Spät am Abend sitze ich an meinem Schreibtisch in Frankfurt und vergleiche die englische Fassung von Artikel 3 der KI-Verordnung mit der deutschen Übersetzung, während die Skyline draußen in kühlem Blau leuchtet. Das raue Papier des ausgedruckten Verordnungstextes zwischen den Fingern fühlt sich fast wie ein Anker an, während ich mit einem gelben Textmarker die Abweichungen in der Übersetzung markiere. In der deutschen Fassung wird oft von 'KI-Systemen' gesprochen, wo das Englische Nuancen bei der 'Intention' oder dem 'Output' setzt, die für die Einstufung als Hochrisiko-System entscheidend sein können.
Die Werkstudenten-Falle: Warum privates ChatGPT-Wissen nicht ausreicht
Ein langjähriger Mandant aus dem Maschinenbau fragte mich vor ein paar Wochen, ob sein Werkstudent die KI-Compliance nicht 'nebenher' erledigen könne – der junge Mann nutze schließlich privat ChatGPT und kenne sich mit Prompts bestens aus. Ich musste schmunzeln, aber innerlich dachte ich an die DSGVO-Einführung 2018 zurück und sah genau dieselben panischen Augen bei den Geschäftsführern, sobald das Wort 'Haftung' fällt. Damals wie heute herrscht der Irrglaube, dass Anwenderwissen gleichbedeutend mit regulatorischem Verständnis sei.
Die Realität sieht anders aus. Wenn wir über den EU AI Act sprechen, bewegen wir uns in einem Rahmen, der Bußgelder von bis zu 35.000.000 Euro bei Verstößen gegen verbotene KI-Praktiken vorsieht (Art. 99). Ein Werkstudent kann eine wunderbare Unterstützung bei der Recherche sein, aber er kann kein Risikomanagement verantworten, das tief in die Konstruktionsprozesse eingreift. Für einen IT-Leiter oder Geschäftsführer ist es riskant, die Verantwortung für die KI-Governance an jemanden zu delegieren, der zwar technisch versiert ist, aber die Verzahnung von Haftungsfragen und technischen Dokumentationspflichten nicht überblicken kann.
Der Deep Dive in Artikel 17: Wo die Komplexität beginnt
Anfang dieses Frühlings saßen wir in einem Konferenzraum in der Nähe des Frankfurter Hauptbahnhofs. Wir gingen die Anforderungen für Hochrisiko-Systeme nach Artikel 17 durch. Dieser Artikel verlangt ein vollständiges Qualitätsmanagementsystem (QMS) für Anbieter solcher Systeme. Als wir die Liste der Dokumentationspflichten – von der technischen Dokumentation bis zum Post-Market-Monitoring – Punkt für Punkt durchgingen, wurden die Gesichter der Beteiligten merklich länger. Ein Qualitätsmanagement für KI ist kein statisches Dokument, sondern ein lebender Prozess.
Viele Unternehmen unterschätzen, dass der AI Act nicht nur 'Software' reguliert, sondern den gesamten Lebenszyklus. Wer beispielsweise ein GPAI-Modell (General Purpose AI) nutzt, das die Schwelle für systemische Risiken von 10^25 FLOPs (kumulierte Rechenleistung nach Art. 51) überschreitet, hat plötzlich Transparenzpflichten gegenüber nachgeschalteten Akteuren, die man intern erst einmal verstehen und abbilden muss. In solchen Momenten wird klar: Rein internes Wissen stößt an Grenzen, weil die regulatorische Dynamik in Brüssel derzeit so hoch ist, dass man eigentlich jemanden bräuchte, der nichts anderes tut, als Gesetzestexte und Leitlinien des KI-Büros zu lesen.
Der hybride Weg: Warum die Einstellung eines Vollzeit-KI-Compliance-Managers oft ineffizient ist
Hier kommt mein zentraler Kritikpunkt an vielen aktuellen Strategien im Mittelstand: Die Einstellung eines spezialisierten KI-Compliance-Managers ist für mittelständische Unternehmen oft ineffizient. Warum? Weil die regulatorischen Anforderungen derzeit zu schnell wechseln, um sie allein intern aktuell zu halten, ohne den Bezug zur operativen Praxis zu verlieren. Ich sehe oft, dass Unternehmen jemanden einstellen, der dann in seinem eigenen Silo 'Compliance-Dokumente' produziert, die von den Entwicklern im SaaS-Bereich oder den Ingenieuren in der Logistik völlig ignoriert werden.
