90 Tage zur KI-Reife: Produktivität steigern und Compliance nach EU AI Act und ISO/IEC 42001 sichern

Die Dynamik generativer und analytischer KI erfasst alle Kernprozesse mittelständischer und großer Unternehmen im DACH-Raum – von Fertigungslinien über Kreditprozesse bis zur Terminplanung im Krankenhaus und Category Management im Handel. Gleichzeitig steigen die regulatorischen Anforderungen: Der EU AI Act verpflichtet je nach Risikoklasse zu klarer Governance, Dokumentation, menschlicher Aufsicht und Monitoring; ISO/IEC 42001 etabliert dafür ein Managementsystem für Künstliche Intelligenz (AIMS) nach dem PDCA-Prinzip. Der Engpass ist nicht die Technologie, sondern die Organisation: Skills, Rollen, Change und Compliance müssen synchronisiert werden.

Ziel dieses 90‑Tage‑Fahrplans ist es, Ihre Belegschaft mit über 1.000 Mitarbeitenden pragmatisch zu befähigen, messbare Produktivitätsgewinne zu realisieren und gleichzeitig auditfeste Compliance aufzubauen – nachhaltig und skalierbar. Der Ansatz kombiniert rollenbasierte Lernpfade, ein schlankes Governance-Setup, gezieltes Change‑Management inklusive frühzeitiger Einbindung des Betriebsrats sowie branchenspezifische Quick‑Wins mit klaren KPIs.

Fundament in den ersten 10 Tagen: Zielbild, Governance-Light und Betriebsrat

• Zielbild und Leitplanken: Definieren Sie ein unternehmensweites KI‑Zielbild (Wertbeitrag, Risikogrenzen, Use‑Case‑Prioritäten), ergänzt um eine kompakte KI‑Policy (Datenquellen, zulässige Anwendungen, Mensch‑in‑der‑Schleife, Eskalation).
• Gremium aufsetzen: Etablieren Sie ein AI Steering Committee (Fachbereiche, IT/OT, Compliance/Legal, Datenschutz, Informationssicherheit, HR/L&D, Betriebsrat). Das Gremium priorisiert Use Cases, genehmigt Piloten und überwacht Risiken.
• EU‑AI‑Act‑Vorbereitung: Führen Sie eine Erstklassifizierung der relevanten Anwendungsfälle durch (verboten, Hochrisiko, begrenzt, minimal). Legen Sie einen Use‑Case‑Katalog mit Risikobewertung, Verantwortlichkeiten und Dokumentationsanforderungen an. Für hochriskante Anwendungen definieren Sie früh Human‑Oversight‑Mechanismen und eine Post‑Market‑Monitoring‑Routine.
• ISO/IEC 42001 als Rahmen: Starten Sie ein leichtgewichtiges AIMS mit Policy, Rollen, Risiko‑ und Änderungsmanagement sowie Metriken. Plan‑Do‑Check‑Act im kleinen Kreis – später skalieren.
• Betriebsrat einbinden: In Deutschland und Österreich bestehen Mitbestimmungsrechte bei Technologien mit potenzieller Leistungs- und Verhaltenskontrolle. Vereinbaren Sie Transparenzregeln, Pilotgrenzen, Mitwirkung an Schulungsinhalten, Testkriterien sowie eine „No‑Surprise“-Kommunikation. In der Schweiz empfiehlt sich eine analoge Sozialpartnerschaftspraxis.
• Tooling und Sicherheit: Legen Sie eine freigegebene KI‑Toolliste, Datenfreigaberegeln, Logging sowie ein zentrales Prompt‑/Use‑Case‑Repository an.

Rollen, Skill‑Matrix und Lernpfade: wer was in 90 Tagen können sollte

Rollen im Überblick und Kernkompetenzen:

• Geschäftsleitung und Bereichsleitungen: Strategische KI‑Ziele, Portfolio‑Steuerung, Risiko‑/Nutzen‑Abwägung, Budget, Governance‑Accountability.
• Fachliche Product Owner: Use‑Case‑Definition, Nutzenhypothesen, KPI‑Design, Human‑in‑the‑Loop‑Workflows, Akzeptanztests.
• Domain Experts und Citizen User: Data Literacy, sicheres Prompting, Qualitätsprüfung, Rückmeldeschleifen.
• Data Scientists/ML Engineers: Feature‑Engineering, Modellierung, Evaluierung, Bias‑ und Robustheitsprüfungen, Dokumentation (Model Cards, Datasheets).
• MLOps/IT/OT: Deployment, Monitoring, Drift‑Erkennung, Sicherheit, Skalierung, Audit‑Trails.
• Compliance/Legal/Datenschutz/Informationssicherheit: EU‑AI‑Act‑Klassifizierung, DPIA/Fundamental‑Rights‑Assessment, Dokumentation, Lieferantenprüfungen, Vorfallmanagement.
• HR/L&D: Curriculum, Lernpfade, Skill‑Assessment, Learning Analytics.
• Betriebsrat: Transparenz, Auswirkungen auf Arbeit, Mitsprache bei Einführung und Schulungen.

