

EU AI Act: Timeline 2025–2026 und was KMU jetzt vorbereiten sollten

AI Literacy ab 02/2025, GPAI-Regeln ab 08/2025, volle Geltung ab 08/2026

HELITS Team28. Dezember 202510 Min. Lesezeit
EU-Regulierung und KI-Governance im Unternehmenskontext

Viele KMU nutzen bereits KI-Tools – oft ohne klare Regeln, Schulung oder Nachweisbarkeit.

Der EU AI Act führt einen Zeitplan und Pflichten ein (z.B. AI Literacy). Ohne Governance entstehen Risiken: Datenabfluss, falsche Entscheidungen, Shadow-IT und im Zweifel Compliance-Probleme.

Dieser Artikel fasst den offiziellen Zeitplan zusammen und liefert einen pragmatischen KMU-Fahrplan: Richtlinie, AI Literacy, Tool-Policy, Datenklassifikation, Rollen und Dokumentation.

Das erwartet Sie in diesem Artikel:

  • Der offizielle Zeitplan (2025–2026) in Klartext
  • AI Literacy: was das im Alltag bedeutet
  • KI-Policy für Tools wie Copilot/ChatGPT
  • Daten, Zugriff, Protokollierung
  • HELITS-Checkliste für KMU

Der Zeitplan: Was gilt wann?

Laut EU-Kommission gilt der AI Act stufenweise. Wichtige Eckdaten für Unternehmen:
  • AI Act in Kraft seit 01.08.2024
  • Ab 02.02.2025: Verbote bestimmter KI-Praktiken und AI Literacy-Pflichten
  • Ab 02.08.2025: Governance-Regeln und Pflichten für GPAI-Modelle
  • Ab 02.08.2026: AI Act voll anwendbar (mit Ausnahmen)
  • Bis 02.08.2027: verlängerte Übergangsfrist für bestimmte High-Risk Regeln in regulierten Produkten

KMU-Relevanz

Auch wenn du kein KI-Anbieter bist: AI Literacy und interne Leitplanken sind ein sinnvoller Standard, sobald Mitarbeitende KI im Arbeitsalltag nutzen.

AI Literacy (ab 02/2025): Was heißt das praktisch?

Die EU beschreibt AI Literacy als Pflicht, Maßnahmen zu ergreifen, damit Mitarbeitende (und ggf. andere Personen, die im Auftrag handeln) KI-Systeme angemessen verstehen und nutzen. Wichtig: Die Pflicht gilt, auch wenn die Behördenaufsicht später startet.
  • AI Literacy-Pflicht gilt ab 02.02.2025 (Maßnahmen treffen)
  • Aufsicht/Enforcement startet ab 02.08.2026 (durch nationale Behörden)
  • Schulung kann risikobasiert sein (Rollen, Tools, Datenklasse)
  • Dokumentation hilft: Inhalte, Zielgruppen, Frequenz, Nachweis

KI-Governance für KMU: Minimal-Setup, das funktioniert

Du brauchst kein großes Programm. Ein Minimal-Setup reduziert Risiken sofort:
  • Tool-Liste: Welche KI-Tools sind erlaubt (z.B. Copilot), welche nicht?
  • Datenregeln: Welche Informationen dürfen niemals in Prompts?
  • Rollen: Wer entscheidet, wer freigibt, wer dokumentiert?
  • Zugriffe: Least Privilege, MFA, DLP/Sensitivity Labels
  • Incident-Plan: Was tun bei Datenabfluss oder Fehlverhalten?

Quick Win

Starte mit einer 1-seitigen KI-Nutzungsrichtlinie (Do/Don't) und einer 30-minütigen Kurzschulung pro Team. Das ist oft der größte Hebel.

Was KMU 2025/2026 konkret vorbereiten sollten

Wenn du in 2026 nicht unter Druck reagieren willst, sind das die sinnvollsten Schritte:
  • AI Literacy Programm (kurz, rollenspezifisch, wiederkehrend)
  • KI-Policy + Freigabeprozess für neue Tools
  • Datenklassifikation und Sensitivity Labels
  • Kontrollierter Zugriff auf Dateien/Teams/SharePoint (Berechtigungen)
  • Protokollierung und Verantwortlichkeiten (Owner)
  • Lieferanten/Tools prüfen (Verträge, Datenschutz, EU Data Boundary wo möglich)

📋 HELITS-Praxisbeispiel: KI-Policy und AI Literacy in 2 Wochen

Kunde:

KMU (Region Berchtesgadener Land)

Herausforderung:

Mitarbeitende nutzten mehrere KI-Tools parallel, ohne klare Regeln zu Daten und Freigaben.

