EU AI Act: Wie sich Unternehmen auf Konformitätsprüfungen vorbereiten

Zusammenfassung

Der EU AI Act (Verordnung (EU) 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für Künstliche Intelligenz. Er trat am 1. August 2024 in Kraft und wird stufenweise bis zum 2. August 2026 vollständig anwendbar.

Während verbotene KI-Praktiken bereits seit Februar 2025 untersagt sind und Regelungen zu General Purpose AI (GPAI) seit August 2025 gelten, rückt nun der komplexeste Teil in den Fokus: Die strengen Vorgaben für Hochrisiko-KI-Systeme, die ab August 2026 (bzw. für bestimmte integrierte Produkte ab 2027) greifen.

Für diese Hochrisiko-Systeme sind Konformitätsprüfungen der zentrale Hebel. Sie bewerten Risikomanagement, Datenqualität, Dokumentation, menschliche Aufsicht sowie Cybersicherheit und führen zur Vergabe der CE-Kennzeichnung. Experten (u. a. ICAEW) betonen, dass Unternehmen jetzt ihr KI-Inventar bereinigen und Governance-Strukturen aufbauen müssen, um ab 2026 marktfähig zu bleiben.

Analyse und Bewertung

Management-Perspektive: Strategie vor Technik

Der AI Act ist kein reines Technikthema, sondern ein Instrument der Unternehmenssteuerung. Er beeinflusst Produktstrategie, Haftungsrisiken und Reputation maßgeblich.

Vorstandspflicht: Die Geschäftsführung muss entscheiden, wo Hochrisiko-KI zulässig ist, und das Kontrollniveau definieren.

Marktzugang: Hochrisiko-KI wird reguliert wie ein klassisches Produkt (ähnlich Maschinen oder Medizinprodukten). Ohne bestandene Konformitätsprüfung gibt es keinen Marktzugang in der EU.

Rolle der "Deployers": Viele Unternehmen unterschätzen, dass sie nicht nur als Hersteller, sondern auch als Anwender (Deployer) Pflichten haben, etwa bei der Nutzung von KI im HR-Bereich oder bei der Kreditvergabe (Transparenz, Aufsicht).

Technische und Governance-Perspektive

Hochrisiko-KI-Systeme erfordern den Nachweis eines robusten Risikomanagements, hochwertiger Trainingsdaten („Data Governance") und lückenloser technischer Dokumentation.

Bewertungsverfahren: Je nach KI-System erfolgt die Prüfung intern oder durch externe „Benannte Stellen". Ein unkoordinierter Ansatz führt hier schnell zu doppelten Kosten und widersprüchlichen Nachweisen.

General Purpose AI (GPAI): Für Basismodelle gelten Transparenzpflichten. Die EU unterstützt die Umsetzung durch den GPAI Code of Practice und den AI Pact zur Förderung freiwilliger Vorab-Konformität.

ISO/IEC 42001 als Anker: Der Standard für KI-Managementsysteme bietet den idealen Rahmen, um die Anforderungen des AI Act strukturiert in bestehende Prozesse zu integrieren.

Risikoeinschätzung: Mittel bis hoch (für Unternehmen mit Hochrisiko-KI oder GPAI). Priorität: P2 (ab sofort für Governance-Aufbau), P1 (ab 2026 für Systeme mit Marktzugang).

Handlungsempfehlungen

1. Sofort (0 bis 30 Tage)

Inventarisierung: Erstellen Sie ein vollständiges Verzeichnis aller KI-Anwendungen (Zweck, Datenquellen, Hersteller, Einsatzkontext).

Risiko-Kategorisierung: Ordnen Sie Ihre Systeme den vier Risikoklassen des AI Act zu. Identifizieren Sie gezielt Hochrisiko-Fälle (z. B. HR-Screening, kritische Infrastruktur).

Governance-Gremium: Setzen Sie ein cross-funktionales Team (IT, Data, Legal, Compliance) ein, idealerweise angedockt an Ihr bestehendes ISMS-Board.

2. Kurzfristig (1 bis 3 Monate)

Zielbild definieren: Leiten Sie für Ihre Hochrisiko-Systeme die konkreten Anforderungen an Dokumentation, Logging und menschliche Aufsicht ab.

Standard wählen: Nutzen Sie ISO/IEC 42001 als Referenzrahmen, um KI-Qualitätsmanagement nicht „nebenher", sondern integriert zu betreiben.

Lieferanten-Check: Fordern Sie von Ihren KI-Anbietern Transparenz (z. B. Modellkarten, Trainingsdaten-Infos) und vertragliche Zusicherungen zur AI-Act-Konformität ein.

3. Strategisch (3 bis 12 Monate)

Integriertes Managementsystem: Verzahnen Sie KI-Governance mit Datenschutz (DSGVO) und IT-Sicherheit (NIS2). Vermeiden Sie Silos.

Konformitäts-Roadmap: Planen Sie Budget und Zeitfenster für externe Prüfungen (Benannte Stellen) bei Ihren zentralen Hochrisiko-Produkten ein.

KPIs & Portfolio: Bewerten Sie KI-Projekte nicht nur nach Innovationspotenzial, sondern nach „Regulatory ROI", lohnt sich der Compliance-Aufwand für den geplanten Use Case?

Zusatzinformationen

Zeitplan: Volle Geltung ab 02.08.2026. Spezielle Fristen gelten für GPAI (bereits aktiv) und Annex-I-Produkte (2027).

AI Office: Die neue EU-Behörde koordiniert die Aufsicht und bietet Unterstützung durch Leitlinien.

Harmonisierung: Der „Digital Omnibus" und andere Initiativen zielen darauf ab, Überschneidungen zwischen AI Act, DSGVO und Cyber-Resilience-Vorgaben zu glätten.