Seit Februar 2025 greifen erste Pflichten des EU AI Act, die KI-Schulung von Mitarbeitenden und die Verbote für unzulässige Praktiken. Seit August 2025 gelten die Verpflichtungen für Anbieter allgemeiner KI-Modelle. Am 2. August 2026 greifen die meisten weiteren Pflichten, insbesondere für Hochrisiko-Systeme nach Anhang III. Für Hochrisiko-KI in regulierten Produkten kommen die zentralen Pflichten erst ab dem 2. August 2027. Die Konsequenz im Mittelstand: Geschäftsführungen schauen schon jetzt auf jede ChatGPT-Lizenz, jeden Copilot-Tab und jede selbstgeschriebene Klassifizierungs-Pipeline, und fragen sich, welche KI im Haus eigentlich genau eingesetzt wird und in welche Risikoklasse sie fällt.

Hinweis Mai 2026: Digital Omnibus

Rat und Parlament haben sich am 7. Mai 2026 im Rahmen des Digital Omnibus vorläufig auf eine Verschiebung der Hochrisiko-Fristen geeinigt. Die neuen Anwendungstermine wären der 2. Dezember 2027 für stand-alone Hochrisiko-Systeme und der 2. August 2028 für produktintegrierte Hochrisiko-Systeme. Bis zur formalen Annahme bleibt die geltende Rechtslage zu prüfen. Für Inventar, Schulung, Transparenz und Governance ändert sich an der praktischen Vorarbeit wenig, die Zeit gewinnt man nur dort, wo wirklich konkrete Hochrisiko-Vorhaben anstehen.

Die erste Frage ist überschaubar. Ein Inventar führen kann jede Organisation, sobald eine strukturierte Liste in SharePoint angelegt ist. Die zweite Frage ist die schwierige: in welcher Risikoklasse ist welches System? Diese Klassifizierung wird in vielen Beratungsgesprächen recht oberflächlich mit "das ist minimal" oder "das ist Hochrisiko" abgehakt. Im Audit ist genau diese Begründung der Stolperstein.

Der folgende Text beschreibt einen pragmatischen Pfad, mit klaren Mustern für das Inventar selbst und einer Empfehlung für die Klassifizierungs-Arbeit auf Basis kostenloser Werkzeuge.

Pyramide der 4 EU-AI-Act-Risikoklassen mit geschätzter Verteilung im Mittelstand
Die 4 Risikoklassen des EU AI Act und ihre geschätzte Verteilung bei DACH-Mittelständlern.

Was der EU AI Act inhaltlich unterscheidet

Der EU AI Act unterscheidet KI-Systeme nach 4 Risikoklassen, an denen jeweils unterschiedliche Pflichten hängen:

Nach unserer Projekterfahrung im DACH-Mittelstand verteilen sich die Systeme in den meisten Häusern grob so: rund 5 % fallen unter Hochrisiko, 20 % unter Begrenztes Risiko, 75 % unter Minimales Risiko. Das sind Erfahrungswerte aus unseren Projekten, keine Marktstatistik.

Streng formal verlangt der AI Act eine dokumentierte Risiko-Klassifizierung also nicht für jedes einzelne System. Nur für Hochrisiko-Anwendungen gibt es konkrete Dokumentations- und Nachweispflichten. Hinzu kommen die KI-Schulungspflicht für alle Mitarbeitenden mit KI-Berührung (Artikel 4) und die Transparenzpflichten bei Chatbots und generativen Inhalten (Artikel 50).

Warum dann trotzdem ein vollständiges Inventar führen? Aus mehreren pragmatischen Gründen. Erstens: Um beweisen zu können, dass im Haus keine Hochrisiko-Systeme im Einsatz sind, muss man alle Systeme einmal bewertet haben. Zweitens: Schatten-KI (also Tools, die ohne Wissen der Compliance-Stelle genutzt werden) wird ohne Inventar nicht sichtbar. Drittens: Auch ohne formale AI-Act-Pflicht hängen DSGVO-Pflichten (etwa Verarbeitungsverzeichnisse) und interne Risikobetrachtungen am Inventar.

Wichtige Klarstellung

Im Audit wird nicht nach der gewählten Software-Plattform gefragt. Prüfende verlangen Belege: Wer hat wann was geprüft, mit welchem Ergebnis, wie wurde nachgesteuert? Diese Belege müssen im Alltag mitlaufen, unabhängig davon, ob das Inventar in Excel, SharePoint oder einer dedizierten Plattform liegt. Software allein ist keine Compliance.

