Ein praxisorientierter Leitfaden für Unternehmen zur Einhaltung des EU-KI-Gesetzes – Risikoklassifizierung, Pflichten für Hochrisiko-Systeme, Zeitplan der Durchsetzung und was vor August 2026 zu tun ist.
•
•
15 Minuten Lesezeit
Themen
Das EU-KI-Gesetz steht nicht mehr nur bevor. Es ist bereits da. Das Verbot von KI-Systemen mit unannehmbarem Risiko ist seit dem 2. Februar 2025 durchsetzbar. Die Verpflichtungen für KI-Modelle mit allgemeinem Verwendungszweck traten am 2. August 2025 in Kraft. Und das gesamte Paket an Anforderungen für Hochrisiko-Systeme – Risikomanagement, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung – tritt am 2. August 2026 in Kraft.[1] Das ist in vier Monaten.
Für Compliance-Teams in Unternehmen besteht die Herausforderung nicht darin, die Verordnung abstrakt zu verstehen. Es geht darum, sie über Dutzende oder Hunderte von KI-Systemen hinweg zu operationalisieren, von denen jedes ein anderes Risikoprofil, einen anderen Anbieter und einen anderen Bereitstellungskontext aufweist. Das Volumen juristischer Kommentare zu dem Gesetz ist beträchtlich; praktische Anleitung zur Umsetzung ist jedoch Mangelware.
Dieser Leitfaden schließt diese Lücke. Er bietet Compliance-Teams in Unternehmen einen strukturierten Ansatz zur Einhaltung des EU-KI-Gesetzes – und deckt dabei die Risikoklassifizierung, die mit den einzelnen Stufen verbundenen Verpflichtungen, den Zeitplan für die Durchsetzung sowie einen sequenzierten Aktionsplan für die kommenden Monate ab.
Der Zeitplan für die Durchsetzung
Das Gesetz trat am 1. August 2024 in Kraft, doch die Verpflichtungen sind in mehrere Tranchen unterteilt. Zu verstehen, welche Verpflichtungen bereits aktiv sind und welche bevorstehen, ist der Ausgangspunkt für jedes Compliance-Programm.
Datum | Was gilt |
|---|---|
2. Februar 2025 | Verbotene KI-Praktiken (Artikel 5). Verpflichtung zur KI-Kompetenz (Artikel 4). Bereits in Kraft. |
2. August 2025 | Verpflichtungen für GPAI-Modelle (Artikel 51-56). Sanktions- und Durchsetzungsrahmen (Artikel 99). Governance-Strukturen (Kapitel VII). Bereits in Kraft. |
2. August 2026 | Vollständige Verpflichtungen für Hochrisiko-KI-Systeme (Artikel 9-15). Konformitätsbewertung (Artikel 43). Transparenzverpflichtungen (Artikel 50). Registrierung in der EU-Datenbank (Artikel 71). |
2. August 2027 | GPAI-Modelle, die vor August 2025 auf den Markt gebracht wurden, müssen Konformität erreichen. |
Der im November 2025 vorgeschlagene Digital Omnibus würde die Frist von Anhang III für Hochrisiko-Systeme auf Dezember 2027 und die Frist von Anhang I für eingebettete Produkte auf August 2028 verlängern.[2] Diese Vorschläge sind jedoch noch kein Gesetz – die Trilog-Verhandlungen zwischen Parlament, Rat und Kommission laufen noch, und das Ergebnis ist ungewiss. Unternehmen sollten für das Datum August 2026 planen und jede Verlängerung als Eventualität, nicht als Ausgangsbasis behandeln.
Risikoklassifizierung: In welche Kategorie fällt welches KI-System?
Die regulatorische Architektur des Gesetzes basiert auf einem vierstufigen Risikoklassifizierungssystem. Jedes KI-System, das ein Unternehmen entwickelt, kauft oder einsetzt, muss anhand dieser Stufen klassifiziert werden.
