Ein praxisorientierter Leitfaden für Unternehmen zur Einhaltung des EU-KI-Gesetzes – Risikoklassifizierung, Pflichten für Hochrisiko-Systeme, Zeitplan der Durchsetzung und was vor August 2026 zu tun ist.
•
•
15 Minuten Lesezeit
Themen
Der EU AI Act ist nicht länger nur angekündigt. Er ist da. Das Verbot von KI-Systemen mit inakzeptablem Risiko ist seit dem 2. Februar 2025 durchsetzbar. Die Pflichten für KI-Modelle für allgemeine Zwecke traten am 2. August 2025 in Kraft. Und das vollständige Paket der Anforderungen für Hochrisiko-KI-Systeme – Risikomanagement, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung – wird am 2. August 2026 wirksam.[1] Das sind nur noch vier Monate.
Für Compliance-Teams in Unternehmen besteht die Herausforderung nicht darin, die Regulierung abstrakt zu verstehen. Es geht darum, sie über Dutzende oder Hunderte von KI-Systemen hinweg operativ umzusetzen, jedes mit unterschiedlichen Risikoprofilen, unterschiedlichen Anbietern und unterschiedlichen Einsatzkontexten. Die Menge an juristischen Kommentaren zum Act ist beträchtlich; praktische Umsetzungsleitfäden sind rar.
Dieser Leitfaden schließt diese Lücke. Er bietet einen strukturierten Ansatz für die EU AI Act-Compliance für Unternehmensteams – mit Risikoklassifizierung, den Pflichten, die auf jeder Stufe anfallen, dem Zeitplan der Durchsetzung und einem gestaffelten Aktionsplan für die kommenden Monate.
Der Zeitplan der Durchsetzung
Der Act ist am 1. August 2024 in Kraft getreten, die Pflichten werden jedoch in mehreren Tranchen gestaffelt. Zu verstehen, welche Pflichten bereits aktiv sind und welche bevorstehen, ist der Ausgangspunkt für jedes Compliance-Programm.
Datum | Was gilt |
|---|---|
2. Februar 2025 | Verbotene KI-Praktiken (Artikel 5). Pflicht zur KI-Kompetenz (Artikel 4). Bereits in Kraft. |
2. August 2025 | Pflichten für GPAI-Modelle (Artikel 51-56). Sanktions- und Durchsetzungsrahmen (Artikel 99). Governance-Strukturen (Kapitel VII). Bereits in Kraft. |
2. August 2026 | Sämtliche Pflichten für Hochrisiko-KI-Systeme (Artikel 9-15). Konformitätsbewertung (Artikel 43). Transparenzpflichten (Artikel 50). Registrierung in der EU-Datenbank (Artikel 71). |
2. August 2027 | Vor August 2025 in Verkehr gebrachte GPAI-Modelle müssen konform sein. |
Der im November 2025 vorgeschlagene Digital Omnibus würde die Frist für Hochrisikosysteme nach Anhang III auf Dezember 2027 und die Frist für eingebettete Produkte nach Anhang I auf August 2028 verlängern.[2] Diese Vorschläge sind jedoch noch nicht Gesetz - die Trilogverhandlungen zwischen Parlament, Rat und Kommission laufen, und das Ergebnis ist ungewiss. Unternehmen sollten mit dem Termin im August 2026 planen und jede Verlängerung als Vorsorgeoption, nicht als Ausgangsbasis, behandeln.
Risikoklassifizierung: Wo ist jedes KI-System einzuordnen?
Die regulatorische Architektur des Acts basiert auf einem vierstufigen Risikoklassifizierungssystem. Jedes KI-System, das ein Unternehmen entwickelt, kauft oder einsetzt, muss anhand dieser Stufen klassifiziert werden.
