Ein verregneter Dienstagnachmittag Mitte Mai 2026 in einem Frankfurter Bürogebäude: Ich sitze mit dem CTO eines Logistikunternehmens zusammen. Auf dem Tisch liegt ein Stapel Ausdrucke der technischen Dokumentation für ein neues, KI-gestütztes Routenoptimierungssystem. Er schüttelt den Kopf. ‘Wir haben das System seit drei Wochen im Testbetrieb, aber mein Compliance-Beauftragter will es stoppen, weil er die Risikoanalyse aus Art. 9 KI-VO nicht unterschreiben kann’, sagt er. Das Problem? Er versucht, dynamische Software-Risiken mit statischen Checklisten zu bändigen, die er in einem überteuerten Wochenendkurs aufgeschnappt hat.
Diese Szene ist kein Einzelfall. Seit ich 2023 begonnen habe, mittlerweile 18 mittelständische Unternehmen — vom klassischen Maschinenbau bis zum spezialisierten SaaS-Anbieter — bei der AI-Act-Umsetzung zu begleiten, sehe ich immer wieder denselben Fehler: Risikomanagement wird als bürokratische Hürde verstanden, nicht als technischer Prozess. Dabei ist das System nach Artikel 9 kein einmaliger Akt, sondern ein iterativer Kreislauf, der tief in die Entwicklung eingreifen muss.
Das Missverständnis des iterativen Prozesses in Artikel 9
Artikel 9 der KI-Verordnung fordert ein kontinuierliches Risikomanagementsystem für Hochrisiko-KI-Systeme. Die deutsche Fassung spricht hier von einer ‘angemessenen’ Risikoidentifizierung. Wenn man jedoch in die englische Originalfassung schaut — was ich meinen Mandanten immer rate, um Nuancen nicht zu verlieren —, wird der Begriff ‘reasonably foreseeable misuse’ deutlich schärfer greifbar. In meinen Projekten hat sich gezeigt, dass die präzise Arbeit mit dem englischen Text die Effizienz um etwa 15 % steigert, weil wir weniger Zeit mit der Interpretation schwammiger deutscher Übersetzungen verschwenden.
Ein funktionierendes Risikomanagement bedeutet, dass Sie nicht nur die Risiken für die Gesundheit oder Sicherheit bewerten, sondern auch die Grundrechte im Blick haben. Viele Compliance-Beauftragte im Mittelstand versteifen sich auf IT-Sicherheit (ISO 27001), vergessen aber, dass der AI Act die Auswirkungen auf den Menschen fokussiert. Ein System zur vorausschauenden Wartung im Maschinenbau mag technisch sicher sein, aber wenn die Fehlermeldungen so gestaltet sind, dass der Bediener sie ignoriert, haben Sie ein Compliance-Problem gemäß Art. 14 (menschliche Aufsicht).
Die Zweckbestimmung: Wo Marketing auf Artikel 3 trifft
Ein kritischer Moment in jeder Beratung ist die Definition der Zweckbestimmung (intended purpose) nach Art. 3 Nr. 12 KI-VO. Hier klafft oft eine gefährliche Lücke zwischen dem, was der Vertrieb verspricht, und dem, was die Technik leistet. Ein Mandant aus dem Bereich HR-Tech wollte seine Software als ‘objektives Entscheidungstool’ vermarkten. Nach einer Analyse der Trainingsdaten stellten wir fest: Das System war für eine ganz andere Demografie optimiert. Hätte er dies so in die Konformitätserklärung geschrieben, wäre er sehenden Auges in die Haftung gelaufen.
Ich habe im Laufe der letzten Jahre insgesamt 22 Kontrollpunkte entwickelt, die ich mit meinen Mandanten systematisch abarbeite. Ein solches Risiko-Assessment dauert im Schnitt etwa 45 Stunden pro KI-System. Das klingt nach viel Zeit, ist aber notwendig, um die Anforderungen an die Datenqualität (Art. 10) und die technische Dokumentation (Anhang IV) sauber zu erfüllen. Wer hier spart, zahlt später doppelt — entweder durch teure Nachbesserungen oder durch Bußgelder.
