Compliance

EU AI Act Compliance: So bereiten Sie Ihr Unternehmen vor

Prüfen Sie, ob die Verordnung für Sie gilt, klassifizieren Sie Ihre KI-Systeme und handeln Sie vor den Fristen.

Autor
Dr. Kilian Schmidt
Datum
Aktualisiert am
11.7.2026
EU AI Act Compliance: So bereiten Sie Ihr Unternehmen vor

EU AI Act Compliance ist keine Zukunftsaufgabe mehr, sondern eine geltende Pflicht. Die Verordnung ist am 1. August 2024 in Kraft getreten, das Verbot von Systemen mit unannehmbarem Risiko gilt seit Februar 2025, und die Vorschriften für Hochrisiko-Systeme greifen ab August 2026. Dieser Leitfaden ist die praktische Ergänzung zu unserem Überblick, was der EU AI Act ist: Er zeigt, ob Sie in den Anwendungsbereich fallen, wie Sie Ihre KI-Systeme klassifizieren, was jede Risikostufe verlangt und mit welchen Schritten Sie rechtzeitig bereit sind.

Prüfen Sie die Details anhand Ihrer eigenen Situation. Der Rahmen steht, aber wie ein System eingestuft wird, hängt davon ab, wie Sie es entwickeln und einsetzen. Die folgenden Beispiele sind daher ein Ausgangspunkt für Ihre eigene Bewertung.

Gilt der EU AI Act für Sie?

Mit hoher Wahrscheinlichkeit ja, sobald Sie KI-Systeme entwickeln, verkaufen oder einsetzen, die Menschen in der EU erreichen. Wie die DSGVO gilt die Verordnung über die EU-Grenzen hinaus: Ein Unternehmen mit Sitz irgendwo auf der Welt fällt in den Anwendungsbereich, sobald sein KI-System auf dem EU-Markt bereitgestellt wird oder seine Ergebnisse Menschen in der EU betreffen. Ihre Pflichten richten sich nach Ihrer Rolle in der KI-Wertschöpfungskette:

  • Anbieter entwickeln ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck oder lassen es entwickeln und bringen es unter eigenem Namen auf den Markt. Anbieter tragen die weitreichendsten Pflichten.
  • Betreiber setzen ein KI-System im Rahmen ihrer Tätigkeit ein. Die meisten Unternehmen, die fremde KI einbinden, fallen hierunter, mit geringeren, aber realen Pflichten.
  • Einführer und Händler bringen ein KI-System aus einem Drittland auf den EU-Markt und müssen prüfen, ob der Anbieter seine Pflichten erfüllt hat.

Ein System kann Sie in mehr als eine Rolle bringen. Wenn Sie ein Modell anpassen oder umbenennen und als Ihr eigenes vermarkten, können Sie zum Anbieter werden, auch wenn Sie das Basismodell nicht selbst entwickelt haben. Das erhöht Ihre Pflichten erheblich.

Klassifizieren Sie Ihr KI-System: die vier Risikostufen

Der EU AI Act ist risikobasiert. Ihre erste konkrete Aufgabe ist es daher, jedes KI-System einer von vier Stufen zuzuordnen, denn davon hängt alles Weitere ab. Die Tabelle fasst die Stufen und die jeweiligen Anforderungen zusammen. Den vollständigen Hintergrund zu den Stufen finden Sie im Überblick zum EU AI Act.

Risikostufe Beispiele Ihre Pflichten
UnannehmbarSocial Scoring, ungezieltes Auslesen von Gesichtsbildern, bestimmte biometrische KategorisierungVerboten. Diese Systeme dürfen nicht auf den Markt gebracht oder eingesetzt werden.
HochKI in Personalauswahl, Kreditwürdigkeitsprüfung, kritischer Infrastruktur, Medizinprodukten, Bildung, GrenzkontrolleKonformitätsbewertung, Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht und Registrierung vor Markteinführung.
BegrenztChatbots, Emotionserkennung, generative KI-InhalteTransparenz. Weisen Sie darauf hin, dass Menschen mit einer KI interagieren, und kennzeichnen Sie KI-generierte Inhalte.
MinimalSpamfilter, KI in Videospielen, BestandstoolsKeine verpflichtenden Vorgaben. Freiwillige Verhaltenskodizes werden empfohlen.

Die meisten geschäftlichen KI-Anwendungen fallen in die Stufen minimal oder begrenzt, wo der Aufwand gering ist. Die Arbeit konzentriert sich auf Hochrisiko-Systeme, weshalb der Klassifizierungsschritt sorgfältig erfolgen sollte. Eine strukturierte Möglichkeit, Ihre KI-Systeme zu bewerten, macht dies belastbar statt zur Schätzung.