Unannehmbares Risiko: Verbotene Praktiken (Artikel 5)
Acht Kategorien der KI-Nutzung sind gänzlich verboten, wobei Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes drohen.[3] Die für Unternehmen relevantesten sind:
Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen – KI-Systeme, die auf den emotionalen Zustand von Mitarbeitern oder Studierenden schließen, außer wenn sie für sicherheitsrelevante oder medizinische Zwecke eingesetzt werden
Biometrische Kategorisierung nach sensiblen Merkmalen – Systeme, die Personen anhand biometrischer Daten nach ethnischer Herkunft, politischen Meinungen, Gewerkschaftszugehörigkeit, religiösen Überzeugungen, Sexualleben oder sexueller Orientierung kategorisieren
Social Scoring – Systeme, die von Behörden genutzt werden, um Personen im Laufe der Zeit auf der Grundlage ihres Sozialverhaltens zu bewerten, was zu einer unverhältnismäßigen Behandlung führt
Unterschwellige Beeinflussung – KI, die Techniken unterhalb der Wahrnehmungsschwelle nutzt, um das Verhalten in einer Weise zu manipulieren, die wahrscheinlich erheblichen Schaden verursacht
Maßnahme für Unternehmen: Überprüfen Sie unverzüglich alle KI-Systeme auf die Nähe zu diesen Kategorien. HR-Tools zur Emotionsanalyse, biometrische Systeme und Tools zur Verhaltensbewertung erfordern besondere Aufmerksamkeit. Wenn sich ein System nicht eindeutig von einer verbotenen Praktik abgrenzen lässt, stellen Sie es ein oder konzipieren Sie es neu. Diese Verpflichtung ist seit Februar 2025 durchsetzbar.
Hohes Risiko: Die zentrale Compliance-Verpflichtung
Die Klassifizierung als Hochrisiko-System erfolgt über zwei Wege.[4]
Weg 1 – Sicherheitsbauteile (Artikel 6 Absatz 1): KI-Systeme, die als Sicherheitsbauteil in Produkten eingesetzt werden, die bereits unter die EU-Sektorgesetzgebung fallen (Medizinprodukte, Maschinen, Luftfahrt, Kraftfahrzeuge, Druckgeräte und andere in Anhang I aufgeführte Produkte), sofern für diese Produkte eine Konformitätsbewertung durch Dritte erforderlich ist.
Weg 2 – Eigenständige Systeme des Anhangs III (Artikel 6 Absatz 2): KI-Systeme, die in acht sensiblen Anwendungsbereichen eingesetzt werden:
Kategorie | Beispiele |
|---|---|
Biometrie | Fernidentifizierung durch Biometrie; Emotionserkennung |
Kritische Infrastruktur | Sicherheitsbauteile in den Bereichen Wasser, Gas, Strom, digitale Infrastruktur, Straßenverkehrsmanagement |
Bildung | Zulassungsentscheidungen; Bewertung von Lernergebnissen; Überwachung von Täuschungsversuchen |
Beschäftigung | Lebenslauf-Screening; Beurteilung in Vorstellungsgesprächen; Leistungsüberwachung; Aufgabenzuteilung; Kündigungsentscheidungen |
Grundlegende Dienstleistungen | Kredit-Scoring; Risikobewertung bei Versicherungen; Berechtigung für Sozialleistungen; Notfalldiensteinsatz |
Strafverfolgung | Risikobewertung von Personen; Beweisbewertung; Rückfallprognosen |
Migration und Grenzkontrolle | Risikobewertung bei irregulärer Migration; Prüfung von Visums- und Asylanträgen |
Justiz und Demokratie | Unterstützung bei der Sachverhaltsaufklärung in der Justiz; Systeme, die Wahlen beeinflussen könnten |
Eine wichtige Nuance: Gemäß Artikel 6 Absatz 3 kann ein Anbieter feststellen, dass ein System, das unter eine Kategorie des Anhangs III fällt, tatsächlich kein signifikantes Risiko darstellt, sofern das System für einen engen verfahrenstechnischen Zweck verwendet wird, keinen Einfluss auf wesentliche Entscheidungen hat oder das Risiko im Kontext nachweislich vernachlässigbar ist. Der Anbieter muss die zuständige nationale Marktüberwachungsbehörde benachrichtigen und die Selbsteinschätzung in der EU-Datenbank registrieren, bevor die Feststellung wirksam wird. Dies ist keine Risikoausnahme – es handelt sich um eine dokumentierte, prüfbare Behauptung, die einer behördlichen Überprüfung standhalten muss.
