Ein praxisorientierter Leitfaden für Unternehmen zur Einhaltung des EU-KI-Gesetzes – Risikoklassifizierung, Pflichten für Hochrisiko-Systeme, Zeitplan der Durchsetzung und was vor August 2026 zu tun ist.
•
•
14 Minuten Lesezeit
Themen
Der EU AI Act ist nicht länger zukünftig. Er ist da. Das Verbot von KI-Systemen mit inakzeptablem Risiko ist seit dem 2. Februar 2025 durchsetzbar. Die Verpflichtungen für General-Purpose-AI-Modelle traten am 2. August 2025 in Kraft. Und das vollständige Bündel an Anforderungen für Hochrisiko-Systeme – Risikomanagement, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung – tritt am 2. August 2026 in Kraft.[1] Das ist in vier Monaten.
Für Compliance-Teams in Unternehmen besteht die Herausforderung nicht darin, die Regulierung abstrakt zu verstehen. Sie besteht darin, sie über Dutzende oder Hunderte von KI-Systemen hinweg zu operationalisieren, jeweils mit unterschiedlichen Risikoprofilen, unterschiedlichen Anbietern und unterschiedlichen Einsatzkontexten. Das Volumen der juristischen Kommentierung zum Gesetz ist erheblich; praktische Umsetzungsleitlinien sind rar.
Dieser Leitfaden schließt diese Lücke. Er bietet einen strukturierten Ansatz für die Einhaltung des EU AI Act durch Unternehmensteams – einschließlich Risikoklassifizierung, der je Stufe geltenden Verpflichtungen, des Durchsetzungszeitplans und eines sequenzierten Maßnahmenplans für die kommenden Monate.
Der Durchsetzungszeitplan
Das Gesetz trat am 1. August 2024 in Kraft, Verpflichtungen werden jedoch in mehreren Tranchen eingeführt. Zu verstehen, welche Verpflichtungen bereits aktiv sind und welche bevorstehen, ist der Ausgangspunkt für jedes Compliance-Programm.
Datum | Was gilt |
|---|---|
2. Februar 2025 | Verbotene KI-Praktiken (Artikel 5). KI-Kompetenzpflicht (Artikel 4). Bereits in Kraft. |
2. August 2025 | Verpflichtungen für GPAI-Modelle (Artikel 51–56). Sanktions- und Durchsetzungsrahmen (Artikel 99). Governance-Strukturen (Kapitel VII). Bereits in Kraft. |
2. August 2026 | Vollständige Verpflichtungen für Hochrisiko-KI-Systeme (Artikel 9–15). Konformitätsbewertung (Artikel 43). Transparenzpflichten (Artikel 50). Registrierung in der EU-Datenbank (Artikel 71). |
2. August 2027 | GPAI-Modelle, die vor August 2025 in Verkehr gebracht wurden, müssen die Compliance erreichen. |
Der im November 2025 vorgeschlagene Digital Omnibus würde die Frist für Hochrisiko-Systeme nach Anhang III auf Dezember 2027 und die Frist für eingebettete Produkte nach Anhang I auf August 2028 verlängern.[2] Diese Vorschläge sind jedoch noch kein geltendes Recht – die Trilogverhandlungen zwischen Parlament, Rat und Kommission laufen, und der Ausgang ist ungewiss. Unternehmen sollten mit dem Datum August 2026 planen und jede Verlängerung als Eventualfall, nicht als Basisannahme behandeln.
Risikoklassifizierung: Wo fällt jedes KI-System ein?
Die regulatorische Architektur des Gesetzes basiert auf einem vierstufigen Risikoklassifizierungssystem. Jedes KI-System, das ein Unternehmen entwickelt, einkauft oder einsetzt, muss diesen Stufen zugeordnet werden.