Was Anbieter von Hochrisiko-Systemen tun müssen

Wenn Sie ein Hochrisiko-System bereitstellen, müssen Sie die Konformität vor der Markteinführung nachweisen und das System danach im Einsatz konform halten. Die Kernpflichten folgen aufeinander:

  1. Risikomanagementsystem. Richten Sie einen fortlaufenden Prozess ein, um Risiken über den gesamten Lebenszyklus des Systems zu erkennen und zu mindern.
  2. Daten-Governance. Weisen Sie nach, dass Trainings-, Validierungs- und Testdaten relevant, repräsentativ und angemessen verwaltet sind.
  3. Technische Dokumentation und Protokollierung. Erstellen Sie die Dokumentation, die die Konformität belegt, und ermöglichen Sie eine automatische Aufzeichnung des Systembetriebs.
  4. Menschliche Aufsicht und Transparenz. Gestalten Sie das System so, dass Menschen es nachvollziehen und bei Bedarf übersteuern können.
  5. Konformitätsbewertung und Registrierung. Führen Sie die Bewertung durch (intern oder durch Dritte, je nach System), bringen Sie die CE-Kennzeichnung an und registrieren Sie das System in der EU-Datenbank.

Auch Betreiber von Hochrisiko-Systemen haben eigene Pflichten, darunter menschliche Aufsicht und Überwachung im Betrieb. Die Pflicht endet also nicht beim Anbieter. Ein KI-Managementsystem nach ISO 42001 gibt Ihnen dafür eine wiederholbare Struktur statt einer einmaligen Kraftanstrengung.

Fristen für die EU AI Act Compliance

Die Verordnung gilt gestaffelt, und mehrere Stufen sind bereits in Kraft. Ordnen Sie jedes Ihrer Systeme dem maßgeblichen Datum zu, damit nichts durchrutscht.

Datum Was gilt Status (Mitte 2026)
1. Aug. 2024Die Verordnung ist in Kraft getretenIn Kraft
2. Feb. 2025Verbot von Praktiken mit unannehmbarem Risiko; Pflicht zur KI-Kompetenz der MitarbeitendenGilt
2. Aug. 2025Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck (GPAI); Governance- und SanktionsvorschriftenGilt
2. Aug. 2026Pflichten für Hochrisiko-Systeme nach Anhang IIIGilt jetzt
2. Aug. 2027Hochrisiko-KI, die Produkte oder Sicherheitsbauteile nach anderem EU-Recht sindBevorstehend

Zwei Termine verdienen sofortige Aufmerksamkeit. Die Pflicht zur KI-Kompetenz gilt seit Februar 2025, Mitarbeitende, die KI entwickeln oder einsetzen, sollten also bereits geschult sein. Und die Hochrisiko-Pflichten greifen jetzt, was die meisten Unternehmen beim nötigen Vorlauf unterschätzen.

Sanktionen bei Verstößen

Die Bußgelder sind nach Schwere des Verstoßes gestaffelt und hoch. Der Einsatz eines verbotenen Systems kann bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes kosten, je nachdem, welcher Betrag höher ist. Verstöße gegen die meisten übrigen Pflichten, einschließlich der Hochrisiko-Anforderungen, können 15 Millionen Euro oder 3 Prozent des Umsatzes erreichen. Falsche oder irreführende Angaben gegenüber Behörden können mit bis zu 7,5 Millionen Euro oder 1 Prozent geahndet werden. Für Start-ups und KMU gilt jeweils der niedrigere der beiden Beträge, ein bewusstes Entgegenkommen an kleinere Innovatoren. Das Risiko bleibt dennoch erheblich.

So bereiten Sie sich vor: eine praktische Checkliste

Der Weg zur EU AI Act Compliance ist eine Abfolge, kein einzelnes Projekt. Diese Reihenfolge stellt die Entscheidungen an den Anfang, von denen alles Weitere abhängt.

  1. Erfassen Sie Ihre KI. Listen Sie jedes KI-System auf, das Sie entwickeln, einkaufen oder einbinden, auch Tools ohne formale Freigabe. Was Sie nicht gefunden haben, können Sie nicht klassifizieren.
  2. Klassifizieren Sie jedes System. Weisen Sie jedem System eine Risikostufe zu und bestimmen Sie Ihre Rolle (Anbieter, Betreiber, Einführer).
  3. Führen Sie eine Gap-Analyse durch. Vergleichen Sie bei Hochrisiko- und GPAI-Systemen die aktuelle Praxis mit den Pflichten und halten Sie fest, was fehlt.
  4. Etablieren Sie Governance. Führen Sie ein KI-Managementsystem ein, idealerweise nach ISO 42001, damit Aufsicht, Dokumentation und Überprüfung fortlaufend statt ad hoc erfolgen.
  5. Erstellen Sie die Dokumentation. Bauen Sie die technische Dokumentation, die Risikonachweise und die Protokollierung auf, die eine Konformitätsbewertung verlangt.
  6. Schulen und überwachen Sie. Erfüllen Sie die Pflicht zur KI-Kompetenz für die relevanten Mitarbeitenden und überwachen Sie Systeme im Einsatz, damit Klassifizierung und Kontrollen aktuell bleiben.

