EASA-Compliance-Dokumentation: KI als zweiter Lektor vor dem Audit

Das echte Ausmaß des Problems

Ein EASA Part-145-Betrieb dokumentiert nicht nur, was er tut — er dokumentiert, dass was er tut, genau dem entspricht, was er in seiner MOE beschrieben hat, und dass das genau dem entspricht, was EASA in Part-145, den AMC und GM dazu fordert. Drei Ebenen, die konsistent sein müssen. Jede Änderung auf einer Ebene kann Inkonsistenzen auf den anderen erzeugen.

Die Zahlen: Ein typischer mittelgroßer Part-145-Betrieb pflegt eine MOE von 400–1.000 Seiten, dazu Maintenance Procedures, Training Records, Quality Audit Reports, Capability Lists und die EASA-Anforderungsdokumentation selbst (Part-145 Annex II: 150+ Seiten, AMC: weitere 200+ Seiten, regelmäßige Änderungen). Eine vollständige manuelle Querprüfung kostet realistische 3–6 Wochen für eine erfahrene Quality-Management-Fachkraft — und das vor jedem Audit, also typischerweise alle 2 Jahre.

Was kostet ein EASA-Finding wirklich? Das hängt von der Kategorie ab:

• Finding Level 1 (unmittelbare Sicherheitsrelevanz): sofortige Maßnahmen, potenziell temporäre Suspension der Genehmigung. Betriebsunterbrechung und Reputationsschaden schwer zu beziffern, aber real.
• Finding Level 2 (kein direktes Sicherheitsrisiko, aber Verfahrenslücke): Korrekturmaßnahme innerhalb von 3 Monaten, Nachaudit. Typische Kosten: 15.000–50.000 Euro für interne Aufarbeitung und externe Beraterkosten.
• Finding Level 3 (Verbesserungsempfehlung): kein Zeitdruck, aber Wiederholung im nächsten Audit.

Laut EASA-Jahresbericht werden bei regulären Part-145-Audits im Schnitt 4–8 Findings pro Betrieb ausgestellt. Die meisten sind Level 2 oder 3 — und die meisten wären mit guter Vorbereitung vermeidbar.

Dazu kommt ein zunehmend relevanter Faktor: EASA-Anforderungen ändern sich häufiger. Die AMC-Aktualisierungen für Part-145 in den Jahren 2022–2025 haben mehrere Abschnitte grundlegend überarbeitet. Wer nicht systematisch nachverfolgt, welche AMC-Änderungen welche MOE-Abschnitte berühren, läuft blind in den Audit.

Mit vs. ohne KI — ein ehrlicher Vergleich

Basierend auf AMAS.aero-Analyse zu KI in Compliance-Management (2024) und Oxmaint EASA AI Trustworthiness Framework Guide (2024). Quantifizierung der Lückenerkennungsrate ist Schätzung — keine kontrollierten Studiendaten verfügbar.

Einschätzung auf einen Blick

Zeitersparnis — hoch (4/5) Die manuelle Audit-Vorbereitung ist eine der zeitintensivsten Aufgaben im Qualitätsmanagement eines MRO-Betriebs. KI komprimiert die Querprüfungs-Routine von Wochen auf Tage — und macht sie zur Daueraufgabe statt zum Projekt. Der Unterschied ist substanziell, aber leicht unter dem direktesten Zeitgewinn im Vergleich zur Wartungsdokumentation, weil Quality Manager nicht täglich 8 Stunden mit Compliance-Querprüfungen verbringen — die zeitintensiven Phasen kommen periodisch.

Kosteneinsparung — mittel (3/5) Die Logik ist klar: weniger Findings bedeutet weniger Nacharbeitskosten. Aber die Einsparung tritt nur ein, wenn das System tatsächlich Findings verhindert, die sonst gekommen wären. Das lässt sich nicht ex ante berechnen — sondern erst nach 1–2 Audit-Zyklen feststellen. Für Betriebe mit häufigen Level-2-Findings (mehr als 3 pro Audit) ist der Business Case sehr stark. Für Betriebe mit ohnehin guter Compliance-Lage ist er schwächer.

Schnelle Umsetzung — niedrig (2/5) Das ist der schwierigste Anwendungsfall unter den drei neuen Use Cases für diese Kategorie. Die Indexierung von EASA-Regulatorik ist aufwendig (häufige Updates, PDF-Strukturen, Verweise zwischen Dokumenten), und die Kalibrierung des Lückenerkennungs-Modells braucht Fachexpertise. Wer kein dediziertes Quality-Management-Team hat, das die Ergebnisse prüfen und das System trainieren kann, unterschätzt den Implementierungsaufwand.