Lernpfade (modular, kombinierbar):

• Data Literacy (alle Nicht‑Tech‑Rollen): Datenqualität, Grundbegriffe Statistik/ML, verantwortungsvoller Umgang mit Daten, Grenzen von KI; 4–6 Stunden plus Praxis.
• Responsible AI & Compliance (alle Rollen, vertieft für Compliance/PO/DS): EU‑AI‑Act‑Pflichten je Risikoklasse, ISO/IEC 42001‑Prinzipien, Bias & Fairness, Transparenz, Dokumentation, Human‑Oversight; 3–6 Stunden.
• Praktisches Prompting (Citizen User, PO, Domain Experts): Ziel‑ und Kontextklarheit, Ketten‑Prompting, Retrieval‑Nutzung, Halluzinations‑Kontrollen, sichere Datenverwendung; 4–8 Stunden Hands‑on.
• Human‑in‑the‑Loop (PO, Domain Experts, QA): Abnahme‑Kriterien, Schwellenwerte, Escalation‑Pfad, „Stop‑Button“, Rückspielung von Feedback; 2–4 Stunden mit Playbooks.
• Technische Vertiefungen (DS/ML/Eng/MLOps): Evaluationsmetriken, Robustheit, Beobachtbarkeit, Drift/Incident‑Response, Sicherheits‑Härtung; 8–16 Stunden.

Zeitlich orchestriert: Woche 1–2 Basisschulungen (Data Literacy, Responsible AI), Woche 3–4 Prompting‑Labs, Woche 5–8 jobnahe Use‑Case‑Sprints, Woche 9–12 Human‑Oversight‑ und Monitoring‑Training im Pilotbetrieb.

Der 90‑Tage‑Fahrplan: drei Phasen mit klaren Ergebnissen

• Tage 1–30: Inventur, Befähigung, Guardrails

  • Use‑Case‑Inventur mit Fachbereichen, Priorisierung nach Wert/Risiko/Umsetzbarkeit.
  • Klassifizierung unter EU‑AI‑Act, initiale Risiko‑Analysen (inkl. Grundrechts‑/Auswirkungsprüfung für hochriskante Fälle).
  • Kick‑off‑Trainings (Data Literacy, Responsible AI), Betriebsrat‑Abstimmung zu Pilotkriterien.
  • Einrichtung: Use‑Case‑Katalog, Dokumentenvorlagen (Use‑Case‑Card, Risiko‑Check, Human‑Oversight‑Plan), Logging.
  • Pilotkandidaten definieren (je Branche 2–3 Quick‑Wins), PoC‑Umgebung und Datensandbox bereitstellen.

• Tage 31–60: Pilotierung mit Mensch‑in‑der‑Schleife und Change‑Management

  • Prompting‑Labs und jobnahe Experimente; human‑centred UIs und Freigabeschleifen.
  • Technische Evaluation (Genauigkeit, Robustheit, Erklärbarkeit), fachliche Abnahme anhand Akzeptanzkriterien.
  • Change‑Kommunikation: Nutzenfälle, Leitplanken, Erfolgsgeschichten; Führungskräfte als Multiplikatoren befähigen.
  • Lieferanten‑ und Modell‑Due‑Diligence, Sicherheits‑Review, Datenschutz‑Prüfung.
  • Betriebsvereinbarung/Pilot‑Guideline finalisieren, Feedback‑Runden mit Betriebsrat und Belegschaft.

• Tage 61–90: Skalierbarer Betrieb und Messbarkeit

  • Rollout der erfolgreichsten Piloten in ausgewählten Einheiten mit Training‑on‑the‑Job.
  • Einrichtung von Monitoring‑Dashboards (Qualität, Drift, Nutzung, Vorfälle), Post‑Market‑Monitoring gemäß EU‑AI‑Act für relevante Fälle.
  • KPI‑Tracking und Effektnachweis (Zeit‑/Kosten‑/Qualitätsgewinne), Lessons Learned.
  • AIMS‑Bausteine nach ISO/IEC 42001 verankern: Prozesse, Rollen, Auditroutinen, kontinuierliche Verbesserung.
  • Skalierungsplan (Roadmap 6–12 Monate): weitere Use Cases, Schulungswellen, Automatisierungs‑ und Sicherheitsstandards.

