Geschäftsführer CFO / Controller Vertriebsleiter Operations IT / Digital
Sales & Pipeline Finance, Buchhaltung & Cashflow Kunden & Churn Operations, Einkauf & Supply HR & People Projekte & Delivery Backoffice, IT & Compliance
Technologie So arbeiten wir Preise Kontakt Kostenloser Maturity Check →
Ratgeber · Backoffice & Compliance

KI-Compliance im Mittelstand umsetzen: Die 10 Pflichtdokumente, eine Checkliste und ein 30-Tage-Plan

Lesezeit: 11 Minuten · Aktualisiert: Mai 2026

Von Stefan Preusler, Geschäftsführer

Viele Mittelständler verwechseln KI-Governance mit KI-Compliance. Governance regelt, wer entscheidet. Compliance beweist, dass die Entscheidungen rechtmäßig waren und dokumentiert sind. Der EU AI Act verlangt von Betreibern hochriskanter KI-Systeme mindestens 10 Pflichtdokumente. Dieser Ratgeber zeigt, welche das sind, wie Sie mit einer Checkliste prüfen, ob Ihr System audit-bereit ist, und wie der 30-Tage-Umsetzungsplan für KMUs ohne Rechtsabteilung aussieht.

Hinweis: Dieser Ratgeber ersetzt keine Rechtsberatung. Die Pflichten des EU AI Act sind rechtsverbindlich. Bei Unsicherheiten konsultieren Sie einen Fachanwalt für IT-Recht.

Was ist der Unterschied zwischen KI-Governance und KI-Compliance?

KI-Governance und KI-Compliance werden häufig im selben Satz genannt, aber sie erfüllen unterschiedliche Funktionen. Governance schafft Strukturen. Compliance erzeugt Nachweise. Ein KMU mit 50 Mitarbeitern kann eine funktionierende Governance mit einem einseitigen Nutzungsrichtlinie etablieren. Compliance erfordert jedoch dokumentierte Beweise, dass diese Richtlinie eingehalten wird.

Der Unterschied ist im Audit entscheidend. Ein Auditor fragt nicht "Haben Sie eine Richtlinie?", sondern "Können Sie nachweisen, dass Ihr KI-System seit 12 Monaten im Einklang mit dieser Richtlinie betrieben wird?" Die Antwort liegt in Protokollen, nicht in Absichtserklärungen.

Merkmal KI-Governance KI-Compliance
Ziel Strukturen schaffen Nachweise erbringen
Output Richtlinien, Rollen, Gremien Dokumente, Protokolle, Audit-Trails
Frage Wer entscheidet was? Können Sie das beweisen?
KMU-Realität Einseitige Richtlinie reicht 10 Pflichtdokumente nötig
Beispiel "Wir prüfen KI-Systeme vor dem Einsatz" Protokoll der Prüfung vom 15.03.2026

In welche Risikoklasse fällt mein KI-System?

Der EU AI Act klassifiziert KI-Systeme nach vier Risikostufen. Die meisten KMU-Anwendungen fallen in die Kategorien minimal oder begrenzt. Hochriskante Systeme sind typischerweise in der Personalauswahl oder bei Kreditscoring zu finden. Die Einordnung bestimmt, welche der 10 Pflichtdokumente tatsächlich erforderlich sind.

Risikoklasse KI-Anwendung Pflichten KMU-Beispiel
Minimal Spamfilter, einfache Empfehlungen Freiwillige Maßnahmen Outlook-Filter, Produktempfehlung im Shop
Begrenzt Chatbots, KI-generierte Inhalte Transparenzpflichten Website-Chatbot, KI-gestützte E-Mail-Entwürfe
Hoch Bewerberauswahl, Kreditscoring, medizinische Diagnose 10 Pflichtdokumente plus Audit HR-Tool zur Lebenslaufprüfung, Risikobewertung
Verboten Social Scoring, Emotionserkennung am Arbeitsplatz Darf nicht eingesetzt werden Bewertung von Mitarbeitern nach Sozialen Medien

Für die überwiegende Mehrheit der KMUs ist die Risikoklassifizierung einfach. Der Chatbot auf der Website fällt unter begrenztes Risiko. Die KI-gestützte Dokumentenanalyse im Backoffice unter minimales Risiko. Erst wenn KI-Systeme über Personalmanagement, Finanzentscheidungen oder medizinische Anwendungen laufen, erreicht man die Kategorie hoch.

