DISCOVER: So bauen Sie einen KI-Erfassungsprozess auf, der funktioniert
Im letzten Artikel habe ich gezeigt, warum ein einmaliges KI-Inventar nicht reicht. Heute zeige ich Ihnen die Lösung: einen kontinuierlichen Erfassungsprozess, der zu Ihrem Unternehmen passt.
Keine Enterprise-Software. Keine externe Beratung. Ein pragmatischer Ansatz für KMUs.
DISCOVER: Die erste Phase im Compliance-Lifecycle
In meinem 5-Phasen Framework NADOVO für EU AI Act Compliance ist DISCOVER der Startpunkt. Bevor Sie Risiken bewerten, Maßnahmen implementieren oder Schulungen durchführen können, müssen Sie wissen, was Sie überhaupt haben.
DISCOVER bedeutet: Vollständige Sichtbarkeit über alle KI-Systeme in Ihrer Organisation herstellen.
Das klingt simpel. Ist es aber nicht. Denn KI-Systeme verstecken sich überall in SaaS-Tools, Browser-Erweiterungen, eingebetteten Funktionen. Und sie vermehren sich schneller, als Sie Listen pflegen können.
Was Sie erfassen müssen
Ein KI-Inventar ist mehr als eine Liste von Tool-Namen. Für jeden Eintrag brauchen Sie Informationen in fünf Kategorien.
Die erste Kategorie sind Stammdaten. Name des KI-Systems, Anbieter, Version, Lizenzart. Bei SaaS-Tools: Vertragslaufzeit und Kündigungsfristen. Bei Open-Source: Quelle und Community-Status.
Die zweite Kategorie sind technische Informationen. Wo läuft das System, lokal, Cloud, hybrid? Welche Daten werden verarbeitet? Gibt es Schnittstellen zu anderen Systemen? Werden Daten zum Training verwendet?
Die dritte Kategorie ist der Anwendungskontext. Welche Abteilung nutzt das System? Für welchen konkreten Zweck? Wer sind die Nutzer? Welche Entscheidungen werden unterstützt oder automatisiert?
Die vierte Kategorie ist die Rollenbestimmung. Sind Sie Provider oder Deployer für dieses System? Provider entwickeln oder modifizieren KI-Systeme wesentlich. Deployer nutzen fertige Systeme unter eigener Verantwortung. Die meisten KMUs sind Deployer, aber die Abgrenzung ist wichtig, weil unterschiedliche Pflichten gelten.
Die fünfte Kategorie ist der Compliance-Status. Gibt es eine offizielle Genehmigung? Wurde eine Risikobewertung durchgeführt? Sind Schulungen dokumentiert? Existiert ein Auftragsverarbeitungsvertrag nach DSGVO?
Provider oder Deployer: Warum die Unterscheidung wichtig ist
Der EU AI Act unterscheidet klar zwischen Providern und Deployern. Provider haben umfassende Pflichten: Konformitätsbewertung, CE-Kennzeichnung, technische Dokumentation nach Artikel 11, Qualitätsmanagementsystem.
Deployer haben andere, aber ebenfalls erhebliche Pflichten: Risikobewertung nach Artikel 26, Schulung der Mitarbeiter nach Artikel 26.5, laufende Überwachung nach Artikel 26.6, Meldung schwerer Vorfälle nach Artikel 73.
Die gute Nachricht für KMUs: Wenn Sie SaaS-Tools wie ChatGPT, Microsoft Copilot oder Salesforce Einstein nutzen, sind Sie in der Regel Deployer. Die Provider-Pflichten liegen beim Anbieter.
Aber Vorsicht: Wenn Sie ein KI-System wesentlich modifizieren, etwa durch umfangreiches Fine-Tuning oder Integration in eigene Produkte, können Sie zum Provider werden. Mit allen Konsequenzen.
Der Erfassungsprozess in vier Schritten
Ein funktionierender Erfassungsprozess braucht vier Elemente: Ersterfassung, Meldewege, Genehmigung und regelmäßige Überprüfung.
Der erste Schritt ist die Ersterfassung. Starten Sie mit einer systematischen Bestandsaufnahme. Prüfen Sie Ihr Software-Asset-Management, analysieren Sie SaaS-Abonnements, befragen Sie Abteilungsleiter. Führen Sie eine anonyme Mitarbeiterumfrage durch: Welche KI-Tools nutzen Sie für Ihre Arbeit? Rechnen Sie mit Überraschungen.
Der zweite Schritt sind klare Meldewege. Definieren Sie, wie neue KI-Systeme gemeldet werden. Das kann ein einfaches Formular sein, eine E-Mail an eine zentrale Stelle oder ein Eintrag in einem Ticketsystem. Wichtig ist: Der Weg muss bekannt und einfach sein. Wenn Mitarbeiter drei Genehmigungsformulare ausfüllen müssen, werden sie es nicht tun.