Begrenztes Risiko: Transparenzverpflichtungen (Artikel 50)
Systeme, die direkt mit Personen interagieren, aber nicht in die Hochrisikokategorien fallen, müssen ab August 2026 Transparenzanforderungen erfüllen:
Chatbots und dialogorientierte KI müssen offenlegen, dass der Nutzer mit einem KI-System interagiert
Deepfake-Inhalte müssen als KI-generiert oder manipuliert gekennzeichnet werden
KI-generierter Text zu Themen von öffentlichem Interesse erfordert eine Offenlegung
Systeme zur Emotionserkennung und zur biometrischen Kategorisierung müssen betroffene Personen benachrichtigen
Minimales Risiko: Keine zwingenden Verpflichtungen
KI-Systeme, die in keine der oben genannten Kategorien fallen – Spam-Filter, Empfehlungs-Engines, KI-gestützte Grammatik-Tools, KI in Videospielen –, unterliegen keinen zwingenden Verpflichtungen. Freiwillige Verhaltenskodizes gemäß Artikel 95 werden empfohlen, sind aber nicht zwingend erforderlich.
Hochrisiko-Verpflichtungen: Was Compliance tatsächlich erfordert
Für KI-Systeme, die als hochriskant eingestuft werden, legt das Gesetz in den Artikeln 9-15 sieben Kategorien von zwingenden Anforderungen fest. Dies sind keine abstrakten Prinzipien, sondern spezifische, prüfbare Verpflichtungen mit Dokumentationspflichten.
Risikomanagement (Artikel 9)
Richten Sie einen kontinuierlichen Risikomanagementprozess ein – keine einmalige Bewertung, sondern ein fortlaufender Zyklus während des gesamten Lebenszyklus des KI-Systems. Der Prozess muss vorhersehbare Risiken für Gesundheit, Sicherheit und Grundrechte identifizieren und analysieren, diese Risiken schätzen und bewerten, Minderungsmaßnahmen ergreifen (wobei Designänderungen Vorrang vor betrieblichen Kontrollen haben) und das System vor der Bereitstellung anhand des Risikomanagementplans testen. Restrisiken müssen dokumentiert und den Betreibern mitgeteilt werden.
Daten-Governance (Artikel 10)
Trainings-, Validierungs- und Testdatensätze müssen relevant, repräsentativ, fehlerfrei und hinreichend vollständig sein. Die Daten-Governance-Praktiken müssen die Erfassung, Kennzeichnung, Verarbeitung und Aufbewahrung abdecken. Verfahren zur Erkennung und Korrektur von Verzerrungen (Bias) sind erforderlich, und personenbezogene Daten müssen in Übereinstimmung mit der DSGVO verarbeitet werden.
Technische Dokumentation (Artikel 11 und Anhang IV)
Erstellen Sie eine umfassende technische Dokumentation, bevor Sie das System auf den Markt bringen. Anhang IV legt fest, was enthalten sein muss: Systembeschreibung und -zweck, Designspezifikationen, Trainingsmethodik und Datenmerkmale, Leistungsmetriken, Testverfahren, bekannte Einschränkungen, Cybersicherheitsmaßnahmen und ein Plan zur Überwachung nach dem Inverkehrbringen. Diese Dokumentation muss auf dem neuesten Stand gehalten und den Behörden auf Anfrage zur Verfügung gestellt werden.
Aufzeichnungspflichten (Artikel 12)
Hochrisiko-Systeme müssen über integrierte automatische Protokollierungsfunktionen verfügen, die Ereignisse aufzeichnen, die für die Identifizierung von Risiken und wesentlichen Änderungen während der Lebensdauer des Systems relevant sind. Betreiber müssen die Protokolle mindestens sechs Monate lang aufbewahren. Für agentische KI-Systeme, die über mehrstufige Argumentationsketten hinweg operieren, ist die Protokollierungsanforderung besonders anspruchsvoll – und besonders wichtig.
Transparenz (Artikel 13)
Anbieter müssen Gebrauchsanweisungen bereitstellen, die es den Betreibern ermöglichen, die Fähigkeiten, Einschränkungen, Genauigkeitsmetriken, den Verwendungszweck und die erforderlichen Maßnahmen zur menschlichen Aufsicht des Systems zu verstehen. Die Anweisungen müssen für jemanden ohne KI-Fachwissen verständlich sein.
Menschliche Aufsicht (Artikel 14)
Systeme müssen so konzipiert sein, dass sie eine effektive menschliche Aufsicht ermöglichen. Das bedeutet, dass Menschen die Ausgaben des Systems verstehen, eingreifen oder den Betrieb unterbrechen, Ausgaben ignorieren oder überschreiben und verhindern können, dass das System menschliche Entscheidungen ohne vorherige Genehmigung überschreibt. Die Anbieter schaffen die Voraussetzungen, die Betreiber ernennen und schulen qualifiziertes Personal für die Durchführung.
