EU AI Act Compliance

EU AI Act Compliance leicht gemacht

Der EU AI Act ist in Kraft. Wir verwandeln Gesetzestext in einen klaren Plan mit Verantwortlichen, Fristen und Nachweisen. Starten Sie mit einer schnellen Lückenanalyse und verfolgen Sie dann alles an einem Ort.

Kostenlose Bewertung starten Demo anfordern

Risikostufen erklärt

Der EU AI Act verwendet einen risikobasierten Ansatz mit vier Hauptkategorien

Unannehmbares Risiko

Vollständig verboten

Social Scoring, Emotionserkennung am Arbeitsplatz/in Schulen, biometrische Kategorisierung, Echtzeit-Biometrie in öffentlichen Räumen, unterschwellige Techniken

verboten

Hohes Risiko

Strenge Kontrollen erforderlich

Lebenslauf-Screening, Kreditwürdigkeitsprüfung, Strafverfolgung, Medizinprodukte, kritische Infrastruktur, Bildungsbewertung, Recruiting-Tools

reguliert

Begrenztes Risiko

Transparenz erforderlich

Chatbots, Deepfakes, Emotionserkennungssysteme, biometrische Kategorisierung (nicht verboten), KI-generierte Inhalte

offenlegung

Minimales Risiko

Wenig bis keine Pflichten

Spam-Filter, Videospiele, Bestandsverwaltung, KI-gestützte Videospiele, einfache Empfehlungssysteme

minimal

Wie VerifyWise die EU AI Act Compliance unterstützt

Konkrete Funktionen, die spezifische regulatorische Anforderungen adressieren

KI-Systeminventar mit Risikoklassifizierung

Registrieren Sie jedes KI-System in Ihrer Organisation mit strukturierten Metadaten. Jeder Eintrag erfasst Zweck, Datenquellen, Einsatzkontext und Stakeholder. Die Plattform wendet Anhang III-Kriterien an, um zu bestimmen, ob Systeme als Hochrisiko, begrenztes Risiko oder minimales Risiko gelten, und generiert eine Klassifizierungsbegründung für Audits.

Adressiert: Artikel 6 Klassifizierung, Artikel 9 Risikomanagement, Artikel 49 Registrierung

Technische Dokumentationserstellung

Erstellen Sie das Dokumentationspaket, das gemäß Artikel 11 erforderlich ist. Die Plattform strukturiert Informationen über Systemarchitektur, Trainingsdaten-Herkunft, Leistungsmetriken und bekannte Einschränkungen in formatierte Dokumente, die den regulatorischen Erwartungen entsprechen. Vorlagen decken sowohl Anbieter- als auch Betreiber-Perspektiven ab.

Adressiert: Artikel 11 Technische Dokumentation, Anhang IV Anforderungen

Konfiguration von Workflows zur menschlichen Aufsicht

Definieren Sie, wer KI-Ausgaben prüft, unter welchen Bedingungen und mit welcher Befugnis zur Überstimmung. Die Plattform ermöglicht die Konfiguration von Aufsichtsauslösern, die Zuweisung von Prüfern nach Rolle oder Expertise und die Erfassung von Prüfentscheidungen mit Zeitstempeln. Aufsichtsmuster werden zu prüfbaren Aufzeichnungen, die Artikel 14-Compliance nachweisen.

Adressiert: Artikel 14 Menschliche Aufsicht, Artikel 26 Betreiberpflichten

Betriebsprotokollierung und -aufbewahrung

Erfassen Sie Systemereignisse, Benutzerinteraktionen und Entscheidungsausgaben mit automatischem Zeitstempel. Protokolle werden gemäß konfigurierbaren Richtlinien aufbewahrt, die standardmäßig auf das sechsmonatige Minimum für Betreiber eingestellt sind. Such- und Exportfunktionen unterstützen Vorfalluntersuchungen und behördliche Anfragen.

Adressiert: Artikel 12 Aufzeichnungen, Artikel 26(5) Protokollaufbewahrung

Vorfallverfolgung und -meldung

Protokollieren Sie KI-bezogene Vorfälle mit Schweregradklassifizierung und weisen Sie Untersuchungsverantwortliche zu. Die Plattform verfolgt den Behebungsfortschritt und erstellt Vorfallberichte, die für behördliche Meldungen geeignet sind. Schwerwiegende Vorfälle können innerhalb der erforderlichen Frist an Behörden eskaliert werden, mit beigefügter Dokumentation.

