WWitness
Erste SchritteFunktionenAkademieFree ToolsExperten-ChatPreiseBlog
Anmelden
Zurück zum Blog
7. April 2026

EU-KI-Verordnung umsetzen: Interne vs. externe Wege

Drei realistische Wege für KMU zur EU-KI-Verordnung: vollständig intern mit Tooling, hybrid mit gezielter rechtlicher Prüfung oder vollständig extern beraten. Eine ehrliche Gegenüberstellung.

Witness Team·7 Min. Lesezeit·EU-KI-Verordnung UmsetzungswegeKI-Verordnung intern umsetzenEU-KI-Verordnung Self-ServiceKI-Verordnung OptionenEU-KI-Verordnung KMU Umsetzung

Aktualisiert am 25. Mai 2026 nach der Digital-Omnibus-Einigung der EU (7. Mai 2026): Die Compliance-Frist für Anhang-III-Hochrisikosysteme verschiebt sich vom 2. August 2026 auf den 2. Dezember 2027 (Anhang I auf den 2. August 2028). Die Transparenzpflichten nach Artikel 50(2) gelten weiterhin ab 2. August 2026. Siehe unser Omnibus-Update für die vollständige Zeitachse.

Drei Wege, drei unterschiedliche Kostenstrukturen

Die EU-KI-Verordnung schreibt nicht vor, wie Compliance-Arbeit organisiert wird. Sie schreibt vor, wie das Ergebnis aussehen muss — eine technische Dokumentation in der Tiefe von Anhang IV, ein Risikomanagementsystem nach Artikel 9, eine Grundrechte-Folgenabschätzung (FRIA) nach Artikel 27, sofern einschlägig, eine Konformitätsbewertung nach Artikel 43 und so weiter. Wie eine Organisation diese Artefakte erstellt, ist ihre eigene Entscheidung.

In der Praxis landen KMU auf einem von drei Wegen:

  1. Vollständig intern mit Tooling — Compliance entsteht durch interne Mitarbeitende, unterstützt durch strukturierte Software
  2. Hybrid — interne Erstellung mit gezielter externer rechtlicher Prüfung an klar abgegrenzten Entscheidungspunkten
  3. Vollständig extern — externe Beratung erstellt den Großteil der Compliance-Artefakte im Auftrag der Organisation

Keiner der Wege ist für sich genommen objektiv richtig. Jeder setzt eine andere Wette darauf, wo die knappen Ressourcen der Organisation am besten investiert sind: interne Zeit, externe Honorare oder beides. Welche Euro-Größenordnungen jeder Weg realistisch verlangt, zeigt die realistische KMU-Budgetschätzung — damit die Entscheidung nicht aus dem Bauch fällt.

Weg 1: Vollständig intern mit Tooling

In diesem Modell erstellen die eigenen Engineers, Produktverantwortlichen und Compliance-Mitarbeitenden die Klassifizierung, die Dokumentation und die laufenden Monitoring-Artefakte. Software setzt die Struktur — Entscheidungsbäume für die Klassifizierung, vorlagenbasierte Anhang-IV-Abschnitte mit feldweisen Artikelverweisen, dauerhafte Risikoregister nach Artikel 9, FRIA-Workflows nach Artikel 27 und Schulungsmodule für die KI-Kompetenz nach Artikel 4.

Wann es passt:

  • Das technische Team kennt das KI-System gut genug, um Architektur, Trainingsdaten, Validierungsmethoden und betriebliche Kontrollen präzise zu beschreiben
  • Die Organisation betreibt ein oder wenige KI-Systeme mit klaren Klassifizierungsergebnissen (etwa eindeutige Anhang-III-Kategorie, keine Grenzfälle bei Art. 5)
  • Geschwindigkeit zählt — das Team kann am selben Tag starten, statt wochenlang auf eine externe Scoping-Phase zu warten
  • Das Budget ist begrenzt und das Wissen soll im Haus bleiben

Wann es nicht passt:

  • Das KI-System liegt in einer echten Grauzone — bei verbotenen Praktiken nach Art. 5 oder zwischen hochriskant und begrenzt riskant —, in der juristische Beurteilung das tragende Element ist
  • Im Team gibt es niemanden, der die technischen Details mit der Spezifität beschreiben kann, die Anhang IV verlangt
  • Der Anwendungsfall erfordert eine Drittbewertung durch eine notifizierte Stelle (insbesondere biometrische Systeme nach Anhang III Nr. 1 nach Anhang VII, soweit harmonisierte Normen oder gemeinsame Spezifikationen die Anforderungen nicht vollständig abdecken)

Trade-off: Die Organisation behält die volle Hoheit über die Compliance-Bewertung — und damit auch die volle Verantwortung. Es gibt keine externe Kanzlei, die die Haftung mitträgt.