Genauigkeit, Robustheit und Cybersicherheit (Artikel 15)
Systeme müssen während ihres gesamten Lebenszyklus ein angemessenes Maß an Genauigkeit aufweisen, widerstandsfähig gegenüber Fehlern und Inkonsistenzen bei Eingaben sein, manipulativem Missbrauch durch Dritte standhalten und den geltenden Cybersicherheitsstandards entsprechen.
Über die Artikel 9-15 hinaus müssen Anbieter auch ein Qualitätsmanagementsystem einrichten (Artikel 17), sich einer Konformitätsbewertung unterziehen (Artikel 43), eine EU-Konformitätserklärung ausstellen (Artikel 47), die CE-Kennzeichnung anbringen (Artikel 48), das System in der EU-Datenbank registrieren (Artikel 71), eine Überwachung nach dem Inverkehrbringen implementieren (Artikel 72) und schwerwiegende Vorfälle innerhalb von 15 Tagen melden (Artikel 73).
Die Aufteilung zwischen Anbieter und Betreiber
Das Gesetz weist die Verpflichtungen unterschiedlich zu, je nachdem, ob eine Organisation ein Anbieter (entwickelt ein KI-System oder lässt es entwickeln) oder ein Betreiber (verwendet es im beruflichen Kontext) ist.[5]
Anbieter tragen die Hauptlast: vollständige Einhaltung der Artikel 9-15, Konformitätsbewertung, Dokumentation und Überwachung nach dem Inverkehrbringen. Betreiber müssen Systeme gemäß den Anweisungen des Anbieters verwenden, die menschliche Aufsicht qualifiziertem Personal zuweisen, Protokolle aufbewahren, betroffene Personen informieren und Vorfälle melden.
Die entscheidende Grenze: Ein Unternehmen, das ein KI-System eines Dritten wesentlich modifiziert, dessen Verwendungszweck ändert oder es unter einer eigenen Marke auf den Markt bringt, wird gemäß Artikel 25 zum Anbieter und übernimmt alle Anbieterpflichten. Die Feinabstimmung (Fine-Tuning) eines Foundation-Modells für einen neuen Anwendungsfall kann beispielsweise diese Schwelle überschreiten. Organisationen sollten jedes KI-System dem Anbieter-Betreiber-Rahmenwerk zuordnen und die Klassifizierung dokumentieren.
Bei KI-Systemen von Drittanbietern ist die Due Diligence des Betreibers unerlässlich. Fordern Sie Dokumente an, die die Risikoklassifizierung und den Konformitätsstatus des Systems bestätigen. Aktualisieren Sie Lieferantenverträge, um die Meldung von Vorfällen, die Aufbewahrung von Protokollen, Spezifikationen zur menschlichen Aufsicht und die Zuweisung von Verantwortlichkeiten zu regeln. Wenn ein Anbieter keine ausreichende Dokumentation bereitstellen kann, stellt dies ein wesentliches Compliance-Risiko dar.
Ein häufiges und unterschätztes Szenario: Große SaaS-Anbieter (Salesforce, ServiceNow, Workday und andere) betten zunehmend KI-Funktionen ein, die in den Kategorien Beschäftigung oder grundlegende Dienstleistungen als hochriskant eingestuft werden könnten, lehnen es jedoch unter Umständen ab, Konformitätsdokumente bereitzustellen. Der Betreiber kann seine Pflichten aus Artikel 26 in dieser Situation nicht auslagern. Betreiber müssen entweder eine eigene Bewertung der KI-Funktion durchführen, die Nutzung auf Nicht-Hochrisiko-Kontexte beschränken oder die Nutzung einstellen, bis eine angemessene Dokumentation vorliegt. Dies ist ein wesentliches Beschaffungsrisiko, das vor einer Vertragsverlängerung bewertet werden sollte. Enzai bildet Anbieter-Betreiber-Pflichten über Ihren gesamten KI-Stack hinweg ab, einschließlich mehrschichtiger GPAI und Konfigurationen von Hochrisiko-Systemen.