Inakzeptables Risiko: verbotene Praktiken (Artikel 5)
Acht Kategorien der KI-Nutzung sind vollständig verboten, mit Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.[3] Für Unternehmen sind insbesondere relevant:
Emotionserkennung am Arbeitsplatz oder im Bildungswesen – KI-Systeme, die emotionale Zustände von Beschäftigten oder Studierenden ableiten, außer bei Nutzung zu Sicherheits- oder medizinischen Zwecken
Biometrische Kategorisierung anhand sensibler Merkmale – Systeme, die Personen anhand biometrischer Daten nach Ethnie, politischen Meinungen, Gewerkschaftszugehörigkeit, religiösen Überzeugungen, Sexualleben oder sexueller Orientierung kategorisieren
Sozialbewertung – Systeme, die von Behörden genutzt werden, um Personen über die Zeit anhand sozialen Verhaltens zu bewerten, was zu unverhältnismäßiger Behandlung führt
Subliminale Manipulation – KI, die Techniken unterhalb der Bewusstseinsschwelle nutzt, um Verhalten auf eine Weise zu verzerren, die voraussichtlich erheblichen Schaden verursacht
Maßnahme für Unternehmen: Prüfen Sie unverzüglich alle KI-Systeme auf Nähe zu diesen Kategorien. HR-Tools mit Emotionsanalyse, biometrische Systeme und Verhaltens-Scoring-Tools erfordern besondere Prüfung. Wenn ein System nicht eindeutig von einer verbotenen Praxis abgegrenzt werden kann, stellen Sie es ein oder gestalten Sie es neu. Diese Verpflichtung ist seit Februar 2025 durchsetzbar.
Hohes Risiko: die zentrale Compliance-Verpflichtung
Die Hochrisiko-Klassifizierung wird über zwei Wege ausgelöst.[4]
Weg 1 – Sicherheitskomponenten (Artikel 6(1)): KI-Systeme, die Sicherheitskomponenten von Produkten sind, die bereits unter EU-sektorale Rechtsvorschriften fallen (Medizinprodukte, Maschinen, Luftfahrt, Automobil, Druckgeräte und weitere in Anhang I aufgeführte), sofern für diese Produkte eine Konformitätsbewertung durch Dritte erforderlich ist.
Weg 2 – Eigenständige Systeme nach Anhang III (Artikel 6(2)): KI-Systeme, die in acht sensiblen Einsatzkategorien verwendet werden:
Kategorie | Beispiele |
|---|---|
Biometrie | Fernbiometrische Identifizierung; Emotionserkennung |
Kritische Infrastruktur | Sicherheitskomponenten in Wasser-, Gas-, Strom-, digitaler Infrastruktur und Straßenverkehrsmanagement |
Bildung | Festlegung von Zulassungen; Bewertung von Lernergebnissen; Überwachung von Täuschungsversuchen |
Beschäftigung | Lebenslauf-Screening; Interviewbewertung; Leistungsüberwachung; Aufgabenzuweisung; Kündigungsentscheidungen |
Wesentliche Dienstleistungen | Kredit-Scoring; Versicherungsrisikobewertung; Anspruch auf Sozialleistungen; Notfalldisposition |
Strafverfolgung | Risikobewertung von Personen; Beweiswürdigung; Rückfallprognose |
Migration und Grenzmanagement | Risikobewertung irregulärer Migration; Prüfung von Visa- und Asylanträgen |
Justiz und Demokratie | Unterstützung richterlicher Sachverhaltsfeststellung; Systeme, die Wahlen beeinflussen könnten |
Eine wichtige Nuance: Nach Artikel 6(3) kann ein Anbieter feststellen, dass ein System, das in eine Kategorie des Anhangs III fällt, tatsächlich kein erhebliches Risiko darstellt, sofern das System für einen engen verfahrensbezogenen Zweck genutzt wird, keine materiellen Entscheidungen beeinflusst oder das Risiko kontextabhängig nachweislich vernachlässigbar ist. Der Anbieter muss die zuständige nationale Marktüberwachungsbehörde informieren und die Selbsteinstufung in der EU-Datenbank registrieren, bevor die Feststellung wirksam wird. Dies ist keine Risikoausnahme – es ist eine dokumentierte, prüffähige Behauptung, die regulatorischer Kontrolle standhalten muss.