Inakzeptables Risiko: verbotene Praktiken (Artikel 5)
Acht Kategorien der KI-Nutzung sind vollständig verboten, mit Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.[3] Für Unternehmen besonders relevant:
Emotionserkennung am Arbeitsplatz oder im Bildungswesen - KI-Systeme, die emotionale Zustände von Beschäftigten oder Studierenden ableiten, außer wenn sie zu Sicherheits- oder medizinischen Zwecken eingesetzt werden
Biometrische Kategorisierung anhand sensibler Merkmale - Systeme, die Personen anhand von Rasse, politischen Ansichten, Gewerkschaftszugehörigkeit, religiösen Überzeugungen, Sexualleben oder sexueller Orientierung unter Verwendung biometrischer Daten kategorisieren
Sozial-Scoring - Systeme, die von öffentlichen Behörden eingesetzt werden, um Personen im Zeitverlauf auf Grundlage sozialen Verhaltens zu bewerten und so zu einer unverhältnismäßigen Behandlung führen
Unterschwellige Manipulation - KI, die Techniken unterhalb der Wahrnehmungsschwelle verwendet, um Verhalten auf eine Weise zu verzerren, die wahrscheinlich erheblichen Schaden verursacht
Handlungsempfehlung für Unternehmen: Alle KI-Systeme umgehend auf Nähe zu diesen Kategorien prüfen. HR-Tools mit Emotionsanalyse, biometrische Systeme und Tools zur Verhaltensbewertung erfordern besondere Prüfung. Wenn sich ein System nicht eindeutig von einer verbotenen Praxis abgrenzen lässt, ist es außer Betrieb zu nehmen oder neu zu gestalten. Diese Pflicht ist seit Februar 2025 durchsetzbar.
Hochrisiko: die zentrale Compliance-Pflicht
Die Hochrisikoklassifizierung wird über zwei Wege ausgelöst.[4]
Weg 1 - Sicherheitskomponenten (Artikel 6(1)): KI-Systeme, die eine Sicherheitskomponente von Produkten sind, die bereits unter EU-Sektorgesetzgebung reguliert werden (Medizinprodukte, Maschinen, Luftfahrt, Automobilindustrie, Druckgeräte und andere in Anhang I aufgeführte Produkte), sofern diese Produkte eine Konformitätsbewertung durch Dritte erfordern.
Weg 2 - eigenständige Systeme nach Anhang III (Artikel 6(2)): KI-Systeme, die in acht sensiblen Anwendungsfall-Kategorien eingesetzt werden:
Kategorie | Beispiele |
|---|---|
Biometrie | Fernbiometrische Identifizierung; Emotionserkennung |
Kritische Infrastruktur | Sicherheitskomponenten in Wasser-, Gas-, Strom- und Digitalinfrastruktur, Verkehrsmanagement im Straßenverkehr |
Bildung | Zulassungsentscheidungen; Bewertung von Lernergebnissen; Überwachung von Täuschungsversuchen |
Beschäftigung | Lebenslauf-Screening; Beurteilung in Vorstellungsgesprächen; Leistungsüberwachung; Aufgabenverteilung; Kündigungsentscheidungen |
Wesentliche Dienstleistungen | Bonitätsbewertung; Risikobewertung für Versicherungen; Anspruchsberechtigung für Sozialleistungen; Notrufdisposition |
Strafverfolgung | Risikobewertung von Personen; Beweisbewertung; Prognose von Rückfälligkeit |
Migration und Grenzmanagement | Risikobewertung irregulärer Migration; Prüfung von Visa- und Asylanträgen |
Justiz und Demokratie | Unterstützung der gerichtlichen Sachverhaltsaufklärung; Systeme, die Wahlen beeinflussen könnten |
Eine wichtige Nuance: Nach Artikel 6(3) kann ein Anbieter feststellen, dass ein System, das unter eine Anhang-III-Kategorie fällt, tatsächlich kein erhebliches Risiko darstellt, sofern das System für einen eng begrenzten verfahrenstechnischen Zweck verwendet wird, substantielle Entscheidungen nicht beeinflusst oder das Risiko im gegebenen Kontext nachweislich vernachlässigbar ist. Der Anbieter muss die zuständige nationale Marktüberwachungsbehörde benachrichtigen und die Selbsteinstufung in der EU-Datenbank registrieren, bevor die Feststellung wirksam wird. Dies ist keine Risikobefreiung - sondern eine dokumentierte, prüfbare Feststellung, die einer behördlichen Prüfung standhalten muss.
