Aktionsplan KI-Compliance: Der Weg zur EU AI Act-Konformität

Der erste Schritt ist eine vollständige Inventarisierung aller KI-Systeme im Unternehmen. Dazu gehören sowohl intern entwickelte als auch eingekaufte oder gemietete Systeme. Erstellen Sie ein zentrales Register mit: Name und Beschreibung des KI-Systems, Anbieter und Versionsnummer, Einsatzbereich und betroffene Nutzer/Kunden, vorläufige Risikoklassifikation, Datenbasis und Trainingsdaten, zuständige Abteilung und Ansprechpartner. Viele Unternehmen unterschätzen die Anzahl ihrer KI-Systeme erheblich. Gängige Tools wie Excel-Auswertungen, automatisierte E-Mail-Filter oder HR-Software mit algorithmischer Auswahl fallen oft unter den EU AI Act.

Für jedes inventarisierte System muss eine Risikoklassifizierung nach Art. 6 EU AI Act erfolgen. Die Einstufung bestimmt alle weiteren Compliance-Anforderungen. Hochrisiko-Systeme (Anhang III) benötigen vollständige Dokumentation, Konformitätsbewertung und EU-Datenbankregistrierung. Systeme mit begrenztem Risiko (Art. 50) benötigen Transparenzpflichten. Systeme mit minimalem Risiko unterliegen keinen Pflichtanforderungen, sollten aber im Register verbleiben. Dokumentieren Sie die Klassifizierungsentscheidung mit Begründung – dies ist bei einer Behördenprüfung nachzuweisen.

Vergleichen Sie den Ist-Zustand jedes Hochrisiko-Systems mit den gesetzlichen Anforderungen. Typische Lücken betreffen: fehlende technische Dokumentation (Art. 11), unvollständiges Risikomanagementsystem (Art. 9), keine Protokollierungsfunktion (Art. 12), fehlende Anweisungen für menschliche Aufsicht (Art. 14), keine Qualitätsmanagementsystem-Prozesse (Art. 17). Priorisieren Sie Maßnahmen nach Deadline und Risiko. Systeme, die bis Februar 2025 unter die Verbote fallen könnten, haben höchste Priorität.

Die Umsetzungsphase ist die aufwendigste. Wesentliche Arbeitspakete sind: Erstellung technischer Dokumentation für alle Hochrisiko-Systeme, Aufbau oder Anpassung des Risikomanagementsystems, Implementation von Logging- und Monitoring-Funktionen, Training der Mitarbeitenden (Art. 4), Vertragsprüfung mit KI-Anbietern, EU-Datenbankregistrierung vorbereiten. Planen Sie ausreichend Puffer. Technische Dokumentation für ein komplexes Hochrisiko-System kann 40–80 Stunden Aufwand bedeuten.

Vor dem Go-Live der Compliance-Maßnahmen empfiehlt sich ein interner Audit. Prüfen Sie: Sind alle Pflichtdokumente vollständig? Funktionieren Logging und Monitoring korrekt? Sind Mitarbeitende ausreichend geschult? Sind Verträge mit Anbietern und Betreibern angepasst? Für Hochrisiko-Systeme in Anhang III kann eine Konformitätsbewertung durch eine notifizierte Stelle erforderlich sein (Art. 43). Planen Sie dafür 3–6 Monate Vorlaufzeit.

Ein Compliance-Aktionsplan ohne klare Verantwortlichkeiten scheitert. Definieren Sie: einen KI-Compliance-Officer oder Projektverantwortlichen, ein crossfunktionales Team (IT, Legal, HR, Fachbereiche), klare Eskalationswege bei Problemen, regelmäßige Reporting-Strukturen an die Geschäftsführung. In KMU kann ein externer Berater oder die Nutzung von Tools wie ai-risk-check.com die Ressourcenlücke schließen.

Die wesentlichen Fristen: Februar 2025: Verbote für unakzeptable Risiken gelten. August 2025: Pflichten für GPAI-Modelle und Governance-Strukturen. August 2026: Vollständiges Enforcement für Hochrisiko-Systeme aus Anhang III. Dezember 2026: Systeme, die bereits vor 2024 in Betrieb waren (legacy systems). Planen Sie rückwärts von diesen Deadlines und stellen Sie sicher, dass Ihr Aktionsplan realistisch ist.

Für die praktische Umsetzung empfehlen sich: KI-Risikobewertungs-Tools (z.B. ai-risk-check.com für automatisierte Erstbewertung), Dokumentenmanagement-Systeme für technische Unterlagen, Projektmanagement-Tools für die Meilensteinverfolgung, rechtliche Beratung für die Vertragsanpassungen, technische Experten für Logging- und Monitoring-Implementation. KMU ohne interne Ressourcen können EU-Förderprogramme nutzen – Deutschland und die Schweiz haben spezifische Unterstützungsangebote für KMU-Digitalisierung.