Ein Ampel-System klassifiziert KI-Use-Cases vor dem Auditor, nicht erst nach ihm.

Der EU AI Act ist am 2. August 2026 für Hochrisiko-KI-Systeme voll anwendbar. Verstöße können bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Konzernumsatzes kosten. Im Mittelstand mit 20 oder mehr KI-Use-Cases bedeutet das: jede einzelne Anwendung muss klassifiziert, freigegeben und überwacht werden. Ein Ampel-System mit drei Stufen ist die operativ verlässlichste Antwort darauf – einfach genug für den täglichen Einsatz, robust genug für den Compliance-Audit.

Dieser Satellite zeigt das Ampel-System im Detail: die drei Stufen mit ihren Pflicht-Pfaden, das Mapping auf die wichtigsten EU-AI-Act-Artikel, drei Mittelstand-Beispiele aus Versicherung, Industrie und Maschinenbau, und die operative Verankerung im KI-Betriebssystem. Wer den übergeordneten Pillar zum KI-Betriebssystem sucht, findet ihn unter KI-Betriebssystem im Mittelstand.

Warum ein Ampel-System und keine 20-seitige Policy

In vielen mittelständischen Unternehmen liegt heute eine KI-Policy als Word-Dokument auf dem Compliance-Laufwerk. 20 Seiten lang, von einer externen Kanzlei geschrieben, von niemandem gelesen. Sie hilft nicht im operativen Tagesgeschäft, weil sie zu lang und zu abstrakt ist. Ein Ampel-System dagegen ist auf einer Seite verständlich: drei Farben, drei klare Pflicht-Pfade, ein Beispiel pro Farbe. Damit kann jede Abteilungsleitung ad hoc entscheiden, in welche Klasse ein neuer Use-Case fällt.

Der zweite Vorteil: das Ampel-System lässt sich operativ im KI-Betriebssystem hinterlegen. Jeder Skill in der Skill-Bibliothek bekommt eine Ampel-Klasse, jeder Use-Case beim Onboarding einer neuen Anwendung wird klassifiziert, jeder Mitarbeiter sieht im Tool, in welcher Klasse er gerade arbeitet. Das ist Compliance-by-Design, nicht Compliance-als-PDF.

Praxisstimme eines Compliance-Officers

Ein anonymisierter Compliance-Officer eines Versicherers im Mittelstand formulierte es so: „Ohne Ampel hatte ich 20 Use-Cases auf einer Liste, ohne Klassifizierung, ohne Owner. Jetzt steht jeder einer Farbe zu – das hat den Auditor zum ersten Mal beruhigt.“ Die Auditor-Beruhigung ist das eigentliche Ziel des Ampel-Systems.

Drei Stufen: Grün, Gelb, Rot mit Pflicht-Pfaden

Die drei Stufen sind so definiert, dass die Klassifizierung in 30 Sekunden gelingt und doch jeden Audit-Anspruch trägt.

Die Klassifizierung erfolgt typischerweise durch den Use-Case-Owner gemeinsam mit Compliance. Im Zweifel wird höhere Klasse gewählt. Die Höherstufung von Gelb auf Rot kann jederzeit erfolgen, die Niedrigstufung von Rot auf Gelb braucht zusätzliche Prüfung und Vorstands-Sign-off.

Mapping auf EU-AI-Act-Artikel

Die Ampel-Klassen mappen auf die wichtigsten EU-AI-Act-Artikel. Diese Tabelle ist die Grundlage für das Gespräch mit dem Auditor und mit der Aufsichtsbehörde.

• Artikel 4 (AI-Kompetenz): Pflicht für alle Klassen. Mitarbeiter, die mit KI arbeiten, brauchen nachgewiesene Kompetenz.
• Artikel 6 (Hochrisiko-Definition): Klasse Rot trifft direkt auf Use-Cases im Sinne des Artikels – z.B. Bonitäts-Bewertung, Personal-Auswahl, Schadenklassifizierung mit unmittelbarer Auswirkung.
• Artikel 9 (Risikomanagement): Pflicht für Klasse Rot. Eine dokumentierte Risikobewertung pro Use-Case mit Owner und Review-Datum.
• Artikel 50 (Disclosure): Pflicht für Klasse Gelb und Rot bei Außenwirkung. KI-erzeugte Aussagen werden gegenüber dem Empfänger gekennzeichnet.
• Artikel 99 (Sanktionen): Verstöße bis zu 35 Millionen Euro oder sieben Prozent des Konzernumsatzes.

Quelle EU AI Act offiziell: Verordnung 2024/1689. Die ISO IEC 42001 als komplementärer Standard für AI-Management-Systeme deckt zusätzliche Aspekte des Risiko- und Qualitätsmanagements ab.