Begrenztes Risiko: Transparenzpflichten (Artikel 50)
Systeme, die direkt mit Personen interagieren, aber nicht in die Hochrisikokategorien fallen, müssen ab August 2026 folgende Transparenzanforderungen erfüllen:
Chatbots und dialogbasierte KI müssen offenlegen, dass der Nutzer mit einem KI-System interagiert
Deepfake-Inhalte müssen als KI-generiert oder manipuliert gekennzeichnet werden
KI-generierter Text zu Themen von öffentlichem Interesse erfordert eine Offenlegung
Systeme zur Emotionserkennung und biometrischen Kategorisierung müssen betroffene Personen benachrichtigen
Minimales Risiko: keine obligatorischen Pflichten
KI-Systeme, die in keine der oben genannten Kategorien fallen - Spamfilter, Empfehlungsmaschinen, KI-gestützte Grammatiktools, KI in Videospielen - unterliegen keinen obligatorischen Pflichten. Freiwillige Verhaltenskodizes nach Artikel 95 werden empfohlen, sind aber nicht vorgeschrieben.
Pflichten für Hochrisiko-Systeme: Was Compliance tatsächlich erfordert
Für als Hochrisiko klassifizierte KI-Systeme schreibt der Act sieben Kategorien obligatorischer Anforderungen durch die Artikel 9-15 vor. Dies sind keine abstrakten Grundsätze; es handelt sich um konkrete, prüfbare Pflichten mit Dokumentationsanforderungen.
Risikomanagement (Artikel 9)
Richten Sie einen kontinuierlichen Risikomanagementprozess ein - keine einmalige Bewertung, sondern einen fortlaufenden Zyklus während des gesamten Lebenszyklus des KI-Systems. Der Prozess muss vorhersehbare Risiken für Gesundheit, Sicherheit und Grundrechte identifizieren und analysieren, diese Risiken abschätzen und bewerten, Minderungsmaßnahmen ergreifen (wobei Designänderungen Vorrang vor operativen Kontrollen haben) und das System vor dem Einsatz anhand des Risikomanagementplans testen. Restrisiken müssen dokumentiert und den Betreibern mitgeteilt werden.
Daten-Governance (Artikel 10)
Trainings-, Validierungs- und Testdatensätze müssen relevant, repräsentativ, fehlerfrei und ausreichend vollständig sein. Daten-Governance-Praktiken müssen Erhebung, Kennzeichnung, Verarbeitung und Aufbewahrung abdecken. Verfahren zur Erkennung und Korrektur von Verzerrungen sind erforderlich, und personenbezogene Daten müssen in Übereinstimmung mit der DSGVO verarbeitet werden.
Technische Dokumentation (Artikel 11 und Anhang IV)
Erstellen Sie vor dem Inverkehrbringen des Systems eine umfassende technische Dokumentation. Anhang IV legt fest, was enthalten sein muss: Systembeschreibung und Zweck, Konstruktionsspezifikationen, Trainingsmethodik und Dateneigenschaften, Leistungskennzahlen, Testverfahren, bekannte Einschränkungen, Cybersicherheitsmaßnahmen und ein Plan zur Überwachung nach dem Inverkehrbringen. Diese Dokumentation muss aktuell gehalten und den Behörden auf Anfrage zur Verfügung gestellt werden.
Aufzeichnungspflichten (Artikel 12)
Hochrisikosysteme müssen über integrierte automatische Protokollierungsfunktionen verfügen, die Ereignisse aufzeichnen, die für die Identifizierung von Risiken und wesentlichen Änderungen während der gesamten Lebensdauer des Systems relevant sind. Betreiber müssen Protokolle mindestens sechs Monate lang aufbewahren. Für agentische KI-Systeme, die über mehrstufige Schlussfolgerungsketten arbeiten, ist die Protokollierungsanforderung besonders anspruchsvoll - und besonders wichtig.
Transparenz (Artikel 13)
Anbieter müssen Gebrauchsanweisungen bereitstellen, die es Betreibern ermöglichen, die Fähigkeiten, Einschränkungen, Genauigkeitskennzahlen, den beabsichtigten Zweck und die erforderlichen Maßnahmen zur menschlichen Aufsicht des Systems zu verstehen. Die Anweisungen müssen auch für Personen ohne spezialisiertes KI-Wissen verständlich sein.