Adressiert: Artikel 62 Meldung schwerwiegender Vorfälle, Artikel 73 Strafen

Grundrechte-Folgenabschätzung

Betreiber von Hochrisiko-KI in bestimmten Sektoren müssen vor der Bereitstellung Auswirkungen auf Grundrechte bewerten. Die Plattform bietet strukturierte Bewertungsvorlagen für Diskriminierungsrisiko, Datenschutzimplikationen, Zugang zu Diensten und Verfahrensgarantien. Abgeschlossene Bewertungen generieren datierte Aufzeichnungen als Compliance-Nachweis.

Adressiert: Artikel 27 Grundrechte-Folgenabschätzung

Alle Compliance-Aktivitäten werden mit Zeitstempeln, zugewiesenen Verantwortlichen und Genehmigungsworkflows verfolgt. Dieser Audit-Trail demonstriert systematische Governance anstatt nachträglich erstellter Dokumentation.

Vollständige Abdeckung der EU AI Act-Anforderungen

VerifyWise bietet dedizierte Werkzeuge für jede regulatorische Anforderung in 15 Compliance-Kategorien

EU AI Act-Anforderungen

Anforderungen mit dedizierten Werkzeugen

100%

Abdeckung aller Kategorien

Artikel 96/6

Risikomanagement & -bewertung

Artikel 104/4

Daten-Governance

Artikel 11, Anhang IV5/5

Technische Dokumentation

Artikel 124/4

Aufzeichnungen & Protokollierung

Artikel 134/4

Transparenz & Nutzerinformation

Artikel 145/5

Menschliche Aufsicht

Artikel 154/4

Genauigkeit, Robustheit & Cybersicherheit

Artikel 176/6

Qualitätsmanagementsystem

Artikel 43, Anhang VI4/4

Konformitätsbewertung

Artikel 47-493/3

Registrierung & CE-Kennzeichnung

Artikel 724/4

Post-Market-Überwachung

Artikel 733/3

Vorfallmeldung

Artikel 265/5

Betreiberpflichten

Artikel 274/4

Grundrechte-Folgenabschätzung

Artikel 43/3

KI-Kompetenz & Schulung

Funktionen, die VerifyWise auszeichnen

CE-Kennzeichnungs-Workflow

Geführter 7-Schritte-Konformitätsbewertungsprozess mit Dokumentgenerierung

LLM-Gateway

Echtzeit-Überwachung und Richtliniendurchsetzung für GPAI-Modellnutzung

Schulungsregister

Verfolgung von KI-Kompetenzanforderungen und Mitarbeiter-Qualifikationsnachweisen

Vorfallmanagement

Strukturierte Workflows für Verfolgung schwerwiegender Vorfälle und Behördenmeldung

Nicht sicher, ob Sie betroffen sind?

Machen Sie unsere kostenlose EU AI Act Bereitschaftsbewertung, um Ihre Risikoklassifizierung und Compliance-Pflichten in Minuten zu bestimmen.

5 Min

Schnelle Bewertung

Sofort

Ergebnisse sofort erhalten

Kostenlose Bewertung starten

Kennen Sie Ihre Rolle & Pflichten

Verschiedene Akteure in der KI-Wertschöpfungskette haben unterschiedliche Verantwortlichkeiten unter dem EU AI Act

Anbieter

Organisationen, die KI-Systeme entwickeln oder wesentlich modifizieren

Risikomanagementsystem über den gesamten Lebenszyklus implementieren
Qualität und Governance der Trainingsdaten sicherstellen
Technische Dokumentation erstellen und pflegen
Angemessene Protokollierungsfunktionen entwickeln
Transparenz gewährleisten und Betreiber informieren
Maßnahmen zur menschlichen Aufsicht implementieren
Genauigkeit, Robustheit und Cybersicherheit sicherstellen
Qualitätsmanagementsystem etablieren
Konformitätsbewertung durchführen und CE-Kennzeichnung anbringen
System in EU-Datenbank registrieren
Schwerwiegende Vorfälle an Behörden melden