Lösung:

HELITS erstellte eine KI-Nutzungsrichtlinie, definierte erlaubte Tools, setzte rollenbasierte Schulungen (AI Literacy) auf und schärfte Zugriffe/Berechtigungen in Microsoft 365.

Ergebnis:

Weniger Shadow-IT, bessere Datensicherheit und klare Zuständigkeiten – ohne die Teams auszubremsen.

Fazit

Der EU AI Act ist kein Grund zur Panik, aber ein klarer Hinweis: KI braucht Governance. Für KMU sind AI Literacy, klare Tool-Regeln und Datenleitplanken die wichtigsten Schritte für 2025/2026.

Die wichtigsten Erkenntnisse:

  • AI Literacy gilt seit 02.02.2025 (Maßnahmen treffen).
  • GPAI-Regeln gelten ab 02.08.2025; volle Geltung ab 02.08.2026.
  • Ein Minimal-Setup aus Policy, Rollen und Datenregeln reduziert Risiken sofort.
  • Microsoft 365 Berechtigungen und Labels sind oft der praktische Hebel.

Häufig gestellte Fragen

Müssen KMU den EU AI Act beachten, wenn sie nur KI-Tools nutzen?
Der AI Act richtet sich je nach Rolle (Provider, Deployers) unterschiedlich. Unabhängig davon sind AI Literacy und klare Nutzungsregeln in der Praxis sinnvoll, sobald Mitarbeitende KI im Arbeitsalltag nutzen.
Ab wann gilt die Pflicht zu AI Literacy?
Laut EU-Kommission gilt die AI Literacy Verpflichtung seit 02.02.2025. Die Aufsicht/Enforcement startet ab 02.08.2026 über nationale Behörden.
Was ist eine pragmatische AI-Literacy-Schulung für KMU?
Kurze, rollenspezifische Trainings (30–60 Minuten) mit Do/Don'ts, Datenregeln, typischen Risiken (Phishing, Datenabfluss) und Beispielen aus eurem Alltag.
Brauchen wir einen AI Officer?
Nicht zwingend. Für KMU reicht oft ein benannter Owner (z.B. IT/Datenschutz/Compliance) plus klare Zuständigkeiten für Tool-Freigaben und Schulung.
Welche Daten dürfen in KI-Prompts?
Als Faustregel: keine geheimen Kunden-/Personal-/Finanzdaten, keine Passwörter/Schlüssel, keine vertraulichen Dokumente. Besser ist eine Datenklassifikation und eine klare Prompt-Policy.

KI-Governance & AI-Literacy Workshop

Wir erstellen mit dir eine pragmatische KI-Policy, definieren Do/Don'ts und setzen ein schlankes AI-Literacy-Konzept auf – passend zu euren Tools und Daten.

Workshop anfragen
#EU AI Act#AI Literacy#Compliance#KI Governance#KMU#Richtlinien#Datenschutz
Teilen:
H

HELITS Team

IT-Consulting & Sicherheit

HELITS unterstützt KMU dabei, IT- und Digitalthemen pragmatisch umzusetzen – mit Fokus auf Sicherheit, Governance und belastbare Prozesse.

E-Mail
Zurück zum Blog

Das könnte Sie auch interessieren

Microsoft 365 Sicherheit und Datenzugriff im Unternehmen

Microsoft 365 Copilot: Datenschutz, Security & Governance für KMU

11 Min. Lesezeit

Cybersicherheit und Compliance – Vorbereitung auf NIS-2

NIS-2 ist in Kraft: Was Unternehmen jetzt praktisch tun müssen (BSI-Portal ab 06.01.2026)

11 Min. Lesezeit

Windows-Clients und IT-Infrastruktur im Unternehmensnetzwerk

Windows 10 Support-Ende (14.10.2025): Was KMU jetzt tun sollten

10 Min. Lesezeit

Haben Sie Fragen zum Thema?

Wir beraten Sie persönlich.

Unsere Experten helfen Ihnen bei der Umsetzung – sprechen Sie uns an.

Beratung anfragen
Unsere Leistungen

Direkter Kontakt

+49 8651 9009 930

beratung@helits.de