Menschliche Aufsicht (Artikel 14)
Systeme müssen so gestaltet sein, dass eine wirksame menschliche Aufsicht möglich ist - das heißt, Menschen können die Ausgaben des Systems verstehen, in den Betrieb eingreifen oder ihn unterbrechen, Ausgaben außer Acht lassen oder übersteuern und verhindern, dass das System menschliche Entscheidungen ohne vorherige Autorisierung überschreibt. Anbieter schaffen die Fähigkeit; Betreiber benennen und schulen qualifiziertes Personal, das sie ausübt.
Genauigkeit, Robustheit und Cybersicherheit (Artikel 15)
Systeme müssen die angegebenen Genauigkeitsniveaus während ihres gesamten Lebenszyklus aufrechterhalten, Fehler und Inkonsistenzen in Eingaben widerstehen, adversarialen Manipulationen standhalten und die geltenden Cybersicherheitsstandards erfüllen.
Über die Artikel 9-15 hinaus müssen Anbieter außerdem ein Qualitätsmanagementsystem einrichten (Artikel 17), eine Konformitätsbewertung durchlaufen (Artikel 43), eine EU-Konformitätserklärung ausstellen (Artikel 47), eine CE-Kennzeichnung anbringen (Artikel 48), das System in der EU-Datenbank registrieren (Artikel 71), eine Überwachung nach dem Inverkehrbringen umsetzen (Artikel 72) und schwerwiegende Vorfälle innerhalb von 15 Tagen melden (Artikel 73).
Die Aufteilung zwischen Anbieter und Betreiber
Der Act verteilt Pflichten unterschiedlich, je nachdem, ob eine Organisation ein Anbieter ist (entwickelt oder beauftragt das KI-System) oder ein Betreiber (setzt es in einem beruflichen Kontext ein).[5]
Anbieter tragen die größere Last: vollständige Compliance mit den Artikeln 9-15, Konformitätsbewertung, Dokumentation und Überwachung nach dem Inverkehrbringen. Betreiber müssen Systeme gemäß den Anweisungen des Anbieters verwenden, die menschliche Aufsicht qualifiziertem Personal zuweisen, Protokolle aufbewahren, betroffene Personen informieren und Probleme melden.
Die kritische Grenze: Ein Unternehmen, das ein KI-System eines Dritten übernimmt und es wesentlich verändert, seinen bestimmungsgemäßen Zweck ändert oder es unter eigener Marke in Verkehr bringt, wird nach Artikel 25 zum Anbieter und übernimmt sämtliche Anbieterpflichten. Das Feinabstimmen eines Basismodells für einen neuen Anwendungsfall kann diese Schwelle beispielsweise überschreiten. Organisationen sollten jedes KI-System dem Anbieter-Betreiber-Rahmen zuordnen und die Einstufung dokumentieren.
Für KI-Systeme von Dritten ist die Sorgfaltsprüfung des Betreibers entscheidend. Fordern Sie Dokumentationen an, die die Risikoklassifizierung und den Konformitätsstatus des Systems bestätigen. Aktualisieren Sie Lieferantenverträge, um Vorfallmeldungen, Protokollaufbewahrung, Spezifikationen zur menschlichen Aufsicht und die Aufteilung der Verantwortlichkeiten abzudecken. Wenn ein Anbieter keine ausreichende Dokumentation bereitstellen kann, stellt dies ein wesentliches Compliance-Risiko dar.
Ein gängiges und oft unterschätztes Szenario: Große SaaS-Anbieter (Salesforce, ServiceNow, Workday und andere) binden zunehmend KI-Funktionen ein, die unter die Kategorien Beschäftigung oder wesentliche Dienstleistungen als Hochrisiko fallen können, sich jedoch möglicherweise weigern, Konformitätsdokumentationen bereitzustellen. Der Betreiber kann seine Pflichten nach Artikel 26 in dieser Situation nicht auslagern. Betreiber müssen entweder ihre eigene Bewertung der KI-Funktion durchführen, die Nutzung auf nicht-hochriskante Kontexte beschränken oder die Nutzung einstellen, bis ausreichende Dokumentation verfügbar ist. Dies ist ein wesentliches Beschaffungsrisiko, das vor der Vertragsverlängerung zu bewerten ist. Enzai ordnet die Pflichten von Anbietern und Betreibern über Ihren KI-Stack hinweg zu, einschließlich mehrschichtiger GPAI- und Hochrisikosystem-Konfigurationen.