ROI-Sicherheit — niedrig (2/5) Der ROI hängt von einem Ereignis ab, das nicht garantiert ist: einem vermiedenen Finding. Das macht den Business Case weicher als bei der Wartungsdokumentation (täglich messbare Zeitersparnis) oder der Ersatzteilbeschaffung (monatlich sichtbare Lagerkostensenkung). Für Betriebe, die aktuell regelmäßig Findings bekommen, ist der ROI fast sicher. Für Betriebe, die ohnehin selten Findings haben, ist er theoretischer.

Skalierbarkeit — mittel (3/5) Das System skaliert mit der Komplexität der Organisation, nicht linear mit der Mitarbeiterzahl. Mehr Flugzeugtypen, mehr Betriebsstandorte, breitere Capability Lists bedeuten mehr Compliance-Volumen und mehr Nutzen. Kleinere Betriebe mit enger Capability List haben weniger Komplexität — und damit weniger ROI.

Richtwerte — stark abhängig von Betriebsgröße, Audit-Häufigkeit und bestehender Compliance-Qualität.

Was das System konkret macht

Das Kernprinzip ist Retrieval-Augmented Generation (RAG): Das System indexiert zwei Dokumentenkorpora — erstens die eigene Betriebsdokumentation (MOE, Maintenance Procedures, Training-Unterlagen), zweitens die relevante EASA-Regulatorik (Part-145 Annex II, AMC to Part-145, GM to Part-145, aktuelle Notice of Proposed Amendments).

Dann arbeitet es als automatischer Querprüfer:

Anforderungs-Mapping: Das System liest jeden MOE-Abschnitt und prüft: Adressiert dieser Abschnitt die EASA-Anforderungen, auf die er verweist? Sind alle Pflichtinhalte gemäß AMC enthalten? Enthält er Verweise auf AMC- oder GM-Versionen, die inzwischen überholt sind?

Lückenidentifikation: Welche EASA-Anforderungen aus Part-145 Annex II haben keine Entsprechung in der MOE? Das System listet sie mit Verweis auf den entsprechenden EASA-Paragraphen.

Änderungs-Tracking: Wenn EASA eine AMC-Aktualisierung veröffentlicht (was durchschnittlich 3–5 Mal pro Jahr passiert), prüft das System automatisch: Welche MOE-Abschnitte sind von dieser Änderung potenziell betroffen? Ausgabe: Impact-Report mit Schweregrad-Klassifikation.

Was das System nicht entscheidet: Ob eine Verfahrensbeschreibung tatsächlich EASA-konform ist, liegt im Ermessen des erfahrenen Quality Managers — nicht der KI. Das System zeigt, wo möglicherweise eine Lücke ist. Ob die Lücke real ist oder ob die Formulierung akzeptabel war, entscheidet die Fachperson.

Regulatorischer Kontext: KI im EASA-Compliance-Umfeld

EASA selbst reguliert aktiv, wie KI-Werkzeuge in der Luftfahrt eingesetzt werden dürfen. Die wichtigsten Punkte für diesen Anwendungsfall:

EU AI Act (seit August 2024 in Kraft): KI-Systeme, die für Sicherheitsmanagement in der Luftfahrt eingesetzt werden, sind als hochrisikosysteme klassifiziert (Annex III). Das bedeutet: höhere Transparenzanforderungen, menschliche Aufsichtspflicht, Protokollierung.

EASA NPA 2025-07 (April 2025): EASA schlägt vor, Generative KI-Werkzeuge als “Operational Tools” zu genehmigen — Teil der organisatorischen Genehmigung (Part-145). Das bedeutet: Ein KI-Compliance-Assistent muss in der MOE beschrieben und durch den Accountable Manager genehmigt sein, bevor er produktiv genutzt wird.

Wichtige Einschränkung: Ein KI-System, das Compliance-Lücken identifiziert, trifft keine Compliance-Entscheidung. Der Quality Manager behält die fachliche Verantwortung. Das KI-System ist ein Analyse-Werkzeug, kein Compliance-Officer.

Die pragmatische Folgerung: Wer 2025 mit einem Piloten beginnt und den Erfahrungszeitraum für die MOE-Dokumentation nutzt, ist gut positioniert für die verpflichtende Digitalisierung bis 2028.

