AI-Audit-Readiness in 90 Tagen: was Mittelstand vor BfDI und BNetzA vorbereitet

Schlüsselzahlen auf einen Blick

• 02.08.2026: Stichtag für die KI-Verordnung. Verantwortlichkeiten der nationalen Aufsichten greifen, Bußgeld-Rahmen wird scharf, Innovation Labs starten.
• KI-MIG (KI-Marktüberwachungs- und Innovationsförderungsgesetz): vom Bundeskabinett am 11.02.2026 beschlossen. Verankert die nationale Aufsichtsstruktur (BMDS).
• BNetzA plus KoKIVO: Bundesnetzagentur ist zentrale Marktüberwachungsbehörde. Das Koordinierungs- und Kompetenzzentrum für die KI-Verordnung (KoKIVO) koordiniert sektorale Behörden, betreibt den AI Service Desk und verwaltet die KI-Sandbox (Bundestag-Anhörung).
• BSI C5:2026: veröffentlicht 07.04.2026, 168 Kriterien. Mandatory ab 01.06.2027 für alle C5-Audits, auch laufende Type-2-Attestierungen, die danach enden (BSI).
• ISO/IEC 42001:2023 (AI Management System): internationaler AIMS-Standard. KMU-Beratung plus Audit ab 6.900 EUR. DAkkS-akkreditierte Erstzertifizierung mindestens 4 Tage Audit. ROI typisch 12 bis 18 Monate (ISO, Acato KMU-Leitfaden).
• AI Act Art. 26: Deployer-Pflichten gelten unmittelbar. Operationale Kontrollen sind ab August prüfbar.

Warum dieser Post jetzt relevant ist

Die Big4 haben den Markt geöffnet: 6-Monats-AI-Audit-Readiness-Programme ab 250.000 EUR aufwärts, mit 12-Mann-Projektteams und Frameworks, die für Konzerne mit eigenem Compliance-Office gebaut sind. Für ein Mittelstand-Unternehmen mit 100 bis 1.000 Mitarbeitern, drei produktiven KI-Use-Cases und einem 4-köpfigen Plattform-Team ist das nicht passend, weder in Tiefe noch im Budget.

Gleichzeitig liefert die Aufsichtsseite kein 1:1-Pendant. Es gibt 2026 keinen offiziellen BfDI-Audit-Leitfaden für KI im Mittelstand, kein verbindliches BNetzA-Prüfschema. Was es gibt: drei kombinierbare Anker, AI Act Artikel 26 (operativ), BSI C5:2026 (Cloud-Compliance-Lens), ISO/IEC 42001 (freiwilliger AIMS-Standard). Dieser Post zeigt, wie Mittelstand-CTOs daraus einen Lean-90-Tage-Plan bauen, der in einem realen Audit hält, ohne 250.000 EUR auszugeben.

Die Logik: Wenn am 02.08.2026 jemand anklopft, BfDI, BNetzA oder eine sektorale Behörde, willst du drei Dinge zeigen können. Erstens, ein vollständiges KI-Inventar mit Risiko-Klassifizierung. Zweitens, dokumentierte Kontrollen für jeden Use-Case mit Risiko über minimal. Drittens, einen funktionierenden Incident-Response-Pfad. Alles andere ist Bonus.

Wer fragt: Behörden-Landkarte 2026

BNetzA und KoKIVO. Bundesnetzagentur ist die zentrale Marktüberwachungsbehörde für die KI-Verordnung. Sie prüft dort, wo keine sektorale Behörde zuständig ist. Das KoKIVO koordiniert Auslegungsfragen über alle Behörden hinweg, betreibt den AI Service Desk für Unternehmen und verwaltet die KI-Sandbox. Wenn du als Mittelständler in einer nicht-regulierten Branche KI in HR, Vertrieb oder operativem Reporting einsetzt, ist BNetzA dein primärer Ansprechpartner.

BfDI. Der Bundesbeauftragte für Datenschutz und Landes-Datenschutzbehörden bleiben zuständig für Datenschutz-Schnittstellen, insbesondere bei biometrischen Systemen, Profiling und potenziellen Grundrechtsverletzungen. Die BfDI-Stellungnahme zur KI-Verordnung vom 23.03.2026 macht deutlich: bei Hochrisiko-KI mit Personenbezug rechnest du mit Doppel-Aufsicht, BNetzA für KI-Verordnung, BfDI/Landesbehörde für DSGVO (BfDI-Stellungnahme).

BaFin. Hochrisiko-KI in Finanzdienstleistungen (Kreditscoring, Anti-Geldwäsche, automatisierte Versicherungsentscheidungen) wird durch BaFin geprüft. Wenn dein Unternehmen Banking, Versicherung oder Wertpapierhandel berührt, geht der Audit-Pfad über BaFin, nicht über BNetzA.

