Echoprysm guide
EU AI Act SaaS-Checkliste 2026: Fragen vor dem Aktivieren von KI-Funktionen
Ein praktischer Echoprysm-Leitfaden 2026 für kleine Teams, die öffentliche Dokumentation, Admin-Kontrollen, Datenschutzgrenzen und Exit-Risiko vor der Softwarewahl prüfen.
Warum das jetzt eine Kaufentscheidung ist
KI-Funktionen stecken heute in CRM, Support, Meetings und Finanzsoftware. Käufer sollten nicht nur hören, dass ein Produkt KI enthält. Sie müssen sehen, welche Daten genutzt werden, ob Funktionen abschaltbar sind, wer Ergebnisse sieht und wo die Antworten dokumentiert sind.
Mit einer Funktionsliste beginnen
Bitten Sie den Anbieter, alle KI-Funktionen zu benennen: Zusammenfassungen, Vorschläge, Scoring, Routing, Extraktion, Übersetzung, Suche und Chat. ‘AI-powered’ reicht nicht. Wichtig sind Admin-Schalter, Datenquellen, Standardwerte und Exportwege.
Training und Aufbewahrung prüfen
Lesen Sie Datenschutz-, Sicherheits- und Produktdokumentation zu Modelltraining, menschlicher Prüfung und Log-Aufbewahrung. Gute Antworten sind konkret. Unklare Aussagen sind kein Beweis für Missbrauch, aber klare Demo-Fragen.
Admin-Kontrollen zählen mehr als Slogans
Das praktische Risiko ist oft banal: sensible Notizen landen in einem Assistenten oder ein KI-Ergebnis wird als Entscheidung behandelt. Prüfen Sie Rollen, Auditlogs, Workspace-Kontrollen, Datenregion, Export und Deaktivierung.
Ein realistisches Demo-Skript schreiben
Lassen Sie Berechtigungswechsel, gelöschte Datensätze, sensible Notizen, schlechte Prompts, Exporte und Opt-out zeigen. Notieren Sie, was dokumentiert ist und was nur im Verkaufsgespräch gesagt wurde.
Regeln und Workflow trennen
Kleine Teams schreiben meist kein Rechtsgutachten. Sie wählen Arbeitssoftware. Trotzdem hilft die Frage: Wer verantwortet das Ergebnis, wo ist menschliche Prüfung vorgesehen und welche Grenzen nennt der Anbieter selbst?
Rote Flaggen vor echten Daten
Vorsicht bei fehlender Privacy-Seite, fehlendem Supportkontakt, fehlender Admin-Doku, unklarem Export oder keiner Erklärung der KI-Datennutzung. Das beweist keine Gefahr, verlangt aber Dummy-Daten und schriftliche Antworten.
Shortlist-Scorecard
Bewerten Sie Funktionsinventar, Trainingstext, Aufbewahrung, Admin-Kontrollen, Auditierbarkeit, Export, Support und Abschaltbarkeit. Nutzen Sie Notizen statt Sterne.
Was der Leitfaden nicht beweist
Der Leitfaden nutzt öffentliche Dokumentation und Demo-Fragen. Er beweist keine private Sicherheitsumsetzung oder Compliance, findet aber fehlende Antworten früh.
Quellen
Nützlich sind der AI-Act-Überblick der Europäischen Kommission, Datenschutzseiten, Security-Dokumentation und Admin-Guides der Anbieter. Bei konkreten Produkten braucht jede Aussage eine datierte Quelle.