Begrenztes Risiko: Transparenzpflichten (Artikel 50)
Systeme, die direkt mit Personen interagieren, aber nicht in die Hochrisiko-Kategorien fallen, müssen ab August 2026 Transparenzanforderungen erfüllen:
Chatbots und dialogorientierte KI müssen offenlegen, dass der Nutzer mit einem KI-System interagiert
Deepfake-Inhalte müssen als KI-generiert oder manipuliert gekennzeichnet werden
KI-generierte Texte zu Angelegenheiten von öffentlichem Interesse erfordern eine Offenlegung
Systeme zur Emotionserkennung und biometrischen Kategorisierung müssen betroffene Personen informieren
Minimales Risiko: keine verpflichtenden Pflichten
KI-Systeme, die in keine der oben genannten Kategorien fallen – Spam-Filter, Empfehlungssysteme, KI-gestützte Grammatiktools, KI in Videospielen – unterliegen keinen verpflichtenden Pflichten. Freiwillige Verhaltenskodizes gemäß Artikel 95 werden empfohlen, sind aber nicht erforderlich.
Hochrisiko-Verpflichtungen: Was Compliance tatsächlich erfordert
Für als hochriskant eingestufte KI-Systeme legt das Gesetz über die Artikel 9–15 sieben Kategorien verpflichtender Anforderungen fest. Dies sind keine abstrakten Grundsätze, sondern konkrete, auditierbare Pflichten mit Dokumentationsanforderungen.
Risikomanagement (Artikel 9)
Etablieren Sie einen kontinuierlichen Risikomanagementprozess – keine einmalige Bewertung, sondern einen fortlaufenden Zyklus über den gesamten Lebenszyklus des KI-Systems. Der Prozess muss vorhersehbare Risiken für Gesundheit, Sicherheit und Grundrechte identifizieren und analysieren; diese Risiken schätzen und bewerten; Minderungsmaßnahmen festlegen (wobei Designänderungen Vorrang vor operativen Kontrollen haben); und das System vor der Bereitstellung gegen den Risikomanagementplan testen. Restrisiken müssen dokumentiert und den Betreibern mitgeteilt werden.
Daten-Governance (Artikel 10)
Trainings-, Validierungs- und Testdatensätze müssen relevant, repräsentativ, fehlerfrei und hinreichend vollständig sein. Data-Governance-Praktiken müssen Erhebung, Kennzeichnung, Verarbeitung und Aufbewahrung abdecken. Verfahren zur Bias-Erkennung und -Korrektur sind erforderlich, und personenbezogene Daten müssen im Einklang mit der DSGVO verarbeitet werden.
Technische Dokumentation (Artikel 11 und Anhang IV)
Erstellen Sie vor dem Inverkehrbringen des Systems eine umfassende technische Dokumentation. Anhang IV legt fest, was enthalten sein muss: Systembeschreibung und Zweck, Designspezifikationen, Trainingsmethodik und Datenmerkmale, Leistungsmetriken, Testverfahren, bekannte Einschränkungen, Cybersicherheitsmaßnahmen und ein Plan zur Überwachung nach dem Inverkehrbringen. Diese Dokumentation muss aktuell gehalten und Behörden auf Anfrage bereitgestellt werden.
Aufzeichnungspflichten (Artikel 12)
Hochrisiko-Systeme müssen integrierte automatische Protokollierungsfunktionen haben, die während der gesamten Lebensdauer des Systems Ereignisse aufzeichnen, die für die Identifizierung von Risiken und wesentlichen Änderungen relevant sind. Betreiber müssen Protokolle mindestens sechs Monate aufbewahren. Für agentische KI-Systeme, die über mehrstufige Argumentationsketten arbeiten, ist die Protokollierungspflicht besonders anspruchsvoll – und besonders wichtig.
Transparenz (Artikel 13)
Anbieter müssen Gebrauchsanweisungen bereitstellen, die Betreiber in die Lage versetzen, Fähigkeiten, Einschränkungen, Genauigkeitsmetriken, vorgesehenen Zweck und erforderliche Maßnahmen der menschlichen Aufsicht zu verstehen. Die Anweisungen müssen für Personen ohne spezialisiertes KI-Wissen verständlich sein.
