EU AI Act Compliance ist keine Zukunftsaufgabe mehr, sondern eine geltende Pflicht. Die Verordnung ist am 1. August 2024 in Kraft getreten, das Verbot von Systemen mit unannehmbarem Risiko gilt seit Februar 2025, und die Vorschriften für Hochrisiko-Systeme greifen ab August 2026. Dieser Leitfaden ist die praktische Ergänzung zu unserem Überblick, was der EU AI Act ist: Er zeigt, ob Sie in den Anwendungsbereich fallen, wie Sie Ihre KI-Systeme klassifizieren, was jede Risikostufe verlangt und mit welchen Schritten Sie rechtzeitig bereit sind.
Prüfen Sie die Details anhand Ihrer eigenen Situation. Der Rahmen steht, aber wie ein System eingestuft wird, hängt davon ab, wie Sie es entwickeln und einsetzen. Die folgenden Beispiele sind daher ein Ausgangspunkt für Ihre eigene Bewertung.
Gilt der EU AI Act für Sie?
Mit hoher Wahrscheinlichkeit ja, sobald Sie KI-Systeme entwickeln, verkaufen oder einsetzen, die Menschen in der EU erreichen. Wie die DSGVO gilt die Verordnung über die EU-Grenzen hinaus: Ein Unternehmen mit Sitz irgendwo auf der Welt fällt in den Anwendungsbereich, sobald sein KI-System auf dem EU-Markt bereitgestellt wird oder seine Ergebnisse Menschen in der EU betreffen. Ihre Pflichten richten sich nach Ihrer Rolle in der KI-Wertschöpfungskette:
- Anbieter entwickeln ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck oder lassen es entwickeln und bringen es unter eigenem Namen auf den Markt. Anbieter tragen die weitreichendsten Pflichten.
- Betreiber setzen ein KI-System im Rahmen ihrer Tätigkeit ein. Die meisten Unternehmen, die fremde KI einbinden, fallen hierunter, mit geringeren, aber realen Pflichten.
- Einführer und Händler bringen ein KI-System aus einem Drittland auf den EU-Markt und müssen prüfen, ob der Anbieter seine Pflichten erfüllt hat.
Ein System kann Sie in mehr als eine Rolle bringen. Wenn Sie ein Modell anpassen oder umbenennen und als Ihr eigenes vermarkten, können Sie zum Anbieter werden, auch wenn Sie das Basismodell nicht selbst entwickelt haben. Das erhöht Ihre Pflichten erheblich.
Klassifizieren Sie Ihr KI-System: die vier Risikostufen
Der EU AI Act ist risikobasiert. Ihre erste konkrete Aufgabe ist es daher, jedes KI-System einer von vier Stufen zuzuordnen, denn davon hängt alles Weitere ab. Die Tabelle fasst die Stufen und die jeweiligen Anforderungen zusammen. Den vollständigen Hintergrund zu den Stufen finden Sie im Überblick zum EU AI Act.
Die meisten geschäftlichen KI-Anwendungen fallen in die Stufen minimal oder begrenzt, wo der Aufwand gering ist. Die Arbeit konzentriert sich auf Hochrisiko-Systeme, weshalb der Klassifizierungsschritt sorgfältig erfolgen sollte. Eine strukturierte Möglichkeit, Ihre KI-Systeme zu bewerten, macht dies belastbar statt zur Schätzung.
Was Anbieter von Hochrisiko-Systemen tun müssen
Wenn Sie ein Hochrisiko-System bereitstellen, müssen Sie die Konformität vor der Markteinführung nachweisen und das System danach im Einsatz konform halten. Die Kernpflichten folgen aufeinander:
- Risikomanagementsystem. Richten Sie einen fortlaufenden Prozess ein, um Risiken über den gesamten Lebenszyklus des Systems zu erkennen und zu mindern.
- Daten-Governance. Weisen Sie nach, dass Trainings-, Validierungs- und Testdaten relevant, repräsentativ und angemessen verwaltet sind.
- Technische Dokumentation und Protokollierung. Erstellen Sie die Dokumentation, die die Konformität belegt, und ermöglichen Sie eine automatische Aufzeichnung des Systembetriebs.
- Menschliche Aufsicht und Transparenz. Gestalten Sie das System so, dass Menschen es nachvollziehen und bei Bedarf übersteuern können.
- Konformitätsbewertung und Registrierung. Führen Sie die Bewertung durch (intern oder durch Dritte, je nach System), bringen Sie die CE-Kennzeichnung an und registrieren Sie das System in der EU-Datenbank.
Auch Betreiber von Hochrisiko-Systemen haben eigene Pflichten, darunter menschliche Aufsicht und Überwachung im Betrieb. Die Pflicht endet also nicht beim Anbieter. Ein KI-Managementsystem nach ISO 42001 gibt Ihnen dafür eine wiederholbare Struktur statt einer einmaligen Kraftanstrengung.
Fristen für die EU AI Act Compliance
Die Verordnung gilt gestaffelt, und mehrere Stufen sind bereits in Kraft. Ordnen Sie jedes Ihrer Systeme dem maßgeblichen Datum zu, damit nichts durchrutscht.
Zwei Termine verdienen sofortige Aufmerksamkeit. Die Pflicht zur KI-Kompetenz gilt seit Februar 2025, Mitarbeitende, die KI entwickeln oder einsetzen, sollten also bereits geschult sein. Und die Hochrisiko-Pflichten greifen jetzt, was die meisten Unternehmen beim nötigen Vorlauf unterschätzen.