BSI. Das Bundesamt für Sicherheit in der Informationstechnik ist nicht KI-Verordnungs-Aufsicht, prägt aber den Audit-Markt über C5:2026 und KRITIS. Wenn deine KI-Workloads in zertifizierten Cloud-Umgebungen laufen, fließt C5:2026 indirekt in jeden KI-Audit ein.

Sektorale Aufsicht. Medizinprodukte (BfArM), Verkehr (KBA), Produktsicherheit (BAuA) und weitere können bei branchenspezifischer KI ergänzend prüfen. Hier liegt die Koordinationslast beim KoKIVO, nicht bei dir.

Drei Frameworks im Audit-Stack

(a) AI Act Artikel 26: Deployer-Pflichten (operativ, ab 02.08.2026 prüfbar).

Artikel 26 listet, was du als Deployer eines Hochrisiko-KI-Systems unmittelbar tun musst. Anweisungen des Anbieters umsetzen, menschliche Aufsicht sicherstellen, Eingabedaten kontrollieren, Logs aufbewahren (mindestens 6 Monate), Vorfälle melden, Beschäftigte vor Einsatz informieren, Folgenabschätzung bei Grundrechtsrelevanz. Das ist die operative Schicht. Hier prüft die Behörde, ob deine Prozesse leben, nicht ob du ein 200-Seiten-Compliance-Dokument hast.

(b) BSI C5:2026: Cloud-Compliance-Lens (mandatory ab 01.06.2027).

C5:2026 hat 168 Kriterien und führt erstmals AI-Transparenz-Anforderungen, Container-Management (OPS-34/35), Confidential Computing (OPS-32/33), Post-Quantum-Crypto-Vorbereitung und Supply-Chain-Security mit SBOM ein. Für AI-Workloads relevant: AI-Transparenz, Container-Härtung, kryptografische Schutzmaßnahmen für Trainings- und Inferenzdaten. Wenn dein Cloud-Anbieter ab Juni 2027 ein C5:2026-Type-2-Testat liefert, hast du einen großen Teil der Infrastruktur-Layer-Compliance abgedeckt.

(c) ISO/IEC 42001: AIMS-Zertifizierung (freiwilliger Anker).

ISO 42001 ist der internationale Standard für ein AI Management System, vergleichbar mit ISO 27001 für Informationssicherheit. Erste DE-Zertifizierung war Noxtua durch SGS in 2024. KMU-Beratung plus Audit beginnt bei rund 6.900 bis 8.000 EUR, eine DAkkS-akkreditierte Erstzertifizierung umfasst mindestens 4 Tage Audit. Für mittelständische Unternehmen ist 42001 oft der Pragma-Pfad: ein dokumentiertes Management-System, das im Audit-Gespräch sofort als Beweis-Vehikel funktioniert. Zertifizierungsstellen unter anderem SGS, TÜV SÜD, DNV, BSI Group, A-LIGN, KPMG.

Die Kombination: Artikel 26 liefert die Pflichtenliste, BSI C5:2026 die Infrastruktur-Lens, ISO 42001 das System-Gerüst. Drei Anker, ein Audit-Stack.

90-Tage-Plan mit Wochen-Deliverables

Der Plan setzt voraus, dass du einen Sponsor auf C-Level hast (CTO oder CFO), ein 3- bis 4-köpfiges Kernteam und Zugriff auf den AI-Use-Case-Bestand. Drei Phasen, jede 4 Wochen, je 3 bis 4 Deliverables pro Phase mit klarem Output-Artefakt.

Phase 1 (Wochen 1 bis 4): Inventar plus Gap-Analyse

Woche 1, Inventar-Sprint. Vollständige Liste aller produktiven und in Pilotierung befindlichen KI-Anwendungen, inklusive Schatten-KI (was Mitarbeitende ohne IT-Freigabe nutzen, siehe Schatten-KI Mittelstand). Output-Artefakt: AI-Inventory-Sheet mit Spalten für System-Name, Anbieter, Use-Case, Datenkategorien, Personenbezug, Modell-Typ (Klassisches ML, GenAI, Agent), Hosting-Region, Verantwortlicher Fachbereich. Ziel: Vollständigkeit, nicht Tiefe.

Woche 2, Risiko-Klassifizierung. Jeden Eintrag aus Woche 1 nach AI-Act-Risiko-Stufe einordnen: verboten (Art. 5), Hochrisiko (Anhang III), General-Purpose (GPAI), minimal. Plus Datenschutz-Trigger nach DSGVO Art. 35. Output-Artefakt: Risiko-Matrix mit Begründung pro Eintrag. Hier scheitern viele: Hochrisiko bedeutet nicht "kritisch", sondern fällt unter eine spezifische Anhang-III-Kategorie (HR, Bildung, Strafverfolgung, kritische Infrastruktur und weitere).