Drei Mittelstand-Beispiele

Versicherer mit Schaden-Triage

Ein anonymisierter Versicherer hat ungefähr 15 KI-Use-Cases. Klassifizierung im Ampel-System: Schaden-Triage ist Rot (automatisierte Einzelentscheidung mit Auswirkung auf den Kunden), Brief-Vorlagen-KI ist Gelb (Außenwirkung, aber kein Entscheidungs-Charakter), interne Mitarbeiter-FAQ ist Grün (keine Außenwirkung). Pro Klasse fester Freigabe-Pfad im KI-Betriebssystem. Audit-Vorbereitungszeit sinkt um 78 Prozent, keine BaFin-Findings im nächsten Zyklus.

Industriedienstleister mit ISO-42001-Anspruch

Ein anonymisierter Industriedienstleister braucht den Nachweis nach ISO IEC 42001 für Grosskunden. Die Norm verlangt dokumentierte Risikobewertung pro KI-Use-Case. Das Ampel-System im KI-Betriebssystem dokumentiert pro Skill die Klassifizierung, den Owner und das Review-Datum. ISO-Zertifizierung in vier Monaten erreicht statt der ursprünglich geplanten zwölf Monate.

Maschinenbauer mit Produktions-KI

Ein anonymisierter Maschinenbauer setzt KI in der Produktionsplanung ein. DSGVO Artikel 22 (automatisierte Einzelentscheidung) muss sauber abgegrenzt werden. Das Ampel-System klassifiziert Produktionsplanungs-KI als Gelb mit Human-in-the-Loop-Pflicht; die KI macht Vorschläge, der Schichtleiter entscheidet. Roter Use-Case mit autonomer Entscheidung gibt es bewusst nicht. Mitbestimmungs-Verfahren wird auf vier Wochen verkürzt, keine Beschwerden vom Betriebsrat.

Operative Verankerung im KI-Betriebssystem

Das Ampel-System bleibt eine Folie, wenn es nicht im täglichen Tool sichtbar ist. Die Verankerung im KI-Betriebssystem erfolgt an vier Stellen.

• Skill-Bibliothek: Jeder Skill bekommt beim Eintrag eine Ampel-Klasse. Beim Aufruf ist die Klasse für den Mitarbeiter sichtbar.
• Ablauf-Schicht (Fachbegriff: Workflow-Plane): Bei mehrstufigen Pipelines wird die höchste Klasse aller Schritte als Gesamt-Klasse übernommen. Wer Schaden-Triage (Rot) mit Brief-Vorlage (Gelb) kombiniert, hat eine Rote Pipeline.
• Policy and Approval Plane: Pro Klasse fester Freigabe-Pfad. Grün: Selbst-Freigabe. Gelb: Vorgesetzte. Rot: Vier-Augen plus Compliance.
• Audit and Evidence Plane: Pro Use-Case-Aufruf wird Klasse, Freigabe, Eingabe, Antwort und Datum protokolliert. Das ist das Audit-Trail-Material für den nächsten Prüfer-Termin.

Eine vollständige Architektur dieser vier Stellen ist im Pillar KI-Betriebssystem im Mittelstand dokumentiert. Die Knowledge and RAG Plane mit Berechtigungs-Schicht im Detail unter Kontext-Layer für KI im Mittelstand. Die Ablauf-Schicht für Pipelines unter KI-Agenten-Pipeline im Mittelstand.

Fristen und Sanktionen 2026

Drei Stichtage sind 2026 relevant. 2. Februar 2026: EU AI Act Artikel 4 (AI-Kompetenz-Pflicht) wird wirksam. Alle Mitarbeitenden, die KI nutzen oder von KI-Entscheidungen betroffen sind, brauchen nachweisbare Kompetenz. 2. August 2026: Hochrisiko-KI-Systeme nach Artikel 6 brauchen volle Compliance – Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht. 2. August 2027: alle übrigen Pflichten des AI Act werden voll anwendbar.

Die Frist-Logik in einem Satz

Wer im August 2026 keinen Audit-Trail für seine Hochrisiko-KI-Use-Cases hat, riskiert Sanktionen bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Konzernumsatzes. Im Mittelstand mit 50 Millionen Jahres-Umsatz sind das bis zu 3.5 Millionen Euro Strafrisiko. Das Ampel-System operationalisiert die AI-Act-Compliance vor diesem Stichtag.

Nächste Schritte

Drei Fragen klären, ob Ihr Unternehmen vor August 2026 sauber aufgestellt ist. Erstens: Wie viele KI-Use-Cases laufen heute, und in welcher Klasse befinden sie sich nach dem Ampel-System? Zweitens: Wer ist Owner pro Use-Case, und wer führt die Freigabe nach Klasse-Pflicht-Pfad durch? Drittens: Wo sitzt der Audit-Trail, und wer hat Zugriff im Prüfungs-Fall?

Wer das Ampel-System als Teil eines KI-Betriebssystems aufsetzen will, findet die übergeordnete Roadmap unter KI-Betriebssystem im Mittelstand. Die Produkt-Beschreibung von sensified ai-os mit operativ verankertem Ampel-System unter KI-Betriebssystem für Unternehmen im Mittelstand. Ein 30-minütiges Strategiegespräch klärt, in welcher Phase Ihre Governance heute steht und welche zwei Use-Cases bis August 2026 die Audit-Sicherheit am dringendsten brauchen.