Konkrete Werkzeuge — was wann passt

Azure OpenAI Service mit RAG — die DSGVO-konforme Wahl Für europäische MRO-Betriebe, die Compliance-Dokumentation mit EASA-Regulatorik verknüpfen wollen, ist Azure OpenAI über die EU-Regionen (West Europe, Switzerland North) die sichere Wahl. AVV automatisch über das Microsoft Customer Agreement, EU Data Boundary aktivierbar. Technisch: Indexierung der MOE-Dokumente über Azure Document Intelligence, Vektordatenbank in Azure AI Search, GPT-4o für die Querprüfungslogik. Aufwand: ca. 6–10 Wochen Implementierung mit einem Entwickler.

Claude (Anthropic) mit langem Kontextfenster Claude 3.5 Sonnet unterstützt bis zu 200.000 Token Kontextfenster — ausreichend, um ganze MOE-Kapitel auf einmal zu verarbeiten, ohne in Chunks aufzuteilen. Besonders sinnvoll für die initiale Analyse großer Dokumentenblöcke. Anthropic bietet AVV und EU-konforme Verarbeitung; Hosting liegt in US/EU je nach Konfiguration. Für sensitive Compliance-Dokumente: explizit EU-Region konfigurieren.

Eigenentwicklung mit offenen Modellen — für höchste Datensensitivität Wenn die MOE als streng vertraulich gilt und kein Cloud-Hosting in Frage kommt: selbst gehostetes LLM (Llama 3 oder Mistral) auf eigener Infrastruktur. Höchster Datenschutz, aber höchster Implementierungsaufwand. Empfehlung nur für große MRO-Betriebe mit eigener IT-Abteilung.

Notion AI — für den einfachen Einstieg Für Betriebe, die MOE-Teile bereits in Notion verwalten (oder bereit sind, Teile dorthin zu migrieren): Notion AI durchsucht alle Seiten und kann auf Basis von Checklisten Lücken hinweisen. Kein vollständiger Compliance-Assistent, aber ein guter Einstieg mit wenig technischem Aufwand. Einschränkung: Notion verarbeitet Daten standardmäßig in den USA — DSGVO-Prüfung empfohlen.

Datenschutz und Datenhaltung

Die MOE und interne Maintenance-Dokumentation eines MRO-Betriebs ist geschäftskritisch und häufig vertraulich — sie enthält Informationen über Fähigkeiten, Verfahren und internen Qualitätsstatus, die Wettbewerber und Auditoren interessieren.

EASA-Regulatorik in Part-145 enthält keine expliziten Datenschutzvorgaben für KI-Werkzeuge, aber der EU AI Act verlangt für Hochrisiko-KI-Systeme Protokollierung, Transparenz und menschliche Aufsicht.

Empfohlene Konfiguration:

• Azure OpenAI (West Europe): Vertragliche EU-Datenhaltung, kein Training auf Unternehmensdaten, AVV vorhanden
• On-premise oder Azure Private Endpoint: Wenn der Betrieb höchste Vertraulichkeit fordert
• Kein öffentlicher ChatGPT oder Claude.ai für MOE-Inhalte: keine garantierte Nicht-Nutzung für Modelltraining ohne Unternehmensvertrag

Vor dem Produktivbetrieb: AVV gemäß Art. 28 DSGVO mit dem gewählten Anbieter abschließen. Für Azure ist das durch das Microsoft Customer Agreement abgedeckt; für andere Anbieter muss ein separater AVV beantragt werden.

Was es kostet — realistisch gerechnet

Einmalige Einrichtungskosten:

• Aufbau RAG-System mit Azure OpenAI + Dokumentenindexierung: 20.000–40.000 Euro (Entwicklung + Konfiguration)
• Fachliche Kalibrierung (erfahrener Quality Manager muss erste Ergebnisse prüfen und Modell kalibrieren): 3–5 Wochen interne Zeit
• EASA-Verfahrensdokumentation des KI-Werkzeugs in der MOE: 3–5 Tage Quality-Manager-Zeit

Laufende Kosten (monatlich):

• Azure OpenAI API-Kosten: 200–600 Euro/Monat bei mittlerem Nutzungsvolumen
• Maintenance der EASA-Regulatorik-Indexierung (neue AMC-Updates einpflegen): ca. 4–8 Stunden/Monat intern

Was du dagegenrechnen kannst: Ein vermiedenes EASA-Level-2-Finding spart 15.000–50.000 Euro (interne Nacharbeitszeit + externes Audit). Allein zwei vermiedene Level-2-Findings amortisieren die Einrichtungskosten. Wer regelmäßig mehr als drei Findings pro Audit bekommt, hat einen sehr klaren Business Case. Wer selten Findings bekommt, hat einen schwächeren — dafür aber den Wert der monatlichen Routine-Querprüfung ohne Audit-Stress.

