Der AI Act ist seit August 2024 in Kraft und wird stufenweise anwendbar. Unternehmen stehen vor der Frage, wie sie die neuen Pflichten pragmatisch in ihre Organisation bringen, ohne Innovation auszubremsen und ohne in Detailtiefe zu ersticken.
In der aktuellen Beratungslandschaft wird dafür regelmäßig ein vollständiges KI-Inventar empfohlen, in dem jede einzelne Nutzung von KI im Unternehmen zentral erfasst werden soll. Was dabei oft unausgesprochen bleibt: Der AI Act selbst schreibt ein solches flächendeckendes Register gar nicht vor. Eine offizielle Registrierungspflicht besteht ausschließlich für Hochrisiko-KI-Systeme in der EU-Datenbank, und auch diese betrifft in erster Linie Anbieter, nicht die Masse der einsetzenden Unternehmen. Trotzdem werden ausgerechnet bei Unternehmen mit ganz normaler, alltäglicher KI-Nutzung umfangreiche Inventarprojekte als scheinbar zwingende Compliance-Maßnahme verkauft. Das Ergebnis ist Dokumentation ohne regulatorische Wirkung, viel gebundene Ressource und am Ende ein Compliance-Theater, das der Sache nicht dient.
Unser Ansatz
Für Unternehmen, die KI als allgemeines Produktivitäts- und Effizienzthema einsetzen, empfehlen wir einen risikobasierten, verhältnismäßigen Ansatz, der genau die Flughöhe findet, die der AI Act tatsächlich verlangt. Dieser Ansatz besteht aus vier Bausteinen:
- KI-Richtlinie als Dienstanweisung
Den Rahmen bildet eine unternehmensweite Richtlinie, die verbindlich regelt, welche Nutzungsformen im Alltag ohne weitere Freigabe möglich sind und ab welchem Punkt eine formelle Bewertung erforderlich wird. Sie grenzt alltägliche Produktivitätsnutzung wie Textarbeit, Recherche oder Meeting-Zusammenfassungen klar ab von Anwendungen mit substanziellem Charakter, etwa weil sie in Entscheidungsprozesse, Kundenkontakt, Personalfragen oder automatisierte Workflows eingreifen. Gleichzeitig adressiert die Richtlinie die verbotenen Praktiken nach Art. 5 und die KI-Kompetenzpflicht nach Art. 4.
- Triage- und Evaluierungsprozess für relevante Use Cases
Vor Aufbau oder Einführung komplexerer KI-Anwendungen durchläuft jedes Vorhaben eine strukturierte Bewertung mit drei Kernfragen: Handelt es sich um eine verbotene Praktik? Fällt das System unter die Hochrisiko-Kategorien nach Anhang III? Greifen Transparenzpflichten nach Art. 50? Je nach Ergebnis läuft der Use Case regulär weiter, durchläuft einen definierten Freigabeprozess oder wird gestoppt. So landet die Risikoklassifizierung dort, wo sie tatsächlich relevant ist.
- Schlanker Kategorie-Überblickstatt vollständiges Inventar
Statt eines instanzscharfen Registers genügt ein grober Überblick über die eingesetzten Tool-Klassen, etwa „Microsoft Copilot unternehmensweit“, „ChatGPT Enterprise in Marketing und Vertrieb“ oder „Eigenbau-Agenten im Kundenservice“. Dieser Überblick ist die Grundlage, um die KI-Kompetenzpflicht zu adressieren und einen belastbaren Gesamteindruck über die KI-Landschaft im Haus zu haben. Für Systeme, die personenbezogene Daten verarbeiten, ergänzt das ohnehin bestehende DSGVO-Verzeichnis von Verarbeitungstätigkeiten die nötige Tiefe.
- Entscheidungslog als Nachweissystem
Den Abschluss bildet ein Log der durchgeführten Risiko-Evaluierungen und ihrer Ergebnisse. Dieses Log ist bewusst kein Register der eingesetzten Systeme, sondern ein Nachweis der getroffenen Entscheidungen. Und genau das ist es, was gegenüber Marktaufsicht, Kunden oder Auditoren zählt: der Beleg, dass ein funktionierender Prozess existiert, angewendet wird und nachvollziehbare Ergebnisse liefert.
Dieser Ansatz folgt dem Prinzip, das die Verordnung selbst vorgibt: Regulierung proportional zum Risiko. Die Compliance-Anstrengung landet damit dort, wo sie Wirkung hat, nämlich bei den substanziellen Use Cases, und nicht im Dokumentationsaufwand für das, was im Alltag ohnehin läuft.
Einordnung
Der hier skizzierte Ansatz richtet sich ausdrücklich an Unternehmen, die KI als allgemeines Produktivitäts- und Effizienzthema einsetzen. Für Unternehmen, deren Geschäftsmodell schwerpunktmäßig auf Hochrisiko-KI-Anwendungen beruht, etwa im Bereich Kreditvergabe, Personalauswahl, kritischer Infrastruktur oder regulierter Medizinprodukte, gelten deutlich weitreichendere Pflichten. Hier sind die formalen Anforderungen des AI Act inklusive Registrierung, Konformitätsbewertung und technischer Dokumentation vollumfänglich einschlägig und entsprechend auszugestalten. Auch im allgemeinen Einsatzszenario bleibt die konkrete Ausgestaltung im Einzelfall abhängig von Branche, Unternehmensgröße und der tatsächlichen Nutzungstiefe von KI im Haus. Eine individuelle Einschätzung ersetzt dieser Text nicht.
