Es ist Mittwochabend, kurz nach halb zehn. Ich sitze auf meiner Yogamatte im Wohnzimmer, aber mein Kopf ist noch in der Werkhalle in Düsseldorf. Statt tiefer Entspannung mache ich Textmarker-Übungen auf Recyclingpapier. Das trockene Geräusch der Neonfarbe auf dem Gesetzestext hat fast schon etwas Meditatives, wenn es nicht so verdammt stressig wäre. Ich markiere Anhang III der KI-Verordnung in Pink. Mein herabschauender Hund muss warten; der AI Act der EU wartet schließlich auch nicht auf meine Work-Life-Balance.
Weißt du, als ich 2021 hier bei unserem Maschinenbau-Zulieferer anfing, dachte ich, meine größten Sorgen wären der Fachkräftemangel und die Umstellung auf die digitale Lohnabrechnung. Jetzt bin ich die „AI-Act-Beauftragte“ für 78 Mitarbeitende. Ein Titel, den mir die Geschäftsführung im Herbst 2024 verpasst hat, weil niemand sonst wusste, was das bedeutet. Ich bin BWL-erin, keine Informatikerin und erst recht keine Juristin. Aber hier sitze ich nun und versuche zu verstehen, warum unser neuer CV-Parser nicht einfach nur „praktisch“ ist, sondern laut Gesetz ein potenzielles Hochrisiko-System.
KW 02: Die Sache mit der TÜV-Plakette
In der zweiten Januarwoche diesen Jahres hatte ich mein erstes richtiges Review-Gespräch mit meinem Chef. Er stellt sich das Ganze wie eine TÜV-Plakette vor. Einmal kurz drüberschauen, Aufkleber drauf, Haftung erledigt. Dass dahinter ein komplexes Geflecht aus Risikoklassen steckt, bei dem ich mich jeden Abend frage, ob ich gerade unseren Betriebsfrieden oder mein berufliches Fortkommen riskiere, sieht er nicht. Ich habe mir vorgenommen, jeden Mittwochabend eine Stunde Yoga zu machen, um nicht komplett durchzudrehen. Aber oft endet es so wie heute: Ich atme Verordnungstexte statt Prana.
Ich habe in dieser Woche gelernt, dass die Einteilung oft weniger mit der Technik an sich zu tun hat, sondern massiv damit, wofür wir sie einsetzen. Ein Tool, das Texte zusammenfasst, ist in der Marketingabteilung völlig harmlos. Dasselbe Tool könnte in der Personalabteilung, wenn es über Beförderungen mitentscheidet oder Profile erstellt, plötzlich ganz anders bewertet werden. Diese Erkenntnis hat mich erst mal eine Nacht Schlaf gekostet. Ich bin keine Juristin, und wenn du es wirklich rechtssicher wissen willst, frag eine Anwältin für IT-Recht – aber für uns im operativen Alltag war das der erste große Augenöffner.
KW 06: Die Bestandsaufnahme mit Tobias
Anfang Februar kam Tobias aus der IT bei mir im Büro vorbei. Er ist eigentlich die Ruhe selbst, aber wenn ich mit meinen Excel-Listen zur Künstlichen Intelligenz komme, merke ich, wie er innerlich die Augen verdreht. Wir haben uns zusammengesetzt und mal wirklich alles aufgelistet, was bei uns im Haus unter den KI-Begriff fallen könnte. Am Ende standen 14 Tools auf der Liste. 14! In einem Unternehmen mit nicht mal 80 Leuten. Ich dachte erst: „Ach, das meiste ist doch Spielerei.“ Aber die Krux liegt im Detail.
Wenn du das bei dir im Unternehmen machst, fang bloß nicht mit den technischen Spezifikationen an. Frag die Leute einfach, was sie damit machen. Ich bin zu Frau Krüger, unserer Fertigungsleiterin, gegangen. Sie nutzt ein System für Predictive Maintenance. Das klingt erst mal nach reiner Technik für Maschinen. Aber als sie mir erzählte, dass das System theoretisch auch die Effizienz der einzelnen Schichten trackt und „Vorschläge zur Personaloptimierung“ machen kann, schrillten bei mir alle Alarmglocken. Das ist der Moment, in dem aus einem harmlosen Werkzeug ein Fall für Anhang III wird. Ich hatte das anfangs völlig falsch eingeschätzt und dachte, solange es um Maschinen geht, bin ich als HR raus. Falsch gedacht.
Wir haben die 14 Tools dann in die vier Töpfe geworfen, die die EU vorsieht. Dabei habe ich gemerkt, wie wichtig es ist, die „Schatten-IT“ im Blick zu haben. In der Fertigung nutzen manche Kollegen Tools, von denen Tobias noch nie gehört hatte. Diese zu klassifizieren ist wie Detektivarbeit, nur ohne den coolen Trenchcoat und mit viel mehr Papierkram.
KW 11: Der Schock in der Vertriebsabteilung
Ein richtig flaues Gefühl im Magen bekam ich Mitte März, als ich mit unserem Vertriebsleiter sprach. Er erzählte mir ganz stolz von einem Pilotprojekt: Eine „Emotion AI“, die bei Kundentelefonaten erkennt, ob das Gegenüber gerade genervt oder kaufbereit ist. Er sah darin den heiligen Gral des Verkaufs. Ich sah darin den Artikel 5 des AI Act. Emotion AI am Arbeitsplatz ist – bis auf ganz wenige Ausnahmen für die Sicherheit – schlichtweg verboten.
