FAQ
5
7
8
Was unterscheidet SteadyShift von einem IT-Dienstleister, der auch KI-Compliance anbietet?
1
IT-Dienstleister können Systeme einrichten, protokollieren und dokumentieren. Die Frage, ob ein System als Hochrisiko einzustufen ist, welche Governance-Struktur rechtlich erforderlich ist und wie EU AI Act und DSGVO zusammenwirken, ist keine technische Frage. Das ist eine fachliche Beurteilung, für die eine Qualifikation in der Norm und im Regulierungsrahmen notwendig ist.
Kann ich SteadyShift für ein Gutachten beauftragen, das vor Gericht verwendet wird?
2
Ja. Ich erstelle Privatgutachten zu KI-Systemen, deren Risiken und der Einhaltung gesetzlicher Anforderungen für Gerichte, Behörden und Institutionen. Ein Privatgutachten unterscheidet sich von einem gerichtlich bestellten Gutachten, kann aber in Verfahren eingebracht werden. Die Verwertbarkeit richtet sich nach dem jeweiligen Verfahrensrecht.
Was kostet ein Audit oder eine Beratung?
3
Das hängt von der Anzahl Ihrer KI-Systeme, dem Vorbereitungsstand Ihrer Dokumentation und dem vereinbarten Prüfumfang ab. Ein Erstaudit in einem KMU mit wenigen Systemen ist deutlich weniger aufwendig als ein vollständiges ISO 42001 Zertifizierungsaudit. Eine belastbare Einschätzung kann ich erst nach einem Erstgespräch geben. Pauschalpreise ohne Kenntnis Ihres Unternehmens lehne ich ab.
6
Wie läuft eine Zusammenarbeit mit SteadyShift ab?
4
Am Anfang steht ein kostenfreies Erstgespräch, in dem ich mir ein Bild Ihrer Situation mache. Danach lege ich Ihnen offen, was ich tue, in welchem Zeitraum und zu welchen Konditionen. Ich arbeite direkt mit Ihnen, ohne Zwischenstellen oder Teamübergaben. Am Ende jedes Auftrags erhalten Sie ein Dokument, das Sie tatsächlich verwenden können, einen Prüfbericht, ein Gutachten oder eine Umsetzungsempfehlung.
Was passiert in einem KI-Audit konkret?
Ein Audit nach ISO/IEC 42001 oder EU AI Act läuft in vier Phasen ab. Vorbereitung: Ich lege gemeinsam mit Ihnen Prüfumfang, Ziele und Zeitplan fest. Dokumentenprüfung: Ich analysiere Ihre vorhandene Dokumentation zu KI-Systemen, Richtlinien und Prozessen auf Vollständigkeit und Konformität. Vor-Ort- oder Remote-Prüfung: Ich prüfe die tatsächliche Umsetzung durch Interviews und Stichproben. Abschlussbericht: Sie erhalten einen schriftlichen Bericht mit jeder Feststellung, ihrer Grundlage in der Norm und konkreten Handlungsempfehlungen.
Was brauche ich vorzubereiten, bevor ein Audit stattfindet?
Was muss ich für den EU AI Act konkret dokumentieren?
Je besser Ihre Vorarbeit, desto kürzer und günstiger das Audit. Hilfreich ist eine Liste aller KI-Systeme, die Sie im Betrieb einsetzen, vorhandene Dokumentationen dazu, bestehende interne Richtlinien zum Datenschutz und KI-Einsatz sowie Nachweise über Mitarbeiterschulungen. Was Sie nicht haben, ist kein Hinderungsgrund für das Audit, aber ein Befund.
Wir haben fünf Mitarbeiter. Der EU AI Act ist doch für große Unternehmen.
Das hängt davon ab, welche Risikoklasse Ihre KI-Systeme haben. Was heute für alle gilt: Nachweise über Mitarbeiterschulungen im Umgang mit KI. Was ab August 2026 für Hochrisiko-Systeme hinzukommt: eine technische Dokumentation nach Anhang IV der Verordnung, eine EU-Konformitätserklärung, Protokolle über den Einsatz für mindestens sechs Monate und ein internes Risikomanagementsystem. Für die meisten KMU, die nur Standardsoftware nutzen, ist der Umfang überschaubar.
Nein. Der EU AI Act gilt für jedes Unternehmen in der EU, das KI einsetzt, unabhängig von Größe und Branche. Was sich bei KMU unterscheidet: Bei Bußgeldern gilt der niedrigere Betrag aus Festsumme und Umsatzprozent. Die Pflichten selbst sind dieselben.
9
10
Meine Software hat irgendwo eine KI-Funktion. Bin ich deshalb betroffen?
Ich nutze nur ChatGPT für Angebote und Texte. Muss ich trotzdem etwas tun?
Wahrscheinlich ja. Viele Standardprogramme für Buchhaltung, CRM oder Personalverwaltung enthalten heute KI-Funktionen, oft ohne dass man sie aktiv einschaltet. Als Betreiber dieser Software gelten Sie rechtlich als Betreiber des KI-Systems. Der erste Schritt ist herauszufinden, welche Ihrer Programme KI enthalten und in welche Risikoklasse sie fallen.
Ja. Die KI-Kompetenzpflicht gilt seit Februar 2025 für jedes Unternehmen, das KI-Tools einsetzt, ohne Ausnahme. Konkret bedeutet das: Wer ChatGPT im Betrieb nutzt, muss dokumentieren können, dass die betreffenden Mitarbeitenden wissen, was das System kann und wo es Fehler macht. Ein Schulungsnachweis von einer Seite reicht. Wer das nicht hat, riskiert eine Ordnungswidrigkeit.
11
Ich setze KI bei Bewerbungen oder Schichtplanung ein. Ist das Hochrisiko?
Ja. Die KI-Kompetenzpflicht gilt seit Februar 2025 für jedes Unternehmen, das KI-Tools einsetzt, ohne Ausnahme. Konkret bedeutet das: Wer ChatGPT im Betrieb nutzt, muss dokumentieren können, dass die betreffenden Mitarbeitenden wissen, was das System kann und wo es Fehler macht. Ein Schulungsnachweis von einer Seite reicht. Wer das nicht hat, riskiert eine Ordnungswidrigkeit.