Drei typische Einstiegsfehler

1. Die EASA-Regulatorik als statisches Dokument indexieren. EASA aktualisiert Part-145-Anforderungen, AMC und GM im Schnitt 3–5 Mal pro Jahr. Wer die Regulatorik einmalig einliest und nicht automatisch aktualisiert, hat nach 6 Monaten ein System, das gegen veraltete Anforderungen prüft. Das ist gefährlicher als gar kein System — es erzeugt falsches Vertrauen. Lösung: Einen Prozess einrichten, der EASA-Änderungen (EASA Official Publications, NPA-Notifications) automatisch oder durch wöchentliche manuelle Prüfung in die Indexierung übernimmt.

2. Das System als Compliance-Entscheidungsinstanz behandeln. “Das KI-System hat keine Lücke gefunden — also sind wir compliant.” Diese Logik ist falsch und gefährlich. Das System findet Muster und Lücken auf Basis textueller Analyse — es versteht nicht, ob eine Formulierung im regulatorischen Kontext akzeptabel ist oder nicht. Das ist eine Fachfrage, die der Mensch beantworten muss. Lösung: Klare Kommunikation im Betrieb, dass der KI-Report eine Prüfliste ist, keine Compliance-Bescheinigung.

3. Zu breites Scope beim Piloten. Den Piloten mit der vollständigen MOE (800+ Seiten) und der gesamten EASA-Anforderungsdatenbank starten — und dann 4 Wochen auf erste Ergebnisse warten, die kaum validierbar sind. Lösung: Pilot auf zwei MOE-Kapitel und ein Part-145-Anforderungscluster (z.B. Training Records) beschränken. Diesen Scope in 4 Wochen komplett validieren, dann ausweiten.

Was mit der Einführung wirklich passiert — und was nicht

Compliance-Management ist ein Bereich, in dem Menschen besonders empfindlich auf KI reagieren — weil die persönliche Fachkompetenz des Quality Managers direkt angesprochen wird. “Das System hat eine Lücke gefunden” bedeutet implizit: “Du hättest diese Lücke selbst finden müssen.”

Zwei Reaktionsmuster sind typisch:

Das System wird als Kritik erlebt. Wenn das System in der ersten Auswertung 40 potenzielle Lücken identifiziert, fühlt sich das für den Quality Manager wie ein Angriff an — obwohl viele dieser “Lücken” bei näherer Prüfung keine sind (Formulierungen, die EASA-konform sind, aber vom System als unvollständig eingestuft werden). Gegenmaßnahme: Den ersten Report gemeinsam mit dem Quality Manager durchgehen — nicht als “Was ihr falsch macht”, sondern als “Lass uns schauen, ob das System richtig liegt.”

Das System-Ergebnis wird nicht mehr hinterfragt. Sobald das System akzeptiert ist, besteht die Gefahr, dass der Quality Manager aufhört, die Ergebnisse kritisch zu prüfen — und sich auf den Report verlässt. Lösung: Der Quality Manager muss jeden als “Finding” markierten Punkt manuell bestätigen oder ablehnen — das ist kein optionaler Schritt.

Was konkret hilft:

• Quality Manager in die Kalibrierungsphase einbinden: er entscheidet, welche System-Flags falsch positiv sind
• Explizit kommunizieren: das System ersetzt nicht die fachliche Qualifikation, es ist ein Werkzeug
• Die Überprüfungsrate messen: wie viel Prozent der System-Findings bestätigen sich als echte Lücken?

Realistischer Zeitplan mit Risikohinweisen

Häufige Einwände — und was dahintersteckt

„Unser Quality Manager kennt die MOE auswendig — das brauchen wir nicht.” Stimmt vielleicht für die aktuelle Version. Aber: Kennt er auch alle AMC-Änderungen der letzten 24 Monate und ihre genauen Auswirkungen auf die MOE? Und was passiert, wenn dieser Quality Manager den Betrieb verlässt? Die Wissensabhängigkeit von einer einzelnen Person ist selbst ein Compliance-Risiko — das EASA-Prüfer explizit bewerten.

„KI kann Compliance nicht beurteilen — das ist eine Fachfrage.” Richtig. Deswegen beurteilt das System auch keine Compliance — es identifiziert potenzielle Lücken und Inkonsistenzen textlich. Die Beurteilung macht der Mensch. Das System ist ein Querprüf-Werkzeug, kein Compliance-Officer.

