Es ist der 12. Januar 2026. In einem Frankfurter Bürogebäude, unweit der Messe, sitze ich mit einem Compliance-Beauftragten zusammen, der fassungslos auf seinen Monitor starrt. Vor ihm liegt eine Excel-Tabelle, die er seit drei Tagen zu füllen versucht. Es geht um eine neue SaaS-Lösung für die vorausschauende Wartung im Maschinenbau — ein klassisches KI-System, das als Hochrisiko-System eingestuft wurde. Sein Problem: Er versucht gerade, eine „Black Box“ in starre Compliance-Kästchen zu pressen, während die Entwickler im Raum nebenan bereits die dritte Version des Algorithmus testen. Das kalte Licht der Neonröhren im Besprechungsraum spiegelt sich in unseren Kaffeetassen, während wir gemeinsam über der englischen Fassung von Erwägungsgrund 42 brüten.
Dieser Moment steht stellvertretend für die Herausforderung, vor der viele mittelständische Unternehmen aktuell stehen. Seit ich 2023 begonnen habe, insgesamt 16 Unternehmen — vom klassischen Maschinenbau bis zum agilen SaaS-Anbieter — bei der Vorbereitung auf die KI-Verordnung zu begleiten, hat sich ein Muster abgezeichnet: Wer Risikomanagement nur als bürokratische Übung begreift, scheitert an der Realität der Technik. Ich denke mir in solchen Momenten oft: Wenn sie jetzt noch einmal „KI“ sagen, ohne den konkreten Algorithmus zu meinen, brauchen wir eine dritte Kanne Kaffee.
Das Missverständnis des „iterativen Prozesses“ in Artikel 9
Ein zentraler Punkt im EU AI Act ist Artikel 9, der ein kontinuierliches, iteratives Risikomanagementsystem für Hochrisiko-KI-Systeme fordert. Hier liegt die erste Falle. Die deutsche Übersetzung nutzt oft Begriffe, die im hiesigen Compliance-Verständnis sehr statisch wirken. In meinen Beratungen habe ich festgestellt, dass die Analyse des englischen Originaltexts — insbesondere bei Begriffen wie „reasonably foreseeable misuse“ — die Effizienz massiv steigert. Durch diese sprachliche Präzision konnten wir in den Projekten eine Zeitersparnis durch Originaltext-Analyse von etwa 15% erzielen, weil langwierige Korrekturschleifen über Fehlinterpretationen der deutschen Fassung wegfielen.
Ein Risikomanagement nach Art. 9 KI-VO ist kein Dokument, das Sie einmal im Jahr abheften. Es ist ein lebendes System. Am 18. Februar 2026 erlebte ich bei einem Mandanten aus der Logistikbranche genau das Gegenteil: Man hatte dort versucht, das Risikomanagement analog zur ISO 9001 aufzubauen — viel Papier, wenig Bezug zur tatsächlichen Modell-Performance. Das Ergebnis war eine „Schein-Sicherheit“, die zwar den Auditor beruhigen mag, aber die tatsächlichen Risiken des Systems, wie etwa Bias in den Trainingsdaten, komplett ignorierte.
Übermäßiger Fokus auf formale Prozessdokumentation schadet der Compliance an dieser Stelle massiv. Wenn Compliance-Beauftragte mehr Zeit damit verbringen, Formulare auszufüllen, als mit den Data Scientists über Fehlerraten zu sprechen, wird das Risikomanagement zur Farce. Echte Compliance bedeutet hier technische Fehlersuche statt bürokratischer Selbstvergewisserung.
Die Zweckbestimmung: Wo Marketing auf Artikel 3 trifft
Ein kritischer Moment in jedem Projekt ist die Definition der „Zweckbestimmung“ (intended purpose) gemäß Art. 3 Nr. 12 KI-VO. Hier klafft im Mittelstand oft eine gefährliche Lücke. Während der Marketing-Flyer verspricht, dass die KI „alle Personalentscheidungen objektiv optimiert“, steht im Code eigentlich nur ein simpler Klassifizierer für Lebenslauf-Keywords. Für das Risikomanagement ist jedoch entscheidend, was der Anbieter offiziell festlegt.
