Die KI-Strategie bestimmt die Risikoklasse
Viele Unternehmen entwickeln ihre KI-Strategie mit Blick auf Effizienz, Innovation und Wettbewerbsvorteile. Die wenigsten berücksichtigen dabei, welche regulatorischen Konsequenzen ihre Entscheidungen haben. Dabei bestimmt der EU AI Act klar: Nicht die Technologie definiert das Risiko, sondern der konkrete Anwendungsfall. Wer das versteht, kann seine strategische KI-Planung so gestalten, dass Compliance von Anfang an mitgedacht wird, statt nachträglich zum Problem zu werden.
Das Kernprinzip: Der Anwendungsfall bestimmt die Risikoklasse
Ein und dasselbe KI-System kann je nach Einsatzbereich völlig unterschiedlich klassifiziert werden. ChatGPT für die Erstellung von Marketing-Texten fällt unter minimales Risiko. Dasselbe System, integriert in ein Bewerbungs-Screening, wird nach Annex III des EU AI Act als Hochrisiko eingestuft. Der Unterschied liegt nicht in der Technologie, sondern im Kontext. Für Ihre Planung bedeutet das: Jede geplante KI-Einführung braucht vorab eine Bewertung des Anwendungsfalls. Nicht erst bei der Compliance-Prüfung, sondern bereits in der Planungsphase.
Drei strategische Optionen
Wenn Sie wissen, dass der Anwendungsfall die Risikoklasse bestimmt, haben Sie drei Handlungsoptionen.
Erstens: Hochrisiko bewusst vermeiden. Sie gestalten den Anwendungsfall so, dass er nicht unter die Hochrisiko-Kategorien fällt. Ein KI-System, das Bewerbungen sortiert, ist Hochrisiko. Dasselbe System, das Stellenanzeigen optimiert, ist es nicht. Manchmal reicht eine bewusste Eingrenzung des Einsatzzwecks, um die Risikoklasse zu ändern.
Zweitens: Hochrisiko bewusst eingehen. Manche Anwendungsfälle sind geschäftskritisch und fallen zwangsläufig unter Hochrisiko. Das ist kein Problem, solange Sie vorbereitet sind. Hochrisiko bedeutet: Risikomanagement-System, technische Dokumentation, menschliche Aufsicht, kontinuierliches Monitoring und Schulungsnachweise. Das erfordert Budget, Personal und Prozesse, die in der strategischen Planung eingeplant sein müssen. Der Unterschied zwischen einem geplanten Hochrisiko-System und einem nachträglich entdeckten ist erheblich: Planung statt Panik.
Drittens: Den Anwendungsfall redesignen. Prüfen Sie, ob das Ziel auch mit einem anders gestalteten Prozess erreichbar ist. Statt einer vollautomatisierten Entscheidung könnte ein KI-gestützter Vorschlag mit menschlicher Finalentscheidung ausreichen. Das reduziert die Compliance-Anforderungen erheblich und hält den Anwendungsfall unterhalb der Hochrisiko-Schwelle.
Was eine compliance-bewusste KI-Strategie enthält
Eine KI-Strategie, die Compliance mitdenkt, beginnt nicht mit der Toolauswahl. Sie beginnt mit der Frage: Welche Geschäftsprobleme wollen wir mit KI lösen, und in welche Risikoklassen fallen diese Anwendungsfälle?
Konkret gehören drei Elemente in jede KI-Strategie. Eine Bestandsaufnahme aller bestehenden KI-Systeme, um zu wissen, was bereits im Einsatz ist. Eine Bewertung geplanter KI-Einführungen nach Risikoklassen, bevor Budget freigegeben wird. Und eine realistische Einschätzung der Compliance-Kosten für Hochrisiko-Systeme, damit keine bösen Überraschungen entstehen.
Im NADOVO Framework bildet die DISCOVER-Phase genau diese Grundlage: vollständige Transparenz über alle KI-Systeme im Unternehmen. Darauf baut die DEFINE-Phase auf, in der jeder Anwendungsfall klassifiziert wird. Wer seine KI-Strategie mit diesem Denkmodell verbindet, trifft bessere Entscheidungen.
KI-Strategie ist KI Governance
Dieser strategische Blick auf Risikoklassen ist keine zusätzliche Aufgabe neben der Technologieplanung. Er ist Teil der KI Governance. Governance bedeutet nicht nur Regeln und Kontrollen, sondern die bewusste Steuerung, wie ein Unternehmen KI einsetzt. Wer Governance erst nach der KI-Einführung aufbaut, reguliert im Nachhinein, was vorher hätte geplant werden können. Eine KI-Strategie, die Risikoklassen von Anfang an einbezieht, macht Governance zu einem Enabler statt zu einem Blocker.
Der häufigste Fehler
Ich sehe regelmäßig Unternehmen, die KI-Systeme einführen und erst danach feststellen, dass sie in der Hochrisiko-Kategorie gelandet sind. Dann beginnt hektisches Nachrüsten: Dokumentation erstellen, Risikobewertungen nachziehen, Schulungen organisieren. Das ist teurer, langsamer und riskanter als vorausschauende Planung.
Der EU AI Act ist seit Februar 2025 teilweise in Kraft. Die Deadline für Hochrisiko-Systeme rückt näher. Wer jetzt seine KI-Strategie ohne Compliance-Perspektive plant, baut technische Schulden auf, die später teuer werden.
Ihr nächster Schritt
Nehmen Sie Ihre aktuelle KI-Planung und stellen Sie für jedes geplante System eine Frage: In welche Risikoklasse fällt dieser Anwendungsfall? Wenn Sie die Antwort nicht kennen, ist das der erste Punkt auf Ihrer Agenda. Wenn die Antwort Hochrisiko lautet, planen Sie die Compliance-Kosten ein, bevor Sie die Einführung beschließen.
Fazit
Eine KI-Strategie ohne Compliance-Bewusstsein ist unvollständig. Der EU AI Act macht den Anwendungsfall zum entscheidenden Kriterium. Wer das in seiner strategischen Planung berücksichtigt, vermeidet teure Nachrüstungen, trifft bewusstere Entscheidungen und schafft die Grundlage für nachhaltige KI-Innovation.
Über den Autor
Jochen Stier, AI Compliance Experte, 20+ Jahre Prozess/ITSM. Unterstützt KMUs bei EU AI Act. NADOVO Framework = regulatorisch + pragmatisch, ohne Enterprise-Budget.
