Holen Sie sich B4BSCHWABEN.de auf Ihr Smartphone.
Klicken Sie auf das Symbol zum „Teilen” in der Toolbar von Safari. Finden Sie die Option „Zum Home-Bildschirm”. Mit einem Klick auf „Hinzufügen” ist die Installation abgeschlossen! Schon ist die Website als App auf Ihrem iOS-Gerät installiert.
Wenn ich in meinen Gesprächen auf den EU AI Act verweise, begegnen mir zwei Reaktionen. Die einen winken ab: „Hochrisiko-KI, das betrifft uns nicht.“ Die anderen geraten in Aktionismus und wollen vorsorglich alles dokumentieren. Beide Reaktionen haben dieselbe Ursache: Niemand hat geprüft, was im Unternehmen tatsächlich an KI im Einsatz ist und wie es einzuordnen wäre.
Die Verbote bestimmter KI-Praktiken und die Pflicht zur KI-Kompetenz gelten bereits seit Anfang 2025. Zum 2. August 2026 kommt der größere Teil hinzu: die Pflichten für Hochrisiko-Anwendungen sowie Transparenzpflichten, etwa die Kennzeichnung KI-generierter Inhalte oder der Hinweis, dass Nutzer mit einem KI-System kommunizieren.
Entscheidend ist die Logik dahinter: Der AI Act denkt in Risikoklassen, nicht in Technologien. Eine KI im internen Reporting wird anders behandelt als eine KI in der Bewerberauswahl oder bei Bonitätsentscheidungen. Die relevante Frage ist deshalb immer dieselbe: Wofür nutzen wir KI, und mit welchem möglichen Schaden?
Wer pauschal sagt „uns betrifft das nicht“, übersieht meist, dass KI längst in eingekaufter Standardsoftware steckt, etwa in CRM-Systemen oder HR-Tools. Sprich, Betroffenheit entsteht nicht erst durch eigene Modelle.
Wer umgekehrt vorsorglich alles regeln will, bindet Ressourcen an unkritische Anwendungen und produziert genau das Bürokratiemonster, das niemand braucht. Beide Wege kosten Geld, einer durch Risiko, der andere durch Überregulierung.
Bevor man eine einzige Pflicht erfüllen kann, muss eine simple Frage beantwortet sein: Welche KI-Systeme sind bei uns überhaupt im Einsatz? Diese Inventur der IT- und KI-Systeme klingt banal, in meinen Gesprächen stelle ich trotzdem regelmäßig fest, dass niemand einen vollständigen Überblick hat. Gemeint ist nicht nur die offiziell eingeführte KI, sondern auch die Funktionen, die unbemerkt in bestehender Software mitlaufen, und die Tools, die einzelne Mitarbeitende auf eigene Faust nutzen. Wer diese Liste nicht hat, kann nicht einstufen, nicht priorisieren und im Zweifel auch nicht belegen, dass er seine Pflichten kennt.
Damit ist die Inventur Voraussetzung für jede weitere Entscheidung. Erst wenn klar ist, was läuft, lässt sich beurteilen, was davon kritisch ist und was nicht.
Drei Fragen sollten Sie vor dem Stichtag sauber beantworten können:
Wer auf diese drei Fragen klare Antworten hat, ist vorbereitet, unabhängig davon, wie viele Pflichten am Ende konkret greifen. Wer keine hat, sollte genau hier anfangen, nicht bei der Lektüre des Verordnungstexts.
Der Vorlauf bis zum Stichtag ist begrenzt. Wer erst jetzt mit der Einordnung beginnt, hat wenig Zeit, sich das nötige Wissen intern aufzubauen. Gleichzeitig bindet dieser Kompetenzaufbau von Grund auf Kapazitäten, die im Tagesgeschäft fehlen.
Hier hilft eine nüchterne Rechnung. Die Betroffenheitsprüfung und die erste Einstufung sind methodisch klar umrissene Aufgaben, die mit Erfahrung in wenigen Schritten erledigt sind. Wer unsicher ist, fährt fast immer günstiger, wenn er an dieser Stelle auf externe Expertise zurückgreift, statt sich das Verfahren selbst zu erarbeiten. Das spart vor dem Stichtag Zeit und vermeidet teure Fehler wie das Übersehen einer kritischen Anwendung auf der einen Seite, und überflüssige Dokumentationsarbeit auf der anderen. Denn das Ziel ist nicht maximale Absicherung, sondern eine belastbare Einordnung, mit der die Geschäftsführung weiß, wo sie steht.
Niemand muss bis zum 2. August ein vollständiges Governance-System aufbauen. Realistisch und sinnvoll ist etwas anderes: eine vollständige Inventur, eine saubere Risikoeinstufung der relevanten Anwendungen und eine klar benannte Verantwortung. Damit ist das Wesentliche erledigt. Den Rest kann man strukturiert nachziehen. Wer dagegen ohne diese Grundlage in den Stichtag geht, merkt erst dann, was fehlt, wenn jemand konkret nachfragt: ein Kunde, eine Aufsichtsbehörde oder das eigene Kontrollgremium.
Der AI Act ist kein Grund zur Panik. Aber er ist ein guter Anlass, sich endlich den Überblick zu verschaffen, den ein professioneller KI-Einsatz ohnehin voraussetzt.
Wie diese Klarheit strukturell verankert werden kann, habe ich im Executive Briefing zusammengefasst: https://www.kivorex.de/executive-briefing/
Sie haben Rückfragen an KI-Experte Frank Stadler oder wünschen eine tiefergehende Beratung? Dann nehmen Sie jetzt direkt Kontakt auf.