Menschliche Aufsicht (Artikel 14)
Systeme müssen so konzipiert sein, dass eine wirksame menschliche Aufsicht möglich ist – das bedeutet, Menschen können die Ausgaben des Systems verstehen, eingreifen oder den Betrieb unterbrechen, Ausgaben ignorieren oder übersteuern und verhindern, dass das System menschliche Entscheidungen ohne vorherige Genehmigung übersteuert. Anbieter schaffen die Fähigkeit; Betreiber benennen und schulen qualifiziertes Personal, um sie auszuüben.
Genauigkeit, Robustheit und Cybersicherheit (Artikel 15)
Systeme müssen über ihren gesamten Lebenszyklus die deklarierten Genauigkeitsniveaus aufrechterhalten, Fehlern und Inkonsistenzen in Eingaben widerstehen, adversarialer Manipulation standhalten und anwendbare Cybersicherheitsstandards erfüllen.
Über die Artikel 9–15 hinaus müssen Anbieter zudem ein Qualitätsmanagementsystem einrichten (Artikel 17), eine Konformitätsbewertung durchlaufen (Artikel 43), eine EU-Konformitätserklärung ausstellen (Artikel 47), die CE-Kennzeichnung anbringen (Artikel 48), das System in der EU-Datenbank registrieren (Artikel 71), die Überwachung nach dem Inverkehrbringen umsetzen (Artikel 72) und schwerwiegende Vorfälle innerhalb von 15 Tagen melden (Artikel 73).
Die Trennung zwischen Anbieter und Betreiber
Das Gesetz weist Verpflichtungen unterschiedlich zu, je nachdem, ob eine Organisation Anbieter (entwickelt oder beauftragt das KI-System) oder Betreiber (setzt es in einem professionellen Kontext ein) ist.[5]
Anbieter tragen die höhere Last: vollständige Compliance mit den Artikeln 9–15, Konformitätsbewertung, Dokumentation und Überwachung nach dem Inverkehrbringen. Betreiber müssen Systeme gemäß den Anweisungen des Anbieters nutzen, menschliche Aufsicht qualifiziertem Personal zuweisen, Protokolle aufbewahren, betroffene Personen informieren und Probleme melden.
Die kritische Grenze: Ein Unternehmen, das ein KI-System eines Drittanbieters nimmt und wesentlich verändert, seinen vorgesehenen Zweck ändert oder es unter eigener Marke in Verkehr bringt, wird nach Artikel 25 zum Anbieter und übernimmt alle Anbieterpflichten. Das Fine-Tuning eines Foundation-Models für einen neuen Anwendungsfall kann diese Schwelle beispielsweise überschreiten. Organisationen sollten jedes KI-System dem Anbieter-Betreiber-Rahmen zuordnen und die Klassifizierung dokumentieren.
Bei KI-Systemen von Drittanbietern ist eine sorgfältige Betreiberprüfung essenziell. Fordern Sie Dokumentation an, die die Risikoklassifizierung und den Konformitätsstatus des Systems bestätigt. Aktualisieren Sie Lieferantenverträge, um Vorfallsmeldung, Protokollaufbewahrung, Spezifikationen zur menschlichen Aufsicht und Verantwortungszuweisung abzudecken. Kann ein Anbieter keine angemessene Dokumentation bereitstellen, ist das ein wesentliches Compliance-Risiko.
Ein häufiges und unterschätztes Szenario: Große SaaS-Anbieter (Salesforce, ServiceNow, Workday und andere) integrieren zunehmend KI-Funktionen, die unter Beschäftigungs- oder wesentliche-Dienstleistungen-Kategorien als hochriskant gelten können, stellen jedoch möglicherweise keine Konformitätsdokumentation bereit. Der Betreiber kann seine Pflichten nach Artikel 26 in dieser Situation nicht auslagern. Betreiber müssen entweder eine eigene Bewertung der KI-Funktion durchführen, die Nutzung auf nicht-hochriskante Kontexte beschränken oder die Nutzung einstellen, bis eine angemessene Dokumentation verfügbar ist. Dies ist ein wesentliches Beschaffungsrisiko, das vor Vertragsverlängerungen bewertet werden sollte. Enzai ordnet Anbieter-Betreiber-Verpflichtungen über Ihren gesamten KI-Stack hinweg zu, einschließlich geschichteter GPAI- und Hochrisiko-Systemkonfigurationen.