Weg 2: Hybrid

Der hybride Weg kombiniert interne Erstellung mit gezielter externer rechtlicher Prüfung. Der Großteil der Arbeit — Klassifizierung, Anhang-IV-Dokumentation, Risikoregister nach Art. 9, FRIA nach Art. 27, KI-Kompetenz-Programm nach Art. 4 — entsteht intern, in der Regel mit demselben Tooling wie auf Weg 1. Externe Anwältinnen und Anwälte werden punktuell eingebunden:

  • Abschließende Prüfung der Klassifizierungsbegründung und etwaiger Artikel-5-Analysen
  • Zweitlesung der fertigen technischen Dokumentation vor der Freigabe
  • Gezielte Beratung zu grenzüberschreitenden Fragen, wenn die Organisation in mehreren Mitgliedstaaten tätig ist
  • Begleitung im Verkehr mit Aufsichtsbehörden, etwa bei einem Antrag auf eine Reallabor-Teilnahme nach Art. 57–62

Wann es passt:

  • Die Organisation will eine externe Validierung der eigenen Compliance-Arbeit, braucht aber kein externes Personal für die Erstellung
  • Das interne Team kann die Dokumentation selbst erstellen, möchte vor der Freigabe jedoch eine qualifizierte Zweitmeinung
  • Das Budget erlaubt klar abgegrenzte, kalkulierbare Mandate statt einer offenen Dauerberatung

Wann es nicht passt:

  • Die Compliance-Arbeit hat noch nicht begonnen und das interne Team hat keine Kapazität — externe Prüfung bringt nur dort Wert, wo bereits Arbeit vorliegt
  • Der erforderliche Behördenkontakt ist umfangreich genug, dass eine vollwertige Beratung sinnvoller ist als punktuelle juristische Prüfung

Trade-off: höhere Ausgaben als rein intern, aber spürbare Risikoreduktion an genau den Punkten, an denen juristische Beurteilung entscheidend ist. Für viele KMU ist das die ausgewogenste Option.

Weg 3: Vollständig externe Beratung

In diesem Modell erstellen externe Beratende — Kanzleien, KI-Spezialberatungen oder allgemeine Managementberatungen — die Compliance-Arbeit im Auftrag der Organisation. Typische Leistungen sind Stakeholder-Interviews zur Inventarisierung der KI-Systeme, Klassifizierungsberichte, vom Beratenden erstellte Anhang-IV-Dokumentation, Risikomanagement-Frameworks, Begleitung der Konformitätsbewertung und Schulungsmaterialien.

Wann es passt:

  • Das KI-Portfolio ist groß und komplex genug, dass die interne Koordination über Geschäftsbereiche hinweg selbst ein erhebliches Vorhaben ist
  • Die Architektur ist tatsächlich neuartig und lässt sich nicht sauber den bestehenden Anhang-III-Kategorien zuordnen
  • Es steht ein konkreter Behördenkontakt an — eine Konformitätsbewertung durch eine notifizierte Stelle, ein Reallabor-Antrag oder ein Durchsetzungsverfahren —, bei dem spezialisiertes Mandatsverhältnis essenziell ist
  • Interne Kapazität fehlt und die Frist ist knapp

Wann es nicht passt:

  • Der Anwendungsfall ist Standard und das interne Team könnte mit strukturiertem Tooling dieselben Artefakte günstiger und schneller erstellen
  • Das Compliance-Wissen soll nach dem Mandat im Haus bleiben — Beratungsleistungen sind in der Regel Momentaufnahmen und hinterlassen nach Mandatsende meist nur eine begrenzte Wissensspur

Trade-off: Externe Beratung kann erheblich kosten und ist scope- und zeitabhängig. Das Mandat erzeugt eine Sammlung von Dokumenten — typischerweise als statische PDFs und Folien —, die die Organisation anschließend selbst pflegen muss, sobald sich das KI-System weiterentwickelt. Spätere Aktualisierungen ziehen häufig erneute Mandate nach sich.