Die 10 Pflichtdokumente des EU AI Act für den Mittelstand

Betreiber hochriskanter KI-Systeme müssen umfangreiche Dokumentationen erstellen und aufbewahren. Nachfolgend die zentralen Pflichtdokumente mit ihrer Bedeutung für den Mittelstand und der Einschätzung, welche davon durch eine Intelligenz-Schicht automatisiert werden können.

# Dokument Inhalt (Kurz) Automatisierbar?
1 Risikomanagement-System Identifikation, Analyse und Bewertung bekannter Risiken Teils
2 Technische Dokumentation Architektur, Datenquellen, Trainingsprozess, Tests Ja
3 Gebrauchsanweisung Fähigkeiten, Leistungsgrenzen, menschliche Aufsicht Ja
4 Qualitätsmanagement Prozesse zur Sicherstellung der Systemqualität Teils
5 Protokollierungskonzept Automatische Aufzeichnung von Eingaben und Ergebnissen Ja
6 EU-Konformitätserklärung Bestätigung der Einhaltung aller Anforderungen Nein
7 Grundrechtefolgenabschätzung Bewertung der Auswirkungen auf Grundrechte Teils
8 Datenmanagement-Dokumentation Herkunft, Qualität, Verarbeitung der Trainingsdaten Ja
9 Menschliche Aufsichtskonzept Konzept zur Überwachung durch qualifizierte Personen Teils
10 Post-Market-Monitoring Plan zur Überwachung nach Markteinführung Ja

Sechs der zehn Dokumente lassen sich durch eine Intelligenz-Schicht weitgehend automatisieren. Die technische Dokumentation, das Protokollierungskonzept, die Datenmanagement-Dokumentation und der Post-Market-Monitoring-Plan entstehen als Nebenprodukt des Betriebs. Die EU-Konformitätserklärung und die Grundrechtefolgenabschätzung erfordern hingegen eine bewusste fachliche Prüfung.

Compliance-Checkliste: Ist mein KI-System audit-bereit?

Diese Checkliste richtet sich an Geschäftsführer und IT-Verantwortliche im Mittelstand. Sie deckt die zentralen Prüfpunkte ab, die ein Auditor bei der Überprüfung eines KI-Systems erwartet. Jedes angekreuzte Item reduziert das Risiko eines Compliance-Verstoßes.

Inventar und Klassifizierung

1. Alle KI-Systeme im Unternehmen erfasst
2. Risikoklasse jedes Systems zugeordnet
3. Verantwortliche Person benannt
4. Zweckbestimmung dokumentiert

Dokumentation

5. Technische Dokumentation vollständig
6. Gebrauchsanweisung erstellt
7. Protokollierung aktiviert
8. Datenherkunft dokumentiert
9. Risikomanagement-System eingerichtet
10. Qualitätsmanagement definiert

Betrieb und Überwachung

11. Menschliche Aufsicht organisiert
12. Grundrechtefolgenabschätzung vorliegt
13. Konformitätserklärung erstellt
14. Monitoring-Plan implementiert
15. Mitarbeiter geschult (Art. 4)

Was kostet KI-Compliance im Mittelstand wirklich?

Die Kosten für KI-Compliance variieren stark je nach Ansatz. Die manuelle Erstellung aller Pflichtdokumente durch externe Berater ist teuer. Eine automatisierte Dokumentation über eine Intelligenz-Schicht reduziert die laufenden Kosten erheblich.