Drei Muster, wie Mittelständler das Inventar pflegen

Die Frage nach dem passenden Werkzeug ist zweitrangig. Wichtiger ist die organisatorische Logik: Wer trägt ein, wer ergänzt, wer prüft? Aus unseren Mandaten kristallisieren sich klare Muster heraus. Welches passt, hängt weniger an der Mitarbeiterzahl als an der Anzahl eingesetzter KI-Systeme und der Komplexität der Compliance-Anforderungen.

Excel auf SharePoint
Bei 1–10 KI-Systemen · alle Klassen außer Hochrisiko · Pflege durch eine verantwortliche Person

Eine strukturierte Excel-Datei auf einem SharePoint-Site oder eine native SharePoint-Liste. Das Werkzeug liegt in fast jedem Mittelstandsunternehmen ohnehin in der Microsoft-365-Umgebung, jeder kann es prinzipiell öffnen, der Versionsverlauf läuft automatisch mit, Berechtigungen lassen sich eng fassen. Funktioniert sowohl bei einem 80-Personen-Unternehmen als auch bei einem 1.000-Personen-Mittelständler, solange die Anzahl der KI-Systeme überschaubar bleibt.

Im Vorgehen pflegt eine verantwortliche Person das Inventar zentral, häufig die Datenschutzbeauftragte oder die Compliance-Verantwortliche. Sie sammelt aktiv ein, was im Unternehmen an KI eingesetzt wird: über Gespräche mit Abteilungsleitungen, halbjährliche Sammel-Mails an die Fachbereiche und eigene Recherche im Microsoft-365-Admin-Center (welche Copilot-Lizenzen sind aktiv?).

Trade-Off: Die zentrale Person ist ein Engpass, fällt sie aus oder wechselt, kann Wissen verloren gehen. Skaliert nicht über etwa 10 bis 15 Systeme hinaus, weil das aktive Einsammeln dann zu zeitintensiv wird. Für die meisten Mittelständler aber der pragmatischste Einstieg: minimal-invasiv, in 2 Wochen produktiv.

Microsoft Forms mit SharePoint-Liste und Power Automate
Bei dezentraler IT oder wenn Mitarbeitende selbst KI-Tools einführen · automatischer Workflow

Ein kurzes Microsoft-Forms-Formular (10 Pflichtfelder, 5 Minuten Ausfüll-Aufwand) schreibt automatisch in eine SharePoint-Liste. Eine Power-Automate-Routine benachrichtigt die zentrale Compliance-Stelle und setzt nach 3 Werktagen eine Erinnerung, falls die Risikoklasse noch nicht eingetragen wurde.

Im Vorgehen melden Mitarbeitende neue KI-Systeme selbst, sobald sie sie einführen wollen. Die Pflege ist in den Prozess der KI-Einführung eingebaut, statt im Nachhinein zentral zusammengesucht zu werden. Damit reduziert sich auch die sogenannte Schatten-KI, also Tools, die in einzelnen Abteilungen ohne Wissen der Compliance-Stelle genutzt werden, deutlich. Nicht weil das Tool sie verhindert, sondern weil ein sichtbarer, niedrigschwelliger Meldekanal existiert.

Trade-Off: Das Muster funktioniert nur, wenn die Geschäftsleitung den Prozess mitträgt und klar kommuniziert wird, dass eine Freigabe ohne Forms-Eintrag nicht möglich ist. Außerdem muss jemand die eingehenden Anfragen tatsächlich innerhalb weniger Tage abarbeiten, ein langsamer Review-Stau frustriert Fachbereiche schneller, als das Formular eingerichtet ist.

Spezialisierte Compliance-Plattform
Bei mehr als 20 KI-Systemen, mehreren Hochrisiko-Anwendungen oder regulierter Branche · DataGuard, OneTrust, Trail-ML

Eine separate Plattform mit nativen Prüfprotokollen, automatisierten Review-Erinnerungen, Rollen- und Rechte-Management, Versionierung pro Eintrag und revisionssicherem Export. Aus unseren Evaluierungen der letzten Monate haben sich 3 Optionen besonders bewährt:

  • DataGuard aus München, deutscher Anbieter, kombiniert Software mit Beraterleistung. Sinnvoll für Unternehmen ohne eigene Compliance-Mannschaft.
  • OneTrust, US-Anbieter, sehr umfangreich, oft schon im Haus, wenn der Datenschutz auf OneTrust läuft.
  • Trail-ML aus Berlin, auf den EU AI Act spezialisiert, integriert die Klassifizierungs-Logik (siehe nächster Abschnitt) direkt in die Plattform.

