Wer heute KI im Betrieb einsetzt, muss nicht zuerst an Paragrafen denken, sondern an eine einfache Frage: Was kann dieses System im Alltag auslösen? Genau dort beginnt die KI-Risikobewertung im AI Act. Für kleine und mittlere Unternehmen ist das kein theoretisches Thema, sondern eine ganz praktische Weichenstellung. Denn ob eine Anwendung nur geringe Transparenzpflichten auslöst oder als Hochrisiko-System umfangreiche Anforderungen nach sich zieht, entscheidet sich nicht nach Bauchgefühl, sondern nach einer strukturierten Bewertung.
Warum die KI-Risikobewertung im AI Act für KMU mehr ist als Formalität
Viele Betriebe nutzen KI längst, ohne sie intern als solche zu bezeichnen. Das beginnt bei automatisierten Bewerbervorauswahlen, geht über Bilderkennung in der Qualitätssicherung und reicht bis zu Systemen, die Wartungsbedarfe vorhersagen oder Kundenanfragen vorsortieren. Solange diese Lösungen gut funktionieren, wirken sie harmlos. Kritisch wird es erst, wenn Entscheidungen, Rechte, Sicherheit oder Marktüberwachung ins Spiel kommen.
Der AI Act verfolgt einen risikobasierten Ansatz. Das ist für Unternehmen grundsätzlich sinnvoll, weil nicht jede KI-Anwendung über denselben Kamm geschoren wird. Gleichzeitig liegt genau hier die Herausforderung: Wer seine Anwendung falsch einordnet, trägt das Risiko einer unvollständigen Compliance. Wer zu vorsichtig bewertet, baut unter Umständen unnötig aufwendige Prozesse auf.
Für viele Geschäftsführer, Qualitätsverantwortliche und technische Leiter ist deshalb nicht die Rechtsfrage allein entscheidend, sondern die Umsetzungsfrage: Wie lässt sich die Bewertung sauber, nachvollziehbar und mit vertretbarem Aufwand in bestehende Abläufe integrieren?
Was bei der KI-Risikobewertung nach AI Act tatsächlich geprüft wird
In der Praxis hilft es wenig, nur mit den Begriffen unzulässige KI, Hochrisiko-KI oder geringe Risiken zu arbeiten. Entscheidend ist, wie das konkrete System eingesetzt wird. Zwei Unternehmen können technisch ähnliche Werkzeuge nutzen und trotzdem unter unterschiedliche Pflichten fallen, weil Zweck, Kontext und Entscheidungstiefe verschieden sind.
Der Einsatzzweck zählt mehr als das Schlagwort KI
Ein Chatbot auf der Website ist nicht automatisch kritisch. Ein System, das Bewerberprofile bewertet oder Mitarbeitende überwacht, bewegt sich dagegen deutlich näher an regulierten Bereichen. Ebenso kann eine Bilderkennungssoftware in der Produktion unproblematisch sein, solange sie lediglich Materialfehler markiert. Greift dieselbe Logik aber in sicherheitsrelevante Freigaben ein, verschiebt sich die Bewertung.
Für die KI-Risikobewertung nach AI Act sind deshalb vor allem vier Punkte relevant: Was genau macht das System, in welchem Bereich wird es genutzt, welche Auswirkungen hat es auf Personen oder Prozesse und wie stark verlassen sich Mitarbeitende auf das Ergebnis?
Risiko entsteht oft an der Schnittstelle zwischen Technik und Prozess
Ein häufiger Fehler ist die rein technische Sicht. Unternehmen prüfen Softwarefunktionen, aber nicht den realen Geschäftsprozess dahinter. Dabei liegt das eigentliche Risiko oft nicht im Modell selbst, sondern in seiner Einbindung.
Ein Beispiel aus der Praxis: Eine KI erstellt Vorschläge zur Priorisierung von Servicefällen. Solange ein erfahrener Mitarbeiter die Entscheidung prüft und bei Bedarf korrigiert, bleibt das Risiko meist beherrschbar. Wenn dieselbe Priorisierung jedoch automatisch Fristen, Eskalationen oder vertragliche Reaktionen auslöst, steigt die Relevanz deutlich. Die Prozesskette entscheidet also mit.