Verpflichtungen für GPAI-Modelle
Viele unternehmensweite KI-Systeme basieren auf General-Purpose-AI-Modellen – Foundation-Modelle von Anthropic, OpenAI, Google, Meta und anderen. Das Gesetz legt in den Artikeln 51–56 eigenständige Verpflichtungen für Anbieter von GPAI-Modellen fest, wirksam seit August 2025.[6]
Alle GPAI-Anbieter müssen technische Dokumentation vorhalten, nachgelagerten Integratoren ausreichende Informationen zur Einhaltung ihrer eigenen Pflichten bereitstellen, eine Richtlinie zur Urheberrechtskonformität umsetzen und eine Zusammenfassung der Trainingsdaten veröffentlichen.
Modelle oberhalb der Schwelle für systemisches Risiko (kumulierte Trainingsrechenleistung über 10^25 FLOPs oder durch die Kommission auf Basis nachgewiesener Fähigkeiten benannt) unterliegen zusätzlichen Pflichten: adversariales Testen, Risikobewertung und -minderung, Meldung schwerwiegender Vorfälle an das Europäische KI-Amt und Cybersicherheitsmaßnahmen.
Der im August 2025 gebilligte GPAI-Verhaltenskodex bietet einen Compliance-Pfad und begründet eine Konformitätsvermutung für Unterzeichner.[7] Das Europäische KI-Amt hat die ausschließliche Aufsichtsbefugnis über GPAI-Modelle, getrennt von nationalen Marktüberwachungsbehörden.
Für Unternehmen, die Agenten und Anwendungen auf Basis von GPAI-Modellen Dritter einsetzen, ist die praktische Folge eine geschichtete Compliance: Der Modellanbieter trägt die GPAI-Pflichten, während die einsetzende Organisation die Hochrisiko-Systempflichten für die Anwendungsebene trägt. Klarheit darüber, wo ein Pflichtenset endet und das andere beginnt, ist essenziell.
Sanktionen und Durchsetzung
Der Sanktionsrahmen ist erheblich und gestuft.[8]
Verstoß | Höchstbuße |
|---|---|
Verbotene Praktiken (Artikel 5) | 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes |
Hochrisiko- und Transparenzpflichten | 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes |
Übermittlung unrichtiger Informationen an Behörden | 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes |
Die Durchsetzung ist dezentralisiert. Nationale Marktüberwachungsbehörden sind für die Compliance bei Hochrisiko-Systemen zuständig. Das Europäische KI-Amt ist für die Compliance bei GPAI-Modellen zuständig. Grundrechtsschutzbehörden (in einigen Mitgliedstaaten ggf. die Datenschutzbehörde) bearbeiten Fälle, die die Nutzung von Hochrisiko-KI durch öffentliche Stellen betreffen.
Faktoren bei der Festsetzung von Bußgeldern umfassen Art und Schwere des Verstoßes, ob dieser vorsätzlich oder fahrlässig war, die Größe der Organisation, die Kooperation mit Behörden sowie ergriffene Maßnahmen zur Schadensminderung.
Ein sequenzierter Maßnahmenplan
Mit Blick auf die näher rückende Frist im August 2026 benötigen Unternehmen einen strukturierten Ansatz. Enzai empfiehlt die folgende Sequenzierung, basierend auf unserer Arbeit mit Enterprise-Compliance-Teams bei der Umsetzung des Gesetzes.
Phase 1: Sofort (bereits anwendbare Verpflichtungen)
Benennen Sie eine interimistische Leitung für KI-Compliance, die die Maßnahmen der Phase 1 verantwortet und den Umfang des Gesamtprogramms festlegt. Die unten aufgeführten Sofortmaßnahmen erfordern eine Person mit Entscheidungsbefugnis und ausreichender Kapazität, um sie voranzutreiben.