Ich musste ihm erklären, dass wir dieses Tool sofort stoppen müssen. Das war kein schönes Gespräch. „Die EU bremst uns aus“, war noch das Netteste, was ich zu hören bekam. Aber genau das ist mein Job als Beauftragte: Die rote Linie ziehen, bevor wir in die Haftung rutschen. Von unseren 14 identifizierten Systemen war dieses eine Tool das einzige, das direkt in die Kategorie „Unannehmbares Risiko“ fiel. Wenn du mehr darüber wissen willst, welche Fallen da lauern, schau dir unbedingt mal die Liste für verbotene KI-Anwendungen im EU AI Act an. Das hat mir geholfen, im Gespräch mit dem Vertrieb hart zu bleiben.
KW 15: Die Ampel-Matrix und die Kumulations-Falle
Nach etlichen Yoga-Stunden (ja, ich habe jede einzelne gebraucht) und unzähligen Gesprächen habe ich im April die finale Klassifizierung der Geschäftsführung präsentiert. Ich habe mir eine einfache Ampel-Matrix gebaut, weil niemand im Board Lust auf 500 Seiten Gesetzestext hat. Ich habe das Ganze so aufgeteilt:
Grün steht für minimales Risiko. Das betrifft bei uns 11 Tools, wie die Rechtschreibprüfung oder einfache Übersetzungsprogramme. Gelb ist das Hochrisiko-Feld nach Anhang III. Das sind bei uns zwei Systeme: der CV-Parser im HR und das Performance-Tracking in der Produktion. Hier müssen wir dokumentieren, Risikomanagement betreiben und – ganz wichtig – die menschliche Aufsicht sicherstellen. Rot ist verboten, und das betraf zum Glück nur die eine Vertriebs-KI, die wir bereits beerdigt haben.
Während der Präsentation ist mir etwas aufgefallen, das in keinem offiziellen Leitfaden steht. Ich nenne es die „Kumulations-Falle“. Wir neigen dazu, jedes Tool einzeln zu bewerten. Aber was ist, wenn wir fünf „grüne“ Tools haben, die in der Summe ein Profil eines Mitarbeiters erstellen, das tiefer geht als jedes Hochrisiko-System? Wenn die KI-Rechtschreibprüfung den Schreibstil analysiert, das Zeiterfassungstool die Pausenzeiten und das CRM die Kundeninteraktionen – dann haben wir plötzlich eine Überwachungssituation, die wir so nie geplant hatten. Ich habe das der Geschäftsführung so erklärt: Es ist wie bei unseren Maschinen. Eine einzelne Schraube ist kein Risiko. Aber wenn wir an zehn Stellen gleichzeitig die Spezifikationen leicht ändern, kann die ganze Maschine instabil werden. Das haben sie sogar ohne Jura-Studium sofort verstanden.
KW 24: Was ich heute anders machen würde
Jetzt, Mitte Juni, blicke ich auf das erste Halbjahr 2026 zurück. Ich bin immer noch keine Expertin. Mein größter Fehler war anfangs zu glauben, dass ich jedes Tool technisch verstehen muss. Das muss ich nicht. Ich muss verstehen, was es mit den Menschen in unserem Unternehmen macht. Ich habe mich oft gefragt, ob ich für diesen Job eigentlich genug qualifiziert bin. Manchmal dachte ich: Lohnt sich ein KI-Zertifikat für Mitarbeiter in der Verwaltung wirklich? Vielleicht hätte es mir am Anfang etwas mehr Selbstbewusstsein gegeben, aber die echte Erfahrung kam erst durch das Reden mit den Kollegen in der Werkhalle.
Wenn du selbst gerade vor diesem Berg an Aufgaben stehst: Fang klein an. Nutze die Dokumente der Europäischen Kommission als Basis, aber übersetze sie in die Sprache deines Unternehmens. Frau Krüger interessiert sich nicht für „Konformitätsbewertungsverfahren“, sie will wissen, ob sie ihr Tool weiter nutzen darf, um die Wartungsintervalle zu planen. Ich verweise oft auf die FAQs des BfDI, wenn es um Datenschutzfragen geht, das gibt mir ein bisschen Sicherheit.
Heute Abend gehe ich wieder zum Yoga. Diesmal ohne Textmarker. Ich habe zwar immer noch keine IT-Zertifikate, aber ich habe jetzt eine Matrix, die funktioniert. Und ich habe das Gefühl, dass ich als HR-Managerin genau an der richtigen Stelle sitze, um diese Brücke zwischen Paragrafen und Werkhalle zu schlagen. Wir sind keine Juristen, aber wir kennen unsere Leute. Und am Ende des Tages geht es beim AI Act genau darum: Den Menschen vor der Maschine zu schützen, ohne die Maschine komplett auszuschalten. Ich lerne jeden Tag dazu, mache Fehler und korrigiere sie wieder. Und das ist völlig okay, solange wir den Dialog im Unternehmen behalten.