Mein AI Compliance Framework NADOVO: Warum ich AI-Risiken auf PROZESS-Ebene klassifiziere

Die meisten Unternehmen stellen die falsche Frage.

„Ist ChatGPT HIGH-RISK oder nicht?“

Diese Frage höre ich ständig. Und meine Antwort überrascht viele: Es kommt darauf an, wofür Sie es einsetzen. Der EU AI Act klassifiziert nicht Tools – er klassifiziert Anwendungen. Genau deshalb habe ich ein Framework entwickelt, das auf Prozessebene arbeitet.

Das Problem mit der Asset-Perspektive

Viele Unternehmen versuchen, ihre KI-Systeme pauschal zu klassifizieren. Sie erstellen eine Liste aller Tools und fragen sich dann: Welches davon ist HIGH-RISK nach der KI-Verordnung?

Das funktioniert nicht. Und zwar aus einem einfachen Grund:

Artikel 6 macht die Risikoklasse vom „intended purpose“ abhängig. Nicht vom System selbst, sondern davon, wofür Sie es einsetzen. Eine korrekte Risikobewertung erfordert daher immer die Betrachtung des Anwendungskontexts.

Ein Beispiel: ChatGPT

Nehmen wir ChatGPT- das gleiche Tool, drei völlig unterschiedliche Risikoklassen:

Marketing-Texte erstellen: MINIMAL RISK – keine Auswirkung auf Grundrechte. Bewerber-Screening unterstützen: HIGH-RISK – Annex III, Kategorie 4 (Beschäftigung). Code-Review durchführen: LIMITED RISK Transparenzpflichten, aber kein HIGH-RISK.

Gleiches Tool. Drei verschiedene Anforderungen.

Wenn Sie ChatGPT pauschal als „MINIMAL RISK“ einstufen, weil es ja „nur ein Chatbot“ ist, übersehen Sie möglicherweise eine HIGH-RISK Anwendung in Ihrer HR-Abteilung.

Mein Ansatz: Der Prozess-Layer

Deshalb arbeite ich mit einem anderen Modell in meinem AI Compliance Framework:

Asset + Anwendungsbereich = KI-Prozess → Risikoklasse

Asset: Das KI-System selbst (z.B. ChatGPT, Microsoft Copilot, eigenes ML-Modell). Anwendungsbereich: Der konkrete Einsatzzweck in Ihrem Unternehmen. KI-Prozess: Die Kombination aus beidem – das ist die Einheit, die klassifiziert wird. Risikoklasse: MINIMAL, LIMITED, HIGH-RISK oder UNACCEPTABLE.

Dieser Prozess-Layer ist der Kern meines AI Compliance Frameworks, das ich unter dem Namen NADOVO weiterentwickle, und bildet die Grundlage für den gesamten AI Continuous Lifecycle.

Das 5-Phasen Framework

Mein Ansatz basiert auf fünf Phasen, die einen AI Continuous Lifecycle abbilden. Dieser Zyklus stellt sicher, dass Compliance kein einmaliges Projekt bleibt, sondern ein fortlaufender Prozess wird.

Phase 1: DISCOVER – Was haben wir? Erfassen Sie alle KI-Systeme in Ihrem Unternehmen. Bestimmen Sie Ihre Rolle: Sind Sie Provider (Entwickler) oder Deployer (Anwender)? Die meisten KMUs sind Deployer.

Phase 2: DEFINE – Wofür nutzen wir es? Hier passiert die eigentliche Arbeit: Verknüpfen Sie jedes Asset mit seinen Anwendungsbereichen. Ein Asset kann mehrere Prozesse haben. Jeder Prozess wird einzeln klassifiziert.

Phase 3: ASSESS – Welche Risiken? Für HIGH-RISK Prozesse: Systematische Risikobewertung nach Art. 9. Bias-Risiken, Datenschutz, Sicherheit, Grundrechte.

Phase 4: IMPLEMENT – Wie setzen wir um? Maßnahmen implementieren: Technische Controls, Schulungen nach Art. 26.5, Dokumentation. Alles audit-ready.

Phase 5: MONITOR – Wie bleiben wir compliant? Der Lifecycle endet nie. Laufende Überwachung, Incident Management, jährliches Reassessment. AI Compliance ist kein Projekt, sondern ein kontinuierlicher Prozess.

Warum das für KMUs wichtig ist

Mit diesem Ansatz müssen Sie nicht jedes KI-Tool einzeln bewerten. Sie bewerten, WIE Sie es einsetzen.

Das reduziert Komplexität erheblich:

5 KI-Tools mit je 3 Anwendungen = 15 Prozesse zu bewerten. Davon sind vielleicht 2-3 HIGH-RISK auf die konzentrieren Sie sich. Der Rest: MINIMAL oder LIMITED RISK mit überschaubaren Pflichten.

Die Deadline

Apropos Konzentration: Die HIGH-RISK Anforderungen des EU AI Act gelten ab 2. August 2026. Der Digital Omnibus Vorschlag könnte das auf Dezember 2027 verschieben, aber das ist noch nicht beschlossen.

Meine Empfehlung: Starten Sie jetzt. Wer heute beginnt, ist in beiden Szenarien sicher.

Fazit

Die Frage „Ist dieses Tool HIGH-RISK?“ ist die falsche Frage.

Die richtige Frage lautet: „Für welche Anwendungen setzen wir dieses Tool ein und welche davon sind HIGH-RISK?“

Der Prozess-Layer in meinem AI Compliance Framework macht die KI-Verordnung handhabbar. Nicht durch Vereinfachung des Gesetzes, sondern durch eine Struktur, die dem EU AI Act entspricht.

In den kommenden Wochen werde ich jede Phase im Detail vorstellen. Nächste Woche: Phase 1 DISCOVER – Wie Sie Ihr AI-Asset-Register aufbauen.

Mit NADOVO arbeite ich daran, dieses Framework als Plattform für KMUs zugänglich zu machen.

Über den Autor

Jochen Stier ist AI Compliance Experte mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt deutsche KMUs dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen Framework für AI Compliance namens NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit ohne Enterprise-Budgets oder komplexe Tools.