Audit auf verbotene Praktiken durchführen. Artikel 5 ist seit Februar 2025 durchsetzbar. Prüfen Sie alle KI-Systeme auf Nähe zu verbotenen Kategorien – insbesondere Emotionserkennung am Arbeitsplatz, biometrische Kategorisierung und Verhaltens-Scoring.
KI-Kompetenz etablieren. Artikel 4 verlangt, dass am KI-Betrieb beteiligtes Personal über ausreichende KI-Kompetenz verfügt. Dokumentieren Sie Schulungsprogramme und bewahren Sie Nachweise auf.
GPAI-Exponierung bewerten. Wenn Ihre Organisation Foundation-Modelle entwickelt oder feinjustiert, stellen Sie die Einhaltung der seit August 2025 aktiven Verpflichtungen aus den Artikeln 51–56 sicher.
Phase 2: Fundamentaufbau (jetzt bis Q2 2026)
Governance-Struktur aufbauen. Benennen Sie eine verantwortliche Führungskraft für KI-Compliance, weisen Sie Verantwortung auf Produktebene für Hochrisiko-Systeme zu und etablieren Sie ein bereichsübergreifendes KI-Governance-Gremium aus Recht, Technologie, Sicherheit, Einkauf und HR. Ohne diese Autoritätsstruktur werden die nachfolgenden Inventarisierungs- und Klassifizierungsübungen nicht das organisatorische Mandat haben, Offenlegung durch Geschäftsbereiche durchzusetzen. Budget- und Tooling-Entscheidungen sollten in dieser Phase getroffen werden – Inventarisierung und Klassifizierung im Enterprise-Maßstab erfordern typischerweise dediziertes Tooling oder einen gesteuerten Prüfprozess.
Ein umfassendes KI-Inventar erstellen. Erfassen Sie jedes KI-System, das die Organisation entwickelt, einkauft oder einsetzt – einschließlich Shadow AI, eingebetteter KI in Anbieterplattformen und SaaS-Tools mit KI-Funktionen. Erfassen Sie Zweck, Dateneingaben, Einsatzkontext und Systemverantwortliche. Das KI-Inventarmodul von Enzai bietet automatisierte Erkennung über Cloud-Umgebungen und SaaS-Integrationen hinweg und reduziert den manuellen Aufwand, der typischerweise den größten Anteil dieser Phase ausmacht – sehen Sie, wie es funktioniert.
Jedes System klassifizieren. Ordnen Sie jedes inventarisierte System den Risikostufen zu. Dokumentieren Sie die Begründung der Klassifizierung für jedes System – dies ist selbst ein Compliance-Artefakt.
Phase 3: Compliance-Aufbau (Q2–Q3 2026)
Für jedes Hochrisiko-System das Set an Compliance-Artefakten aufbauen:
Risikomanagement-Dokumentation (Artikel 9)
Data-Governance-Verfahren (Artikel 10)
Technische Dokumentation gemäß Anhang IV (Artikel 11)
Implementierung automatischer Protokollierung (Artikel 12)
Gebrauchsanweisungen (Artikel 13)
Rahmen für menschliche Aufsicht – wer überwacht, wie eingegriffen wird, wie Eingriffe protokolliert werden (Artikel 14)
Konformitätsbewertung (Artikel 43) – interne Bewertung für Anhang III Nummern 2–8, sofern harmonisierte Normen gelten; Bewertung durch eine benannte Stelle für biometrische Fernidentifizierung (Nummer 1(a)) sowie für jede Kategorie, für die keine harmonisierte Norm veröffentlicht wurde. Prüfen Sie das Register harmonisierter Normen der Kommission, bevor Sie Ihren Konformitätsweg finalisieren
Lieferantenverträge aktualisieren. Stellen Sie bei KI-Systemen von Drittanbietern sicher, dass Verträge Dokumentationsrechte, Vorfallsmeldung, Protokollaufbewahrung und Verantwortungszuweisung nach Artikel 25 abdecken.
Transparenzoffenlegungen vorbereiten. Prüfen Sie kunden- und mitarbeiterseitige KI-Systeme auf Anforderungen aus Artikel 50 – Chatbot-Offenlegungen, Deepfake-Kennzeichnung, Hinweise zur Emotionserkennung.