Verpflichtungen für GPAI-Modelle
Viele KI-Systeme in Unternehmen basieren auf KI-Modellen mit allgemeinem Verwendungszweck – Foundation-Modellen von Anthropic, OpenAI, Google, Meta und anderen. Das Gesetz legt den Anbietern von GPAI-Modellen in den Artikeln 51-56 eigene Verpflichtungen auf, die seit August 2025 in Kraft sind.[6]
Alle GPAI-Anbieter müssen eine technische Dokumentation führen, nachgeschalteten Integratoren ausreichende Informationen zur Verfügung stellen, damit diese ihre eigenen Verpflichtungen erfüllen können, eine Richtlinie zur Einhaltung des Urheberrechts einführen und eine Zusammenfassung der Trainingsdaten veröffentlichen.
Modelle oberhalb der Schwelle für systemische Risiken (kumulierte Rechenleistung für das Training von mehr als 10^25 FLOPs oder von der Kommission aufgrund nachgewiesener Fähigkeiten so eingestuft) unterliegen zusätzlichen Verpflichtungen: kontradiktorische Tests (Adversarial Testing), Risikobewertung und -minderung, Meldung schwerwiegender Vorfälle an das Europäische Büro für KI und Maßnahmen zum Cyberschutz.
Der im August 2025 gebilligte GPAI-Verhaltenskodex bietet einen Weg zur Compliance und begründet für die Unterzeichner eine Konformitätsvermutung.[7] Das Europäische Büro für KI hat die ausschließliche Aufsichtsbefugnis über GPAI-Modelle, unabhängig von den nationalen Marktüberwachungsbehörden.
Für Unternehmen, die Agenten und Anwendungen auf der Grundlage von GPAI-Modellen von Drittanbietern bereitstellen, bedeutet dies in der Praxis eine mehrschichtige Compliance: Der Modell-Anbieter trägt die GPAI-Verpflichtungen, während die bereitstellende Organisation die Verpflichtungen für Hochrisiko-Systeme auf der Anwendungsebene trägt. Klarheit darüber, wo eine Reihe von Verpflichtungen endet und die andere beginnt, ist unerlässlich.
Sanktionen und Durchsetzung
Der Sanktionsrahmen ist beträchtlich und gestaffelt.[8]
Verstoß | Maximale Geldbuße |
|---|---|
Verbotene Praktiken (Artikel 5) | 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes |
Pflichten für Hochrisiko-Systeme und Transparenz | 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes |
Bereitstellung unrichtiger Informationen für Behörden | 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes |
Die Durchsetzung erfolgt dezentral. Nationale Marktüberwachungsbehörden sind für die Einhaltung der Vorschriften für Hochrisiko-Systeme zuständig. Das Europäische Büro für KI befasst sich mit der Compliance von GPAI-Modellen. Behörden zum Schutz der Grundrechte (was in einigen Mitgliedstaaten die Datenschutzbehörde sein kann) befassen sich mit Fällen, in denen Behörden Hochrisiko-KI einsetzen.
Zu den Faktoren für die Festlegung der Geldbuße gehören die Art und Schwere des Verstoßes, die Frage, ob er vorsätzlich oder fahrlässig begangen wurde, die Größe der Organisation, die Zusammenarbeit mit den Behörden sowie die Maßnahmen zur Schadensbegrenzung.
Ein sequenzierter Aktionsplan
Da die Frist im August 2026 näher rückt, benötigen Unternehmen einen strukturierten Ansatz. Enzai empfiehlt die folgende Sequenzierung, basierend auf unserer Arbeit mit Compliance-Teams in Unternehmen, die sich mit dem Gesetz auseinandersetzen.
Phase 1: Sofortmaßnahmen (bereits anwendbare Verpflichtungen)
Ernennen Sie einen interimistischen KI-Compliance-Verantwortlichen, der die Maßnahmen der Phase 1 leitet und mit der Konzeption des Gesamtprogramms beginnt. Die folgenden Sofortmaßnahmen erfordern jemanden mit der nötigen Autorität und Kapazität, um sie voranzutreiben.
Prüfung auf verbotene Praktiken. Artikel 5 ist seit Februar 2025 durchsetzbar. Überprüfen Sie alle KI-Systeme auf die Nähe zu verbotenen Kategorien – insbesondere Emotionserkennung am Arbeitsplatz, biometrische Kategorisierung und Verhaltensbewertung.
KI-Kompetenz aufbauen. Artikel 4 verlangt, dass Personal, das mit dem Betrieb von KI befasst ist, über ausreichende KI-Kompetenz verfügt. Dokumentieren Sie Schulungsprogramme und bewahren Sie Nachweise auf.
