KW 02: Mittwochs um 21:45 Uhr
Ich sitze auf meiner Yogamatte, aber statt Atemübungen mache ich Textmarker-Übungen. Das trockene Geräusch von Textmarker auf Recyclingpapier um 22 Uhr, während die einzige Lichtquelle mein Laptop-Bildschirm ist, hat fast schon etwas Meditatives. Fast. Eigentlich ist es der pure Stress. Ich markiere Anhang III der KI-Verordnung in Neon-Pink. Mein herabschauender Hund muss warten; der AI Act der EU wartet nämlich nicht auf meine Work-Life-Balance.
Weißt du, als ich 2021 hier in Düsseldorf bei unserem Maschinenbau-Zulieferer anfing, dachte ich, meine größten Sorgen wären der Fachkräftemangel und die Digitalisierung der Lohnabrechnung. Jetzt bin ich die „AI-Act-Beauftragte“ für 78 Mitarbeitende. Ein Titel, den mir die Geschäftsführung im Herbst 2024 verpasst hat, weil niemand sonst wusste, was das bedeutet. Ich bin BWL-erin, keine Informatikerin und erst recht keine Juristin. Aber hier sitze ich nun und versuche zu verstehen, warum unser neuer CV-Parser nicht einfach nur „hilfreich“ ist, sondern laut Gesetz ein potenzielles „Hochrisiko-System“.
Mein Chef will bis Mai für alle unsere KI-Anwendungen ein „Go“. Er stellt sich das wie eine TÜV-Plakette vor. Einmal kurz drüberschauen, Aufkleber drauf, fertig. Dass dahinter ein komplexes Geflecht aus Risikoklassen steckt, bei dem ich mich jeden Abend frage, ob ich gerade unseren Betriebsfrieden oder mein berufliches Fortkommen riskiere, sieht er nicht. Ich habe mir vorgenommen, jeden Mittwochabend eine Stunde Yoga zu machen, um nicht komplett durchzudrehen. Heute war es eher eine Stunde „Verordnungstexte-Atmen“.
KW 06: Die Bestandsaufnahme im Maschinenraum
Heute Morgen kam Tobias aus der IT bei mir vorbei. Er ist eigentlich ein entspannter Typ, aber wenn ich mit meinen Excel-Listen zur Künstlichen Intelligenz komme, verdreht er die Augen. Wir haben uns zusammengesetzt und mal wirklich alles aufgelistet, was bei uns im Haus unter den KI-Begriff fallen könnte. Am Ende standen 14 Tools auf der Liste. 14! In einem Unternehmen mit 78 Leuten.
Ich dachte erst: „Ach, das meiste ist doch harmlos.“ Aber die Krux liegt im Detail. Wir haben die Liste in vier Töpfe geworfen, so wie es die EU vorsieht. Dabei habe ich gelernt, dass die Einteilung oft weniger mit der Technik an sich zu tun hat, sondern damit, wofür wir sie einsetzen. Ein Tool, das Texte zusammenfasst, ist in der Marketingabteilung harmlos. Dasselbe Tool könnte in der Personalabteilung, wenn es über Beförderungen mitentscheidet, plötzlich ganz anders bewertet werden.
Wenn du das bei dir im Unternehmen machst, fang bloß nicht mit den technischen Spezifikationen an. Frag die Leute, was sie damit machen. Ich bin zu Frau Krüger, unserer Fertigungsleiterin, gegangen. Sie nutzt ein System für Predictive Maintenance. Das klingt erst mal nach reiner Technik. Aber als sie mir erzählte, dass das System auch die Effizienz der einzelnen Schichten trackt und „Vorschläge zur Personaloptimierung“ macht, schrillten bei mir die Alarmglocken. Das ist der Moment, in dem aus einem harmlosen Werkzeug ein Fall für Anhang III wird.
Der Schock in der Vertriebsabteilung
Ein flaues Gefühl im Magen bekam ich am 11. Februar, als ich mit dem Vertriebsleiter sprach. Er erzählte mir stolz von einem Pilotprojekt: Eine „Emotion AI“, die bei Kundentelefonaten erkennt, ob das Gegenüber gerade genervt oder kaufbereit ist. Er sah darin den heiligen Gral des Verkaufs. Ich sah darin den Artikel 5 des AI Act.
Emotionserkennung am Arbeitsplatz ist – bis auf ganz wenige Ausnahmen für die Sicherheit – schlichtweg verboten. Ich musste ihm erklären, dass wir dieses Tool sofort stoppen müssen. Das war kein schönes Gespräch. „Die EU bremst uns aus“, war noch das Netteste, was ich zu hören bekam. Aber genau das ist mein Job als Beauftragte: Die rote Linie ziehen, bevor wir in die Haftung rutschen. Von unseren 14 identifizierten Systemen war dieses eine Tool das einzige, das direkt in die Kategorie „Unannehmbares Risiko“ fiel. Ein harter Cut, aber alternativlos.
