Es ist weit nach Feierabend hier in Düsseldorf. Das Licht meines Monitors ist die einzige Lichtquelle im Raum, und draußen auf der Straße wird es langsam ruhig. Ich starre auf ein leeres Word-Dokument. Vor mir liegen ausgedruckte Auszüge aus der KI-Verordnung, die ich seit Wochen versuche zu bändigen. Wenn ich ehrlich bin: Die Angst vor diesem weißen Blatt ist riesig. Vor allem, wenn im Hinterkopf diese Zahl hämmert: 35.000.000 Euro. Das ist das maximale Bußgeld, das der AI Act für Verstöße gegen verbotene Praktiken vorsieht. Oder 7 % des weltweiten Jahresumsatzes. Für einen mittelständischen Maschinenbau-Zulieferer mit 78 Mitarbeitern wie uns wäre das schlicht das Ende.
Das Dilemma zwischen Paragraphen und Zerspanungsmechanikern
Als ich Ende Oktober letzten Jahres zur AI-Act-Beauftragten ernannt wurde, wusste ich nicht einmal, wie man das Wort richtig buchstabiert. Mein Chef sagte: "Frau HR-Managerin, Sie machen doch Personal und Recht. Finden Sie mal eine Lösung für diese KI-Sache. Darf nichts kosten, aber wir müssen sicher sein." Super. Keine IT-Zertifikate, keine juristische Ausbildung, nur mein BWL-Studium und vier Jahre operative HR-Erfahrung. Ich habe die Nächte damit verbracht, den Geruch von abgestandenem Kaffee in der Nase zu haben, während im Nebenraum leise die Server surren – ein Geräusch, das mich mittlerweile in den Schlaf verfolgt.
Mein größtes Problem: Wie übersetze ich diese juristischen Monster-Sätze so, dass Frau Krüger aus der Fertigungsleitung oder unsere Zerspanungsmechaniker verstehen, was sie dürfen? Wenn ich denen mit "transparenzbezogenen Verpflichtungen für Anbieter von Modellen mit allgemeinem Verwendungszweck" komme, schauen die mich an, als hätte ich gerade versucht, eine Drehbank mit einem Teelöffel zu reparieren. Ich musste also einen Weg finden, Ordnung in das Chaos zu bringen, ohne dass alle sofort abschalten.
Januar-Frust: Die Erkenntnis, dass Verbote nichts bringen
Anfang Januar war ich kurz davor, alles hinzuschmeißen. Ich hatte eine Liste mit Verboten erstellt. "Kein ChatGPT für Kundendaten", "Keine KI-Bildgeneratoren für interne Präsentationen". Das Ergebnis? Der ITler Tobias kam grinsend in mein Büro und erzählte mir, dass er trotzdem bei fast jedem zweiten Kollegen eine Art "Schatten-KI" gefunden hat. Ich hatte das damals in meiner Inventur des Grauens dokumentiert – wir hatten 42 verschiedene Tools im Einsatz, von denen ich nichts wusste.
Da wurde mir klar: Starre KI-Richtlinien ersticken jede Innovation, bevor sie überhaupt entstehen kann. Wenn ich alles verbiete, nutzen die Leute es heimlich und unsicher. Wenn ich es zu locker lasse, riskiere ich die Existenz des Unternehmens. Ich habe an einem Mittwochabend nach meiner Yoga-Stunde – die einzige Stunde in der Woche, in der ich nicht an Haftungsfragen denke – begriffen, dass wir keine Verbotsliste brauchen. Wir brauchen ein modulares System. Ein Regelwerk, das atmet.
Mitte April: Der Durchbruch zur modularen Vorlage
Mitte April saß ich wieder hier. Ich hatte aufgehört, das Rad neu zu erfinden. Ich habe angefangen, die KI-Systeme in Klassen einzuteilen. Wer KI-Systeme nach Risikoklassen richtig einteilt, merkt schnell, dass die meisten Dinge, die wir im Büroalltag machen, gar nicht so gefährlich sind. Eine E-Mail-Formulierungshilfe ist etwas ganz anderes als ein System, das Lebensläufe vorsortiert.
Ich habe eine Vorlage entwickelt, die auf drei Säulen basiert:
- Die Erlaubnis zum Experimentieren: Wir haben kleine Budgets definiert. Wenn ein Team ein Tool testen will, darf es das in einem geschützten Rahmen tun, solange keine personenbezogenen Daten fließen.
- Die Ampel-Logik: Grün für Standard-Schreibtools, Gelb für Tools mit Daten-Upload (nur nach Rücksprache mit Tobias), Rot für alles, was Entscheidungen über Menschen trifft (HR-Software!).
- Die KI-Kompetenz: Wir verpflichten uns nicht nur zu Regeln, sondern zur Schulung. Man kann nichts regeln, was man nicht versteht.
Wichtig ist hierbei auch der Datenschutz. Gerade wenn du ChatGPT im Recruiting datenschutzkonform nutzen willst, musst du sehr genau hinschauen. Da reicht ein allgemeiner Satz in der Richtlinie nicht aus, da braucht es konkrete Handlungsanweisungen für die Kollegen.
Der Moment, in dem der Drucker zum Freund wurde
Ich erinnere mich noch genau an den Moment letzte Woche, als ich den finalen Entwurf der Richtlinie aus dem Drucker zog. Es gab dieses mechanische Geräusch, das Papier war noch warm. Und plötzlich spürte ich, wie sich diese chronische Nackenverspannung löste, die mich seit Monaten begleitete. Die Geschäftsführung hat das Dokument gestern unterschrieben. Ohne externe Berater für 500 Euro die Stunde. Einfach nur durch gesundes BWL-Verständnis und viel Fleißarbeit.
Ich bin keine Juristin, und wenn du es rechtlich absolut wasserfest haben willst, musst du natürlich eine Anwältin für IT-Recht drüberschauen lassen. Aber für uns im Mittelstand ist der erste Schritt oft der schwerste: Überhaupt anzufangen. Meine Vorlage ist kein starres Gesetzbuch, sondern eine Basis. Sie soll dir helfen, nicht bei Null anfangen zu müssen.
Schau dir die Regeln an, pass sie auf deinen Betrieb an. Frag dich: Was machen meine Leute wirklich mit der KI? Und dann gib ihnen einen Rahmen, in dem sie sich sicher bewegen können. Wir müssen aufhören, Angst vor dem AI Act zu haben. Wir müssen anfangen, ihn als Leitplanke für unsere eigene digitale Transformation zu sehen. Und jetzt entschuldige mich – es ist Mittwochabend, und mein Yoga-Kurs fängt gleich an. Die Matten warten, und der AI Act kann für heute mal ohne mich auskommen.