Alle Beiträge

Recht, Compliance & Förderung

KI-Compliance im Mittelstand: die Landkarte, die aus vier Pflichten ein System macht

Der AI Act wirkt wie vier getrennte Pflichten — in Wahrheit ist er ein System mit einem Zentrum: dem KI-Inventar. Diese Landkarte zeigt Reihenfolge, Zusammenhang und Eigentümerschaft und öffnet die Tür zu jeder Vertiefung.

Baybora Gülec28. Juni 202611 Min.

Kurz gefasst: Der EU AI Act wirkt auf die meisten Geschäftsführerinnen und Geschäftsführer wie vier getrennte Pflichten — betroffen sein, Überblick schaffen, kennzeichnen, Hochrisiko absichern. Genau diese Lesart ist das eigentliche Problem, nicht das Regelwerk. Denn man arbeitet vier Aufgaben nacheinander ab, sammelt dieselben Informationen mehrfach ein und verliert nach drei Wochen den Faden. In Wahrheit ist Compliance ein System mit einem Zentrum. Wer dieses Zentrum einmal sauber baut, erledigt die vier Pflichten fast nebenbei — in der richtigen Reihenfolge und mit klaren Eigentümern. Diese Seite ist die Landkarte dazu — sie zeichnet genau diesen einen Schließplan: kein Sachvortrag, sondern Überblick, Reihenfolge und Zuständigkeit. Die Detailfragen beantworten die vier verlinkten Vertiefungen.

Stellen Sie sich nicht einen Schlüsselbund vor, an dem über Jahre Schlüssel angewachsen sind — lose, unbeschriftet, und niemand weiß mehr, welcher welche Tür öffnet. So fühlt sich Compliance an, wenn man sie als Stapel von Einzelaufgaben begreift. Das Gegenbild ist eine geplante Schließanlage: ein Schließplan in der Mitte, der für jede Tür im Haus festhält, welcher Schlüssel passt und wer ihn trägt. Die vier Pflichten des AI Act sind nicht vier Häuser mit vier Schlüsselbünden. Sie sind vier Türgruppen an einer durchdachten Anlage. Wer den Plan einmal zeichnet, schließt die einzelnen Türen danach beinahe von selbst — statt für jede neu zu graben.

Orientierung, keine Rechtsberatung. Diese Landkarte zeigt, wie die Teile zusammenhängen und in welcher Reihenfolge Sie sie sinnvoll angehen. Sie nennt bewusst keine verbindlichen Fristen, keine Paragraphen-Auslegung und keine Einstufung Ihres konkreten Falls. Wo es eng wird — besonders bei Hochrisiko — gehört der Blick in den Gesetzestext und qualifizierter juristischer Rat an den Tisch.

Der Schließplan — eine Quelle, vier Pflichten

KI-Inventarder Schließplan1OrientierenRolle & Risikoklasse3Kennzeichnender breite Normalfall4Hochrisikonur falls betroffen2Schließplandas Inventar = ZentrumReihenfolge: 1 → 2 → 3 → (4)
Vier Türgruppen, ein Plan in der Mitte: das KI-Inventar speist alle vier Pflichten. Station 1 trägt Rolle und Klasse ein, Station 3 (der breite Normalfall) liest heraus, was zu kennzeichnen ist, Station 4 (der Tresor) gilt nur, falls Station 1 es ergeben hat.

Station 1 — Orientieren: Bin ich überhaupt betroffen, und in welcher Rolle?

Bevor ein Schlosser auch nur einen Schlüssel schneidet, geht er durchs Haus und notiert, welche Türen es gibt und wem sie gehören. Genau das leistet die erste Station: Sie klärt, ob Sie KI liefern oder nur einsetzen — und in welche Risikoklasse ein System fällt. Diese Antwort ist der Hauptschalter des ganzen Plans, denn sie entscheidet, welche der folgenden Türgruppen Sie überhaupt betreffen und welche Sie sich getrost sparen. Wie die Klassen und die Rolle als Anbieter oder Deployer im Einzelnen funktionieren, nimmt Ihnen die Vertiefung ab — hier zählt nur, dass diese Station zuerst kommt.