GPAI-Exposition bewerten. Wenn Ihre Organisation Foundation-Modelle entwickelt oder anpasst, stellen Sie sicher, dass die seit August 2025 geltenden Verpflichtungen gemäß Artikel 51-56 eingehalten werden.
Phase 2: Fundamentlegung (jetzt bis Q2 2026)
Governance-Struktur etablieren. Bestimmen Sie einen Projektverantwortlichen für KI-Compliance auf Führungsebene, weisen Sie die Verantwortung auf Produktebene für Hochrisiko-Systeme zu und berufen Sie eine funktionsübergreifende KI-Governance-Gruppe ein, die die Bereiche Recht, Technologie, Sicherheit, Beschaffung und HR abdeckt. Ohne diese Struktur wird es den folgenden Inventarisierungs- und Klassifizierungsschritten an dem organisatorischen Mandat fehlen, um Offenlegungen von den Geschäftsbereichen einzufordern. Budget- und Tooling-Entscheidungen sollten in dieser Phase getroffen werden – Inventarisierung und Klassifizierung im Unternehmensmaßstab erfordern in der Regel dedizierte Tools oder einen verwalteten Überprüfungsprozess.
Erstellung eines umfassenden KI-Inventars. Erfassen Sie jedes KI-System, das die Organisation entwickelt, zukauft oder einsetzt – einschließlich Schatten-KI, eingebetteter KI in Plattformen von Drittanbietern und SaaS-Tools mit KI-Funktionen. Erfassen Sie Zweck, Dateneingaben, Bereitstellungskontext und Systemverantwortliche. Das KI-Inventarmodul von Enzai bietet eine automatisierte Erkennung über Cloud-Umgebungen und SaaS-Integrationen hinweg und reduziert so den manuellen Aufwand, der normalerweise den größten Teil dieser Phase in Anspruch nimmt – sehen Sie, wie es funktioniert.
Jedes System klassifizieren. Ordnen Sie jedes inventarisierte System den Risikostufen zu. Dokumentieren Sie die Begründung für die Klassifizierung – dies ist selbst ein Compliance-Artefakt.
Phase 3: Aufbau der Compliance (Q2-Q3 2026)
Erstellen Sie für jedes Hochrisiko-System die Compliance-Dokumentation:
Risikomanagement-Dokumentation (Artikel 9)
Daten-Governance-Verfahren (Artikel 10)
Technische Dokumentation gemäß Anhang IV (Artikel 11)
Implementierung der automatischen Protokollierung (Artikel 12)
Gebrauchsanweisungen (Artikel 13)
Rahmenwerk für die menschliche Aufsicht – wer die Aufsicht führt, wie eingegriffen wird, wie Eingriffe protokolliert werden (Artikel 14)
Konformitätsbewertung (Artikel 43) – interne Bewertung für Anhang III Punkte 2-8, sofern harmonisierte Standards angewendet werden; Bewertung durch eine benannte Stelle für die biometrische Fernidentifizierung (Punkt 1(a)) und für alle Kategorien, für die kein harmonisierter Standard veröffentlicht wurde. Überprüfen Sie das Register für harmonisierte Standards der Kommission, bevor Sie Ihren Konformitätsweg festlegen
Verträge mit Lieferanten aktualisieren. Stellen Sie bei KI-Systemen von Drittanbietern sicher, dass die Verträge die Dokumentationsrechte, die Meldung von Vorfällen, die Aufbewahrung von Protokollen und die Haftungsverteilung gemäß Artikel 25 regeln.
Erstellung von Transparenzerklärungen. Überprüfen Sie kunden- und mitarbeiterorientierte KI-Systeme auf die Einhaltung der Anforderungen aus Artikel 50 – Chatbot-Hinweise, Deepfake-Kennzeichnung, Benachrichtigungen zur Emotionserkennung.
Phase 4: Validierung und Bereitschaft (Q3 2026)
Durchführung einer Grundrechte-Folgenabschätzung, wo gemäß Artikel 27 erforderlich – obligatorisch für öffentliche Stellen und empfohlen für private Betreiber, die Hochrisiko-KI in besonders folgenschweren Kontexten einsetzen.