Den vollständigen Rechtstext finden Sie über die amtliche EU-Rechtsdatenbank, und die Umsetzungshinweise über die KI-Seiten der Europäischen Kommission. Beide lohnen ein Lesezeichen, da laufend neue Leitlinien erscheinen.

Bereit, vor den Fristen compliant zu sein?

Kertos hilft Ihnen, EU AI Act Compliance zu erreichen, ohne ein separates Programm aufzubauen: KI-Inventar erstellen, jedes System klassifizieren und bewerten und ein KI-Managementsystem nach ISO 42001 betreiben, mit akkreditierten Experten an der Seite der Automatisierung. Demo buchen, und wir bewerten Ihre KI-Systeme und ordnen Ihre Pflichten zu.

Häufige Fragen

Muss ich den EU AI Act einhalten?

Wenn Sie KI entwickeln, verkaufen oder einsetzen, die Menschen in der EU erreicht, ja. Die Verordnung gilt wie die DSGVO über die EU-Grenzen hinaus, ein Sitz außerhalb der EU befreit Sie also nicht. Was Sie schulden, hängt von Ihrer Rolle und der Risikostufe jedes Systems ab.

Woran erkenne ich, ob mein KI-System hochriskant ist?

Ein System ist in der Regel hochriskant, wenn es in einem sensiblen, in der Verordnung genannten Bereich eingesetzt wird, etwa Personalauswahl, Kreditwürdigkeit, kritische Infrastruktur, Medizinprodukte, Bildung oder Grenzkontrolle, oder wenn es ein Sicherheitsbauteil eines regulierten Produkts ist. Andernfalls ist es meist begrenztes oder minimales Risiko.

Wann gilt der EU AI Act?

Er gilt bereits gestaffelt. Verbotene Praktiken sind seit Februar 2025 untersagt, die GPAI-Vorschriften gelten seit August 2025. Die Hochrisiko-Pflichten nach Anhang III gelten ab August 2026, produktgebundene Hochrisiko-Systeme folgen im August 2027.

Wie hoch sind die Sanktionen?

Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes für verbotene Systeme, bis zu 15 Millionen Euro oder 3 Prozent für die meisten übrigen Verstöße und bis zu 7,5 Millionen Euro oder 1 Prozent für falsche Angaben. Für KMU und Start-ups gilt jeweils der niedrigere Betrag.

Wie werde ich konkret konform?

KI erfassen, jedes System und Ihre Rolle klassifizieren, bei Hochrisiko-Systemen eine Gap-Analyse durchführen, Governance aufbauen (idealerweise ein KI-Managementsystem nach ISO 42001), die erforderliche Dokumentation erstellen und Mitarbeitende schulen. Als fortlaufendes Programm statt Einmalaktion bleiben Sie konform, während sich Systeme ändern.

So werden Sie mit Kertos vor den Fristen EU-AI-Act-konform: Demo buchen.

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

EU AI Act Compliance: So bereiten Sie Ihr Unternehmen vor
Bereit, deine Compliance auf Autopilot zu setzen?
Dr Kilian Schmidt

Dr Kilian Schmidt

CEO & Co-Founder, Kertos GmbH

Dr. Kilian Schmidt entwickelte schon früh ein starkes Interesse an rechtlichen Prozessen. Nach seinem Studium der Rechtswissenschaften begann er seine Karriere als Senior Legal Counsel und Datenschutzbeauftragter bei der Home24 Gruppe. Nach einer Tätigkeit bei Freshfields Bruckhaus Deringer wechselte er zu TIER Mobility, wo er als General Counsel maßgeblich am Ausbau der Rechts- und Public Policy-Abteilung beteiligt war - und das Unternehmen von einer auf 65 Städte und von 50 auf 800 Mitarbeiter vergrößerte. Motiviert durch die begrenzten technologischen Fortschritte im Rechtsbereich und inspiriert durch seine beratende Tätigkeit bei Gorillas Technologies, war er Co-Founder von Kertos, um die nächste Generation der europäischen Datenschutztechnologie zu entwickeln.

Über Kertos

Kertos ist das moderne Rückgrat der Datenschutz- und Compliance-Aktivitäten von skalierenden Unternehmen. Wir befähigen unsere Kunden, integrale Datenschutz- und Informationssicherheitsprozesse nach DSGVO, ISO 27001, TISAX®, SOC2 und vielen weiteren Standards durch Automatisierung schnell und günstig zu implementieren.

Bereit für Entlastung in Sachen Compliance?

CTA Image

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check