Es sei denn, sie beginnen mit Ihrer tatsächlichen Situation.
- Wenn Sie ein mittelständisches Unternehmen sind und gerade erst anfangen:
→ Starten Sie mit einem KI-Inventar. Was Sie nicht kennen, können Sie nicht steuern. - Wenn Sie bereits KI nutzen, aber keine Dokumentation haben:
→ Starten Sie mit der Anwendungsklassifizierung. Hochrisiko oder nicht – das ändert alles. - Wenn Sie nach ISO 42001 zertifiziert sind, aber die KI-Verordnung ignorieren:
→ Starten Sie mit dem Rollen-Mapping. Ihr KI-System Eigentümer ≠ Anbieter oder Betreiber. - Wenn Sie Softwareanbieter sind und KI einbetten:
→ Starten Sie mit Klarheit in der Lieferkette. Sind Sie Anbieter oder Betreiber? Falsche Antwort = falsche Pflichten. - Wenn Sie in HR, Finanzen oder kundenbezogenen Funktionen arbeiten:
→ Starten Sie mit verbotenen Praktiken. Manche KI-Anwendungen sind jetzt schlicht illegal. - Wenn Sie bereits compliant sind, aber die KI-Nutzung skalieren:
→ Starten Sie mit der Planung der Konformitätsbewertung. Hochrisiko-Systeme erfordern eine prüfbare Dokumentation.
Die unbequeme Wahrheit:
Es gibt keinen universellen Startpunkt.
Generische Compliance-Checklisten verschwenden Zeit.
Ihr Einstiegspunkt hängt davon ab, wo Sie stehen – nicht davon, wo Berater Sie haben wollen.
Ich habe Unternehmen gesehen, die Governance-Frameworks für Niedrigrisiko-Systeme aufbauen, während sie verbotene Praktiken ignorieren. Ich habe andere gesehen, die ISO-Zertifizierungen nachjagen und dabei die Klassifizierung nach KI-Verordnung komplett verpassen.
Unterschiedliche Situationen, unterschiedliche Prioritäten, unterschiedliche Konsequenzen.
Die Frage ist nicht: „Was sollten wir zuerst tun?“
Die Frage ist: „Wo sind wir zuerst exponiert?“
Autor: Achim Korten, Februar 2026