RACI für zentrale AI‑Aktivitäten

• Use‑Case‑Auswahl: R = Fachlicher Product Owner; A = Bereichsleitung; C = Compliance/IT/Betriebsrat; I = Geschäftsleitung.
• EU‑AI‑Act‑Klassifizierung: R = Compliance/Legal; A = Chief Compliance Officer; C = PO/DS/Datenschutz; I = Steering Committee.
• Datenfreigabe und Governance: R = Data Owner/Data Steward; A = CDO; C = Datenschutz/InfoSec/IT; I = PO/DS.
• Modellbewertung und Validierung: R = Data Scientist/QA; A = Head of Data/Analytics; C = PO/Compliance; I = Steering Committee.
• Human‑Oversight‑Design: R = PO/Domain Expert; A = Bereichsleitung; C = Compliance/Betriebsrat; I = Nutzergruppen.
• Deployment und Monitoring: R = MLOps/IT/OT; A = CIO/CTO; C = InfoSec/Compliance; I = PO/Domain Teams.
• Incident‑Response (KI): R = MLOps/InfoSec; A = CISO; C = Compliance/PO/Kommunikation; I = Steering Committee.
• Trainingscurriculum: R = HR/L&D; A = HR‑Leitung; C = PO/Compliance/Betriebsrat; I = Bereichsleitungen.
• Lieferantenmanagement: R = Einkauf/Vendor Risk; A = CFO/COO; C = Legal/Compliance/IT; I = PO.

Branchen‑Best‑Practices: schnelle Wirkung, saubere Aufsicht

• Fertigung

  • Quick‑Wins: Generative Arbeitsanweisungen aus CAD/PLM‑Daten; visuelle Qualitätsunterstützung an Prüfstationen; Predictive Maintenance auf kritischen Aggregaten.
  • Human‑in‑the‑Loop: Werker/Fachprüfer gibt finale Freigabe; Schwellenwerte und „Stop‑Button“; Rückmeldung von Fehlklassifikationen.
  • Compliance‑Hinweis: Qualitäts‑/Sicherheitsbezug sorgfältig klassifizieren; bei sicherheitsrelevanten Komponenten potenziell hochriskant – Dokumentation, Datenqualität, Monitoring konsequent umsetzen.

• Finanzdienstleistung

  • Quick‑Wins: KYC/AML‑Unterstützung (Dokumenten‑Extraktion mit menschlicher Prüfung), Kreditvorprüfung mit Fairness‑Checks, Kundenservice‑Copilots mit Wissensbasis.
  • Human‑in‑the‑Loop: Vier‑Augen‑Prinzip bei Entscheidungen; Schwellenwerte für automatische Ablehnungen vermeiden; Erklärbarkeits‑Reports für Underwriter.
  • Compliance‑Hinweis: Kredit‑Scoring gilt typischerweise als hochriskant; Transparenz, Bias‑Prüfungen, technische Dokumentation und Post‑Market‑Monitoring sind Pflicht.

• Gesundheitswesen

  • Quick‑Wins: Termin‑ und Ressourcendisposition; klinische Dokumentationshilfe; Triage‑Unterstützung mit klaren Sicherheitsnetzen.
  • Human‑in‑the‑Loop: Ärztliche/medizinische Freigabe verpflichtend; klare Abgrenzung Assistenz vs. Entscheidung.
  • Compliance‑Hinweis: Medizinprodukt‑Kontext und EU‑AI‑Act‑Vorgaben beachten; strenge Datensicherheit und Audit‑Trails.

• Handel

  • Quick‑Wins: Nachfrageprognosen und automatisierte Dispo‑Vorschläge; Preis‑Elasticity‑Analysen; generative Produkttexte mit Markenguidelines.
  • Human‑in‑the‑Loop: Category Manager bestätigen Bestellvorschläge; Redaktionsfreigabe für Content.
  • Compliance‑Hinweis: Transparenz bei KI‑generiertem Content; Lieferanten‑KI in der Kette prüfen.

KPI‑Set für Readiness und Wirkung

• Readiness/Adoption

  • Trainingsquote je Rolle (% abgeschlossen), Skill‑Uplift (Vor‑/Nachtests).
  • Anteil Mitarbeitender mit Zugriff auf freigegebene KI‑Tools; aktive monatliche Nutzer (MAU).
  • Abdeckung: % Use Cases mit vollständiger Klassifizierung und Dokumentation.

• Qualität/Produktivität

  • Durchlaufzeiten in Kernprozessen (z. B. Angebotserstellung, KYC, Disposition) – Median/95‑Perzentil.
  • First‑Pass‑Yield/Fehlerrate vor vs. nach KI‑Assistenz.
  • Forecast‑Güte (MAPE) in Planung/Bestand; Ticket‑Lösungszeit im Service.