Pflichten für GPAI-Modelle
Viele KI-Systeme in Unternehmen basieren auf KI-Modellen für allgemeine Zwecke - Basismodellen von Anthropic, OpenAI, Google, Meta und anderen. Der Act legt den Anbietern von GPAI-Modellen unter den Artikeln 51-56 eigenständige Pflichten auf, die seit August 2025 gelten.[6]
Alle GPAI-Anbieter müssen technische Dokumentation vorhalten, Downstream-Integratoren Informationen bereitstellen, die zur Erfüllung ihrer eigenen Pflichten ausreichen, eine Urheberrechts-Compliance-Policy umsetzen und eine Zusammenfassung der Trainingsdaten veröffentlichen.
Modelle oberhalb der Schwelle für systemisches Risiko (kumulativer Trainings-Compute von mehr als 10^25 FLOPs oder von der Kommission auf Grundlage nachgewiesener Fähigkeiten benannt) unterliegen zusätzlichen Pflichten: adversariales Testen, Risikobewertung und -minderung, Meldung schwerwiegender Vorfälle an das Europäische KI-Büro sowie Cybersicherheitsmaßnahmen.
Der im August 2025 gebilligte GPAI-Verhaltenskodex bietet einen Compliance-Pfad und schafft für Unterzeichner eine Konformitätsvermutung.[7] Das Europäische KI-Büro verfügt über die ausschließliche Aufsicht über GPAI-Modelle, getrennt von den nationalen Marktüberwachungsbehörden.
Für Unternehmen, die Agenten und Anwendungen auf Grundlage von GPAI-Modellen Dritter einsetzen, besteht die praktische Konsequenz in einer mehrschichtigen Compliance: Der Modellanbieter trägt die GPAI-Pflichten, während die einsetzende Organisation die Pflichten für Hochrisikosysteme auf Anwendungsebene trägt. Klarheit darüber, wo die eine Pflichtensetzung endet und die andere beginnt, ist essenziell.
Sanktionen und Durchsetzung
Der Sanktionsrahmen ist erheblich und gestaffelt.[8]
Verstoß | Höchststrafe |
|---|---|
Verbotene Praktiken (Artikel 5) | 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes |
Pflichten für Hochrisiko- und Transparenzanforderungen | 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes |
Übermittlung unrichtiger Informationen an Behörden | 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes |
Die Durchsetzung ist dezentralisiert. Nationale Marktüberwachungsbehörden sind für die Einhaltung von Hochrisikosystemen zuständig. Das Europäische KI-Büro ist für die Einhaltung von GPAI-Modellen zuständig. Behörden zum Schutz der Grundrechte (in einigen Mitgliedstaaten kann dies die Datenschutzbehörde sein) befassen sich mit Fällen, in denen öffentliche Stellen Hochrisiko-KI einsetzen.
Zu den Faktoren bei der Festsetzung von Bußgeldern zählen Art und Schwere des Verstoßes, ob er vorsätzlich oder fahrlässig begangen wurde, die Größe der Organisation, die Zusammenarbeit mit Behörden und die zur Schadensminderung ergriffenen Maßnahmen.
Ein gestaffelter Aktionsplan
Mit der näher rückenden Frist im August 2026 benötigen Unternehmen einen strukturierten Ansatz. Enzai empfiehlt auf Grundlage unserer Arbeit mit Compliance-Teams in Unternehmen, die den Act bewältigen, die folgende Reihenfolge.
Phase 1: Unverzüglich (bereits geltende Pflichten)
Benennen Sie eine vorläufige KI-Compliance-Leitung, die die Maßnahmen der Phase 1 verantwortet und mit der Planung des Gesamtprogramms beginnt. Die nachstehenden Sofortmaßnahmen erfordern eine Person mit Autorität und ausreichender Kapazität, um sie voranzutreiben.
Prüfung auf verbotene Praktiken. Artikel 5 ist seit Februar 2025 durchsetzbar. Überprüfen Sie alle KI-Systeme auf Nähe zu verbotenen Kategorien - insbesondere Emotionserkennung am Arbeitsplatz, biometrische Kategorisierung und Verhaltensbewertung.
KI-Kompetenz etablieren. Artikel 4 verlangt, dass das an KI-Operationen beteiligte Personal über ausreichende KI-Kompetenz verfügt. Dokumentieren Sie Schulungsprogramme und bewahren Sie Nachweise auf.