Im Vorgehen sind eigene Einführungsprojekte, eigene Schulung und eigene Lizenzkosten erforderlich. Eine Plattform lohnt sich, wenn die Komplexität es trägt, mehr als 20 KI-Systeme, mehrere Hochrisiko-Anwendungen, eine angestrebte ISO-42001-Zertifizierung oder eine regulierte Branche wie Banken, Versicherungen oder Medizinprodukte.

Trade-Off: 10.000 bis 60.000 Euro Lizenzkosten pro Jahr, je nach Plattform und Nutzerzahl. Lohnt sich erst, wenn die Komplexität die Funktionalität tatsächlich nutzt, sonst wird für Funktionen bezahlt, die nicht zum Einsatz kommen.

Die Spalten einer brauchbaren Inventarliste

Aus mehr als 30 Mittelstands-Inventaren, die wir mit Kunden aufgesetzt oder mitbegleitet haben, hat sich dieses Schema bewährt. Das nachfolgende Beispiel zeigt einen vollständig ausgefüllten Eintrag, so wie er in einer realen Inventarliste stehen würde:

SpalteBeispiel-Eintrag
1 · Name des Systems Service-Wissens-Chatbot "AskTech"
2 · Anbieter / Eigenentwicklung Eigenentwicklung der internen Softwareabteilung, basierend auf OpenAI API (gpt-4.1) plus interne RAG-Pipeline mit Pinecone-Vektor-Datenbank. Hosting der Anwendung in eigener Azure-Subscription, Region Frankfurt.
3 · Anwendungszweck Mitarbeitende im Servicetechnik-Team stellen Fragen zu Maschinen-Konfigurationen, häufigen Störungsbildern und Reparatur-Schritten. Das System beantwortet auf Basis interner Wartungsberichte, technischer Dokumentation und Reparatur-Historie.
4 · Betroffene Personen Mitarbeitende im Service (rund 45 Personen). Keine Endkund:innen, keine externen Dienstleister:innen. Keine personenbezogene Vorauswahl oder Bewertung von Personen.
5 · Datenkategorien Indizierte Wartungsberichte der letzten 10 Jahre (pseudonymisiert, ohne Kundennamen und Maschinen-Seriennummern), Servicedokumentation der Produktlinien, FAQ-Sammlung. Keine personenbezogenen Daten im Inferenz-Kontext.
6 · Risikoklasse Minimal
7 · Begründung Risikoklasse Rein interne Anwendung. Keine Vorauswahl, Bewertung oder Profilierung von Personen. Keine Außenwirkung auf Kund:innen oder Dritte. Klassifizierung mit TÜV AI Risk Navigator (PDF-Export vom 28.04.2026) und appliedAI Risk Classification Tool (PDF vom 28.04.2026) übereinstimmend bestätigt.
8 · Fachlicher Owner Andrea Müller, Leitung Service
9 · Technischer Owner Mark Schmidt, Teamleitung interne Softwareentwicklung
10 · Lifecycle-Status Produktiv seit Februar 2026 nach dreimonatigem Pilotbetrieb. Aktuell 38 aktive Nutzer:innen, durchschnittlich 120 Anfragen pro Woche.
11 · Letzte Prüfung 08.05.2026, halbjährliches Sammel-Review. Keine Änderungen am Anwendungszweck, keine neuen Datenquellen.
12 · Nächste Prüfung 08.11.2026, oder früher, falls Modell-Update, neue Datenquellen oder erweiterter Nutzendenkreis.

Mehr Spalten bringen selten zusätzlichen Wert. Bei Hochrisiko-Systemen kommen ergänzende Dokumentationsanforderungen dazu, die gehören aber nicht in die Inventar-Tabelle, sondern in eine pro System verlinkte Detailseite mit Risikoanalyse, technischer Beschreibung und Bewertung der menschlichen Aufsicht.