Phase 4: Validierung und Einsatzbereitschaft (Q3 2026)
Eine Grundrechte-Folgenabschätzung durchführen, wo nach Artikel 27 erforderlich – verpflichtend für öffentliche Stellen und empfohlen für private Betreiber, die Hochrisiko-KI in wirkungsstarken Kontexten einsetzen.
Verfahren zur Vorfallsreaktion etablieren. Erweitern Sie bestehende Reaktionen auf Sicherheitsvorfälle um KI-spezifische Vorfälle: 15-Tage-Meldung bei Vorfällen mit Todesfolge oder schwerem Schaden, 72-Stunden-Meldung bei Datenschutzverletzungen, Identifizierung der jeweils zuständigen nationalen Behörde in jedem Mitgliedstaat.
Hochrisiko-Systeme registrieren Sie vor dem Einsatz in der EU-Datenbank (Artikel 71).
Konformitätsbewertung abschließen und EU-Konformitätserklärung ausstellen (Artikel 47) mit CE-Kennzeichnung (Artikel 48) für Systeme, die in Verkehr gebracht werden.
Ausblick
Der EU AI Act ist die weltweit umfassendste KI-Regulierung, die in Kraft ist. Seine stufenweise Umsetzung gibt Unternehmen einen klaren Zeitplan, doch die Compliance-Fläche ist breit – sie umfasst technische Dokumentation, Risikomanagement, Data Governance, menschliche Aufsicht, Transparenz und Überwachung nach dem Inverkehrbringen über potenziell Hunderte von KI-Systemen hinweg.
Am besten positioniert sind jene Organisationen, die jetzt Governance-Infrastruktur aufbauen, statt Compliance als punktuelle Übung zu behandeln. Die Verpflichtungen des Gesetzes sind kontinuierlich: Risikomanagement muss fortlaufend sein, Monitoring muss aktiv sein, Dokumentation muss aktuell sein. Ein Managementsystem-Ansatz – bei dem Compliance in die Entwicklung, den Einsatz und die Überwachung von KI-Systemen eingebettet ist – ist das einzig nachhaltige Modell.
Bei Enzai bietet unsere Plattform die operative Infrastruktur für die Compliance mit dem EU AI Act: zentralisiertes KI-Inventar, automatisierte Risikoklassifizierung gemäß dem Rahmenwerk des Gesetzes, strukturierte Dokumentation für die Artikel 9–15, kontinuierliches Monitoring und auditfähiges Evidenzmanagement. Für Unternehmen, die sich auf August 2026 vorbereiten, buchen Sie eine Demo, um zu sehen, wie die Plattform auf die Anforderungen des Gesetzes abgebildet wird.
Referenzen
[1] Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates, Artikel 113–114 (Inkrafttreten und Anwendungsdaten). Amtsblatt der Europäischen Union, Reihe L, 12. Juli 2024.
[2] Europäische Kommission, „Digital Omnibus on AI“ (COM(2025) 871), 26. November 2025. Vorgeschlagene Verlängerungen der Fristen nach Anhang III und Anhang I, abhängig von der Verfügbarkeit harmonisierter Normen.
[3] Verordnung (EU) 2024/1689, Artikel 5 (Verbotene KI-Praktiken) und Artikel 99 (Sanktionen).
[4] Verordnung (EU) 2024/1689, Artikel 6 (Klassifizierungsregeln für Hochrisiko-KI-Systeme) und Anhang III.
[5] Verordnung (EU) 2024/1689, Artikel 16 (Pflichten der Anbieter), 26 (Pflichten der Betreiber) und 25 (Sonstige Akteure entlang der KI-Wertschöpfungskette).
[6] Verordnung (EU) 2024/1689, Kapitel V, Artikel 51–56 (Verpflichtungen für GPAI-Modelle).
[7] GPAI-Verhaltenskodex, gebilligt von der Europäischen Kommission und dem AI Board, 1. August 2025.
[8] Verordnung (EU) 2024/1689, Artikel 99 (Sanktionen).
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.