→ tiefer: Risikoklassen, Anbieter vs. Deployer

Station 2 — Den Schließplan zeichnen: Welche KI läuft eigentlich bei uns — auch die, die niemand angemeldet hat?

Das ist die Anlage selbst: das lebende KI-Inventar. Es ist nicht eine Pflicht neben den anderen, sondern das Dokument, aus dem alle anderen lesen — was zu kennzeichnen ist, was als Hochrisiko gilt, wer wofür den Schlüssel hält. Steht eine Tür nicht im Plan, sichert sie niemand; Schatten-KI ist genau diese fehlende Tür. Darum ist der Schließplan der einzige Eintrag auf dieser Karte, der kein Sonderfall ist, sondern für jeden gilt. Wie Sie ihn aufbauen, pflegen und gegen das Veralten schützen, steht in der Vertiefung — diese Landkarte zeigt nur, warum alles andere von ihm abhängt.

→ tiefer: Das KI-Inventar als Governance-Backbone

Station 3 — Kennzeichnen: Merkt mein Gegenüber, dass hier KI im Spiel ist?

Die vielen Standardtüren im Haus. Die allermeisten Systeme im Mittelstand landen hier — der Chatbot auf der Website, generierte Texte und Bilder, „begrenztes Risiko". Das verlangt kein schweres Schloss, sondern überall dasselbe einfache: die Herkunft offenlegen, nichts verschleiern. Diese Station fahren Sie, sobald der Plan steht, denn sie betrifft fast jeden Eintrag darin — und sie ist schnell erledigt. Sie nimmt dem ganzen Thema einen Großteil seiner gefühlten Schwere, weil aus „Wir müssen den AI Act erfüllen" ein paar konkrete, gleichförmige Handgriffe werden.

→ tiefer: Chatbots & KI-Inhalte kennzeichnen

Station 4 — Das Schwere richtig machen: Entscheidet KI mit über Menschen?

Der Tresorraum. Hochrisiko — KI in der Bewerberauswahl, bei der Kreditwürdigkeit — verlangt das stärkste Schloss und die genaueste Dokumentation. Die gute Nachricht: Ob Sie diese Tür überhaupt im Haus haben, hat Station 1 längst beantwortet. Die meisten Mittelständler haben sie nicht und lassen diesen Kreis bewusst kalt. Wer sie doch hat, sollte sie nicht im Alleingang verriegeln — hier gehören Sorgfalt, Prüftiefe und fachkundiger Rat dazu. Es ist die seltenste Station der Karte, aber die, an der man nichts dem Zufall überlässt.

→ tiefer: Hochrisiko-KI in Recruiting & Bonität

Wie es zusammenhängt: der Schließplan im Zentrum

Nehmen Sie die vier Stationen einzeln, und Sie sehen vier lose Schlüssel. Legen Sie sie auf den Plan, und Sie sehen eine Anlage. Der Schließplan — das Inventar — ist der Punkt, durch den jede Linie läuft: Station 1 trägt die Rollen und Klassen ein, Station 3 liest heraus, was zu kennzeichnen ist, Station 4 filtert die wenigen Türen mit Sonderschloss. Eine Quelle speist alle vier Pflichten — das ist der ganze Hebel. Ohne diese Mitte bleibt jede Pflicht eine Insel, und Sie pflegen drei oder vier konkurrierende Listen, die sich nie ganz decken.

Daraus folgt auch, wer was besitzt. Eine Tür ohne benannten Schlüsselträger ist eine Schwachstelle. Die Geschäftsführung besitzt den Plan als Ganzes — das Inventar und die Rollen-Einordnung. Jeder Fachbereich besitzt seine eigenen Türen: HR den Recruiting-Eintrag, Marketing die Kennzeichnung, IT die technische Anbindung. Jede Pflicht bekommt einen namentlichen Eigentümer, nicht „das Team". Der Plan ist der Ort, an dem diese Eigentümerschaften sichtbar zusammenlaufen, statt sich im Niemandsland zwischen Abteilungen zu verlieren.

