Dokumentation und pragmatische Umsetzung

Von Paragraphen zu Prozessen

Der EU AI Act ist umfangreich. Was ihn für Unternehmen beherrschbar macht, ist die Reduktion auf wenige klare Strukturen: ein KI-Register, klare Verantwortlichkeiten und dokumentierte Prozesse. Mit diesen drei Elementen ist der Großteil der Compliance-Arbeit im Mittelstand abgedeckt.

In dieser Abschlusslektion schauen wir uns an, wie Sie die Umsetzung pragmatisch aufsetzen, ohne Ressourcen zu verbrennen.

Das KI-Register: das zentrale Dokument

Ein KI-Register erfasst alle KI-Systeme, die im Unternehmen eingesetzt oder entwickelt werden. Pro Eintrag sollten mindestens folgende Felder gefüllt sein:

• Bezeichnung: Name des Systems, Version, Anbieter.
• Zweck: Wofür wird es eingesetzt? In welchem Prozess?
• Risikoklasse: Verbotene Anwendung, Hochrisiko, begrenztes Risiko, minimales Risiko.
• Rolle des Unternehmens: Anbieter, Betreiber, Importeur, Händler.
• Verantwortliche Person oder Funktion.
• Datenquellen: Welche personenbezogenen und geschäftskritischen Daten werden verarbeitet?
• Kontrollmaßnahmen: Menschliche Aufsicht, Qualitätsprüfung, Abschaltung im Problemfall.
• Datum der letzten Prüfung.

Das Register muss keine Softwarelösung sein. Eine gut gepflegte Tabelle oder ein Eintrag in einem bestehenden Datenschutz-Verwaltungssystem reichen für die meisten Mittelständler aus.

Weitere Dokumentationsbausteine

Neben dem KI-Register braucht ein strukturierter Compliance-Ansatz zwei weitere Bestandteile:

Nutzungsrichtlinie für KI

Eine kurze, klare Richtlinie für alle Mitarbeitenden, die den Umgang mit KI-Tools regelt. Typische Inhalte:

• Erlaubte und nicht erlaubte Anwendungsfälle
• Umgang mit personenbezogenen Daten (kein Einfügen in öffentliche Modelle ohne Auftragsverarbeitungsvertrag)
• Umgang mit vertraulichen Geschäftsinformationen
• Pflicht zur Prüfung von KI-generierten Ergebnissen
• Transparenzpflicht gegenüber Kunden und Partnern
• Meldepflicht bei Fehlern und Auffälligkeiten

Diese Richtlinie sollte von der Geschäftsführung freigegeben und allen Mitarbeitenden bekannt gemacht werden — idealerweise in Verbindung mit der KI-Literacy-Schulung aus Lektion 3.

Schulungsnachweise

Wer hat wann welche KI-Schulung absolviert? Die Dokumentation kann im HR-System oder in einem separaten Compliance-Register geführt werden. Wichtig ist die individuelle Zuordnung — nicht eine pauschale "Schulungs-Teilnahmeliste" ohne Personenbezug.

Rollen und Verantwortlichkeiten

Unterschiedliche Unternehmen setzen unterschiedliche Strukturen auf. Drei Modelle sind verbreitet:

Modell A: Datenschutzbeauftragte als Treiber. In vielen mittleren Unternehmen liegen KI-Compliance und DSGVO-Compliance in einer Hand. Das funktioniert gut, solange die verantwortliche Person ausreichend Zeit und KI-Wissen hat.

Modell B: KI-Beauftragte oder KI-Compliance-Funktion. Für Unternehmen mit intensiver KI-Nutzung ist eine dedizierte Rolle sinnvoll — oft eine Teilzeitfunktion, die zwischen IT, Recht und Fachabteilungen vermittelt.

Modell C: KI-Steuerkreis. Regelmäßige Zusammenkunft von IT, Recht, Datenschutz, Fachbereichen und Geschäftsführung, der Entscheidungen über KI-Einführung, Risikoklassifizierung und Richtlinien trifft. Besonders sinnvoll bei verteilten Initiativen.

Unabhängig vom Modell: Eine klar benannte Verantwortlichkeit ist Pflicht.

Sonderfall: Hochrisiko-Systeme

Wenn Sie ein Hochrisiko-KI-System einsetzen (zum Beispiel im HR-Bereich mit automatisierter Bewerberauswahl), kommen zusätzliche Pflichten hinzu:

• Nutzung ausschließlich gemäß Anbieter-Vorgaben
• Menschliche Aufsicht (eine klar benannte Person, die eingreifen kann)
• Dokumentation der Nutzung, insbesondere bei Abweichungen
• Monitoring auf Funktion und Bias
• Information der betroffenen Personen
• In manchen Fällen: Grundrechte-Folgenabschätzung

In dieser Situation ist frühzeitig eine fachlich qualifizierte Beratung empfehlenswert, insbesondere wenn die Aufsichtsbehörden bislang keine klaren Auslegungshinweise veröffentlicht haben.

Ein schlanker Fahrplan für die nächsten 90 Tage

Wenn Ihr Unternehmen noch am Anfang steht, reicht ein kompakter Startplan:

Tage 1 bis 15. Zuständige Person benennen. Kick-off mit IT, Datenschutz und Fachbereichen.

Tage 16 bis 45. KI-Register aufbauen: Alle eingesetzten und geplanten KI-Systeme erfassen, Risikoklasse bestimmen, Verantwortlichkeiten zuordnen.

Tage 46 bis 75. Nutzungsrichtlinie erstellen und freigeben. Schulungsbedarf pro Rolle definieren. Schulungsangebot (intern oder extern) auswählen.

Tage 76 bis 90. Kommunikation an alle Mitarbeitenden. Start der Pflichtschulungen. Aufbau des Schulungsregisters.

Nach 90 Tagen haben Sie eine belastbare Grundstruktur. Der Betrieb — regelmäßige Prüfungen, Auffrischungsschulungen, Aktualisierung des Registers — läuft dann routinemäßig weiter.

Was Sie vermeiden sollten

• Die maximale Reaktion. Alles in Ordnung bringen zu wollen, bevor der erste KI-Einsatz weitergeht, lähmt. Besser: schrittweise umsetzen und dabei transparent machen, was noch offen ist.
• Die reine Juristen-Lösung. Der EU AI Act ist juristisch, aber die Umsetzung ist Organisation. Wer Compliance rein als Rechtsthema sieht, produziert Papier, ohne Prozesse zu verankern.
• Das reine Tool-Denken. Eine Compliance-Software löst keine Compliance-Probleme. Sie kann helfen, wenn die Prozesse stehen — aber ohne Prozesse ist sie ein leeres Gerüst.

Kursabschluss

Sie haben jetzt einen klaren Überblick:

• Der EU AI Act ist ein risikobasierter Rahmen, der seit August 2024 in Kraft ist und stufenweise greift.
• Für den Mittelstand sind vor allem Betreiberpflichten, Transparenzpflichten bei Chatbots und die KI-Literacy-Pflicht nach Art. 4 relevant.
• Eigene Anwendungen müssen in eine der vier Risikoklassen eingeordnet werden.
• Eine strukturierte Umsetzung erfordert eine zuständige Person, ein KI-Register, eine Nutzungsrichtlinie und dokumentierte Schulungen.
• 90 Tage reichen, um die Grundstruktur zu etablieren.

Compliance ist kein Ziel, das man einmal erreicht. Sie ist ein Prozess, der begleitet werden muss — im gleichen Tempo, in dem sich die Technologie entwickelt.

Die Abschlussprüfung wartet auf Sie.