Der dritte Schritt ist ein Genehmigungsprozess. Nicht jedes KI-Tool braucht eine Vorstandsentscheidung. Aber jedes Tool braucht eine bewusste Entscheidung. Definieren Sie Kriterien: Welche Daten werden verarbeitet? Gibt es einen Auftragsverarbeitungsvertrag? Ist der Anbieter DSGVO-konform? Fällt der Anwendungsfall unter Annex III? Ein einfacher Entscheidungsbaum mit fünf Fragen reicht für die meisten Fälle.
Der vierte Schritt ist regelmäßige Überprüfung. Einmal im Quartal: Inventar durchgehen, Abteilungen befragen, neue Tools identifizieren. Einmal im Jahr: Vollständige Überprüfung aller Einträge. Haben sich Anwendungsfälle geändert? Gibt es neue Versionen mit neuen Funktionen? Sind Tools nicht mehr in Nutzung?
Verantwortlichkeiten festlegen
Ein Prozess ohne klare Verantwortlichkeiten ist kein Prozess. Sie brauchen Antworten auf drei Fragen.
Wer ist für das Gesamtinventar verantwortlich? In größeren Unternehmen: der AI Compliance Officer oder IT-Leiter. In kleineren KMUs: oft der Geschäftsführer oder Datenschutzbeauftragte. Diese Person pflegt das zentrale Register und koordiniert die Überprüfungen.
Wer meldet neue Systeme? Jeder Mitarbeiter, der ein neues KI-Tool einführen möchte. Das muss kommuniziert und geschult werden. Keine Ausnahmen für Führungskräfte.
Wer genehmigt? Abhängig von der Risikostufe. MINIMAL RISK: IT-Leiter oder Abteilungsleiter. Potenzielle HIGH-RISK Fälle: Geschäftsführung oder Compliance-Verantwortlicher.
Praktische Umsetzung für KMUs
Sie brauchen keine teure Governance-Software. Für den Start reicht eine strukturierte Excel-Tabelle mit folgenden Spalten: ID, System-Name, Anbieter, Abteilung, Anwendungszweck, Datenarten, Provider/Deployer, Genehmigt (ja/nein), Genehmigungsdatum, Risikobewertung (ausstehend/abgeschlossen), Verantwortlicher, letzte Überprüfung, Bemerkungen.
Speichern Sie die Tabelle an einem zentralen Ort mit Zugriffskontrolle. Führen Sie ein Änderungsprotokoll. Erstellen Sie Backups.
Wenn Sie wachsen und mehr als 20 KI-Systeme verwalten, können Sie über spezialisierte Tools nachdenken. Aber starten Sie einfach.
Die Verbindung zur nächsten Phase
DISCOVER ist der erste Schritt, nicht der letzte. Jedes erfasste KI-System muss in der nächsten Phase – DEFINE – mit konkreten Anwendungsfällen verknüpft werden.
Denn: Nicht das System selbst bestimmt die Risikoklasse, sondern der Anwendungszweck. ChatGPT für Marketing-Texte ist MINIMAL RISK. ChatGPT zur Unterstützung bei Personalentscheidungen ist HIGH-RISK.
Diese Verknüpfung von Asset und Anwendungsbereich zu einem KI-Prozess ist der Kern meines Frameworks. Aber ohne saubere Erfassung in DISCOVER haben Sie nichts, was Sie verknüpfen können.
Der Quick-Start für diese Woche
Sie müssen nicht morgen einen perfekten Prozess haben. Aber Sie können heute anfangen.
Diese Woche: Erstellen Sie die Excel-Tabelle. Erfassen Sie die fünf wichtigsten KI-Systeme, die Sie kennen. Fragen Sie in Ihrem nächsten Team-Meeting: Welche KI-Tools nutzt ihr?
Nächste Woche: Erweitern Sie die Liste. Prüfen Sie Ihre SaaS-Abonnements. Schicken Sie eine kurze Umfrage an alle Mitarbeiter.
In vier Wochen: Sie haben ein erstes Inventar und einen groben Prozess. Nicht perfekt, aber ein Anfang. Von dort aus können Sie iterieren und verbessern.
Fazit
DISCOVER ist keine einmalige Aktion. Es ist der Grundstein für alles, was folgt: Prozessdefinition, Risikobewertung, Maßnahmenimplementierung, Monitoring.
Ein KI-System, das Sie nicht kennen, können Sie nicht bewerten. Ein Risiko, das Sie nicht sehen, können Sie nicht managen. Eine Pflicht, von der Sie nichts wissen, können Sie nicht erfüllen.
Der EU AI Act verlangt Kontrolle. Kontrolle beginnt mit Sichtbarkeit. Sichtbarkeit beginnt mit DISCOVER.
Starten Sie diese Woche. Die Deadline wartet nicht.
Über den Autor
Jochen Stier ist AI Compliance Experte mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt deutsche KMUs dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen Framework für AI Compliance namens NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit ohne Enterprise-Budgets oder komplexe Tools.