Eine praxistaugliche Einordnung

Drei Fragen klären in der Regel die Wahl:

1. Kann das interne Team das KI-System mit der Spezifität beschreiben, die Anhang IV verlangt? Wenn ja, ist die interne Erstellung (Weg 1 oder 2) tragfähig. Wenn nein, müssen Sie diese Beschreibungsfähigkeit aufbauen oder die Kosten von Weg 3 in Kauf nehmen. Die Anhang-IV-Dokumentationsvorlage macht den geforderten Detailgrad sichtbar — dann lässt sich die Frage ehrlich beantworten.

2. Gibt es echte juristische Unsicherheit bei der Klassifizierung oder einen Grenzfall bei Art. 5? Wenn ja, hat externer Rechtsrat echten Nutzen — Weg 2 oder 3, je nach Umfang. Wenn die Klassifizierung eindeutig ist (was bei den meisten KMU der Fall ist), reicht Weg 1 oder 2. Der Witness-KI-System-Klassifizierer macht den Klassifizierungs-Schritt schnell und transparent — die Frage nach der Eindeutigkeit lässt sich danach klar beantworten.

3. Was passiert nach dem Launch? Compliance ist dauerhaft — die Beobachtung nach Art. 72, das laufende Risikomanagement nach Art. 9 und Aktualisierungen bei Systemänderungen sind wiederkehrende Aufgaben, keine einmaligen. Wege 1 und 2 versetzen die Organisation in die Lage, Compliance intern zu pflegen. Weg 3 erfordert in der Regel wiederholte Mandate.

Wer Weg 1 oder 2 geht, findet in Tools wie Witness die nötige Struktur: einen Klassifizierungs-Entscheidungsbaum mit Anhang-III-Bezug, einen Anhang-IV-Generator mit feldweisen Artikelverweisen, FRIA-Workflows nach Art. 27, ein Risikoregister nach Art. 9, Schulungsmodule für die KI-Kompetenz nach Art. 4 und audittaugliche Exporte. Die Compliance-Bewertung bleibt bei der Organisation; das Tool sorgt für Format, Artikelpräzision und laufende Pflege.

Fazit

Compliance-Arbeit für KMU ist meist nicht exotisch. Sie besteht aus klassischer Anhang-III-Klassifizierung, Anhang-IV-Dokumentation, Risikomanagement nach Art. 9 und FRIA nach Art. 27 für die zuständigen Betreiber. Diese Arbeit profitiert von Struktur, von artikelgenauer Genauigkeit und von einem Workspace, der bei Systemänderungen aktualisiert werden kann — Dinge, in denen Software stark ist.

Externe rechtliche Prüfung lohnt sich an klar definierten Punkten: bei Klassifizierungs-Grenzfällen, bei Art. 5-Analysen und bei der Schlussdurchsicht der fertigen Dokumentation. Diese Arbeit profitiert von menschlicher Beurteilung und beruflicher Verantwortung — Dinge, die Software nicht ersetzen kann. Die schrittweise Compliance-Checkliste zur EU-KI-Verordnung zeigt, an welchen Stellen im Gesamtablauf diese Prüfpunkte sitzen.

Große, komplexe oder neuartige KI-Vorhaben rechtfertigen ein umfassenderes externes Mandat. Standard-KMU-Vorhaben in der Regel nicht.

Welcher Weg tatsächlich passt, lässt sich nur auf einer belastbaren Ausgangslage entscheiden. Eine kostenlose Klassifizierung liefert die Voraussetzung für jede sinnvolle Budget- oder Scoping-Diskussion — egal ob intern oder extern: Risikostufe, Rolle und artikelgenaue Pflichtenliste.

Prüfen Sie, ob die EU-KI-Verordnung für Sie gilt

Kostenlose Klassifizierung in 3 Minuten. Keine Anmeldung erforderlich.

Jetzt starten