EU AI Act: Der schnellste Weg zur Governance-Struktur, die wirklich skaliert

Es gibt zwei typische Reaktionen, wenn der EU AI Act im Unternehmen „landet“: Entweder wird er als reines Rechtsprojekt verstanden („Jura klärt, IT liefert irgendwann nach“). Oder er wird als Technikthema gesehen („Wir machen ein KI-Register, dann passt das schon“). Beide Perspektiven greifen zu kurz. Der EU AI Act ist vor allem eine Steuerungsfrage: Wer entscheidet was, nach welchen Kriterien, mit welchem Nachweis – und wie bleibt das auch dann tragfähig, wenn aus 5 KI-Anwendungen plötzlich 50 werden?

In diesem Beitrag geht es nicht um Paragrafen-Exegese. Es geht um einen praktikablen Weg zu einer Governance-Struktur, die schnell startfähig ist und dabei nicht beim ersten Wachstumsschub auseinanderfällt. „Schnell“ heißt hier nicht oberflächlich, sondern: mit wenigen Bausteinen so viel Ordnung schaffen, dass Sie Risiken einordnen, Entscheidungen treffen und Nachweise liefern können – ohne Ihr Unternehmen mit Bürokratie zu blockieren.

Warum viele AI-Governance-Ansätze nicht skalieren

Wenn Governance nicht skaliert, hat das meist drei Ursachen:

• Zu viel Konzept, zu wenig Betrieb: Es gibt Rollenbilder und Folien, aber im Alltag weiß niemand, wie eine KI-Anwendung konkret „durch den Prozess“ läuft.
• Zu viele Sonderwege: Jede Abteilung macht es anders. Das wirkt flexibel, ist aber später kaum prüfbar.
• Zu wenig Nachweislogik: Entscheidungen passieren, aber die Spur dazu ist nicht sauber (warum wurde etwas als unkritisch eingestuft, wer hat freigegeben, welche Tests wurden gemacht?).

Die Lösung ist selten ein großes Tool. Die Lösung ist ein einfacher, wiederholbarer Ablauf – und ein Register, das nicht „Daten sammelt“, sondern Entscheidungen und Verantwortlichkeiten strukturiert.

Der schnellste Weg: 6 Bausteine, die zusammen eine skalierbare Struktur ergeben

Wenn Sie schnell starten wollen, brauchen Sie nicht „alles“. Sie brauchen die richtigen sechs Bausteine – in einer Reihenfolge, die sich im Betrieb bewährt:

1. KI-Inventar (was existiert wirklich?)
2. Risikoklassifizierung (wie kritisch ist es – nachvollziehbar?)
3. Rollen & Entscheidungen (wer darf was freigeben?)
4. Lifecycle-Kontrollen (wie wird gebaut, getestet, betrieben, geändert?)
5. Evidenz & Ablage (wo liegt die prüfbare Spur?)
6. Taktung (wie bleibt das aktuell – ohne Dauerprojekt?)

Im Folgenden gehen wir Baustein für Baustein durch – mit konkreten Vorschlägen, die Sie in wenigen Wochen umsetzen können.

Baustein 1: KI-Inventar – aber bitte als Arbeitsliste, nicht als Datenfriedhof

Ein KI-Inventar klingt banal, ist aber der Dreh- und Angelpunkt. Der häufigste Fehler: Man fragt „Welche KI haben wir?“ und bekommt entweder gar nichts – oder eine Liste mit allem, was irgendwie nach Automatisierung aussieht. Beides hilft nicht.

Pragmatischer Ansatz: Definieren Sie klar, was Sie als „KI-Anwendung“ führen wollen. Praktisch reicht am Anfang eine Arbeitsdefinition wie:

• Die Lösung trifft oder unterstützt Entscheidungen,
• sie nutzt lernende oder statistische Verfahren (oder externe KI-Dienste),
• und sie wirkt auf Kunden, Mitarbeitende, Prozesse oder Entscheidungen.

Minimalfelder für das Inventar (Startversion):

• Name der Anwendung und kurzer Zweck (1 Satz)
• Owner im Fachbereich (eine Person/Rolle)
• Technischer Owner (eine Person/Rolle)
• Betroffene Prozesse / Nutzergruppen
• Datenquellen (intern/extern, grob)
• Genutzter KI-Baustein (Eigenentwicklung, Standardsoftware, Cloud-Service, Dienstleister)

Das ist bewusst knapp. Sie wollen damit nicht „vollständig dokumentieren“, sondern sichtbar machen, was gesteuert werden muss.

Baustein 2: Risikoklassifizierung – wenige Kriterien, aber konsequent

Die Klassifizierung ist der Moment, in dem Governance greift. Hier entscheiden Sie, wie streng der Prozess sein muss. Genau deshalb ist eine nachvollziehbare Logik wichtiger als eine perfekte Detailtiefe.