Ansatz Einmalig Laufend/Jahr KMU-Tauglich?
Manuell (Rechtsberatung) €8.000–25.000 €5.000–15.000 Teils (teuer)
Compliance-Software €2.000–5.000 €3.000–8.000 Ja (nur Dokumente)
NaveSight Intelligenz-Schicht €2.000–8.000 €3.480–11.880 Ja (Doku + Betrieb)

Die NaveSight-Kosten basieren auf den Paketen Starter (€290/Monat), Business (€990/Monat) und Business+ (€2.490/Monat). Die Intelligenz-Schicht erstellt automatisch technische Dokumentationen, führt Protokolle und überwacht das Systemverhalten. Die einmalige Einrichtung umfasst die Konfiguration der Rules Engine, den Daten-Check und die Ersteinrichtung der Dokumentationsstruktur.

Der 30-Tage-Compliance-Plan für KMUs

Compliance muss nicht mit einem sechsmonatigen Beratungsprojekt beginnen. Der pragmatische Einstieg folgt einem Wochenrhythmus, der bereits nach 30 Tagen audit-fähige Ergebnisse liefert.

Woche 1: KI-Inventar und Klassifizierung

  • Tag 1–2: Alle KI-Systeme erfassen, die im Unternehmen genutzt werden
  • Tag 3–4: Risikoklasse jedes Systems zuordnen (minimal, begrenzt, hoch, verboten)
  • Tag 5: Verantwortliche Personen benennen und dokumentieren

Woche 2: Dokumentationslücken schließen

  • Tag 6–7: Bestehende Dokumentation prüfen und Lücken identifizieren
  • Tag 8–9: Technische Dokumentation für hochriskante Systeme erstellen
  • Tag 10: Gebrauchsanweisung und Aufsichtskonzept verfassen

Woche 3: Protokollierung und Monitoring

  • Tag 11–12: Automatische Protokollierung aktivieren
  • Tag 13–14: Monitoring-Parameter definieren (Fehlerraten, Drift, Zugriffe)
  • Tag 15: Erste Testläufe und Dokumentation der Ergebnisse

Woche 4: Prüfung und Nachbesserung

  • Tag 16–17: Checkliste durchgehen und offene Punkte identifizieren
  • Tag 18–19: Konformitätserklärung und Grundrechtefolgenabschätzung finalisieren
  • Tag 20: Internes Review und Freigabe durch Geschäftsführung

Nach diesen 30 Tagen liegt ein vollständiges Dokumentationspaket vor. Die Rules Engine überwacht die definierten Parameter, die Muster-Erkennung signalisiert Abweichungen, und die Wissensbasis speichert alle Audit-relevanten Informationen zentral. Die technische Einrichtung erfolgt begleitet, nicht als Selbstbedienungsprojekt.

Wie NaveSight Compliance dokumentiert, statt nur darüber zu reden

Die meisten Compliance-Beratungen enden mit einer Präsentation. NaveSight endet mit einer lückenlosen Dokumentation, die während des Betriebs automatisch entsteht. Die Middleware zwischen DATEV, ERP und CRM erzeugt als Nebenprodukt einen vollständigen Audit-Trail. Jede Datenverarbeitung, jede Entscheidung und jede Abweichung wird protokolliert.

Ein konkretes Beispiel: Ein KMU nutzt ein KI-System zur Bewerbervorauswahl. Die Rules Engine prüft, ob alle Bewerber nach denselben Kriterien bewertet werden. Bei einer Abweichung wird automatisch ein Alert erzeugt und in der Wissensbasis dokumentiert. Der Auditor sieht nicht nur, dass eine Prüfung existiert, sondern auch, wann sie durchgeführt wurde und welches Ergebnis sie hatte.