Sanktionen bei Verstößen
Die Bußgelder sind nach Schwere des Verstoßes gestaffelt und hoch. Der Einsatz eines verbotenen Systems kann bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes kosten, je nachdem, welcher Betrag höher ist. Verstöße gegen die meisten übrigen Pflichten, einschließlich der Hochrisiko-Anforderungen, können 15 Millionen Euro oder 3 Prozent des Umsatzes erreichen. Falsche oder irreführende Angaben gegenüber Behörden können mit bis zu 7,5 Millionen Euro oder 1 Prozent geahndet werden. Für Start-ups und KMU gilt jeweils der niedrigere der beiden Beträge, ein bewusstes Entgegenkommen an kleinere Innovatoren. Das Risiko bleibt dennoch erheblich.
So bereiten Sie sich vor: eine praktische Checkliste
Der Weg zur EU AI Act Compliance ist eine Abfolge, kein einzelnes Projekt. Diese Reihenfolge stellt die Entscheidungen an den Anfang, von denen alles Weitere abhängt.
- Erfassen Sie Ihre KI. Listen Sie jedes KI-System auf, das Sie entwickeln, einkaufen oder einbinden, auch Tools ohne formale Freigabe. Was Sie nicht gefunden haben, können Sie nicht klassifizieren.
- Klassifizieren Sie jedes System. Weisen Sie jedem System eine Risikostufe zu und bestimmen Sie Ihre Rolle (Anbieter, Betreiber, Einführer).
- Führen Sie eine Gap-Analyse durch. Vergleichen Sie bei Hochrisiko- und GPAI-Systemen die aktuelle Praxis mit den Pflichten und halten Sie fest, was fehlt.
- Etablieren Sie Governance. Führen Sie ein KI-Managementsystem ein, idealerweise nach ISO 42001, damit Aufsicht, Dokumentation und Überprüfung fortlaufend statt ad hoc erfolgen.
- Erstellen Sie die Dokumentation. Bauen Sie die technische Dokumentation, die Risikonachweise und die Protokollierung auf, die eine Konformitätsbewertung verlangt.
- Schulen und überwachen Sie. Erfüllen Sie die Pflicht zur KI-Kompetenz für die relevanten Mitarbeitenden und überwachen Sie Systeme im Einsatz, damit Klassifizierung und Kontrollen aktuell bleiben.
Den vollständigen Rechtstext finden Sie über die amtliche EU-Rechtsdatenbank, und die Umsetzungshinweise über die KI-Seiten der Europäischen Kommission. Beide lohnen ein Lesezeichen, da laufend neue Leitlinien erscheinen.
Bereit, vor den Fristen compliant zu sein?
Kertos hilft Ihnen, EU AI Act Compliance zu erreichen, ohne ein separates Programm aufzubauen: KI-Inventar erstellen, jedes System klassifizieren und bewerten und ein KI-Managementsystem nach ISO 42001 betreiben, mit akkreditierten Experten an der Seite der Automatisierung. Demo buchen, und wir bewerten Ihre KI-Systeme und ordnen Ihre Pflichten zu.
Häufige Fragen
Muss ich den EU AI Act einhalten?
Wenn Sie KI entwickeln, verkaufen oder einsetzen, die Menschen in der EU erreicht, ja. Die Verordnung gilt wie die DSGVO über die EU-Grenzen hinaus, ein Sitz außerhalb der EU befreit Sie also nicht. Was Sie schulden, hängt von Ihrer Rolle und der Risikostufe jedes Systems ab.
Woran erkenne ich, ob mein KI-System hochriskant ist?
Ein System ist in der Regel hochriskant, wenn es in einem sensiblen, in der Verordnung genannten Bereich eingesetzt wird, etwa Personalauswahl, Kreditwürdigkeit, kritische Infrastruktur, Medizinprodukte, Bildung oder Grenzkontrolle, oder wenn es ein Sicherheitsbauteil eines regulierten Produkts ist. Andernfalls ist es meist begrenztes oder minimales Risiko.
Wann gilt der EU AI Act?
Er gilt bereits gestaffelt. Verbotene Praktiken sind seit Februar 2025 untersagt, die GPAI-Vorschriften gelten seit August 2025. Die Hochrisiko-Pflichten nach Anhang III gelten ab August 2026, produktgebundene Hochrisiko-Systeme folgen im August 2027.
Wie hoch sind die Sanktionen?
Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes für verbotene Systeme, bis zu 15 Millionen Euro oder 3 Prozent für die meisten übrigen Verstöße und bis zu 7,5 Millionen Euro oder 1 Prozent für falsche Angaben. Für KMU und Start-ups gilt jeweils der niedrigere Betrag.
Wie werde ich konkret konform?
KI erfassen, jedes System und Ihre Rolle klassifizieren, bei Hochrisiko-Systemen eine Gap-Analyse durchführen, Governance aufbauen (idealerweise ein KI-Managementsystem nach ISO 42001), die erforderliche Dokumentation erstellen und Mitarbeitende schulen. Als fortlaufendes Programm statt Einmalaktion bleiben Sie konform, während sich Systeme ändern.
So werden Sie mit Kertos vor den Fristen EU-AI-Act-konform: Demo buchen.