Betreiber

Organisationen, die KI-Systeme unter ihrer Verantwortung nutzen

Personal für menschliche Aufsicht zuweisen
Protokolle mindestens 6 Monate aufbewahren
Grundrechte-Folgenabschätzung durchführen
Systembetrieb und -leistung überwachen
Schwerwiegende Vorfälle an Anbieter und Behörden melden
KI-System gemäß Anweisungen verwenden
Relevante Eingabedaten für den vorgesehenen Zweck sicherstellen
Anbieter über identifizierte Risiken informieren
Nutzung aussetzen, wenn System Risiko darstellt
Mit Behörden bei Untersuchungen kooperieren

Vertreiber/Importeur

Organisationen, die KI-Systeme auf dem EU-Markt bereitstellen

Überprüfen, ob Anbieter Konformitätsbewertung durchgeführt hat
CE-Kennzeichnung und Dokumentation sicherstellen
Registrierung in EU-Datenbank verifizieren
Erforderliche Dokumentation speichern und pflegen
Lager- und Transportbedingungen zur Compliance-Erhaltung sicherstellen
Behörden notwendige Informationen bereitstellen
Vertrieb einstellen, wenn KI-System nicht konform
Anbieter und Behörden über Nicht-Konformität informieren
Mit Behörden bei Korrekturmaßnahmen kooperieren

Pflichten-Vergleichstabelle

Schnellreferenz, welche Pflichten für jede Rolle gelten

Pflicht	Anbieter	Betreiber	Vertreiber
Risikomanagementsystem Lebenszyklus-Risikobewertung und -minderung
Technische Dokumentation Systemspezifikationen, Trainingsdaten, Leistungsmetriken			Speichern
Menschliche Aufsicht Risiken verhindern oder minimieren	Entwerfen	Implementieren
Protokollierung & Aufzeichnungen Mindestens 6 Monate Aufbewahrung für Betreiber	Ermöglichen	Pflegen
Konformitätsbewertung Selbstbewertung oder notifizierte Stelle			Verifizieren
CE-Kennzeichnung Erforderlich vor Markteinführung	Anbringen		Verifizieren
EU-Datenbankregistrierung Hochrisiko-KI-Systeme	Registrieren		Verifizieren
Grundrechte-Folgenabschätzung Erforderlich für Betreiber in bestimmten Sektoren
Vorfallmeldung Schwerwiegende Vorfälle an Behörden			Bei Kenntnis
Post-Market-Überwachung Kontinuierliche Überwachung der Systemleistung		Nutzung überwachen

Hinweis: Viele Organisationen können mehrere Rollen haben. Wenn Sie beispielsweise sowohl ein KI-System entwickeln als auch betreiben, müssen Sie sowohl Anbieter- als auch Betreiberpflichten erfüllen.

6 Schritte zur Compliance bis Dezember 2027

Ein praktischer Fahrplan zur Erreichung der EU AI Act Compliance

Schritt 11-2 Monate

KI-Systeminventar

Alle KI-Systeme in Ihrer Organisation katalogisieren

Alle genutzten KI-Systeme und -Tools identifizieren
KI-Anbieter und Drittanbieter-Dienste dokumentieren
KI-Systeme auf Geschäftsprozesse abbilden
KI-Systemverantwortliche und Stakeholder identifizieren
Zentrales KI-Register erstellen

Schritt 22-3 Monate

Risikoklassifizierung

Risikostufen jedem KI-System zuweisen

Jedes System gegen Anhang III-Kategorien bewerten
Prüfen, ob System unter verbotene Anwendungsfälle fällt
Als Hochrisiko, begrenztes Risiko oder minimales Risiko klassifizieren
Klassifizierungsbegründung dokumentieren
Ihre Rolle identifizieren (Anbieter, Betreiber, Vertreiber)

Schritt 33-4 Monate

Lückenanalyse

Compliance-Lücken und Anforderungen identifizieren

Ist-Zustand gegen EU AI Act-Anforderungen abgleichen
Fehlende Dokumentation und Prozesse identifizieren
Technische Compliance-Lücken bewerten
Governance- und Aufsichtsmechanismen evaluieren
Behebungsmaßnahmen priorisieren