Und die Reihenfolge ist kein Stilfrage, sondern der ganze Trick. Erst orientieren und den Plan zeichnen (Station 1 und 2) — vorher ist jede Sicherung Stochern im Dunkeln. Dann das Breite (Station 3), das fast alle betrifft und rasch erledigt ist. Zuletzt das Schwere (Station 4), und nur, falls Station 1 es ergeben hat. So arbeiten Sie vom Häufigen zum Seltenen, vom Leichten zum Anspruchsvollen — und wissen an jeder Weiche, ob Sie weitergehen oder die Tür gar nicht haben. Das verbreitete Anti-Muster ist das Gegenteil: panisch beim Tresorraum anfangen („Brauchen wir jetzt ein Hochrisiko-Audit?"), bevor überhaupt ein Plan existiert. Niemand baut das Sonderschloss, bevor die Anlage steht.

Schlüsselbund oder Schließanlage — gleiche vier Aufgaben

Vier Einzelpflichtenman verzettelt sichOrientierenKennzeichnenGovernanceHochrisikoEin Systemfast nebenbei erledigtOrientierenKennzeichnenGovernanceHochrisikoPlan+ Owner
Dieselben vier Pflichten, zweimal verschieden teuer: links als loser Schlüsselbund — vier getrennte Listen, Lücken und Doppelungen, man verzettelt sich. Rechts als Anlage um den zentralen Schließplan, jede Tür mit benanntem Träger — fast nebenbei erledigt.

Angrenzende Landkarten

Dieser Plan steht nicht für sich; er ist mit den drei Schwester-Landkarten des Mittelstand-KI-Programms verdrahtet. Mit der Adoption — die menschliche Aufsicht, die der AI Act bei Hochrisiko verlangt, ist dieselbe, die eine gute Einführung ohnehin braucht; Aufsicht ist gelebte Praxis, kein Häkchen (Adoptions-Landkarte). Mit dem souveränen Deployment — Datenhoheit und DSGVO entscheiden, wo Ihre KI rechtssicher läuft, und bilden das Fundament unter jeder Pflicht (Souveränitäts-Landkarte). Und mit dem Betrieb von KI-Agenten — Logs und Nachvollziehbarkeit sind Compliance-Pflicht und Betriebshygiene zugleich, das Gedächtnis, aus dem das Inventar lebt (Agenten-Landkarte). Compliance ist also kein Anbau, sondern Teil desselben Hauses.

Die Pointe

Eine Schließanlage ist kein Bürokratie-Überbau. Sie ist das, was dafür sorgt, dass die richtigen Menschen hineinkommen und die Menschen drinnen geschützt sind. Genau so sind die europäischen Regeln gemeint: nicht als Stempel zum Abhaken, sondern als die Verdrahtung, die KI vertrauenswürdig hält und Grundrechte belastbar schützt. Wer den Plan einmal sauber gezeichnet hat, trägt am Ende keinen losen Schlüsselbund mehr durchs Unternehmen, sondern hält einen Generalschlüssel in der Hand — und mit ihm das Vertrauen, auf dem ein Mittelständler KI ruhigen Gewissens skaliert. Das ist ein Asset, keine Last.

Wenn Sie diese Landkarte für Ihr Haus konkret machen wollen, lesen Sie, wie wir Compliance als Teil einer ruhigen, souveränen KI-Einführung denken: The Azena Way. Und wenn Sie Ihren Plan lieber begleitet zeichnen: KI-Beratung für den Mittelstand. Kein Ersatz für Rechtsberatung — aber der Plan, mit dem Sie vorbereitet ins Gespräch gehen.

Baybora Gülec· Gründer, Azena

Nächster Schritt

Passt das auf Ihren Fall?

30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.

Erstgespräch buchen
Teilen LinkedIn Per E-Mail

Mehr aus Recht, Compliance & Förderung

Recht, Compliance & Förderung

EU AI Act für den Mittelstand: was wirklich auf Sie zukommt — und was Hype ist

Recht, Compliance & Förderung

AETR-Compliance für Spediteure: wo KI hilft

Recht, Compliance & Förderung

AI-Vertragsanalyse: Klauseln und Risiken