Das Owner-Modell, das funktioniert

Inventare, die wir nach einem Jahr noch lebendig vorfinden, basieren auf klaren Rollen:

  1. Fachlicher Owner pro System. Person aus dem Fachbereich, die das System nutzt oder verantwortet. Sie weiß, wer es einsetzt, wofür und was sich verändert. Beispiel: die Vertriebsleitung für das Angebots-KI-Tool.
  2. Technischer Owner pro System. IT-Person, die weiß, wie das System angebunden ist, welche Daten fließen und wie Updates laufen. Bei Eigenentwicklungen häufig in Personalunion mit der entwickelnden Person.
  3. Inventar-Koordinator, eine Person für alle Systeme. Häufig die Datenschutzbeauftragte, die IT-Compliance oder das Qualitätsmanagement. Verantwortlich für die Methodik: Vorlage aktuell halten, Erinnerungen funktionsfähig, neue Systeme zeitnah erfassen, halbjährliches Sammel-Review durchführen.

Realistischer Zeitaufwand: ungefähr 0,5 Stunden pro System und Quartal für Fach- und Tech-Owner, etwa 2 Stunden pro Monat für den Koordinator. Bei 10 Systemen also rund 80 Stunden Pflege im Jahr, vergleichbar mit dem Aufwand, der für eine klassische ISO-9001-Dokumentation ohnehin angesetzt wird.

Die eigentliche Hürde: Wie wird die Risikoklasse bestimmt?

Hier liegt der schwierigste Teil der gesamten Pflicht. Die Spalten 6 und 7 in der Tabelle, Risikoklasse und Begründung, sind die einzigen, bei denen im Audit nachweisbar dokumentiert sein muss, dass die Bewertung fundiert vorgenommen wurde. Das Pflegen einer SharePoint-Liste ist überschaubar. Die fundierte Klassifizierung ist die eigentliche Arbeit.

2026 existieren mehrere kostenlose, sehr brauchbare Werkzeuge, die genau bei dieser Klassifizierung helfen. Sie ersetzen kein Fachwissen, aber sie führen strukturiert durch die richtigen Fragen und liefern eine dokumentierte Argumentationskette, die im Audit standhält.

TÜV AI.Lab, AI Act Risk Navigator
TÜV-Verband (Süd, Nord, Rheinland, DEKRA) · kostenlos · online · deutsch und englisch

Im deutschen Markt das aktuell etablierteste Werkzeug zur Risiko-Klassifizierung, entwickelt vom TÜV AI.Lab als Gemeinschaftsinitiative der großen TÜV-Organisationen. Multiple-Choice-Fragebogen, der die juristischen Grundlagen in benutzerfreundliche Entscheidungspunkte aufschlüsselt, mit direkten Verweisen auf den entsprechenden Artikel des EU AI Act bei jeder Frage.

Der wichtigste Vorteil für deutsche Mittelständler: Das Tool liefert eine prüfnahe Argumentationskette aus dem TÜV-Umfeld und ist deshalb als Dokumentationsbaustein im Inventar besonders gut geeignet.

Trade-Off: Wie alle Checker ersetzt das Werkzeug keine rechtliche Bewertung. Für branchenspezifische Sonderfälle wie Medizin, Banken oder Verteidigung sind zusätzlich Fach-Prüfer:innen notwendig.

appliedAI Risk Classification Tool
München · kostenlos · deutsch · industrieller Fokus

Von der appliedAI Initiative aus München, die seit Jahren Wissenstransfer zwischen Forschung und Industrie betreibt. Das Werkzeug ist deutlich industrie-näher als juristisch-getriebene Checker, weniger Gesetzes-Zitat, mehr operative Frage. Konkret: rund 30 Fragen pro System zu Anwendungsfall, Datenfluss und Autonomiegrad. Das Tool liefert eine Risikoklassifizierung mit Konfidenz-Indikator und Hinweise, welche zusätzlichen Pflichten je nach Klasse aktiv werden.

Trade-Off: Weniger formal-juristisch als der TÜV-Navigator. Im Tandem mit dem TÜV-Tool eingesetzt entsteht eine sehr robuste Doppel-Bewertung, die appliedAI-Sicht aus der industriellen Praxis und die TÜV-Sicht aus der Audit-Logik.

Fraunhofer KI-Prüfkatalog
Sankt Augustin · kostenlos · deutsch · 160+ Seiten

Kein interaktives Tool, sondern ein strukturiertes Prüfraster, aber der inoffizielle Gold-Standard für die fachliche Tiefe in Deutschland. Bei Systemen, deren Klassifizierung umstritten ist, etwa KI-gestützte Personalauswahl oder Wartungsvorhersagen mit Sicherheitsbezug, liefert der Katalog die Argumentations-Tiefe, die ein interaktiver Online-Checker nicht erreicht.