Ein praktikables Set an Klassifizierungsfragen:

• Einfluss: Trifft die KI Entscheidungen oder gibt sie nur Empfehlungen?
• Auswirkung: Kann ein Fehler zu echten Nachteilen führen (z. B. falsche Ablehnung, falsche Priorisierung, falsche Information)?
• Betroffene: Geht es um Kunden, Mitarbeitende oder besonders schützenswerte Gruppen?
• Kontext: Wird die KI in sensiblen Bereichen genutzt (z. B. Zugang, Bewertung, Auswahl, Sicherheit)?
• Abhängigkeit: Hängen kritische Prozesse von der KI ab oder gibt es saubere Alternativen?

Wichtig: Die Klassifizierung darf nicht „im Register passieren“ und danach nie wieder. Sie muss an Entscheidungen gekoppelt sein: Welche Kontrollen sind Pflicht, wenn eine Anwendung in eine höhere Risikostufe fällt?

Faustregel zum Start: Legen Sie drei Stufen fest (z. B. niedrig / mittel / hoch) und definieren Sie pro Stufe wenige Pflichtanforderungen. Das skaliert besser, als sofort mit zehn Kategorien zu starten.

Baustein 3: Rollen & Entscheidungen – Governance ist keine Orgchart

In der Praxis scheitert AI-Governance selten an fehlenden Rollenbezeichnungen. Sie scheitert daran, dass niemand klar sagen kann:

• Wer darf eine KI-Anwendung produktiv setzen?
• Wer entscheidet bei „mittel“ oder „hoch“?
• Wer stoppt eine Anwendung, wenn es Probleme gibt?
• Wer verantwortet Datenqualität und Modelländerungen?

Pragmatischer Vorschlag für einen schlanken Entscheidungsaufbau:

• KI-Owner (Fachbereich): verantwortet Zweck, Einsatz, Nutzen, fachliche Risiken, Kommunikation.
• Technischer Owner (IT/Plattform): verantwortet Betrieb, Änderungen, Schnittstellen, Monitoring.
• Risk/Compliance-Gate: prüft Klassifizierung, Mindestkontrollen, Dokumentation.
• Freigabeinstanz (je nach Risiko): bei niedrigen Risiken kann das im Team bleiben; bei höheren Risiken muss es eine klare Freigabe geben (z. B. Governance-Board oder benannte Rolle).

Der Trick ist nicht, viele Menschen zu involvieren. Der Trick ist, die Freigabeschwelle klar zu ziehen und die Entscheidung dokumentierbar zu machen.

Baustein 4: Lifecycle-Kontrollen – damit KI nicht „einmal live, immer live“ ist

Die meisten Probleme entstehen nicht beim ersten Go-Live, sondern später: Daten ändern sich, Modelle driften, Anforderungen werden angepasst, der Dienstleister stellt Funktionen um. Wenn Ihr Betrieb dafür keinen Standard hat, wird Governance schnell reaktiv und teuer.

Ein skalierbarer Lifecycle lässt sich in 5 Stationen beschreiben:

1. Idee & Vorprüfung: Zweck, grobe Risiko-Einordnung, Datenquellen, Owner.
2. Bau & Test: Testfälle, Qualität, Robustheit, dokumentierte Grenzen.
3. Freigabe: Klassifizierung bestätigt, Mindestkontrollen erfüllt, Verantwortlichkeiten klar.
4. Betrieb: Monitoring, Incident-Ablauf, Nutzerfeedback, Änderungsmanagement.
5. Änderung & Re-Freigabe: Wenn etwas Wesentliches geändert wird (Daten, Modell, Zweck), muss die Risiko-Einordnung überprüft werden.

Wichtig für die Skalierung: Definieren Sie, was als „wesentliche Änderung“ gilt. Sonst diskutieren Sie bei jeder Anpassung neu, ob Governance greift. Typische Trigger sind:

• neue Datenquelle oder deutlich andere Datenqualität,
• neues Modell/Modellversion,
• neuer Zweck oder neue Nutzergruppe,
• neuer Dienstleister oder neue Abhängigkeit,
• deutlich erhöhte Reichweite (z. B. von 50 auf 5.000 Nutzer).

Baustein 5: Evidenz & Ablage – „prüfbar“ schlägt „schön“

Viele Teams haben Angst, AI-Governance könnte zu „Dokumentationspflichten“ eskalieren. Das passiert vor allem dann, wenn Sie keine klare Evidenzlogik haben. Dann wird im Zweifel alles gesammelt, überall abgelegt, und am Ende findet es niemand.

Pragmatischer Evidenz-Standard: Für jede KI-Anwendung gibt es eine kleine Akte mit wenigen, aber belastbaren Dokumenten. Starten Sie mit:

• Steckbrief (Zweck, Owner, Klassifizierung, Nutzergruppen)
• Risikobegründung (warum diese Stufe, welche Annahmen?)
• Testnachweise (kurz: was wurde getestet, Ergebnis, offene Punkte)
• Betriebskonzept (Monitoring, Incident-Kontakt, Fallback)
• Änderungslog (wesentliche Änderungen, Re-Freigaben)

Damit haben Sie im Ernstfall eine klare Spur: Entscheidungen, Begründungen, Nachweise. Und: Sie müssen nicht jedes Detail doppelt pflegen.