Dieser Ansatz wandelt Compliance von einer kostspieligen Pflicht in einen automatisierten Prozess um. Nach 12 Monaten enthält die Wissensbasis die vollständige Historie aller Compliance-Prüfungen. Kein externes Beratungsunternehmen kann diese Tiefe replizieren, weil kein externes Unternehmen Zugriff auf die internen Prozessdaten hat.

Verwandte Inhalte

Dieser Ratgeber behandelt die operative Umsetzung von KI-Compliance. Für strategische und branchenspezifische Vertiefungen empfehlen sich folgende Artikel:

Häufig gestellte Fragen

Was ist der Unterschied zwischen KI-Governance und KI-Compliance?
KI-Governance regelt, wer entscheidet und wie Entscheidungen getroffen werden. KI-Compliance beweist, dass diese Entscheidungen rechtmäßig waren und dokumentiert sind. Governance ist strategisch, Compliance ist operativ und nachweispflichtig.
Welche Risikoklasse hat mein KI-System?
Die Risikoklasse hängt vom Einsatzzweck ab. Ein Spamfilter im E-Mail-System fällt unter minimales Risiko. Ein Chatbot auf der Website unter begrenztes Risiko. Ein KI-System zur Bewerberauswahl unter hohes Risiko. Social Scoring ist verboten. Die genaue Einordnung erfordert eine Prüfung der konkreten Anwendung.
Was sind die 10 Pflichtdokumente des EU AI Act?
Für hochriskante KI-Systeme verlangt der EU AI Act unter anderem: Risikomanagement-System, technische Dokumentation, Gebrauchsanweisung, Qualitätsmanagement, Protokollierungskonzept, EU-Konformitätserklärung, Grundrechtefolgenabschätzung, Datenmanagement-Dokumentation, menschliche Aufsichtskonzept und Post-Market-Monitoring-Plan.
Was kostet KI-Compliance im Mittelstand?
Die manuelle Erstellung der Pflichtdokumente durch eine Rechtsberatung kostet typischerweise €8.000 bis €25.000. Eine automatisierte Dokumentation über eine Intelligenz-Schicht beginnt bei €290/Monat für ein Modul. Für die vollständige Compliance-Überwachung über alle Geschäftsbereiche liegt man bei €990/Monat.
Wie lange dauert die Umsetzung von KI-Compliance?
Erste Ergebnisse sind typischerweise nach 30 Tagen messbar. Die erste Woche dient der Inventarisierung, die zweite der Risikoklassifizierung, die dritte der Dokumentenerstellung und die vierte der Prüfung und Nachbesserung.
Brauche ich eine Rechtsabteilung für KI-Compliance?
Nein. Viele Pflichten lassen sich mit strukturierten Prozessen und digitaler Dokumentation erfüllen. Die Intelligenz-Schicht erstellt automatisch technische Dokumentationen, Protokolle und Audit-Trails. Bei rechtlichen Unsicherheiten sollte dennoch ein Fachanwalt konsultiert werden.
Was passiert bei einem Compliance-Verstoß?
Bei Verstößen gegen den EU AI Act drohen Bußgelder von bis zu €35 Millionen oder 7 Prozent des weltweiten Jahresumsatzes. Für KMUs gelten niedrigere Schwellenwerte. Zusätzlich besteht die Gefahr von Nutzungsbeschränkungen oder dem Verbot des KI-Systems durch die Marktüberwachungsbehörde.
Kostenloser Maturity Check

Erleben Sie die Intelligenz-Schicht von NaveSight in Aktion.

30 Minuten — wir zeigen Ihnen, wie NaveSight mit Ihren spezifischen Systemen zusammenarbeitet.

Kostenlosen Maturity Check starten

Unsere Garantie: ein konkreter Aktionsplan — ob mit NaveSight oder ohne.

Wir führen 10 Maturity Checks pro Monat durch. Priorisierte Bearbeitung: 48 Stunden.