Woche 3, Behörden-Mapping. Pro Eintrag bestimmen, welche Aufsicht im Ernstfall zuständig wäre: BNetzA (Standard), BaFin (Finanzdienstleistung), BfDI/Landesbehörde (Personenbezug), sektorale Aufsicht. Output-Artefakt: Behörden-Map als 1-Seiten-Übersicht für die Geschäftsleitung. Diese Map ist gleichzeitig dein Notruf-Diagramm im Audit-Tag-Fall.

Woche 4, Gap-Analyse gegen Artikel 26 plus C5:2026 plus ISO 42001. Pro Hochrisiko-System: was hast du, was fehlt. Logging, menschliche Aufsicht, Folgenabschätzung, Anbieter-Anweisungen umgesetzt, Mitarbeiter-Information dokumentiert. Output-Artefakt: Gap-Heatmap mit Ampel-Status pro Kriterium. Damit endet Phase 1 mit klarem Bild dessen, was in Phase 2 zu schließen ist.

Phase 2 (Wochen 5 bis 8): Kontrollen-Implementation

Woche 5, Logging und Audit-Trail. Für jedes Hochrisiko-System: Logs für mindestens 6 Monate, mit Eingabe-Hash, Modell-Version, Output-Hash, menschlichem Override, Zeitstempel. Wo der Anbieter keine Logs liefert, eigenen Wrapper-Layer einziehen. Output-Artefakt: Logging-Architektur-Diagramm plus Sample-Log-Eintrag pro System.

Woche 6, menschliche Aufsicht. Konkrete Eskalations- und Override-Pfade pro Use-Case definieren. Wer prüft, wann, mit welchem Werkzeug. Bei agentischen Systemen: Stop-Button-Mechanismus und Read-Only-Modus. Output-Artefakt: Oversight-Playbook pro Hochrisiko-System mit benannten Rollen.

Woche 7, Folgenabschätzung und Mitarbeiter-Information. AI Act Art. 27 Folgenabschätzung für Anhang-III-Systeme, parallel DSGVO Art. 35 dort wo Personenbezug (siehe DSGVO und Agentic AI). Mitarbeiter-Information vor Einsatz, dokumentiert via Betriebsrat-Vereinbarung oder Information-Mail mit Lesebestätigung. Output-Artefakt: Folgenabschätzungs-Dossier plus Belegbarer Informations-Track.

Woche 8, Vorfall-Meldepfad. Wer meldet was, wann, an wen. Schwellenwert für meldepflichtigen Vorfall (schwerer Vorfall nach AI Act, plus Datenschutzvorfall nach Art. 33 DSGVO). Internes 24-Stunden-Triage-Team benennen. Output-Artefakt: Incident-Response-Playbook mit Eskalationsmatrix und Behörden-Kontaktdaten (BNetzA, BfDI/Landesbehörde, ggf. sektorale Aufsicht).

Phase 3 (Wochen 9 bis 12): Audit-Probelauf plus Dokumentation freeze

Woche 9, internes Probe-Audit. Externer Berater oder ungenutzte interne Kraft (z.B. Interne Revision) führt 1-Tages-Probe-Audit auf eines der drei kritischsten Hochrisiko-Systeme. Vorher festgelegte Fragenliste (siehe Sektion 6 unten). Output-Artefakt: Probe-Audit-Bericht mit konkreten Findings.

Woche 10, Findings-Closure. Top-5-Findings aus Woche 9 werden geschlossen oder mit Begründung akzeptiert (Risk Acceptance durch Sponsor). Output-Artefakt: Findings-Tracker mit Status, Verantwortlichem, Closure-Datum.

Woche 11, Dokumentations-Freeze. Alle Artefakte aus Phase 1 und 2 werden in einer revisionssicheren Ablage zusammengeführt: Inventar, Risiko-Matrix, Behörden-Map, Gap-Heatmap, Logging-Architektur, Oversight-Playbooks, Folgenabschätzungs-Dossier, Incident-Response-Playbook, Probe-Audit-Bericht. Versionierung mit Datum und Verantwortlichem. Output-Artefakt: Audit-Dossier (digital, 1 Master-Index, 1 Klick auf jedes Dokument).

Woche 12, Geschäftsleitungs-Sign-Off plus AI-Steering-Routine. CTO und Geschäftsführung zeichnen das Audit-Dossier ab. Parallel wird die laufende AI-Steering-Routine etabliert (mindestens monatlich, mit Inventar-Review und Findings-Status). Output-Artefakt: Sign-Off-Protokoll plus erste Sitzungsagenda der laufenden Routine.