Schritt 44-8 Monate

Dokumentation & Governance

Erforderliche Dokumentation und Kontrollen aufbauen

Technische Dokumentation für Hochrisiko-Systeme erstellen
Risikomanagementsysteme implementieren
Daten-Governance-Verfahren etablieren
Mechanismen für menschliche Aufsicht dokumentieren
Qualitätsmanagementsystem erstellen
Grundrechte-Folgenabschätzungen vorbereiten

Schritt 58-10 Monate

Prüfung & Validierung

Konformitätsbewertungen durchführen

Interne Tests und Validierung durchführen
Bias- und Fairness-Bewertungen durchführen
Genauigkeit, Robustheit und Cybersicherheit testen
Bei Bedarf notifizierte Stelle einbeziehen
CE-Kennzeichnung für anwendbare Systeme erhalten
Hochrisiko-Systeme in EU-Datenbank registrieren

Schritt 6Fortlaufend

Überwachung & Berichterstattung

Compliance aufrechterhalten und Systeme überwachen

Kontinuierliche Überwachungssysteme implementieren
Protokolle und Audit-Trails pflegen
Leistungsdrift und Vorfälle überwachen
Schwerwiegende Vorfälle fristgerecht melden
Regelmäßige Überprüfungen und Aktualisierungen durchführen
Über regulatorische Leitlinien informiert bleiben

Hinweis: Notifizierte Stellen vergeben bereits Termine. Starten Sie Ihre Compliance-Reise jetzt, um die Fristen Dezember 2027 (Anhang III) und August 2028 (Anhang I) einzuhalten.

Compliance-Reise starten

Wichtige Termine, die Sie kennen sollten

Kritische Compliance-Fristen stehen bevor

aktiv2. Februar 2025

Verbotene Praktiken

Verbotene KI-Praktiken werden illegal

Social Scoring
Biometrische Kategorisierung
Emotionserkennung am Arbeitsplatz/in Schulen

bevorstehend2. August 2025

GPAI-Transparenz

Transparenzregeln für allgemeine KI

Verhaltenskodizes
Modelldokumentation
Systemische Risikobewertungen

bevorstehend2. Dezember 2026

Artikel 50(2) Wasserzeichen

Offenlegungspflichten für synthetische Inhalte gelten

UI-Kennzeichnung KI-generierter Inhalte
Maschinenlesbare Metadaten
Erkennungsfähigkeit

bevorstehend2. Dezember 2027

Anhang III Hochrisiko

Eigenständige Hochrisiko-Systeme müssen konform sein

Risikomanagementsysteme
Daten-Governance
Technische Dokumentation

bevorstehend2. August 2028

Anhang I eingebettete Hochrisiko

KI in regulierten Produkten muss konform sein

Medizinprodukte, Maschinen, Spielzeug, Aufzüge
Post-Market-Überwachung
Konformitätsbewertungen

Stufe 1 - Verbotene KI

35 Mio. € oder 7% des weltweiten Umsatzes

(je nachdem, was höher ist)

Verstöße umfassen:

Social-Scoring-Systeme
Manipulative KI
Echtzeit-Biometrie in öffentlichen Räumen
Ungezieltes Gesichts-Scraping

hoch

Stufe 2 - Hochrisiko-Verstöße

15 Mio. € oder 3% des weltweiten Umsatzes

(je nachdem, was höher ist)

Verstöße umfassen:

Nicht konforme Hochrisiko-KI-Systeme
Verstöße gegen KI-Systempflichten
Unterlassene erforderliche Folgenabschätzungen

mittel

Stufe 3 - Informationsverstöße

7,5 Mio. € oder 1,5% des weltweiten Umsatzes

(je nachdem, was höher ist)

Verstöße umfassen:

Bereitstellung falscher Informationen
Unterlassene Informationsbereitstellung an Behörden
Unvollständige Dokumentation

Anforderungen für allgemeine KI (GPAI)

Pflichten für GPAI-Anbieter traten am 2. August 2025 in Kraft

Was qualifiziert als allgemeine KI?