Ablage-Tipp, der in der Praxis viel Stress spart: Ein Ort, ein Schema. Zum Beispiel je Anwendung ein Ordner nach einem festen Muster. Die Frage „Wo liegt das?“ darf nie mehr als 30 Sekunden dauern.

Baustein 6: Taktung – so bleibt es aktuell, ohne dass Sie 12 Monate lang „Programm“ spielen

Governance skaliert nicht über Perfektion, sondern über Routine. Der EU AI Act wird Sie nicht einmalig beschäftigen, sondern dauerhaft. Der schnellste Weg zu Stabilität ist ein schlanker Takt:

• Monatlich (15–30 Minuten): Neue KI-Vorhaben aufnehmen, grob klassifizieren, Owner zuweisen.
• Quartalsweise (60 Minuten): Review der „mittleren“ und „hohen“ Anwendungen: Änderungen, Incidents, Maßnahmen, offene Risiken.
• Halbjährlich: Stichprobe zur Evidenzqualität: Sind Akten vollständig? Sind Freigaben nachvollziehbar?

Das ist kein Overhead. Das ist die Minimalroutine, damit Sie nicht irgendwann merken, dass das Register veraltet ist und Entscheidungen im Alltag längst anders laufen.

Ein konkreter 4-Wochen-Startplan (ohne Tool-Projekt)

Wenn Sie „schnell“ wirklich ernst meinen, hilft ein enger Zeitrahmen. Ein bewährter Ablauf:

• Woche 1: Arbeitsdefinition KI + Inventar-Template + Owner-Prinzip festlegen. Erste Liste sammeln (nicht perfekt, aber echt).
• Woche 2: Klassifizierungslogik definieren (3 Stufen) + Pflichtkontrollen je Stufe. Für die Top-10 Anwendungen einmal konsequent durchziehen.
• Woche 3: Entscheidungswege fixieren: Wer gibt frei? Was ist „wesentliche Änderung“? Wie stoppt man eine Anwendung im Notfall?
• Woche 4: Evidenzakte standardisieren + Ablageort + Benennungsschema. Erste Stichprobe: Zwei Anwendungen so dokumentieren, dass eine externe Prüfung in 10 Minuten versteht, was passiert.

Das Ergebnis nach 4 Wochen ist kein „fertiges System“, aber ein tragfähiger Kern: Inventar, Klassifizierung, Entscheidungen, Evidenz. Genau dieser Kern ist es, der später skaliert.

Praxisbeispiel: Warum das Register allein nicht reicht

Ein typischer Fall: Eine Fachabteilung nutzt einen externen KI-Dienst, um Anfragen schneller zu kategorisieren. Die Lösung wird als „unterstützend“ eingestuft, geht zügig live und bringt sofort Nutzen. Monate später verändert der Anbieter die Funktionsweise, die Qualität sinkt, Beschwerden häufen sich. Jetzt stellt sich plötzlich die Frage: Wer entscheidet, ob die KI weiterläuft? Wer muss informiert werden? Wo sind Testfälle, um die Veränderung objektiv zu messen?

Wenn Sie nur ein Register haben, hilft das wenig. Wenn Sie aber die oben beschriebenen Bausteine umgesetzt haben, ist der Weg klar:

• Wesentliche Änderung erkannt (Trigger),
• Re-Klassifizierung und kurze Re-Freigabe,
• Tests nach definierten Kriterien,
• Entscheidung dokumentiert,
• Betrieb angepasst (Monitoring/Schwellen),
• falls nötig: Fallback aktivieren oder Dienstleister eskalieren.

Das ist Governance, die im Alltag trägt – nicht nur im Dokument.

Die drei häufigsten Fehler – und wie Sie sie vermeiden

• Fehler 1: Governance wird als „Kontrollinstanz“ verkauft.
  Besser: Als Hilfe für klare Entscheidungen und stabile Abläufe. Governance schützt Teams vor Ad-hoc-Diskussionen und ungeplanten Risiken.
• Fehler 2: Alles wird sofort „hoch riskant“ eingeordnet.
  Besser: Wenige Kriterien, sauber angewendet. Sonst entsteht ein Engpass und die Struktur wird umgangen.
• Fehler 3: Evidenz wird nachträglich zusammengesucht.
  Besser: Evidenz entsteht im Prozess. Freigaben, Tests und Änderungen gehören in eine kleine, klar benannte Akte.

Ein Merksatz, der intern funktioniert

Wenn KI skaliert, muss Governance schneller sein als das Wachstum. Das erreichen Sie nicht durch mehr Meetings, sondern durch wenige Standards, die konsequent greifen: Inventar, Klassifizierung, Entscheidung, Lifecycle, Evidenz, Taktung.

Im nächsten Beitrag dieser Reihe gehen wir eine Ebene tiefer: Wie man aus einem KI-Register ein Steuerungsinstrument macht, das Einkauf, IT, Risk, Revision und Fachbereiche verbindet – ohne dass es zu einem „Paralleluniversum“ wird.