Audit-Tag-Drehbuch

Wenn am Audit-Tag jemand anklopft (vor-angekündigt oder unangekündigt), läuft das Drehbuch in fünf Schritten.

Schritt 1, Erstkontakt-Triage (Stunde 0 bis 1). Wer steht vor der Tür oder am Telefon? Welche Behörde, welcher Prüfauftrag, schriftliche Vorlage des Auftrags. Vorab bestätigte Behörden-Map (aus Woche 3) verifizieren. Geschäftsleitung und Compliance/Legal informieren.

Schritt 2, Audit-Dossier bereitstellen (Stunde 1 bis 4). Master-Index aus Woche 11 wird dem Auditor übergeben, plus benannter Single Point of Contact (idealerweise CTO oder Compliance-Lead). Keine Improvisation, keine On-the-fly-Dokumente. Was nicht im Dossier ist, wird nachgereicht, nicht spontan gebaut.

Schritt 3, Strukturiertes Interview (Tag 1 bis 2). Auditor stellt Fragen zu Use-Cases, Kontrollen, Logs. Antworten kommen aus Dossier-Artefakten, nicht aus dem Kopf. Regel: bei jeder Antwort den Beleg mitliefern.

Schritt 4, Stichproben (Tag 2 bis 3). Auditor zieht 1 bis 3 Use-Cases und prüft Tiefe: Logs einsehen, Oversight-Pfad live durchspielen, Folgenabschätzungs-Doku einsehen. Hier zahlt sich die Vorbereitung in Phase 2 aus.

Schritt 5, Findings und Closing (Tag 3+). Auditor sammelt Findings, mündliches Closing. Schriftlicher Bericht folgt. Innerhalb der gesetzten Frist (typisch 14 bis 30 Tage) Stellungnahme oder Korrekturplan einreichen.

Sechs typische Behörden-Fragen mit Antwort-Mustern

Frage der Behörde	Antwort-Muster	Benötigtes Beweis-Artefakt
Welche KI-Systeme setzen Sie ein?	Verweis auf vollständiges Inventar mit Risiko-Klassifizierung.	AI-Inventory-Sheet plus Risiko-Matrix (Wochen 1+2)
Welche dieser Systeme fallen unter Anhang III (Hochrisiko)?	Liste der Hochrisiko-Systeme mit Begründung der Einordnung.	Risiko-Matrix mit Anhang-III-Mapping
Wie stellen Sie menschliche Aufsicht sicher?	Pro Hochrisiko-System dokumentierter Oversight-Pfad mit benannter Rolle.	Oversight-Playbook (Woche 6)
Wo sind Ihre Logs für die letzten 6 Monate?	Logging-Architektur und Live-Beispiel pro System.	Logging-Architektur-Diagramm plus Sample-Log (Woche 5)
Haben Sie eine Folgenabschätzung durchgeführt?	Pro Anhang-III-System Folgenabschätzung nach Art. 27 plus DSGVO Art. 35.	Folgenabschätzungs-Dossier (Woche 7)
Wie haben Sie Beschäftigte informiert?	Information vor Einsatz mit Belegbarkeit (Betriebsrat oder Lesebestätigung).	Informations-Track (Woche 7)

Bottom Line: was du diesen Monat tust

Schritt 1, diese Woche. Inventar-Sprint starten. Eine Person, ein Sheet, eine Frist (5 Tage). Vollständigkeit vor Tiefe. Schatten-KI gehört rein.

Schritt 2, in den nächsten 14 Tagen. Sponsor auf C-Level festziehen, 4-köpfiges Kernteam benennen, Phase 1 bis 4 finanziell und zeitlich freigeben. Ohne Sponsor läuft der Plan auf Sand.

Schritt 3, im Mai. Phase 1 abschließen (Wochen 1 bis 4 in Mai), damit Phase 2 ab Juni beginnen kann und der Probelauf in Juli vor dem 02.08.2026 läuft. Wer im Mai noch nicht startet, schafft das Stichtag-Fenster nicht ohne Hektik.

Wer den 90-Tage-Plan diszipliniert durchläuft, hat zum Stichtag drei Dinge: ein Audit-Dossier, das einer Behörden-Anfrage standhält, eine laufende AI-Steering-Routine, die nicht nach 30 Tagen einschläft, und einen Pfad zu ISO 42001-Zertifizierung als nächste Eskalationsstufe. Das ist nicht Big4-Tiefe. Es ist die richtige Tiefe für ein Mittelstand-Unternehmen mit 100 bis 1.000 Mitarbeitern.

Companion-Post: Wer haftet, wenn der KI-Agent halluziniert?, die juristische Seite zur operativen Roadmap hier.