Besonders kritisch sehe ich Angebote von Massen-Zertifizierern, wie der oft zitierten ‘KI-Compliance-Akademie’. Diese Kurse sind oft zu oberflächlich und vermitteln nur theoretisches Wissen. Ein Compliance-Beauftragter muss jedoch verstehen, wie man ein technisches Log-File nach Art. 20 liest, um Fehlfunktionen dokumentieren zu können. Nur Artikelnummern auswendig zu lernen, hilft Ihnen im Ernstfall nicht weiter.
Brückenbau zwischen IT, Recht und Geschäftsführung
Oft erlebe ich ein Patt: Die IT spricht von ‘Model Drift’, die Rechtsabteilung von ‘Haftungsdurchgriff’. Mein Job ist es, hier zu übersetzen. Ein funktionierendes Risikomanagement ist nur möglich, wenn die Kommunikation fließt. Wenn die Entwickler eine Bibliothek austauschen, um die Performance zu erhöhen, kann das die Erklärbarkeit des Systems (Art. 13) massiv beeinflussen. Ohne einen Prozess, der solche Änderungen erfasst, ist Ihre Dokumentation innerhalb weniger Tage wertlos.
Für die Geschäftsführung geht es dabei vor allem um die Vermeidung persönlicher Haftung. Eine fundierte Haftung der Geschäftsführung vermeiden: Pflicht zur KI Schulung der Mitarbeiter ist hierbei kein Luxus, sondern eine notwendige Absicherung. Ich betone in meinen Webinaren immer wieder: Ich bin kein Anwalt und kein Auditor — ich bin derjenige, der dafür sorgt, dass Sie vor dem Auditor bestehen können, weil Ihre Prozesse technisch fundiert sind.
Ein wichtiger Aspekt, den viele unterschätzen, ist die AI Literacy Anforderungen für Mitarbeiter im Mittelstand nach Artikel 4. Risikomanagement findet nicht nur in der IT-Abteilung statt. Wenn der Sachbearbeiter in einer Versicherung die Risikoprüfung der KI blind übernimmt, ohne die Grenzen des Systems zu kennen, ist das ein Risiko, das in Ihrer Analyse auftauchen muss. In solchen Fällen stellt sich oft die Frage nach dem richtigen Format für die Weiterbildung. In einem meiner letzten Projekte haben wir intensiv diskutiert, ob ein KI Compliance Schulung Vergleich: E-Learning oder Live Workshop für Teams? die bessere Wahl ist, um die Belegschaft wirklich mitzunehmen.
Fazit: Compliance als Ergebnis einer Schulungskultur
Nach nunmehr fast drei Jahren intensiver Begleitung mittelständischer Unternehmen ist meine Bilanz klar: Diejenigen, die den EU AI Act als Chance zur Qualitätsverbesserung begreifen, sind am erfolgreichsten. Ein sauberes Risikomanagement nach Art. 9 verbessert nicht nur die Compliance, sondern meist auch die Produktqualität. Es zwingt Entwickler dazu, Annahmen zu hinterfragen und Datenquellen kritischer zu prüfen.
Wenn Sie Ihre 22 Kontrollpunkte im Griff haben und Ihre Mitarbeiter wissen, was sie tun, können Sie auch bei einem Audit entspannt bleiben. Compliance ist am Ende des Tages kein Stapel Papier, sondern das Ergebnis einer gelebten Kultur der Sorgfalt. Denken Sie daran: Die Verordnung mag komplex erscheinen, aber sie ist handhabbar, wenn man sie in konkrete, technische Arbeitsschritte übersetzt. Sprechen Sie mit Ihren Data Scientists, lesen Sie die englischen Originaltexte und investieren Sie in die Ausbildung Ihrer Leute. Dann wird das Risikomanagement vom Schreckgespenst zum wertvollen Management-Tool.
Ich empfehle Ihnen, regelmäßig die Veröffentlichungen des Bayerischen Landesamts für Datenschutz oder des BfDI zu verfolgen, da diese oft praxisnahe Auslegungshilfen bieten. Aber verlassen Sie sich nicht allein darauf — die technische Realität in Ihrem Unternehmen ist der wichtigste Maßstab. Wenn Sie unsicher sind, ob Ihr aktueller Schulungsplan ausreicht, werfen Sie einen Blick auf die Anforderungen der AI Literacy, bevor Sie das nächste Budget freigeben.