Ich habe in dieser Woche auch gemerkt, wie wichtig es ist, die „Schatten-IT“ im Blick zu haben. In meinem früheren Beitrag über die Inventur des Grauens in der Fertigung habe ich ja schon beschrieben, wie viele Tools ohne Wissen der IT genutzt werden. Diese Schatten-Tools zu klassifizieren ist wie Detektivarbeit, nur ohne den coolen Trenchcoat.
KW 15: Die Ampel-Matrix und die Kumulations-Falle
Nach 13 Yoga-Stunden (ja, ich habe jede einzelne gebraucht) und unzähligen Gesprächen habe ich heute die finale Klassifizierung der Geschäftsführung präsentiert. Ich habe mir eine einfache Ampel-Matrix gebaut, weil niemand im Board Lust auf 500 Seiten Gesetzestext hat.
- Grün (Minimales Risiko): 11 Tools. Rechtschreibprüfung, Übersetzungsprogramme, einfache Suchfunktionen. Hier müssen wir fast nichts machen, außer vielleicht eine kurze Info an die Mitarbeitenden.
- Gelb (Hochrisiko nach Anhang III): 2 Systeme. Mein geliebter CV-Parser im HR und das Performance-Tracking-Tool in der Produktion. Hier müssen wir dokumentieren, Risikomanagement betreiben und die menschliche Aufsicht sicherstellen.
- Rot (Verboten): 1 Tool. Die Emotionserkennung im Vertrieb. Das Projekt ist gestorben.
Während der Präsentation ist mir etwas aufgefallen, das in keinem offiziellen Leitfaden steht, den ich bisher gelesen habe. Ich nenne es die „Kumulations-Falle“. Wir neigen dazu, jedes Tool einzeln zu bewerten. Aber was ist, wenn wir fünf „grüne“ Tools haben, die in der Summe ein Profil eines Mitarbeiters erstellen, das tiefer geht als jedes Hochrisiko-System? Wenn die KI-Rechtschreibprüfung den Schreibstil analysiert, das Zeiterfassungstool die Pausenzeiten und das CRM die Kundeninteraktionen – dann haben wir plötzlich eine Überwachungssituation, die wir so nie geplant hatten. Die strikte Einteilung nach Risikoklassen ist für uns im Mittelstand oft eine Falle, da die kumulative Wirkung vieler kleiner Anwendungen das Gesamtrisiko unterschätzt.
Ich habe das der Geschäftsführung so erklärt: Es ist wie bei unseren Maschinen. Eine einzelne Schraube ist kein Risiko. Aber wenn wir an zehn Stellen gleichzeitig die Spezifikationen leicht ändern, kann die ganze Maschine instabil werden. Das haben sie verstanden. Wir werden jetzt nicht nur die Tools einzeln prüfen, sondern auch, wie sie zusammenspielen.
Was ich gelernt habe (und was du daraus ziehen kannst)
Ich bin immer noch keine Expertin. Wenn du es wirklich rechtssicher wissen willst, frag eine Anwältin für IT-Recht. Aber für den operativen Alltag bei uns in Düsseldorf reicht mein BWL-Verstand und ein gesundes Maß an Skepsis. Mein größter Fehler war anfangs zu glauben, dass ich jedes Tool technisch verstehen muss. Das muss ich nicht. Ich muss verstehen, was es mit den Menschen im Unternehmen macht.
Wenn du selbst gerade vor diesem Berg an Aufgaben stehst: Fang klein an. Nutze die Europäische Kommission Dokumente als Basis, aber übersetze sie in die Sprache deines Unternehmens. Frau Krüger interessiert sich nicht für „Konformitätsbewertungsverfahren“, sie will wissen, ob sie ihr Tool weiter nutzen darf, um die Wartungsintervalle zu planen.
Heute Abend gehe ich wieder zum Yoga. Diesmal ohne Textmarker. Ich habe zwar immer noch keine IT-Zertifikate, aber ich habe jetzt eine Matrix, die funktioniert. Und ich habe das Gefühl, dass ich als HR-Managerin genau an der richtigen Stelle sitze, um diese Brücke zwischen Paragrafen und Werkhalle zu schlagen. Wir sind keine Juristen, aber wir kennen unsere Leute. Und am Ende des Tages geht es beim AI Act genau darum: Den Menschen vor der Maschine zu schützen, ohne die Maschine auszuschalten.