Partner werden
DE EN
NADOVO

KI-Compliance in vier Wochen

Irgendwer in deinem Unternehmen nutzt gerade KI mit Daten, die das Haus nicht verlassen dürften. KI-Compliance beginnt nicht beim Juristen, sondern bei der Sichtbarkeit - in vier Wochen zum eigenen KI-Register.

Best Practices

KI-Compliance in vier Wochen KI-generiert

Irgendwer in deinem Unternehmen füttert gerade eine KI mit Daten, die das Haus nicht verlassen dürften.

Nicht theoretisch. Jetzt.

Ein Angebot in ChatGPT, samt Kundennamen und Preisen. Ein Arbeitsvertrag im Übersetzungstool, samt Gehalt. Code im KI-Assistenten, samt Geschäftslogik. Niemand hat es angeordnet. Niemand weiß davon.

Das ist keine Zukunftsfrage. Das ist dein Dienstagvormittag.

Du hast kein Compliance-Problem. Du hast ein Sichtbarkeits-Problem.

Der Reflex bei KI-Compliance ist, den Juristen zu rufen. Falsch. Jedenfalls nicht zuerst.

Man kann kein Risiko bewerten, das man nicht sieht. Man kann keine Pflicht erfüllen für ein System, von dem niemand weiß, dass es läuft. Compliance beginnt nicht mit dem Gesetzestext. Sie beginnt mit einer Inventur.

Und die fällt fast immer ernüchternd aus. Unternehmen unterschätzen ihre eigene KI-Landschaft drastisch. Standardsoftware bekommt per Update KI-Funktionen, ohne Ankündigung. Microsoft 365 mit Copilot. Das CRM mit Lead-Scoring. Die Buchhaltung mit automatischer Belegerfassung. Wer das nutzt, ist im Sinne des EU AI Act Betreiber eines KI-Systems. Auch ohne es zu wissen.

Was im Gesetz steht, und was schon gilt

Der EU AI Act ist seit dem 1. August 2024 in Kraft. Die weltweit erste umfassende KI-Regulierung. Sie gilt für jedes Unternehmen, das KI in der EU einsetzt, auch wenn der Anbieter in den USA sitzt.

Vieles greift gestaffelt. Manches gilt heute.

Seit Februar 2025 sind bestimmte KI-Praktiken komplett verboten, etwa Social Scoring oder Emotionserkennung am Arbeitsplatz. Seit demselben Tag verlangt Artikel 4 KI-Kompetenz: Wer KI bedient oder beaufsichtigt, muss verstehen, was er tut. Keine Zukunftsmusik. Geltendes Recht.

Das Schwergewicht folgt am 2. Dezember 2027. Dann greifen die vollen Pflichten für Hochrisiko-Systeme: Risikomanagement, Dokumentation, menschliche Aufsicht, Meldepflichten. Diesen Termin hat das Digital-Omnibus-Paket der EU vom ursprünglichen August 2026 nach hinten verschoben. Mehr Zeit, nicht weniger Pflicht.

Die Sanktionen haben Gewicht. Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei verbotenen Praktiken. Bis zu 15 Millionen oder 3 Prozent bei anderen Verstößen. Beträge, die auch den Mittelstand treffen.

Für die meisten KMU gilt: Du kaufst KI ein, statt sie zu bauen. Damit bist du Betreiber. Die Pflichten sind überschaubar, aber sie existieren.

Vier Risikoklassen, und der Einsatz entscheidet

Der AI Act behandelt nicht jede KI gleich. Er sortiert nach Risiko, in vier Stufen.

Unannehmbar heißt verboten. Social Scoring. Systeme, die Menschen unbemerkt manipulieren. Emotionserkennung am Arbeitsplatz. Wer so etwas einsetzt, handelt schon heute rechtswidrig.

Hoch heißt streng reguliert, und hier wird es für den Mittelstand konkret. Eine KI, die Bewerbungen vorsortiert, fällt unter Anhang III, Bereich Beschäftigung. Eine KI, die über Kreditwürdigkeit mitentscheidet, ebenfalls, Bereich wesentliche Dienstleistungen. Solche Systeme verlangen menschliche Aufsicht, Dokumentation und nachvollziehbare Prozesse.

Begrenzt heißt Transparenzpflicht. Ein Chatbot muss offenlegen, dass er kein Mensch ist. KI-generierte Inhalte müssen erkennbar sein.

Minimal heißt frei. Spamfilter, Rechtschreibprüfung, ein Textentwurf fürs Marketing. Keine besonderen Pflichten, abgesehen von der KI-Kompetenz.

Der entscheidende Punkt steht zwischen den Zeilen. Nicht das Werkzeug bestimmt die Klasse, sondern der Einsatz. Dasselbe Sprachmodell ist im Marketing minimal und in der Bewerberauswahl Hochrisiko. Ein Tool, zwei Welten.

Schatten-KI steht in keiner Software-Liste

Die offizielle KI ist das kleinere Problem. Das größere sitzt an den Schreibtischen.

Mitarbeiter nutzen KI-Tools, von denen die IT nichts ahnt. Personenbezogene Daten und Geschäftsgeheimnisse verlassen das Unternehmen. Keine Rechtsgrundlage. Kein Vertrag. Keine Dokumentation. Das ist nicht nur ein Verstoß gegen den EU AI Act, sondern zuerst ein handfestes DSGVO-Problem.