Allgemeine KI bezieht sich auf Modelle, die auf breiten Daten trainiert wurden und eine Vielzahl von Aufgaben ausführen können, ohne für einen bestimmten Zweck entwickelt worden zu sein. Diese Foundation-Modelle treiben viele nachgelagerte Anwendungen an, von Chatbots über Code-Assistenten bis hin zu Bildgeneratoren. Der EU AI Act schafft spezifische Pflichten für Organisationen, die diese Modelle entwickeln, und solche, die Anwendungen damit erstellen.

Große Sprachmodelle

GPT-4, Claude, Gemini, Llama, Mistral

Bildgenerierung

Midjourney, DALL-E, Stable Diffusion

Multimodale Modelle

GPT-4o, Gemini Pro Vision, Claude 3.5

Codegenerierung

GitHub Copilot, Amazon CodeWhisperer

Sind Sie GPAI-Anbieter oder nachgelagerter Integrator?

GPAI-Anbieter

Sie haben das Foundation-Modell selbst entwickelt oder trainiert

Vollständige GPAI-Transparenzpflichten gelten
Muss Dokumentation für nachgelagerte Nutzer bereitstellen
Verantwortlich für Urheberrechts-Compliance beim Training
Systemische Risikoanforderungen bei Schwellenwertüberschreitung

Beispiele: OpenAI, Anthropic, Google DeepMind, Meta AI

Nachgelagerter Anbieter

Sie entwickeln Anwendungen unter Nutzung von GPAI-Modellen per API oder Integration

Muss Dokumentation vom GPAI-Anbieter einholen
Verantwortlich für Compliance Ihrer spezifischen Anwendung
Hochrisiko-Anwendungsfälle lösen Hochrisiko-Pflichten aus
Kann Verantwortung nicht auf Foundation-Model-Anbieter übertragen

Beispiele: Unternehmen, die GPT-4 API, Claude API oder feinabgestimmte Modelle nutzen

GPAI-Pflichtstufen

Standard

Allgemeine GPAI-Modelle

Alle allgemeinen KI-Modelle

Technische Dokumentation bereitstellen
Informationen und Dokumentation an nachgelagerte Anbieter liefern
Urheberrechtsrichtlinie implementieren und Trainingsdaten-Zusammenfassung veröffentlichen
Energieeffizienz nach Möglichkeit sicherstellen

Systemisches Risiko

GPAI-Modelle mit systemischem Risiko

>10²⁵ FLOPs oder von der Kommission benannt

Modellevaluierung und systemische Risikobewertung durchführen
Adversariale Tests durchführen
Schwerwiegende Vorfälle verfolgen, dokumentieren und melden
Angemessenen Cybersicherheitsschutz gewährleisten
Risikominderungsmaßnahmen implementieren
Jährlich an das KI-Büro berichten

Verständnis der Schwelle für systemisches Risiko

Modelle, die mit mehr als 10²⁵ Gleitkommaoperationen (FLOPs) trainiert wurden, werden automatisch als systemisches Risiko klassifiziert. Die Europäische Kommission kann auch Modelle basierend auf ihren Fähigkeiten, Reichweite oder Potenzial für schwerwiegende Schäden benennen, unabhängig von der Trainingsrechenleistung. Aktuelle Modelle, die diesen Schwellenwert wahrscheinlich erreichen, umfassen GPT-4 und Nachfolger, Claude 3 Opus und spätere Versionen, Gemini Ultra und Metas größte Llama-Varianten.

Die Klassifizierung als systemisches Risiko löst zusätzliche Pflichten aus: umfassende Modellevaluierungen, adversariales Red-Teaming, Vorfallverfolgung und -meldung, verbesserte Cybersicherheit und jährliche Berichterstattung an das EU AI Office.

