KI-Compliance braucht eine Struktur
78 Prozent der europäischen Unternehmen haben noch keine nennenswerten Schritte in Richtung EU AI Act Compliance unternommen. 83 Prozent haben kein Inventar ihrer KI-Systeme. 74 Prozent haben keine zuständige Stelle für KI-Governance benannt. Diese Zahlen stammen nicht aus einer Umfrage von 2024, sondern aus dem Vision Compliance Readiness Report von 2026. Vier Monate vor der Deadline. Das Problem ist nicht fehlendes Wissen. Die meisten Geschäftsführer haben vom EU AI Act gehört. Das Problem ist fehlende Struktur.
Warum die KI-Verordnung anders ist
Der EU AI Act ist kein Datenschutzgesetz mit ein paar neuen Formularen. Die Verordnung umfasst 180 Erwägungsgründe, 113 Artikel und 13 Anhänge. Sie unterscheidet zwischen verbotenen Praktiken, Hochrisiko-Systemen, Systemen mit begrenztem Risiko und minimalem Risiko. Sie definiert Rollen wie Provider, Deployer, Importeur und Vertriebshändler, die jeweils unterschiedliche Pflichten auslösen. Und sie verlangt eine Dokumentation, die zehn Jahre nachvollziehbar sein muss. Kein Unternehmen, das sich nicht intensiv mit der Verordnung auseinandersetzt, kann diese Anforderungen aus eigener Kraft korrekt umsetzen. Das ist keine Schwäche, sondern der Komplexität des Regelwerks geschuldet.
Beratung bleibt wichtig
Ich sage das als jemand, der selbst berät: Für viele KMU ist externe Unterstützung bei der KI-Compliance sinnvoll und oft notwendig. Die Risikoklassifizierung eines KI-gestützten Bewerbermanagements ist eine andere Aufgabe als die eines Übersetzungstools. Die Frage, ob ein Unternehmen durch Anpassung eines KI-Systems ungewollt zum Provider wird, erfordert Fachkenntnis. Und die Grundrechte-Folgenabschätzung für Hochrisiko-Systeme ist kein Formular, das man nebenbei ausfüllt. Beratung liefert Einordnung, Erfahrung und Sicherheit bei komplexen Entscheidungen.
Was Beratung allein nicht löst
Das Problem beginnt dort, wo die Beratung aufhört. Ein Berater erstellt eine Bestandsaufnahme, klassifiziert Systeme und schreibt Empfehlungen in einen Bericht. Dann liegt ein PDF auf dem Server. Aber Compliance ist kein Zustand, den man einmal herstellt. Sie ist ein laufender Prozess. Neue KI-Systeme kommen hinzu, bestehende werden verändert, Mitarbeiter müssen geschult werden, Vorfälle müssen dokumentiert werden. Art. 12 des EU AI Act verlangt eine Aufbewahrung von zehn Jahren. Jede Änderung, jede Risikobewertung, jede Maßnahme muss nachvollziehbar protokolliert sein. Excel-Listen und statische Berichte scheitern genau hier. Ein vergessener Eintrag, eine überschriebene Zelle, eine fehlende Versionierung und der Compliance-Nachweis ist wertlos.
Struktur als Fundament
Was KMU brauchen, ist ein durchgängiger Prozess, der Beratungswissen operationalisiert. Der erste Schritt ist die Erfassung aller KI-Systeme im Unternehmen. Nicht nur die offensichtlichen wie ChatGPT oder Copilot, sondern auch die Schatten-KI in CRM-Systemen, Marketing-Tools oder Analyseplattformen. Darauf aufbauend folgen Klassifizierung, Risikobewertung, Schulungsnachweise und Incident-Management. Jeder Schritt muss dokumentiert, versioniert und auditierbar sein. Das ist kein Projekt mit Anfang und Ende, sondern ein Kreislauf.
Von der Methodik zur Plattform
NADOVO ist als Framework entstanden: eine 5-Phasen-Methodik, die ich in der Beratung einsetze, um KMU strukturiert durch die EU AI Act Compliance zu führen. Der NADOVO Compliance-Cycle deckt den gesamten Prozess ab, von der Inventarisierung über die Risikoklassifizierung bis hin zu Schulungsnachweisen und Incident-Management. Dieses Framework bildet die Grundlage für jede Compliance-Arbeit, die ich mit Unternehmen umsetze.
Aber eine Methodik allein löst das operative Problem nicht. Beratungsergebnisse müssen irgendwo leben, Prozesse müssen versioniert, Änderungen über zehn Jahre nachvollziehbar protokolliert werden. Deshalb habe ich NADOVO als Plattform entwickelt. Die App operationalisiert das Framework: automatische Risikoklassifizierung gegen Annex I und III, unveränderlicher Audit Trail, exportierbar als PDF, CSV oder JSON. Keine KI-Blackbox, sondern regelbasierte, deterministische Ergebnisse. Gehostet auf Servern in Deutschland, ohne US-Cloud-Abhängigkeit.
NADOVO befindet sich aktuell in der geschlossenen Beta. Die ersten Unternehmen testen die Plattform in der praktischen Umsetzung. Sobald belastbare Ergebnisse vorliegen, werde ich hier ausführlich über die Praxiserfahrungen berichten.
Jetzt anfangen, nicht auf Omnibus warten
Das Europäische Parlament und der Rat haben ihre Positionen zum Digital Omnibus Package festgelegt, das unter anderem Fristverlängerungen für Hochrisiko-Systeme und Erleichterungen für KMU vorsieht. Die Triloge laufen. Aber das Omnibus ist noch kein geltendes Recht. Die allgemeinen Deployer-Pflichten zum August 2026 bleiben bestehen. Und selbst mit verlängerten Fristen: Die Implementierung eines strukturierten Compliance-Systems dauert erfahrungsgemäß 32 bis 56 Wochen. Wer jetzt nicht anfängt, wird es nicht mehr rechtzeitig schaffen. KI-Compliance ist kein Geheimnis. Sie ist ein Handwerk. Aber wie jedes Handwerk braucht sie das richtige Werkzeug.
Über den Autor
Jochen Stier ist AI Compliance Experte mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt deutsche KMUs dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen Framework NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit, ohne Enterprise-Budgets oder komplexe Tools.
Weiterführende Informationen:
