Dein Einkäufer bei einem Automobilhersteller schickt dir einen Fragebogen. Thema: KI-Compliance. Du sollst dokumentieren, welche KI-Systeme du im Betrieb einsetzt, wie du Daten verarbeitest und ob du den AI Act einhältst. Willkommen in der neuen Realität für Zulieferer in der produzierenden Industrie.
Hinweis: Dieser Artikel ist keine Rechtsberatung. Er dient der Orientierung und ersetzt nicht die Prüfung durch eine qualifizierte Rechtsanwältin oder einen Rechtsanwalt.
Warum dein Kunde plötzlich nach dem AI Act fragt
OEM-Kunden in der Automobil- und Industriebranche stehen selbst unter Druck. Der AI Act ist seit Februar 2025 in Kraft, und die großen Hersteller müssen nachweisen, dass ihre gesamte Lieferkette compliant ist. Das funktioniert nach dem gleichen Prinzip wie bei Umwelt- oder Qualitätsaudits: Die Verantwortung wird nach unten durchgereicht.
Konkret bedeutet das: Wenn ein Tier-1-Kunde wie Bosch, Continental oder ZF seine KI-Compliance nachweisen muss, fordert er von dir als Tier-2- oder Tier-3-Zulieferer entsprechende Dokumentation an. Das passiert gerade flächendeckend in der Branche — nicht irgendwann, sondern jetzt.
Die Frage ist nicht mehr, ob du dich mit dem AI Act beschäftigen musst. Die Frage ist, ob du vorbereitet bist, wenn der Fragebogen auf deinem Schreibtisch landet.
Was der AI Act für produzierende Unternehmen bedeutet
Viele Geschäftsführer in der Produktion denken: “Wir sind kein Tech-Unternehmen, wir drehen Metallteile.” Das stimmt — aber KI hat sich längst in den Betriebsalltag eingeschlichen. Oft ohne, dass es als KI wahrgenommen wird.
Typische KI-Anwendungen in einem produzierenden Betrieb:
- Qualitätskontrolle: Optische Prüfsysteme mit Bilderkennungs-KI, die Oberflächenfehler erkennen
- Kalkulation: Software, die Angebote auf Basis historischer Daten und Materialpreise automatisch kalkuliert
- Dokumentation: KI-gestützte Systeme, die Prüfprotokolle erstellen oder Messdaten auswerten
- Produktionsplanung: Algorithmen, die Maschinenauslastung und Reihenfolgenplanung optimieren
- Predictive Maintenance: Systeme, die Maschinenstillstände vorhersagen
- Kommunikation: ChatGPT oder Copilot für E-Mails, Angebote oder technische Beschreibungen
Jede einzelne dieser Anwendungen fällt unter den AI Act. Die Frage ist nur, in welche Risikoklasse sie gehört. Für die meisten Anwendungen in der Produktion gilt: Sie fallen in die Kategorie “begrenztes Risiko” oder — bei sicherheitsrelevanten Bauteilen — potenziell in “hohes Risiko”.
Wenn du Teile für sicherheitskritische Anwendungen lieferst (Fahrwerk, Bremsen, Lenkung), und KI in deiner Qualitätskontrolle eine Rolle spielt, bist du im Bereich Hochrisiko-KI. Das bedeutet deutlich mehr Dokumentationspflichten.
AI Act und ISO 9001/IATF 16949: Wie es zusammenspielt
Hier kommt die gute Nachricht: Wenn du bereits nach ISO 9001 oder IATF 16949 zertifiziert bist, hast du einen riesigen Vorsprung. Die Strukturen, die du für dein Qualitätsmanagement aufgebaut hast, lassen sich direkt auf die AI-Act-Anforderungen übertragen.
ISO 9001 und AI Act — die Parallelen:
| ISO 9001 Anforderung | AI Act Entsprechung |
|---|---|
| Risikobewertung (Abschnitt 6.1) | Risikoklassifizierung der KI-Systeme |
| Dokumentierte Prozesse (Abschnitt 7.5) | KI-Dokumentation und Transparenzpflicht |
| Kompetenz und Schulung (Abschnitt 7.2) | KI-Kompetenzpflicht (Artikel 4) |
| Überwachung und Messung (Abschnitt 9.1) | Menschliche Aufsicht über KI-Systeme |
| Kontinuierliche Verbesserung (Abschnitt 10.3) | Regelmäßige Überprüfung der KI-Systeme |
IATF 16949 bringt noch mehr Deckung:
Die IATF 16949 geht über ISO 9001 hinaus und deckt viele AI-Act-Anforderungen praktisch eins zu eins ab. Dein FMEA-Prozess? Der lässt sich auf KI-Risikobewertung erweitern. Dein APQP-Verfahren? Perfekt als Rahmen für die Einführung neuer KI-Systeme. Die Lenkung dokumentierter Information? Genau das, was der AI Act für KI-Dokumentation fordert.
Du musst also nicht bei null anfangen. Du musst dein bestehendes QM-System erweitern, nicht ersetzen.
Was bei Lieferanten-Audits gefragt wird
Lass uns konkret werden. Bei Tier-1-Audits tauchen zunehmend KI-bezogene Fragen auf. Hier sind die typischen Fragen, auf die du vorbereitet sein solltest:
Bestandsaufnahme:
- Welche KI-Systeme setzen Sie in Produktion, Qualitätskontrolle und Verwaltung ein?
- Gibt es ein KI-Inventar mit Risikoklassifizierung?
- Werden KI-gestützte Prüfverfahren in der Qualitätskontrolle eingesetzt?
Datenverarbeitung:
- Wo werden die Daten verarbeitet, die in KI-Systeme einfließen?
- Werden Produktionsdaten an externe Cloud-Dienste übertragen?
- Wie stellen Sie sicher, dass Kundendaten (Zeichnungen, Spezifikationen) nicht in KI-Trainingsdaten einfließen?
Compliance und Dokumentation:
- Wie klassifizieren Sie Ihre KI-Systeme nach dem AI Act?
- Existiert eine Dokumentation zur menschlichen Aufsicht über KI-Entscheidungen?
- Werden Mitarbeiter im Umgang mit KI-Systemen geschult?
- Wie stellen Sie die Nachvollziehbarkeit von KI-Entscheidungen in der Qualitätsprüfung sicher?
Lieferkette:
- Nutzen Sie KI-Dienste von Drittanbietern? Wenn ja, welche?
- Sind diese Drittanbieter ihrerseits AI-Act-compliant?
- Wie gehen Sie mit Software-Updates um, die KI-Komponenten verändern?
Wer auf diese Fragen keine Antworten hat, fällt im Audit durch. Und ein gescheitertes Audit kann im schlimmsten Fall den Lieferantenstatus kosten.
Self-Hosted vs. Cloud: Warum Datenhoheit in der Produktion Pflicht ist
Dieser Punkt ist für produzierende Unternehmen besonders kritisch. Deine Produktionsdaten — Toleranzen, Maschinenparameter, Prüfprotokolle, Kundenzeichnungen — sind Betriebsgeheimnisse. Wenn du Cloud-basierte KI-Dienste wie ChatGPT, Google Gemini oder Microsoft Copilot nutzt, werden diese Daten an externe Server übertragen.
Das ist aus zwei Gründen problematisch:
1. Deine OEM-Kunden verbieten es. In den meisten Geheimhaltungsvereinbarungen (NDA) mit Automobilherstellern steht explizit, dass Kundendaten nicht an Dritte weitergegeben werden dürfen. Wenn du eine Kundenzeichnung durch ChatGPT jagst, um eine Kalkulation zu erstellen, verstößt du möglicherweise gegen diese Vereinbarung.
2. Der AI Act fordert Datentransparenz. Du musst dokumentieren, wohin Daten fließen. Bei Cloud-Diensten amerikanischer Anbieter kollidiert das zusätzlich mit der DSGVO.
Die Lösung: Self-Hosted KI. Open-Source-Modelle wie Llama, Mistral oder Phi lassen sich auf eigener Hardware betreiben. Die Daten verlassen dein Netzwerk nie. Das klingt nach großem IT-Projekt, ist aber mittlerweile mit überschaubarem Aufwand umsetzbar. Ein lokaler Server mit entsprechender Hardware reicht für die meisten Anwendungsfälle in KMU aus.
Für die Audit-Dokumentation ist Self-Hosting ein klarer Vorteil: Du kannst schwarz auf weiß nachweisen, dass keine Produktionsdaten das Haus verlassen.
5-Schritte-Plan: Vom Audit bis zur Compliance-Dokumentation
Du brauchst keinen seitenlangen Maßnahmenplan. Diese fünf Schritte bringen dich in eine solide Position:
Schritt 1: KI-Kompetenz aufbauen
Bevor du irgendetwas dokumentierst, brauchst du ein grundlegendes Verständnis. Der AI Act schreibt in Artikel 4 eine KI-Kompetenzpflicht vor. Das gilt für dich als Geschäftsführer genauso wie für deine Mitarbeiter. Eine halbtägige Schulung reicht für den Anfang — wichtig ist, dass sie dokumentiert wird.
Schritt 2: KI-Inventar erstellen
Geh systematisch durch jeden Bereich: Produktion, QM, Einkauf, Kalkulation, Verwaltung. Liste jedes Tool auf, das KI-Komponenten enthält. Das umfasst auch Software, bei der KI “unter der Haube” arbeitet — zum Beispiel ERP-Systeme mit KI-gestützter Bedarfsplanung oder CAQ-Software mit automatischer Fehlererkennung.
Schritt 3: Risikoklassifizierung durchführen
Ordne jedes KI-System einer Risikoklasse zu. Orientiere dich an der Frage: Welche Konsequenz hat eine Fehlentscheidung der KI? Wenn die Antwort “Ausschussteile” ist, bist du bei begrenztem Risiko. Wenn die Antwort “Sicherheitsrelevante Bauteile fallen durch die Prüfung” ist, bist du bei hohem Risiko.
Schritt 4: Dokumentation in das QM-System integrieren
Erstelle kein paralleles System. Integriere die KI-Dokumentation in dein bestehendes QM-Handbuch. Ergänze deine Prozessbeschreibungen um KI-relevante Aspekte. Nutze dein bestehendes Audit-Format, um KI-Checks aufzunehmen. So hast du alles an einem Ort und dein QM-Beauftragter kann es mitbetreuen.
Schritt 5: Pilotprojekt mit Self-Hosted KI starten
Statt alles auf einmal umzustellen, starte mit einem konkreten Anwendungsfall. Zum Beispiel: KI-gestützte Dokumentenerkennung für Lieferscheine und Prüfzertifikate. Lokal gehostet, sauber dokumentiert, AI-Act-konform. Das gibt dir praktische Erfahrung und ein vorzeigbares Ergebnis für das nächste Audit.
Praxisbeispiel: Metallverarbeiter mit 65 Mitarbeitern
Stell dir folgendes Szenario vor — es basiert auf einer typischen Situation, wie sie gerade hundertfach in Deutschland vorkommt:
Ein Metallverarbeitungsbetrieb mit 65 Mitarbeitern, Zulieferer für die Automobilindustrie, zertifiziert nach ISO 9001 und IATF 16949. Der Geschäftsführer bekommt von seinem größten Kunden einen KI-Compliance-Fragebogen. Deadline: sechs Wochen.
Status quo: Im Betrieb werden bereits KI-Anwendungen genutzt — ohne dass sie als solche identifiziert sind. Die CAQ-Software hat eine KI-Bilderkennungsfunktion für die optische Prüfung. Zwei Mitarbeiter im Büro nutzen ChatGPT für Angebote und technische Texte. Das ERP-System hat eine “intelligente” Bedarfsplanung. Der Geschäftsführer selbst nutzt Copilot in Outlook.
Die Lösung in der Praxis:
- Woche 1-2: Halbtägige KI-Schulung für Geschäftsführung, QM-Leiter und Abteilungsleiter. Parallel: KI-Inventar erstellen. Ergebnis: 7 KI-Systeme identifiziert, davon 1 als Hochrisiko (optische Prüfung für sicherheitsrelevante Teile).
- Woche 3: Risikoklassifizierung und Abgleich mit bestehendem QM-System. Das FMEA-Format wird um KI-Risiken erweitert. Die CAQ-Software wird als Hochrisiko-KI dokumentiert — inklusive menschlicher Aufsicht (Prüfer validiert KI-Ergebnisse stichprobenartig).
- Woche 4: ChatGPT wird durch eine Self-Hosted-Lösung ersetzt. Ein lokales KI-Modell läuft auf einem Server im Betrieb. Kundenzeichnungen und Kalkulationsdaten verlassen das Netzwerk nicht mehr.
- Woche 5-6: Dokumentation wird ins QM-Handbuch integriert. KI-Policy wird erstellt und als dokumentierte Information gelenkt. Schulungsnachweise werden abgeheftet. Der Compliance-Fragebogen wird beantwortet.
Ergebnis: Der Betrieb besteht das Audit. Mehr noch: Er nutzt die KI-Compliance als Differenzierungsmerkmal im Wettbewerb. Wenn zwei Zulieferer technisch gleichwertig sind, bekommt der den Auftrag, der seine KI-Compliance sauber nachweisen kann.
Fazit: AI Act als Wettbewerbsvorteil statt Bremsklotz
Der AI Act kommt nicht irgendwann in der Zuliefererkette an — er ist bereits da. OEM-Kunden fordern Nachweise, und wer nicht vorbereitet ist, riskiert mehr als ein paar Dokumentationslücken. Im schlimmsten Fall steht der Lieferantenstatus auf dem Spiel.
Die gute Nachricht: Als produzierendes Unternehmen mit ISO 9001 oder IATF 16949 hast du die Grundlagen bereits gelegt. Du musst dein QM-System erweitern, nicht neu erfinden. Mit Self-Hosted KI löst du gleichzeitig das Datenschutzproblem und kannst deinen Kunden schwarz auf weiß zeigen, dass Produktionsdaten im Haus bleiben.
Der smarteste Weg: Starte jetzt mit einer KI-Schulung, mach eine Bestandsaufnahme und setz ein Pilotprojekt um. Damit bist du nicht nur compliant — du bist dem Wettbewerb einen Schritt voraus.
Erlebe es live
Wie das in der Praxis aussieht, siehst du in unserer interaktiven Demo:
- AI Act Compliance-Check für produzierende Unternehmen – Finde in 2 Minuten heraus, wie gut dein Betrieb auf den EU AI Act vorbereitet ist
Du willst wissen, wo dein Betrieb beim Thema KI-Compliance steht? Ich helfe dir mit einer Bestandsaufnahme, der richtigen Self-Hosted-Lösung und einer Dokumentation, die beim nächsten Audit besteht. Lass uns reden — unverbindlich und auf Augenhöhe.