• Compliance/Risiko

  • % hochriskanter Use Cases mit aktivem Human‑Oversight‑Plan und Monitoring‑Dashboard.
  • Bias‑/Robustheits‑Metriken je Modell; Anzahl/Schwere von Vorfällen.
  • Audit‑Reifegrad (Dokumentationsvollständigkeit, Nachvollziehbarkeit), Zeit bis Genehmigung.

• Wertbeitrag

  • Netto‑Zeitersparnis (Stunden/Monat), Kostenersparnis, Umsatz‑/Service‑Uplift je Use Case.
  • ROI/Payback‑Zeit pro Pilot und im Portfolio.

Checklisten für Schulungen, Dokumentation und menschliche Aufsicht

• Schulungen

  • Rollenspezifische Lernpfade definiert und kommuniziert; Teilnahme verpflichtend dokumentiert.
  • Praxislabs mit eigenen Daten/Workflows; Anwendungsfall‑Reflexion inkl. Risiken.
  • Betriebsrat in Curriculum und Kommunikation eingebunden; Feedback‑Schleifen eingeplant.

• Dokumentation (EU‑AI‑Act/ISO‑konform, je nach Risikoklasse)

  • Use‑Case‑Beschreibung, Zweck, erwarteter Nutzen, betroffene Stakeholder und Grundrechte‑Analyse.
  • Datenherkunft, Datenqualität, Vorverarbeitung; Modellbeschreibung inkl. Versionierung und Evaluationsmetriken.
  • Transparenzhinweise für Nutzer/Kunden; Limitations/Residual Risks.
  • Human‑Oversight‑Plan, Schwellenwerte, Eskalation, Fallback‑Prozesse.
  • Post‑Market‑Monitoring‑Plan, Vorfall‑Meldemechanismus, Änderungsmanagement.
  • Lieferanten‑Due‑Diligence (Compliance‑Zertifikate, Sicherheitsnachweise, Support‑Verträge).

• Human‑in‑the‑Loop

  • Klare Entscheidungspunkte mit Rollen und Verantwortungen; „Override“ jederzeit möglich.
  • Benutzeroberflächen mit Begründungen/Erklärungen; Anzeigen von Unsicherheit.
  • Protokollierung aller menschlichen Freigaben/Korrekturen; Feedback‑Rückführung ins Modell.
  • Trainings zu Bestätigungsfehlern (Automation Bias) und kognitiven Verzerrungen.

• Sicherheit und Datenschutz

  • Datenminimierung, Pseudonymisierung wo möglich; Geheimhaltungsstufen für Prompts/Daten.
  • Zugriffskontrollen, Key‑Management, Logging; regelmäßige Pen‑/Red‑Team‑Tests für KI‑Funktionen.

Nach 90 Tagen: Verstetigen und skalieren

• Institutionalisieren: AIMS nach ISO/IEC 42001 mit klaren Prozessen, Rollen, Metriken in der Linienorganisation verankern; Audit‑Readiness herstellen.
• Center of Enablement: Wiederverwendbare Bausteine (Prompt‑Kits, Evaluationssuiten, Human‑Oversight‑Playbooks, Sicherheitsstandards) bereitstellen.
• Portfolio steuern: Quartalsweise Priorisierung, Value‑und‑Risk‑Gates, Budgetierung und Kapazitätsplanung.
• People & Change: KI‑Academy mit rollierenden Lernpfaden, Communities of Practice, Führungskräfte‑Coaching; kontinuierliche Partizipation mit dem Betriebsrat.
• Technik konsolidieren: Freigegebene Modell‑/Plattformstrategie (Build/Buy/Partner), Observability, Feature‑Store, sichere Integrationsmuster.
• Regionale Besonderheiten: EU‑AI‑Act als Mindeststandard im gesamten DACH‑Portfolio; branchenspezifische Normen (z. B. MDR, BaFin‑Rundschreiben) ergänzen.

Fazit: Schnelle Erfolge, die halten

Mit einem klar strukturierten 90‑Tage‑Programm bauen Sie gleichzeitig Kompetenz, Akzeptanz und Compliance auf. Der Schlüssel liegt in der Verknüpfung von rollenbasierten Lernpfaden, praxistauglichen Guardrails, frühzeitiger Mitbestimmung und messbaren Pilotgewinnen. So erzielen Sie innerhalb von drei Monaten sichtbare Produktivitäts‑ und Qualitätssteigerungen – und legen die Grundlagen für einen skalierbaren, auditfesten KI‑Betrieb, der Ihre Organisation nachhaltig wettbewerbsfähig macht.