Ein praxistauglicher Ablauf für die KI-Risikobewertung im AI Act
Gerade im Mittelstand muss die Bewertung verständlich und anschlussfähig sein. Niemand braucht eine 80-seitige Theoriedokumentation, die im Tagesgeschäft niemand nutzt. Sinnvoll ist ein schlanker, aber belastbarer Ablauf.
Am Anfang steht ein vollständiger Überblick über alle eingesetzten oder geplanten KI-Anwendungen. Das klingt banal, ist aber oft schon die erste Hürde. In vielen Betrieben kommen KI-Funktionen über Standardsoftware, externe Dienstleister oder Pilotprojekte ins Haus, ohne dass sie zentral erfasst werden. Wer hier Lücken hat, kann Risiken kaum sauber bewerten.
Im zweiten Schritt sollte jede Anwendung beschrieben werden: Zweck, Nutzerkreis, Datenbasis, Art der Ausgabe, Automatisierungsgrad und betroffener Geschäftsprozess. Erst mit dieser Beschreibung lässt sich beurteilen, ob das System in einen regulierten Anwendungsbereich fällt oder ob eher Transparenz- und Dokumentationspflichten relevant sind.
Danach folgt die eigentliche Einstufung. Dabei sollte nicht nur gefragt werden, ob eine Anwendung formell als Hochrisiko-System einzustufen ist. Ebenso wichtig ist die betriebliche Risikoperspektive: Welche Fehlentscheidungen sind denkbar, welche Folgen hätten sie, wie schnell würden sie erkannt und wie gut können Mitarbeitende eingreifen? Diese zusätzliche Sicht hilft gerade dort, wo der Gesetzestext allein noch keine praktische Steuerung liefert.
Anschließend werden Nachweise und Maßnahmen definiert. Dazu gehören je nach Fall Verantwortlichkeiten, Freigaberegeln, Prüfschritte, menschliche Aufsicht, Datenqualitätsanforderungen, Änderungsprozesse und eine nachvollziehbare Dokumentation. Wer bereits mit Qualitätsmanagement, Auditierung oder geregelten Prozessen arbeitet, kann hier viel übernehmen, statt neue Parallelstrukturen aufzubauen.
Wo Unternehmen sich bei der Einstufung häufig verschätzen
Die meisten Probleme entstehen nicht aus bösem Willen, sondern aus falschen Annahmen. Eine davon lautet: Wenn ein Mensch am Ende noch draufschaut, ist das Thema automatisch entschärft. Das stimmt nur bedingt. Menschliche Aufsicht ist wichtig, aber nur wirksam, wenn sie fachlich fundiert, zeitlich realistisch und tatsächlich entscheidungsrelevant ist. Ein formaler Klick auf „freigeben“ reicht nicht.
Eine zweite Fehleinschätzung betrifft Standardtools. Viele Verantwortliche gehen davon aus, dass die Compliance vollständig beim Softwareanbieter liegt. Das ist zu kurz gedacht. Je nachdem, welche Rolle das eigene Unternehmen einnimmt, welche Anpassungen vorgenommen werden und wie das System eingesetzt wird, entstehen auch auf Betreiberseite klare Pflichten.
Die dritte Schwachstelle ist fehlende Änderungsdisziplin. Ein anfangs sauber bewertetes System kann später in einen anderen Risikobereich rutschen, etwa durch neue Datenquellen, zusätzliche Funktionen oder einen geänderten Einsatzkontext. Wer keine geregelte Neubewertung vorsieht, arbeitet schnell mit veralteten Annahmen.
Was Handwerksbetriebe und KMU besonders beachten sollten
Gerade im Handwerk wird KI oft sehr pragmatisch eingeführt. Ein Tool soll Angebote schneller vorbereiten, Bilddaten auswerten, Monteure disponieren oder Kundenkommunikation vereinfachen. Das ist sinnvoll. Problematisch wird es nur, wenn man KI als bloßes Software-Add-on behandelt und nicht als regulierungsrelevante Funktion im Prozess.
