Die meisten SaaS-Unternehmen starten bei der KI-Dokumentation gleich: mit einer guten Absicht und einem leeren Dokument.
Ein Notion-Doc. Eine Excel-Tabelle. Vielleicht ein internes Wiki. Irgendwo muss man ja anfangen.
Und am Anfang funktioniert das auch erstaunlich gut. Das erste KI-System wird eingetragen. Zweck beschrieben. Anbieter ergänzt. Fertig.
Doch dann wächst das Unternehmen. Neue Features kommen dazu. Teams integrieren eigenständig KI-Tools. Und plötzlich ist da nicht mehr ein System, sondern zehn. Oder zwanzig.
Spätestens jetzt wird klar: KI-Dokumentation ist kein einmaliger Task. Sie ist ein Prozess.
Und genau diesen Prozess verlangt der EU AI Act.
Was ein SaaS-Unternehmen konkret dokumentieren muss
Der EU AI Act unterscheidet nicht danach, ob Sie ein Konzern oder ein Startup sind. Sobald Sie KI-Systeme einsetzen oder anbieten, gelten klare Anforderungen.
Für jedes System muss dokumentiert werden:
- Zweck des Systems: Was macht die KI konkret im Produkt?
- Einsatzkontext: Wo und wie wird sie genutzt?
- Verantwortlichkeiten: Wer ist intern zuständig?
- Datenbasis: Welche Daten werden verarbeitet?
- Risikoklasse: Minimal, Limited oder High Risk
- Maßnahmen: Welche Compliance-Anforderungen wurden umgesetzt?
Bei Hochrisiko-Systemen kommen zusätzliche Anforderungen hinzu: Risikomanagement, technische Dokumentation und menschliche Aufsicht.
Das Entscheidende: Diese Informationen müssen nicht nur existieren. Sie müssen aktuell, nachvollziehbar und prüfbar sein.
Praxisproblem: KI ist überall im Produkt
In einem SaaS-Unternehmen ist KI selten ein einzelnes, klar abgegrenztes System.
Stattdessen steckt sie in vielen kleinen Features:
- Ein Empfehlungssystem im Dashboard
- Automatisierte Textvorschläge im Editor
- Ein Support-Chatbot
- Ein Scoring-Mechanismus im Backend
Jedes dieser Features kann unter den EU AI Act fallen. Und jedes braucht eine eigene Bewertung.
Das führt zu einer zentralen Herausforderung: Wie behält man den Überblick?
Situation 1: Ein neues Feature geht live
Ihr Produktteam launcht ein neues Feature: automatische Lead-Bewertung mit KI.
❌ Ohne strukturierten Prozess
Das Feature geht live. Dokumentation? „Machen wir später." Drei Monate später weiß niemand mehr genau, welche Logik implementiert wurde oder wie die Risikobewertung aussah.
✅ Mit klarer Dokumentation
Vor dem Go-Live wird das System erfasst, bewertet und freigegeben. Zweck, Datenbasis und Risikoklasse sind dokumentiert. Das Feature ist compliant – nicht erst im Nachhinein.
Der EU AI Act verlangt, dass Compliance Teil des Prozesses ist. Nicht ein nachgelagerter Schritt.
Situation 2: Ein Kunde stellt kritische Fragen
Ein Enterprise-Kunde möchte wissen, wie Ihre KI funktioniert und welche Risiken bestehen.
❌ Unklare Dokumentation
Sie sammeln Informationen aus verschiedenen Quellen. Slack, Confluence, E-Mails. Es dauert Tage, eine halbwegs konsistente Antwort zu formulieren.
✅ Strukturierte Übersicht
Ein Export zeigt alle relevanten Systeme, Bewertungen und Maßnahmen. Sie antworten am selben Tag – strukturiert und nachvollziehbar.
Dokumentation ist nicht nur für Behörden. Sie wird zum Verkaufsargument.
Situation 3: Die erste interne Prüfung
Ihr Datenschutzbeauftragter oder Compliance-Verantwortlicher führt ein internes Audit durch.
❌ Fragmentierte Informationen
Einige Systeme sind dokumentiert, andere nicht. Bewertungen fehlen. Verantwortlichkeiten sind unklar. Das Ergebnis: hoher manueller Aufwand und viele offene Punkte.
✅ Audit-ready Setup
Alle Systeme sind zentral erfasst. Der Status ist klar: Was ist compliant, was nicht? Wer ist verantwortlich? Das Audit wird zur Checkliste – nicht zur Suche.
Der entscheidende Unterschied: Liste vs. System
Viele Unternehmen unterschätzen den Unterschied zwischen einer Sammlung von Informationen und einem strukturierten System.
Eine Liste beantwortet: Was gibt es?
Ein System beantwortet zusätzlich:
- Was hat sich wann geändert?
- Wer ist verantwortlich?
- Was fehlt noch?
- Ist das System compliant?
Der EU AI Act verlangt kein Dokument. Er verlangt ein nachvollziehbares System.
So sieht gute KI-Dokumentation in der Praxis aus
Ein funktionierendes Setup in einem SaaS-Unternehmen folgt meist einem klaren Muster:
- Zentrale Erfassung aller KI-Systeme
- Standardisierte Risikobewertung
- Klare Verantwortlichkeiten
- Regelmäßige Reviews
- Exportierbare Nachweise
Das Ziel ist nicht Bürokratie. Das Ziel ist Kontrolle und Transparenz.
Fazit: Wer früh strukturiert, spart später Zeit
Die größte Herausforderung beim EU AI Act ist nicht die Komplexität der Anforderungen. Es ist die fehlende Struktur im Alltag.
Wer heute sauber dokumentiert, hat morgen kein Audit-Problem.
Und wer wartet, zahlt später doppelt: mit Zeit, Aufwand und Unsicherheit.
Die gute Nachricht: Der Einstieg ist einfacher, als viele denken. Wichtig ist nur, dass Sie nicht bei einer Liste stehen bleiben.
Jetzt strukturierte KI-Dokumentation aufbauen →
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die Anforderungen des EU AI Act können je nach Anwendungsfall variieren.
Über SimpleAct: SimpleAct hilft SaaS-Unternehmen, ihre KI-Systeme strukturiert und audit-sicher nach EU AI Act zu dokumentieren – von der Erfassung bis zum Compliance-Report.
Tags
Robin Wilting | SimpleAct
Autor · SimpleAct Team