GPAI-Exposition bewerten. Wenn Ihre Organisation Basismodelle entwickelt oder feinabstimmt, stellen Sie die Einhaltung der seit August 2025 geltenden Pflichten nach den Artikeln 51-56 sicher.
Phase 2: Aufbau der Grundlagen (jetzt bis Q2 2026)
Governance-Struktur einrichten. Benennen Sie einen verantwortlichen KI-Compliance-Owner auf Führungsebene, weisen Sie auf Produktebene die Verantwortung für Hochrisikosysteme zu und richten Sie eine bereichsübergreifende KI-Governance-Gruppe ein, die Recht, Technologie, Sicherheit, Einkauf und Personalwesen umfasst. Ohne diese Autoritätsstruktur fehlt den nachfolgenden Inventarisierungs- und Klassifizierungsmaßnahmen das organisatorische Mandat, von den Geschäftsbereichen Offenlegung zu verlangen. Budget- und Tooling-Entscheidungen sollten in dieser Phase getroffen werden – Inventarisierung und Klassifizierung in Unternehmensgröße erfordern in der Regel dedizierte Werkzeuge oder einen gesteuerten Prüfprozess.
Ein umfassendes KI-Inventar aufbauen. Erfassen Sie jedes KI-System, das die Organisation entwickelt, kauft oder einsetzt - einschließlich Schatten-KI, eingebetteter KI in Anbieterplattformen und SaaS-Tools mit KI-Funktionen. Dokumentieren Sie Zweck, Dateneingaben, Einsatzkontext und Systemverantwortlichen. Das KI-Inventar-Modul von Enzai ermöglicht eine automatisierte Erkennung über Cloud-Umgebungen und SaaS-Integrationen hinweg und reduziert den manuellen Aufwand, der in dieser Phase typischerweise den größten Anteil ausmacht - sehen Sie, wie es funktioniert.
Jedes System klassifizieren. Ordnen Sie jedes inventarisierte System den Risikostufen zu. Dokumentieren Sie die Begründung der Klassifizierung für jedes System - dies ist bereits ein eigenes Compliance-Artefakt.
Phase 3: Compliance-Aufbau (Q2-Q3 2026)
Für jedes Hochrisikosystem den Satz der Compliance-Artefakte aufbauen:
Risikomanagement-Dokumentation (Artikel 9)
Daten-Governance-Verfahren (Artikel 10)
Technische Dokumentation gemäß Anhang IV (Artikel 11)
Implementierung der automatischen Protokollierung (Artikel 12)
Gebrauchsanweisungen (Artikel 13)
Rahmen für die menschliche Aufsicht - wer überwacht, wie eingegriffen wird, wie Eingriffe protokolliert werden (Artikel 14)
Konformitätsbewertung (Artikel 43) - interne Bewertung für Anhang-III-Punkte 2-8, sofern harmonisierte Normen gelten; Bewertung durch eine notifizierte Stelle für die biometrische Fernidentifizierung (Punkt 1(a)) und für jede Kategorie, für die keine harmonisierte Norm veröffentlicht wurde. Prüfen Sie das Verzeichnis der harmonisierten Normen der Kommission, bevor Sie Ihren Konformitätsweg finalisieren
Lieferantenverträge aktualisieren. Stellen Sie bei KI-Systemen Dritter sicher, dass die Verträge Rechte an Dokumentation, Vorfallmeldungen, Protokollaufbewahrung und die Aufteilung der Verantwortlichkeiten nach Artikel 25 regeln.
Transparenzangaben vorbereiten. Prüfen Sie kunden- und mitarbeiterseitig eingesetzte KI-Systeme auf die Anforderungen des Artikels 50 - Offenlegung von Chatbots, Kennzeichnung von Deepfakes, Hinweise bei Emotionserkennung.
Phase 4: Validierung und Bereitschaft (Q3 2026)
Führen Sie eine Folgenabschätzung für die Grundrechte durch, wenn dies nach Artikel 27 erforderlich ist - verpflichtend für öffentliche Stellen und empfohlen für private Betreiber, die Hochrisiko-KI in hochwirksamen Kontexten einsetzen.