Viele kleinere Betriebe brauchen deshalb keine komplizierte Governance-Struktur, wohl aber klare Zuständigkeiten. Wer beschafft KI-Software? Wer prüft den Einsatzzweck? Wer dokumentiert die Bewertung? Wer entscheidet bei Änderungen neu? Solche Fragen lassen sich auch in kleinen Organisationen sauber regeln, wenn sie früh gestellt werden.
Ein weiterer Punkt ist die Verbindung von Compliance und Wirtschaftlichkeit. Nicht jede theoretisch mögliche KI-Anwendung lohnt sich im regulierten Umfeld. Wenn der Umsetzungsaufwand, die Dokumentationspflichten und der Kontrollbedarf den erwarteten Nutzen deutlich übersteigen, kann ein einfacherer digitaler Prozess die bessere Wahl sein. Gute Beratung erkennt genau diesen Punkt und empfiehlt nicht automatisch mehr Technik.
KI-Risikobewertung mit bestehenden Managementsystemen verbinden
Unternehmen, die bereits nach klaren Qualitäts- oder Prozessstandards arbeiten, haben einen echten Vorteil. Die KI-Risikobewertung im AI Act muss nicht isoliert aufgebaut werden. Sie lässt sich sinnvoll in vorhandene Strukturen integrieren, etwa in Freigabeprozesse, Auditpläne, Lieferantenbewertungen, Änderungsmanagement oder dokumentierte Verantwortlichkeiten.
Das spart Aufwand und erhöht die Wirksamkeit. Denn Compliance funktioniert im Betrieb nicht über Einzelmaßnahmen, sondern über wiederholbare Abläufe. Wenn die Bewertung einer KI-Anwendung genauso selbstverständlich wird wie die Prüfung eines qualitätsrelevanten Prozesses oder einer normbezogenen Anforderung, sinkt das Umsetzungsrisiko deutlich.
Genau hier liegt für viele KMU der praktikable Weg: nicht ein neues Bürokratiepaket aufbauen, sondern vorhandene Systematik nutzen. Wer Prozesse sauber beschrieben, Rollen definiert und Nachweise geordnet hat, kann regulatorische Anforderungen deutlich leichter beherrschen.
Wann externe Unterstützung sinnvoll ist
Nicht jedes Unternehmen braucht sofort ein großes Compliance-Projekt. Externe Unterstützung ist aber dann sinnvoll, wenn Unsicherheit bei der Einstufung besteht, mehrere KI-Anwendungen parallel eingeführt werden oder bestehende Qualitäts- und Prozesssysteme mit den neuen Anforderungen verzahnt werden sollen.
Vor allem an der Schnittstelle von Technik, Betrieb und Regulierung lohnt sich ein erfahrener Blick von außen. Denn die entscheidende Frage lautet selten nur: Ist das erlaubt? Häufig lautet sie: Wie setzen wir das so auf, dass es prüfbar, wirtschaftlich und im Alltag tragfähig bleibt?
Wer diesen Weg strukturiert angeht, reduziert nicht nur regulatorische Risiken. Er schafft auch intern mehr Klarheit über Verantwortlichkeiten, Datenqualität und Entscheidungswege. Für viele Unternehmen ist das am Ende der größere Nutzen. Wenn Sie dabei eine praxisnahe Einordnung brauchen, kann ein Gespräch mit einem spezialisierten Partner wie Apexigma helfen – besonders dann, wenn KI-Compliance nicht losgelöst, sondern gemeinsam mit Prozess- und Qualitätsmanagement funktionieren soll.
Die beste KI-Lösung ist nicht die mit den meisten Funktionen, sondern die, die im Betrieb verlässlich arbeitet, nachvollziehbar gesteuert wird und auch bei genauer Prüfung Bestand hat.