„Was, wenn das System eine falsche Lücke meldet und wir unnötige Arbeit in die MOE investieren?” Das wird vorkommen. Die Falsch-Positiv-Rate eines gut kalibrierten Systems liegt erfahrungsgemäß bei 20–35 Prozent — jedes vierte bis fünfte System-Finding ist bei näherer Prüfung kein echtes Problem. Der Nutzen: Die restlichen 65–80 Prozent sind echte Lücken, die das System findet, bevor der EASA-Prüfer es tut.

Woran du merkst, dass das zu dir passt

• Du hast regelmäßig 3 oder mehr EASA-Findings pro Rezertifizierungsaudit — und mindestens einer davon war bei näherer Betrachtung vermeidbar
• Deine Audit-Vorbereitung kostet mindestens 2 Wochen intensiver Quality-Manager-Zeit, die du lieber anders einsetzen würdest
• Du verwaltest eine MOE mit mehr als 400 Seiten und regelmäßige AMC-Änderungen schaffen echten Nachverfolgungsaufwand
• Dein Betrieb plant Wachstum — neue Flugzeugtypen, neue Standorte, neue Capability — und die Compliance-Komplexität wächst damit
• Du hast IT-Ressourcen oder Budget für externe Entwicklung — das ist kein Low-Code-Projekt

Wann es sich (noch) nicht lohnt — drei harte Ausschlusskriterien:

1. Betriebe mit unter 20 Technikern und enger Capability List. Die MOE ist bei kleinen Betrieben handhabbar kurz, und ein erfahrener Quality Manager kann sie vollständig überblicken. Der technische Aufwand übersteigt den Nutzen.

2. MOE liegt hauptsächlich in nicht-digitaler Form vor. Papier-MOE oder nicht strukturierte Scans ohne Volltextsuche machen die Indexierung aufwendig und fehleranfällig. Erster Schritt: Digitalisierung der MOE in durchsuchbares PDF oder Word. Das KI-System kommt danach.

3. Kein Quality Manager mit Zeit für Kalibrierungsarbeit. Die Kalibrierungsphase (3–5 Wochen interne Zeit für den Quality Manager) ist nicht verzichtbar. Ein System, das ohne fachliche Kalibrierung in Betrieb geht, produziert eine Flut von Falsch-Positiven und wird schnell als unzuverlässig abgestempelt — dann wird es nicht genutzt, und der Aufwand war umsonst.

Das kannst du heute noch tun

Bevor du technisch irgendwas tust: Nimm die letzten drei EASA-Audit-Reports und liste alle Findings auf. Markiere für jedes Finding: Wäre das mit einer systematischen Querprüfung der MOE gegen die aktuelle AMC-Version findbar gewesen? Diese Auswertung dauert 2–3 Stunden — und sie sagt dir direkt, ob der Business Case für dich stark oder schwach ist.

Dann: Teste das Konzept mit einem konkreten MOE-Abschnitt. Hier ist ein Prompt für Claude oder ChatGPT — lade einen einzelnen MOE-Abschnitt und den entsprechenden EASA-Paragraphen hoch:

Quellen & Methodik

• EASA Part-145 Annex II: Verordnung (EU) Nr. 1321/2014 in aktueller Fassung, inkl. AMC1/GM1 to 145.A (letzte Aktualisierung 2023).
• EASA NPA 2025-07: EASA Notice of Proposed Amendment, “Detailed specifications on AI trustworthiness for the safe use of AI in aviation” (April 2025). Betrifft insbesondere Genehmigung von Generative AI als Operational Tools in Part-145-Betrieben.
• EU AI Act (Verordnung (EU) 2024/1689): In Kraft seit August 2024, Hochrisikoeinstufung für KI in safety-critical infrastructure. Luftfahrt-MRO fällt unter Annex III.
• EASA Digitale Compliance-Pflicht bis Januar 2028: Clarity Airframe, „EASA Part 145 Digital Compliance: Complete Guide” (2024).
• EASA AI Trustworthiness Framework: Oxmaint, „EASA AI Trustworthiness Framework: Aviation Compliance Guide” (2024); AMAS.aero, „How artificial intelligence is reshaping compliance & safety management in aerospace” (2024).
• Kosten EASA-Findings: Eigene Einschätzung auf Basis publizierter Fallbeschreibungen; keine repräsentative Studie verfügbar.

Du willst wissen, welche MOE-Abschnitte in deinem Betrieb das höchste Finding-Risiko tragen und wie eine Compliance-Assistent-Implementierung in eurem Kontext aussieht? Meld dich — das klären wir in einem kurzen Gespräch.