Open-Source-GPAI-Bestimmungen

Ausnahme

Reduzierte Pflichten gelten, wenn

Modellgewichte öffentlich verfügbar sind
Trainingsmethodik offen dokumentiert ist
Unter einer qualifizierenden Open-Source-Lizenz veröffentlicht
Parameter und Architektur veröffentlicht sind

Keine Ausnahme

Vollständige Pflichten gelten weiterhin, wenn

Modell systemisches Risiko birgt (>10²⁵ FLOPs)
Sie modifizieren und kommerziell bereitstellen
Verwendet in Hochrisiko-Anwendungen nach Anhang III
Modell in regulierte Produkte integriert ist

Wenn Sie auf GPAI-Modellen aufbauen

Die meisten Organisationen, die KI nutzen, sind nachgelagerte Integratoren und keine Foundation-Model-Anbieter. Wenn Sie über APIs auf GPT-4, Claude oder ähnliche Modelle zugreifen, um eigene Anwendungen zu erstellen, gelten diese Pflichten für Sie.

Technische Dokumentation vom GPAI-Anbieter einholen und prüfen

Bewerten, ob Ihr spezifischer Anwendungsfall als Hochrisiko gilt

Angemessene menschliche Aufsicht für Ihre Anwendung implementieren

Dokumentieren, wie Sie das GPAI-Modell integriert haben

Protokollierung und Überwachung für Ihre Bereitstellung etablieren

Transparenzhinweise für Endnutzer erstellen

Verfahren zur Vorfallreaktion für KI-bezogene Probleme definieren

Das EU AI Office

Das EU AI Office innerhalb der Europäischen Kommission bietet zentrale Aufsicht für GPAI-Modelle. Es gibt Leitlinien heraus, entwickelt Verhaltenskodizes, bewertet Modelle mit systemischem Risiko und koordiniert mit nationalen Behörden. GPAI-Anbieter mit Modellen mit systemischem Risiko müssen direkt an das AI Office berichten. Das Office dient auch als Ressource für nachgelagerte Integratoren, die Klarheit über ihre Pflichten suchen.

Richtlinienvorlagen

Vollständiges KI-Governance-Richtlinien-Repository

Zugang zu 37 sofort einsatzbereiten KI-Governance-Richtlinienvorlagen, die auf EU AI Act, ISO 42001 und NIST AI RMF-Anforderungen abgestimmt sind

Kern-Governance

• KI-Governance-Richtlinie
• KI-Risikomanagement-Richtlinie
• Verantwortungsvolle KI-Prinzipien
• KI-Ethik-Charta
• Modellgenehmigung & -freigabe
• KI-Qualitätssicherung
+ 6 weitere Richtlinien

Daten & Sicherheit

• KI-Datennutzungsrichtlinie
• Datenminimierung für KI
• Beschaffung von Trainingsdaten
• Handhabung sensibler Daten
• Prompt-Sicherheit & -Härtung
• Vorfallreaktion für KI
+ 2 weitere Richtlinien

Recht & Compliance

• KI-Lieferantenrisiko-Richtlinie
• Regulatorische Compliance
• CE-Kennzeichnungsbereitschaft
• Hochrisiko-Systemregistrierung
• Dokumentation & Rückverfolgbarkeit
• KI-Verantwortlichkeit & Rollen
+ 7 weitere Richtlinien

Alle Richtlinienvorlagen durchsuchen

Häufig gestellte Fragen

Häufige Fragen zur EU AI Act Compliance

Ja. Die Verordnung hat extraterritoriale Reichweite, d.h. jede Organisation, deren KI-Systeme oder Ergebnisse auf dem EU-Markt verwendet werden, fällt in den Geltungsbereich. Dies gilt für US-amerikanische SaaS-Unternehmen, Beratungsfirmen und jedes Unternehmen, dessen KI EU-Bürger betrifft, unabhängig vom Unternehmenssitz. Siehe Artikel 2 für die vollständige Geltungsbereichsdefinition.

Sie haben weiterhin Pflichten als Betreiber gemäß Artikel 26. Dazu gehören Transparenzanforderungen, Bestimmungen zur menschlichen Aufsicht und ordnungsgemäße Protokollierung. Der Anbieter übernimmt bestimmte vorgelagerte Pflichten, aber Sie bleiben verantwortlich für den Betrieb des Systems in Ihrer Organisation.

Verbotene Praktiken gemäß Artikel 5 sind vollständig untersagt und ziehen die höchsten Strafen nach sich. Hochrisiko-Systeme gemäß Anhang III können betrieben werden, sofern Sie strenge Anforderungen an Dokumentation, Risikomanagement, menschliche Aufsicht und Konformitätsbewertung erfüllen. Die Unterscheidung bestimmt, ob Sie das System überhaupt nutzen können oder wie viel Governance erforderlich ist.