Einrichtung von Verfahren zur Reaktion auf Vorfälle. Erweitern Sie die bestehende Reaktion auf Sicherheitsvorfälle auf KI-spezifische Vorfälle: 15-tägige Meldepflicht bei Vorfällen mit Todesfolge oder schwerem Schaden, 72-Stunden-Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten, Identifizierung der zuständigen nationalen Behörde in jedem Mitgliedstaat.
Registrierung von Hochrisiko-Systemen in der EU-Datenbank vor der Bereitstellung (Artikel 71).
Konformitätsbewertung abschließen und EU-Konformitätserklärung ausstellen (Artikel 47) mit CE-Kennzeichnung (Artikel 48) für Systeme, die auf dem Markt bereitgestellt werden.
Ausblick
Das EU-KI-Gesetz ist die umfassendste KI-Regulierung weltweit. Seine schrittweise Einführung gibt Unternehmen einen klaren Zeitrahmen vor, aber der Compliance-Umfang ist enorm. Er erstreckt sich über technische Dokumentation, Risikomanagement, Daten-Governance, menschliche Aufsicht, Transparenz und die Überwachung nach dem Inverkehrbringen bei potenziell hunderten von KI-Systemen.
Am besten aufgestellt sind diejenigen Organisationen, die schon jetzt eine Governance-Infrastruktur aufbauen, anstatt Compliance als einmalige Pflichtaufgabe zu betrachten. Die Pflichten des Gesetzes sind kontinuierlicher Natur: Das Risikomanagement muss fortlaufend, die Überwachung aktiv und die Dokumentation stets aktuell sein. Ein Managementsystem-Ansatz, bei dem Compliance fest in die Entwicklung, den Einsatz und die Überwachung von KI-Systemen integriert ist, ist das einzige nachhaltige Modell.
Wir bei Enzai bieten mit unserer Plattform die operative Infrastruktur für die Einhaltung des EU-KI-Gesetzes: ein zentrales KI-Inventar, automatisierte Risikoklassifizierung gemäß dem Rahmenwerk des Gesetzes, strukturierte Dokumentation für die Artikel 9-15, kontinuierliches Monitoring und prüfbereites Nachweismanagement. Für Unternehmen, die sich auf den August 2026 vorbereiten: Buchen Sie eine Demo, um zu sehen, wie die Plattform die Anforderungen des Gesetzes abbildet.
Enzai ist die führende Plattform für KI-Governance in Unternehmen, die eigens dafür entwickelt wurde, Organisationen beim Übergang von abstrakten Richtlinien zur operativen Aufsicht zu unterstützen. Unsere KI-Risikomanagement-Plattform bietet die spezialisierte Infrastruktur, die für die Verwaltung der Governance von agentischer KI, die Pflege eines umfassenden KI-Inventars und die Gewährleistung der Einhaltung des EU-KI-Gesetzes erforderlich ist. Durch die Automatisierung komplexer Arbeitsabläufe versetzt Enzai Unternehmen in die Lage, die Einführung von KI vertrauensvoll zu skalieren und gleichzeitig die Abstimmung mit globalen Standards wie ISO 42001 und NIST aufrechtzuerhalten.
Referenzen
[1] Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates, Artikel 113-114 (Inkrafttreten und Geltungsbeginn). Amtsblatt der Europäischen Union, Reihe L, 12. Juli 2024.
[2] Europäische Kommission, „Digital Omnibus on AI“ (COM(2025) 871), 26. November 2025. Vorgeschlagene Verlängerungen der Fristen für Anhang III und Anhang I, abhängig von der Verfügbarkeit harmonisierter Standards.
[3] Verordnung (EU) 2024/1689, Artikel 5 (Verbotene KI-Praktiken) und Artikel 99 (Sanktionen).
[4] Verordnung (EU) 2024/1689, Artikel 6 (Klassifizierungsregeln für Hochrisiko-KI-Systeme) und Anhang III.
[5] Verordnung (EU) 2024/1689, Artikel 16 (Pflichten der Anbieter), 26 (Pflichten der Betreiber) und 25 (Andere Akteure in der KI-Wertschöpfungskette).
[6] Verordnung (EU) 2024/1689, Kapitel V, Artikel 51-56 (Verpflichtungen für GPAI-Modelle).
[7] GPAI Code of Practice, gebilligt von der Europäischen Kommission und dem KI-Ausschuss, 1. August 2025.
[8] Verordnung (EU) 2024/1689, Artikel 99 (Sanktionen).
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.