In der Praxis nutzen wir den Katalog als Eskalations-Ressource: für die Systeme, bei denen die ersten beiden Checker uneindeutige Ergebnisse liefern oder bei denen ein Hochrisiko-Verdacht besteht.

Trade-Off: Akademisches Format. Es braucht eine Person im Haus, die die Inhalte in eine audit-taugliche Dokumentation übersetzt.

Unsere Standard-Routine

So gehen wir bei Mittelständlern vor, wenn die Klassifizierungs-Arbeit für ein gesamtes Inventar einmal sauber durchgeführt werden soll, wenige Schritte, mehr nicht:

  1. Schnellklassifizierung mit dem TÜV AI Risk Navigator pro System, etwa 15 Minuten Aufwand. Liefert eine erste belastbare Empfehlung in der Form, die deutsche Prüfstellen erwarten, inklusive PDF-Export für die Dokumentation.
  2. Vergleich mit dem appliedAI Risk Classification Tool als unabhängige Zweitmeinung, ebenfalls etwa 15 Minuten. Stimmen beide Tools überein: ins Inventar eintragen, abgeschlossen.
  3. Eskalation bei Uneinigkeit oder Hochrisiko-Kandidaten: Konsultation des Fraunhofer KI-Prüfkatalogs für die fachliche Tiefe und juristische Begleitung für die formale Bewertung. Typischer Bedarf: bei 1–2 von 15 Systemen.

Für ein Inventar mit 10 bis 15 KI-Systemen liegt der einmalige Klassifizierungs-Aufwand bei 6 bis 10 Personentagen, verteilt auf 2 bis 4 Wochen. Danach sind nur noch halbjährliche Reviews und Klassifizierungen für neue Systeme erforderlich.

Praxis · Maschinenbauer · 320 Mitarbeitende

Ausgangslage: Die Geschäftsleitung ging davon aus, dass im Haus 2 KI-Systeme im Einsatz seien, Microsoft Copilot und ein selbst entwickelter Service-Chatbot. Die Datenschutzbeauftragte betreute das Thema neben ihrer Hauptaufgabe.

Schatten-KI-Inventur, Woche 1: Rundfrage an die 12 Abteilungsleitungen, welche KI-Tools im Alltag genutzt werden. 3 Tage später lag eine erste Tabelle mit 9 Einträgen vor, neben den bekannten Systemen unter anderem ein KI-gestütztes Stellenmatching im Personalbereich, das die HR-Leitung eingeführt hatte, ohne dass die IT davon wusste, plus mehrere Übersetzungs- und Schreibhilfen in Vertrieb und Marketing. 4 dieser Systeme waren der Geschäftsführung vorher nicht bekannt.

Inventar-Aufbau, Woche 2: Aufsetzen einer SharePoint-Liste mit den 12 Pflichtspalten. Die Datenschutzbeauftragte befüllte zusammen mit einer Person aus der IT die ersten Einträge. Für jedes System wurde eine fachlich verantwortliche Person aus der jeweiligen Abteilung benannt sowie eine technisch verantwortliche Person aus der IT.

Klassifizierungs-Arbeit, Wochen 3 und 4: Pro System wurden parallel der TÜV AI Risk Navigator und das appliedAI Risk Classification Tool durchlaufen. Bei 7 von 9 Systemen stimmten beide Werkzeuge in der Risikoklasse überein, alle in der Klasse minimales Risiko. Die exportierten PDF-Belege wurden im SharePoint hinterlegt.

Zwei Systeme erforderten eine vertiefte Bewertung. Der Service-Chatbot fällt unter begrenztes Risiko, weil er mit Endkund:innen interagiert. Die Transparenzpflicht wurde durch einen Hinweis "Sie chatten mit einer KI" zu Beginn jedes Chats erfüllt. Das KI-gestützte Stellenmatching fiel in die Hochrisiko-Klasse nach Anhang III. Hier wurden der Fraunhofer KI-Prüfkatalog konsultiert und eine spezialisierte Kanzlei einbezogen. Ergebnis war eine Dokumentation mit Risikoanalyse, technischer Beschreibung und Beschreibung der menschlichen Aufsicht, jede Vorauswahl wird heute durch die HR-Leitung gegengeprüft.