Verbotene Praktiken können Bußgelder bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist. Hochrisiko-Verstöße können 15 Millionen Euro oder 3% des Umsatzes erreichen. Informationsverstöße (unvollständige Dokumentation, mangelnde Kooperation mit Behörden) können 7,5 Millionen Euro oder 1,5% des Umsatzes auslösen. Siehe Artikel 99 für die vollständige Bußgeldstruktur.

Die Einführung erfolgt stufenweise gemäß Artikel 113, mit überarbeiteten Daten nach dem Omnibus-Abkommen vom Mai 2026. Verbotene Praktiken und Artikel 4 KI-Kompetenzpflichten gelten seit Februar 2025. GPAI-Transparenzregeln gelten ab August 2025. Artikel 50(2) Wasserzeichen-Pflichten gelten ab Dezember 2026. Eigenständige Hochrisiko-Systeme nach Anhang III müssen bis Dezember 2027 konform sein, und KI eingebettet in Anhang I regulierte Produkte bis August 2028.

GPAI-Anbieter haben spezifische Pflichten gemäß Artikel 53 bezüglich Dokumentation, Urheberrechts-Compliance und nachgelagerter Transparenz. Modelle, die 10^25 FLOPs überschreiten (oder von der Kommission benannt werden), haben zusätzliche systemische Risikoanforderungen gemäß Artikel 55, einschließlich adversarialer Tests und Vorfallmeldung. Wenn Sie Anwendungen mit diesen Modellen entwickeln, bleiben Sie für die Compliance Ihres spezifischen Anwendungsfalls verantwortlich.

Hochrisiko-Systeme erfordern technische Dokumentation gemäß Artikel 11 und Anhang IV, die Systemarchitektur und -fähigkeiten, Trainingsdaten-Governance-Aufzeichnungen, Leistungs- und Genauigkeitsmetriken, Risikomanagementverfahren, Mechanismen zur menschlichen Aufsicht und Betriebsprotokolle (mindestens sechs Monate Aufbewahrung) umfasst.

Die meisten Hochrisiko-KI-Systeme können eine interne Selbstbewertung gemäß Anhang VI-Verfahren nutzen. Biometrie für Strafverfolgung, bestimmte kritische Infrastruktur-Sicherheitssysteme und spezifische Medizinprodukte erfordern eine Drittbewertung durch akkreditierte notifizierte Stellen. Prüfen Sie Ihre Anhang III-Kategorie, um den zutreffenden Weg zu bestimmen.

Die Verordnung enthält Verhältnismäßigkeitsbestimmungen für kleinere Organisationen. Sie können vereinfachte Dokumentationsansätze nutzen, an regulatorischen Sandboxes zum Testen teilnehmen und Ihre höchstrisikobehafteten Systeme priorisieren. Kernpflichten gelten weiterhin, aber die Umsetzung kann an Ihre Ressourcen angepasst werden. Viele KMU beginnen mit einem KI-Inventar und Risikoklassifizierung, bevor sie die vollständige Governance aufbauen.

Sie funktionieren als ergänzende Rahmenwerke. Die DSGVO regelt die Verarbeitung personenbezogener Daten, während der AI Act KI-Systemrisiken adressiert, unabhängig davon, ob personenbezogene Daten involviert sind. Hochrisiko-KI, die personenbezogene Daten verarbeitet, löst Anforderungen unter beiden aus: Sie benötigen DSGVO-Datenschutz-Folgenabschätzungen neben AI Act-Konformitätsbewertungen und technischer Dokumentation.

Bestehende Systeme müssen bis zur relevanten Frist Compliance erreichen (Dezember 2027 für eigenständige Hochrisiko-Systeme nach Anhang III, August 2028 für KI eingebettet in Anhang I regulierte Produkte). Beginnen Sie jetzt mit der Inventarisierung und Klassifizierung Ihres aktuellen KI-Portfolios. Systeme, die nach August 2025 wesentlich modifiziert werden, werden als neue Systeme mit sofortigen Pflichten gemäß Artikel 111 behandelt.

