15. Dezember 2025
Risiko entsteht im Use Case – nicht in der Technologie
Der AI Act bewertet kein Modell, sondern dessen konkreten Einsatz. Ein generatives System ist unproblematisch, solange es Texte umschreibt. Dieselbe Technologie wird jedoch zum Hochrisikosystem, sobald sie Bewerbungen vorsortiert oder Kreditentscheidungen unterstützt.
Für die Praxis bedeutet das: Risiko entsteht dort, wo der Use Case entsteht – im Fachbereich. Somit gehört die Verantwortung dorthin, nicht ausschließlich zur IT oder zur Compliance. Wer einen KI-Anwendungsfall treibt, trägt auch das Risiko. Compliance moderiert, legt Rahmen und Übersetzungsarbeit zwischen Recht und Technik – aber sie ersetzt den fachlichen Risk Owner nicht.
Ohne strategische Entscheidung bleibt jede Policy leer
Viele Unternehmen beginnen reflexartig mit einer KI-Policy. Das ist gut gemeint, aber wirkungslos, solange nicht feststeht, welche Rolle KI im Unternehmen überhaupt spielen soll.
Will man KI nur punktuell einsetzen? Soll sie Abläufe automatisieren? Soll sie Teil des Produkts oder der Kundeninteraktion werden?
Der „Tone from the Top“ ist nicht Kür, sondern Voraussetzung. Erst wenn diese Fragen beantwortet sind, kann Compliance Vorgaben formulieren, die nicht abstrakt bleiben, sondern auf reale Use Cases wirken.
Eine Policy ohne Strategie und konkrete Risiken ist nicht steuernd – sie verhindert lediglich, dass Mitarbeitende offen mit KI umgehen. Das Gegenteil von Compliance by Design.
Transparenz ist der erste Schritt: ein ehrliches KI-Inventar
Bevor Risiken bewertet werden können, muss klar sein, wo KI bereits genutzt wird. Diese Transparenz fehlt in vielen Organisationen. KI steckt heute in Übersetzungsfunktionen, Office-Anwendungen, Chatbots oder wird informell genutzt, weil es den Arbeitsalltag erleichtert.
Deshalb gilt: Inventarisieren. Welche Tools? Welche Anwendungsfälle? Welche Daten?
Dieses Inventar ist nicht nur eine Pflicht aus dem AI Act, sondern Grundlage jeder Risikosteuerung. Erst wenn sichtbar wird, wie breit KI bereits im Einsatz ist, kann man unterscheiden zwischen harmlosen Unterstützungsfunktionen und Anwendungsfällen, die tatsächlich regulatorische Tiefe haben.
Das CMS bietet die Struktur – wenn man KI richtig integriert
Der AI Act erfindet Compliance nicht neu. Er verlangt lediglich, dass KI in die bestehende Struktur eines CMS eingebettet wird. Strategie, Organisation, Risikoanalyse, Regelwerk, Schulung, Monitoring – diese Architektur bleibt bestehen. Neu ist nur die Risikodimension KI.
Risikomanagement bedeutet dabei nicht, technische Details zu prüfen, sondern Anwendungsfälle zu verstehen. Welche Prozesse berührt KI? Welche Entscheidungen werden beeinflusst? Welche Daten werden verarbeitet?
Aus dieser Analyse ergeben sich konkrete Designanforderungen: menschliche Kontrolle, Dokumentation, Datenqualität, Transparenz gegenüber Betroffenen und klare Verantwortlichkeiten. Die eigentliche Kunst der Compliance liegt darin, diese Anforderungen so früh wie möglich in den Prozess zu bringen – nicht erst am Ende.
Compliance by Design ermöglicht Innovation – statt sie zu bremsen
Wenn Compliance spät eingebunden wird, bleibt oft nur das Stoppschild. Wird sie jedoch von Anfang an einbezogen, lassen sich KI-Anwendungen so gestalten, dass sie sowohl rechtlich tragfähig als auch produktiv sind.
Compliance by Design ist kein Innovationshemmnis, sondern eine Voraussetzung für gelingende Innovation. Unternehmen, die früh Risiken erkennen und adressieren, entwickeln KI schneller, stabiler und mit weniger Reibungsverlusten. Der AI Act wird so nicht zum Bremsklotz, sondern zum Ordnungsrahmen, der sichere Spielräume schafft.
.LOUPE
Autoren
Mag. Martin Reichetseder
Mag. Martin Reichetseder, Director Legal Services & Group Compliance Officer der TGW Logistics Group GmbH, Autor, Mitgründer und CEO von .LOUPE – focused on business integrity.