Schulung und Richtlinie, Woche 5: Eine einseitige Nutzungsrichtlinie regelt, welche Tools für welche Aufgaben erlaubt sind und welche Datenarten nicht in nicht freigegebene Cloud-Dienste hochgeladen werden dürfen. Private Nutzung von KI-Tools mit Unternehmensdaten ist explizit untersagt. Parallel ein 90-Minuten-Onboarding für alle Mitarbeitenden mit KI-Berührung, aufgenommen als Video für Neueinstellungen. Damit war auch die Schulungspflicht aus Artikel 4 des AI Act erfüllt.

Konsolidierung, Wochen 6 bis 8: Wo Mitarbeitende KI-Tools auf eigene Kappe genutzt hatten, wurden diese Nutzungen unterbunden und durch zentrale, vertraglich abgesicherte Lizenzen ersetzt. So entstand eine einheitliche, dokumentierte Tool-Landschaft mit klaren Auftragsverarbeitungsverträgen.

Gesamt-Aufwand: Etwa 9 Personentage über 5 Wochen verteilt, dazu rund 4.500 Euro externe Kosten für die juristische Begleitung des Hochrisiko-Systems.

Laufende Routine: Halbjährliches Sammel-Review der gesamten Liste durch die Inventar-Koordination, je etwa 30 Minuten pro System und Owner. Neue KI-Tools werden vor der Einführung gemeldet und innerhalb weniger Werktage klassifiziert. Audit-Reife liegt seit August 2026 vor. Die Geschäftsführung berichtet das Inventar quartalsweise im Beirat.

Der schnelle Einstieg

  1. Tag 1–2: Schatten-KI aufdecken. Kurze Rundfrage an alle Abteilungen. Welche KI-Tools werden tatsächlich genutzt, auch private ChatGPT-Accounts, Browser-Plugins, Microsoft Copilot, Jasper, Midjourney? In etwa 80 Prozent der Fälle überrascht das Ergebnis die Geschäftsführung.
  2. Tag 3–5: Vorlage aufsetzen. SharePoint-Liste mit den 12 Spalten anlegen. Berechtigungen klären. Zwei Beispiele befüllen, damit die Form klar wird.
  3. Tag 6–11: Klassifizierung mit den Online-Checkern. Pro System TÜV-Navigator und appliedAI-Tool parallel durchlaufen, PDFs als Audit-Belege im Inventar verknüpfen. Bei Hochrisiko-Kandidaten Eskalation in den Fraunhofer-Katalog.
  4. Tag 12–14: Nutzungsrichtlinie und Mitarbeitenden-Schulung ausrollen. Eine einseitige Nutzungsrichtlinie ("Was darf rein, was nicht?") und ein 90-minütiges Onboarding für alle KI-Nutzenden. Damit ist die Schulungspflicht (Artikel 4 des AI Act) abgedeckt.

Nach diesen 2 Wochen sind die wichtigsten Grundlagen gelegt: eine belastbare Liste, eine nachvollziehbare Klassifizierung, ein Dokumentationsstand, mit dem ein Audit beginnen kann. Was bleibt, ist die laufende Pflege und das halbjährliche Review, beides lässt sich in einen normalen Compliance-Rhythmus integrieren.

Im Audit ist nicht entscheidend, mit welcher Software das Inventar geführt wird. Entscheidend ist die nachvollziehbare Klassifizierung jedes Systems, und dafür gibt es heute kostenlose Werkzeuge, die jeder Mittelständler nutzen kann.

Standortbestimmung

Diese Fragen sollten im Vorfeld einer Inventar-Initiative ehrlich beantwortet werden:

  1. Wo liegt die aktuelle Datenschutz-Dokumentation des Unternehmens? An derselben Stelle gehört das KI-Inventar hin.
  2. Wer wird der Inventar-Koordinator? Ohne benannte Person scheitert die Pflege erfahrungsgemäß innerhalb weniger Monate.
  3. Gibt es ein KI-System, das in eine der Hochrisiko-Kategorien des AI Act fällt, also etwa KI-gestützte Personalauswahl, Kreditscoring, Medizinprodukte oder kritische Infrastruktur? Wenn ja, ist zusätzlich eine vertiefte Klassifizierung und vermutlich juristische Begleitung erforderlich.

Wer alle Fragen klar beantworten kann, ist innerhalb von 2 Wochen einsatzbereit. Wer eine davon nicht beantworten kann, hat ein Klärungs-Problem, kein Werkzeug-Problem.

Für eine Standortbestimmung im Sparring nehmen wir uns 60 Minuten Zeit, ehrlich, konkret, mit klarer Empfehlung, ob externe Begleitung sinnvoll ist oder nicht.

Weiterführende Quellen