Ein besserer Ansatz ist das hybride Modell. Sie benötigen intern einen 'Product Owner' für KI-Compliance – jemanden, der die internen Prozesse kennt und die Brücke zwischen IT und Geschäftsführung schlägt. Dieser interne Verantwortliche braucht jedoch externe Impulse für die rechtlichen Leitplanken. Externe Berater wie ich bringen den Vergleich aus über einem Dutzend Projekten mit. Wir wissen, was bei einem Maschinenbauer funktioniert und warum dieselbe Lösung bei einem Versicherungskonzern scheitern würde. Wenn Sie nach einer strukturierten Herangehensweise suchen, hilft oft ein Blick darauf, wie man eine KI Compliance Schulung Anbieter finden kann, um das notwendige Grundrauschen an Wissen ins Team zu holen.
Wissenstransfer statt Abhängigkeit: Schulungspläne als Schlüssel
Um den Jahreswechsel herum begleitete ich ein Logistik-Unternehmen, das massiv in KI-gestützte Routenoptimierung investierte. Die Sorge war groß, dass man sich zu sehr von externen Beratern abhängig macht. Mein Ziel ist es jedoch immer, mich mittelfristig überflüssig zu machen. Das gelingt nur durch konkrete Schulungspläne. Eine Standard-Schulung von einer der großen Kanzleien ist oft zu abstrakt – dort wird Ihnen zwei Stunden lang erklärt, was ein 'Inverkehrbringer' ist, aber niemand sagt Ihnen, welches Häkchen Sie in Ihrer Jira-Dokumentation setzen müssen, damit die Revision zufrieden ist.
Ein guter Schulungsplan muss die verschiedenen Ebenen im Unternehmen abholen. Die Geschäftsführung braucht das Wissen über Haftung und Strategie, während die Projektleiter wissen müssen, wie sie Compliance in agilen Sprints mitlaufen lassen. Die allgemeine Umsetzungsfrist für die meisten Bestimmungen beträgt 24 Monate (Art. 113) ab Inkrafttreten, aber für verbotene Praktiken sind es nur sechs Monate. Wer hier nicht frühzeitig in den Wissensaufbau investiert, läuft Gefahr, unter Zeitdruck teure Fehlentscheidungen zu treffen. Ein wichtiger Baustein ist hier der EU AI Act Fristen 2026 Fahrplan, um die Meilensteine nicht zu verpassen.
Fazit: Die Rolle der Geschäftsführung beim Wissensaufbau
Die Erkenntnis reift in meinen Gesprächen meist spät, aber sie reift: Eine rein externe Beratung ohne internen Gegenpart scheitert genauso sicher wie der völlig überforderte Werkstudent ohne fachliche Führung. Als Berater kann ich die Leitplanken setzen, aber fahren muss das Unternehmen selbst. Ich bin kein Anwalt und kein Auditor – meine Aufgabe ist es, diese sperrigen Artikel der KI-Verordnung in Handlungsanweisungen zu übersetzen, die ein IT-Leiter auch umsetzen kann.
Ich rate Ihnen dringend dazu, das Thema Compliance nicht als reines 'Rechtsthema' abzuheften. Es ist ein Qualitätsthema. Wenn Sie verstehen, wie Sie die Anforderungen des AI Acts in Ihre bestehenden Prozesse integrieren, sichern Sie sich einen Wettbewerbsvorteil, besonders gegenüber Kunden, die zunehmend Compliance-Nachweise fordern. Um persönliche Risiken zu minimieren, sollten Sie auch prüfen, wie Sie die Haftung der Geschäftsführung vermeiden können, indem Sie eine nachweisbare Schulungshistorie im Unternehmen etablieren. Ich bin natürlich kein Rechtsberater, daher sollten Sie bei spezifischen Haftungsfragen immer auch Ihre Rechtsabteilung oder eine spezialisierte Kanzlei hinzuziehen.
Letztlich geht es darum, eine Kultur der 'KI-Kompetenz' zu schaffen. Das beginnt damit, dass man die Texte selbst liest oder sich jemanden holt, der die Nuancen der englischen Originale versteht, bevor sie in der deutschen Übersetzung verwässert werden. Der Mittelstand hat hier die Chance, agiler zu sein als die Großkonzerne – wenn er den Wissensaufbau als strategisches Investment begreift.