In meiner Begleitung der 16 Unternehmen habe ich gelernt, dass die initiale Risikoidentifizierung und -bewertung Zeit frisst. Rechnen Sie mit einer durchschnittlichen Dauer des Risiko-Assessments von etwa 45 Stunden pro KI-System. Das klingt viel, ist aber notwendig, um die 22 identifizierten Standard-Kontrollpunkte abzuarbeiten, die ich im Laufe der Zeit als essenziell für ein konformes System nach Art. 9 entwickelt habe. Diese Kontrollpunkte reichen von der Datenqualität bis zur menschlichen Aufsicht (human oversight) nach Art. 14.
Besonders für SaaS-Anbieter ist dieser Prozess schmerzhaft, da sie oft zwischen der Rolle des Anbieters (provider) und des Betreibers (deployer) schwanken. Ich habe darüber bereits ausführlich geschrieben, wie man die EU AI Act Compliance für SaaS Anbieter effizient umsetzen kann, ohne die Agilität zu verlieren. Oft ist die technische Dokumentation nach Anhang IV die größere Hürde als der eigentliche Algorithmus.
Brückenbau zwischen IT und Recht
Am 25. März 2026 saß ich in einer Runde mit einem Chefentwickler und einer Justiziarin einer Versicherung. Es war ein klassisches Patt: Er sprach von „Weights“ und „Biases“, sie von „Haftungsdurchgriff“ und „Sorgfaltspflichten“. Mein Job als Berater ist es an dieser Stelle, als Übersetzer zu fungieren, ohne dabei in juristisches Kauderwelsch zu verfallen.
Das größte Risiko ist oft nicht die Technik selbst, sondern die mangelnde Kommunikation darüber. Ein Beispiel: Wenn das IT-Team eine Bibliothek austauscht, um die Performance zu verbessern, kann das Auswirkungen auf die Erklärbarkeit (Art. 13) haben. Ohne ein funktionierendes Risikomanagement, das solche Änderungen erfasst, ist die Konformitätserklärung innerhalb von Minuten wertlos. In einem Workshop im Frankfurter Maschinenbau rettete uns damals nur der Griff zur englischen Fassung, um zu klären, was die Verordnung unter „substantial modification“ versteht. Wie wichtig diese Nuancen sind, habe ich in meinem Artikel darüber beschrieben, warum die englische Fassung des AI Acts meinen Workshop im Frankfurter Maschinenbau rettete.
Ich kritisiere hierbei oft Angebote wie die der „KI-Compliance-Akademie“ (und ähnlicher Massen-Zertifizierer), die für mehrere tausend Euro zweitägige Kurse anbieten. Diese sind meist viel zu oberflächlich. Sie lehren, wie man Artikelnummern auswendig lernt, aber nicht, wie man ein technisches Log-File liest, um eine Fehlfunktion nach Art. 20 zu dokumentieren. Für einen Compliance-Beauftragten im Mittelstand ist das verlorene Zeit.
Fazit nach 19 Wochen: Compliance beginnt beim Anwender
Nachdem ich das Projekt, das im Dezember 2025 startete, am 15. April 2026 abgeschlossen habe, bleibt eine zentrale Erkenntnis: Risikomanagement ist kein Einmal-Event. Es ist ein gelebter Schulungsplan. Die beste Dokumentation nützt nichts, wenn der Mitarbeiter an der Maschine (oder am HR-Dashboard) nicht weiß, wann er die Ergebnisse der KI hinterfragen muss.
Die 19 Wochen intensiver Arbeit haben gezeigt: Wer die 22 Kontrollpunkte ernsthaft in seine Prozesse integriert — und zwar technisch, nicht nur auf dem Papier —, der braucht den EU AI Act nicht zu fürchten. Es geht darum, die KI-Kompetenz (AI literacy) im gesamten Unternehmen zu stärken, wie es Art. 4 fordert. Das beginnt bei der Geschäftsführung und endet beim Sachbearbeiter. Compliance ist am Ende des Tages das Ergebnis einer guten Schulungskultur, nicht einer dicken Excel-Liste. Wenn Sie das verstanden haben, können Sie auch beim nächsten Audit im Neonlicht entspannt Ihren Kaffee trinken.