Richten Sie Vorfallreaktionsverfahren ein. Erweitern Sie bestehende Sicherheitsvorfallreaktionen um KI-spezifische Vorfälle: Meldung innerhalb von 15 Tagen bei Vorfällen mit Todesfällen oder schwerem Schaden, Meldung innerhalb von 72 Stunden bei Datenschutzverletzungen und Identifizierung der jeweils zuständigen nationalen Behörde in jedem Mitgliedstaat.
Registrieren Sie Hochrisikosysteme vor dem Einsatz in der EU-Datenbank (Artikel 71).
Schließen Sie die Konformitätsbewertung ab und stellen Sie die EU-Konformitätserklärung aus (Artikel 47) mit CE-Kennzeichnung (Artikel 48) für Systeme, die in Verkehr gebracht werden.
Blick nach vorn
Der EU AI Act ist die umfassendste KI-Regulierung, die derzeit irgendwo auf der Welt in Kraft ist. Seine gestaffelte Umsetzung gibt Unternehmen einen klaren Zeitrahmen, doch die Compliance-Anforderungen sind breit gefächert - sie umfassen technische Dokumentation, Risikomanagement, Daten-Governance, menschliche Aufsicht, Transparenz und Überwachung nach dem Inverkehrbringen über potenziell Hunderte von KI-Systemen hinweg.
Am besten positioniert sind jene Organisationen, die jetzt Governance-Infrastruktur aufbauen, statt Compliance als punktuelle Einmalmaßnahme zu betrachten. Die Pflichten des Acts sind fortlaufend: Risikomanagement muss dauerhaft erfolgen, Monitoring muss aktiv sein, Dokumentation muss aktuell bleiben. Ein Managementsystem-Ansatz - bei dem Compliance in die Entwicklung, den Einsatz und die Überwachung von KI-Systemen integriert wird - ist das einzige nachhaltige Modell.
Bei Enzai bietet unsere Plattform die operative Infrastruktur für die EU AI Act-Compliance: ein zentrales KI-Inventar, automatisierte Risikoklassifizierung anhand des Rahmens des Acts, strukturierte Dokumentation für die Artikel 9-15, kontinuierliches Monitoring und revisionssichere Nachweisverwaltung. Für Unternehmen, die sich auf August 2026 vorbereiten, Buchen Sie eine Demo, um zu sehen, wie die Plattform die Anforderungen des Acts abbildet.
Enzai ist die führende Plattform für KI-Governance für Unternehmen, speziell entwickelt, um Organisationen beim Übergang von abstrakter Politik zu operativer Aufsicht zu unterstützen. Unsere Plattform für KI-Risikomanagement stellt die spezialisierte Infrastruktur bereit, die erforderlich ist, um Governance für agentische KI zu steuern, ein umfassendes KI-Inventar zu pflegen und die EU AI Act-Compliance sicherzustellen. Durch die Automatisierung komplexer Workflows befähigt Enzai Unternehmen, die Einführung von KI mit Zuversicht zu skalieren und gleichzeitig die Ausrichtung an globalen Standards wie ISO 42001 und NIST aufrechtzuerhalten.
Referenzen
[1] Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates, Artikel 113-114 (Inkrafttreten und Anwendungsdaten). Amtsblatt der Europäischen Union, Reihe L, 12. Juli 2024.
[2] Europäische Kommission, „Digital Omnibus on AI“ (COM(2025) 871), 26. November 2025. Vorgeschlagene Verlängerungen der Fristen in Anhang III und Anhang I, vorbehaltlich der Verfügbarkeit harmonisierter Normen.
[3] Verordnung (EU) 2024/1689, Artikel 5 (Verbotene KI-Praktiken) und Artikel 99 (Sanktionen).
[4] Verordnung (EU) 2024/1689, Artikel 6 (Klassifizierungsregeln für Hochrisiko-KI-Systeme) und Anhang III.
[5] Verordnung (EU) 2024/1689, Artikel 16 (Anbieterpflichten), 26 (Betreiberpflichten) und 25 (Andere Akteure entlang der KI-Wertschöpfungskette).
[6] Verordnung (EU) 2024/1689, Kapitel V, Artikel 51-56 (Pflichten für GPAI-Modelle).
[7] GPAI-Verhaltenskodex, gebilligt von der Europäischen Kommission und dem KI-Board, 1. August 2025.
[8] Verordnung (EU) 2024/1689, Artikel 99 (Sanktionen).
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.