In einer mittelgroßen Organisation liegt die AI-Act-Compliance meist bei einer einzigen Person, der KI-Zuständigen, die das oft neben einem weiteren Vollzeitjob erledigt. Sie schlägt zum ersten Mal Anhang IV des EU AI Act auf und findet neun Abschnitte: Systembeschreibung, Daten, Leistung, Risikomanagement, Beobachtung nach dem Inverkehrbringen und den Rest. Es gibt keine Vorlage. Kein durchgearbeitetes Beispiel. Keine Kollegin im Nachbarbüro, die das schon einmal gemacht hat.
Der AI Act ist eindeutig darin, dass die Dokumentation verpflichtend ist. Wie sie zu erstellen ist, lässt er fast völlig offen. Die harmonisierten Normen, die diese Lücke schließen sollen (CEN/CENELEC JTC 21), verzögern sich bis voraussichtlich Q4 2026. Zugleich hat die deutsche Marktüberwachungsbehörde, die BNetzA, signalisiert, dass sie zuerst die technische Dokumentation prüfen wird – genau das Artefakt, für das niemand eine Methode hat. Also landet die Arbeit auf einem Schreibtisch, und der ehrliche Stand der Dinge ist: Niemand weiß so recht, wie das geht.
Warum es schwer ist
Die Schwierigkeit liegt nicht im Tippaufwand. Sie ist struktureller Natur, in dreierlei Hinsicht.
Das Formular unterstellt, dass Sie das Modell trainiert haben. Die Hälfte von Anhang IV fragt nach Trainingsdatensätzen, Modellarchitektur und Trainingsverfahren – nichts davon gehört Ihnen, wenn Sie auf einem Modell von jemand anderem aufbauen. Überhaupt herauszufinden, ob Sie Betreiber oder Anbieter sind, ist eine eigene Falle – das Thema eines kommenden Beitrags.
Es ist langsam – und der Aufwand fällt vorne an. Belastbare Zahlen haben wir dazu noch nicht, aber alles deutet in dieselbe Richtung: Der erste Durchlauf für ein einzelnes System geht eher in Wochen als in Tage – neun Abschnitte, keine Vorlage, das nötige Wissen verteilt auf Recht, Produkt und Entwicklung. Günstiger wird es erst beim zweiten Durchlauf, und die alleinige Compliance-Verantwortliche (mehrere Systeme, kein Team, keine Vorlage) kommt nie so weit; jedes System bleibt ein langsamer erster Durchlauf.
Die Alternativen sind schlecht. Externe Beratung ist teuer und skaliert nicht, wenn sich das System im nächsten Quartal ändert. Die andere Option ist abzuwarten – was spätestens dann nicht mehr funktioniert, wenn im August die Durchsetzungsbefugnisse greifen.
Was wir gebaut haben
Genau für diese Lücke gibt es den Compliance-Dokumentationsassistenten. Er ist ein Modul innerhalb von elluminate und ab heute für alle elluminate-Kunden in der Beta verfügbar. Er verwandelt das Problem des leeren Formulars in einen geführten Ablauf aus vier Schritten:
- Classify. Bestimmen Sie das Risikoniveau, klären Sie Ihre Rolle (Betreiber oder Anbieter) und grenzen Sie ab, welche Dokumentation Sie tatsächlich schulden. Etwa zehn Minuten, mit der Rechtsgrundlage zu jeder Einordnung.
- Document. Arbeiten Sie die Abschnitte einzeln ab, mit der genauen Rechtsgrundlage zu jedem Feld. Der Assistent schlägt vor; Sie bestätigen.
- Evaluate. Bringen Sie Ihre eigenen anwendungsspezifischen Evaluierungsergebnisse aus elluminate in die Abschnitte ein, die Behauptungen aufstellen, damit die Dokumentation auf Evidenz statt auf Behauptung beruht.
- Report. Erzeugen Sie in jedem Stadium ein Dokument im Entwurf, in dem unfertige Abschnitte als offene Lücken gekennzeichnet sind.
Der Teil, der keine Checkliste ist
Was dies von einem schlaueren Formular unterscheidet: Es verbindet die Dokumentation mit Evidenz.
Compliance-Dokumentation ist üblicherweise Selbstauskunft: Sie behaupten, dass das System korrekt arbeitet, und eine prüfende Person nimmt Ihnen das ab. Weil der Assistent auf derselben Plattform liegt wie Ihre Evaluierungen, können Sie eine Behauptung mit Ihren eigenen anwendungsspezifischen Ergebnissen belegen – der Evidenz, die für Ihr System wirklich relevant ist, statt einer generischen Checkliste. Wenn Abschnitt 4 behauptet, das Modell arbeite korrekt, liegt die Evaluierung hinter dieser Behauptung auf derselben Plattform, nicht in einem separaten Werkzeug.
Das ist der Teil, der schwer zu kopieren ist. GRC-Plattformen verwalten den Compliance-Prozess, können aber kein KI-System testen. Evaluierungswerkzeuge testen das System, erzeugen aber keine regulatorische Dokumentation. Der Assistent kann beides – weil elluminate bereits die Evaluierungshälfte war.
Für Menschen, die Blackboxes misstrauen
Compliance-Verantwortliche sind von Berufs wegen risikoscheu, und das zu Recht. Deshalb ist der Assistent so gebaut, dass er sich an jedem Schritt überprüfen lässt:
- Jede Klassifizierung zeigt ihre Begründungskette.
- Die Dokumentationsfelder verweisen auf die genaue Rechtsvorschrift im Originaltext.
- Lücken werden markiert, nie verborgen.
- An jedem Entscheidungspunkt bestätigt ein Mensch.
Er bereitet Dokumentation vor, die ein Mensch prüft und einreicht; er beansprucht nie, Ihre Konformität zu bescheinigen.
Eine Compliance-Leiterin bei einer gesetzlichen Krankenkasse fasste die erste Sitzung in drei Worten zusammen: „Spart so viel Arbeit”. Verräterisch war ihr eigentlicher Feature-Wunsch. Nicht „macht mehr”, sondern „gebt mir längere Begründungen, die ich in einem Audit verteidigen kann”. Das ist die Messlatte, auf die wir hinbauen.
Warum wir es Beta nennen
Weil es eine ist. Heute deckt das Produkt den AI Act selbst ab. Andere Regelwerke (DSGVO, BaFin- und BSI-Vorgaben) folgen später. Einige Teile – Dokumenten-Import und die vollständige Integration der Evaluierungsevidenz – sind noch in Arbeit. Und die Zeitersparnis „Stunden statt Wochen”, von der wir immer wieder hören, ist bislang anekdotisch; wir haben sie noch nicht über Kunden hinweg gemessen. Die Beta ist, wie wir das messen. Ihr Feedback entscheidet, was wir als Nächstes bauen.
Ausprobieren
Wenn Sie KI in einem regulierten Kontext in der EU betreiben, kommt die Dokumentation auf Sie zu – ob die Normen aufgeholt haben oder nicht. Der Assistent ist ab sofort für elluminate-Kunden verfügbar. Schalten Sie ihn ein und führen Sie eine Klassifizierung an einem echten System durch; zehn Minuten genügen, um zu beurteilen, ob er nützlich ist. Wenn Sie noch nicht bei elluminate sind, sprechen Sie mit uns.
Und wenn Sie das Denken dahinter wollen: Ein begleitender Beitrag vertieft, warum Sie womöglich bereits als Anbieter Ihres KI-Systems gelten, und an anderer Stelle haben wir beschrieben, wie Sie erkennen, ob Ihr Chatbot zu vorsichtig oder zu selbstbewusst ist.