Schatten-KI bezeichnet KI-Tools, die ohne Governance-Aufsicht genutzt werden. Erkennungsansätze umfassen die Überwachung des Netzwerkverkehrs auf Aufrufe zu KI-APIs (OpenAI, Anthropic, Google), Prüfung von Spesenabrechnungen auf KI-Abonnements, Befragung von Mitarbeitern zu ihrer Tool-Nutzung und Überprüfung von Browser-Erweiterungen. Die meisten Organisationen entdecken bei dieser Übung mehr KI-Nutzung als erwartet.

Selbstbewertung bedeutet, dass Ihr internes Team die Konformitätsbewertung gemäß Anhang VI-Verfahren durchführt. Bewertung durch notifizierte Stelle bedeutet, dass ein akkreditierter Dritter Ihr System gemäß Artikel 43 evaluiert. Die meisten Hochrisiko-KI qualifiziert sich für Selbstbewertung. Kategorien, die externe Prüfung erfordern, umfassen biometrische Fernidentifizierung für Strafverfolgung, KI als Sicherheitskomponente in regulierten Produkten und bestimmte kritische Infrastrukturanwendungen.

Open-Source-GPAI-Modelle, die unter qualifizierenden Lizenzen mit öffentlich verfügbaren Parametern veröffentlicht werden, haben reduzierte Transparenzpflichten gemäß Artikel 53(2). Die Ausnahme entfällt, wenn das Modell systemisches Risiko birgt oder wenn Sie es modifizieren und kommerziell bereitstellen (was Sie zum Anbieter mit vollen Pflichten machen kann). Hochrisiko-Anwendungen, die auf Open-Source-Modellen aufbauen, erfordern weiterhin vollständige Compliance, unabhängig von der Lizenz des zugrunde liegenden Modells.

Hochrisiko-Systeme erfordern kontinuierliche Überwachung als Teil der Post-Market-Überwachung gemäß Artikel 72. Formelle Compliance-Überprüfungen sollten mindestens jährlich erfolgen, plus bei wesentlichen Systemänderungen, Vorfällen oder neuen regulatorischen Leitlinien. Compliance ist fortlaufend und keine einmalig erreichte Zertifizierung.

EU-Mitgliedstaaten müssen bis August 2027 KI-regulatorische Sandboxes gemäß Artikel 57 einrichten (Frist verlängert durch das Omnibus-Abkommen vom Mai 2026). Diese kontrollierten Umgebungen ermöglichen das Testen innovativer KI unter regulatorischer Aufsicht, oft mit Haftungsschutz und beschleunigtem Feedback. Kontaktieren Sie Ihre nationale KI-zuständige Behörde, um mehr über Sandbox-Verfügbarkeit und Antragsverfahren in Ihrer Jurisdiktion zu erfahren.

Artikel 4 schreibt vor, dass Organisationen sicherstellen, dass Mitarbeiter über ausreichende KI-Kompetenz entsprechend ihrer Rolle verfügen. Personal, das KI-Systeme bedient, muss Fähigkeiten und Grenzen verstehen. Verantwortliche für KI-Aufsicht benötigen tieferes Wissen über Risikofaktoren und Eskalationsverfahren. Schulungsanforderungen skalieren mit dem Risikoniveau der gehandhabten Systeme.

Jeder Mitgliedstaat benennt nationale zuständige Behörden und Marktüberwachungsbehörden gemäß Artikel 70. Das EU AI Office (innerhalb der Europäischen Kommission) überwacht speziell GPAI-Modelle. Durchsetzungsmechanismen umfassen Inspektionen, Korrekturmaßnahmen und Verwaltungsstrafen. Es gibt Whistleblower-Schutz für Personen, die Verstöße melden. Nicht-EU-Unternehmen, die KI auf den EU-Markt bringen, müssen einen bevollmächtigten Vertreter in der Union benennen.

Bereit für Compliance?

Starten Sie Ihre EU AI Act Compliance-Reise heute mit unseren umfassenden Bewertungs- und Tracking-Tools.

Kostenlose Bewertung starten Demo vereinbaren