Schatten-IT kennen wir aus den 2010er Jahren. Schatten-KI folgt demselben Muster, mit einem Unterschied: Diese Werkzeuge erzeugen Inhalte, bereiten Entscheidungen vor und schicken Daten an fremde Modelle. Eine andere Größenordnung.

Abwarten ist die teuerste Strategie

Die häufigste Reaktion ist, nichts zu tun. Die großen Fristen greifen erst 2027, also bleibt Zeit. Ein Trugschluss. Zwei Pflichten gelten schon heute, und wer nicht weiß, was im Haus läuft, verstößt womöglich jetzt schon. Ohne es zu ahnen.

Die anderen Auswege taugen genauso wenig. Alles auf einmal lösen führt zum Stillstand. Das Thema dem Datenschutzbeauftragten nebenbei aufzuladen unterschätzt es. Ein Tool zu kaufen, bevor klar ist, was es verwalten soll, ist Aktionismus.

Es braucht kein Großprojekt. Es braucht eine Bestandsaufnahme. Vier Wochen genügen.

Vier Wochen bis zum eigenen KI-Register

Niemand ist nach vier Wochen vollständig konform. Das ist nicht das Ziel. Das Ziel ist Sichtbarkeit, die Grundlage für alles Weitere. Vier bis acht Stunden pro Woche reichen.

Woche 1: das Inventar. IT-Landschaft durchgehen, Fachabteilungen befragen, Cloud-Dienste prüfen. Eine Tabelle mit System, Anbieter, Einsatzbereich, personenbezogenen Daten. Achtzig Prozent abgedeckt schlägt hundert Prozent geplant.

Woche 2: die Rolle. Eine Frage pro System. Selbst entwickelt oder eingekauft? In neun von zehn Fällen lautet die Antwort “eingekauft”. Damit bist du Betreiber. Eine gute Nachricht, denn die Betreiber-Pflichten sind überschaubar.

Woche 3: das Risiko. Hier zählt das Prinzip von oben, der Einsatz bestimmt die Klasse, nicht das Werkzeug. Die NADOVO-Kernformel macht es operativ: Asset plus Anwendungsbereich ergibt den KI-Prozess, und der bestimmt die Risikoklasse. Jeder Anwendungsfall wird einzeln geprüft, gegen Verbote, Hochrisiko-Bereiche und Transparenzpflichten.

Woche 4: konsolidieren. Aus dem Inventar wird das KI-Register. Hochrisiko-Systeme zuerst. Erste Quick Wins umsetzen, etwa ein Chatbot-Hinweis oder eine KI-Nutzungsrichtlinie. Eine verantwortliche Person benennen.

Nach vier Wochen weißt du, was du einsetzt, in welcher Rolle, mit welchem Risiko. Mehr, als die meisten Unternehmen je dokumentiert haben.

Erste Hilfe genau an diesem Anfang

Klingt simpel. Scheitert in der Praxis trotzdem. Eine Excel-Tabelle ist veraltet, sobald das nächste Tool eingeführt wird.

Hier setzt die NADOVO-Plattform an. Sie macht die DISCOVER-Phase handhabbar: KI-Systeme und Schatten-KI erfassen, dem Anwendungsfall zuordnen, in ein lebendiges KI-Register überführen. Eines, das mitwächst statt zu veralten.

Wer Unterstützung bei Bewertung und Umsetzung braucht, findet sie in unserer KI-Compliance-Beratung. Strukturiert in drei bis acht Wochen, von der Bestandsaufnahme bis zur umgesetzten Maßnahme. Für die laufende Governance übernimmt ein externer KI-Compliance-Beauftragter die Rolle.

Aus Pflicht wird Vorsprung

KI-Compliance ist nicht nur Last. Kunden, Partner und öffentliche Auftraggeber fragen, wie du mit KI umgehst. Wer belastbar antwortet, gewinnt bei Ausschreibungen und Audits. Nachweisbare KI-Governance wird zum Qualitätsmerkmal, so wie DSGVO-Compliance es längst ist.

Die Hürde ist niedriger, als viele glauben. Wer die DSGVO gemeistert hat, hat die Reife auch für den EU AI Act. Nutze die vorhandene Infrastruktur als Sprungbrett, statt parallel von vorne zu beginnen.

Eine Frage bleibt. Sie ist unbequem. Könntest du jetzt, in der nächsten Stunde, jedes KI-System in deinem Unternehmen auflisten? Wenn nicht, beginnt deine KI-Compliance genau dort. Einen ersten Eindruck, wo du stehst, liefert unser Schnellcheck.

Den vollständigen Praxisleitfaden mit allen Schritten und dem detaillierten Fahrplan stellen wir zum Download bereit. Die Grundlagen vertieft unser Beitrag dazu, was Unternehmen jetzt wissen müssen.


Über den Autor

Jochen Stier ist Mitgründer von NADOVO mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt deutsche KMU dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen-Framework NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit, ohne Enterprise-Budgets oder komplexe Tools.

Weiterführende Informationen:


← Zurück zum Blog

© 2026 CONTORO SOLUTIONS OÜ. Alle Rechte vorbehalten.
NADOVO - nadovo.ai