Securam Consulting Logo

EU AI Act

EU AI Act – Regulatorische Einordnung und Zielsetzung

Kaum eine Tech­nologie verändert Geschäfts­modelle so schnell und tief­greifend wie Künst­liche Intel­ligenz. Der EU AI Act ist der erste umfas­sende gesetz­liche Rahmen, der diese Dyna­mik in ver­lässliche Bahnen lenken will. Für Unter­nehmen, ins­besondere im digi­talen Binnen­markt, stellt er die Weichen für rechts­sichere KI-Nutzung. Die neue Ver­ordnung bedeutet: nicht nur regula­torische Pflichten, sondern auch strate­gische Handlungs­optionen. Unter­nehmen, die frühzeitig in struk­turierte Compliance investieren, positio­nieren sich lang­fristig als vertrauens­würdige Markt­teilnehmer.

Mit dem EU AI Act tritt ein regula­torisches Rahmen­werk in Kraft, das nicht nur auf die Entwick­lung, sondern auf den gesamten Lebens­zyklus von KI-Systemen abzielt. Der norma­tive Fokus liegt auf der Sicher­stellung von Trans­parenz, Nach­vollzieh­barkeit und Risiko­ange­messenheit in sensiblen Anwendungs­bereichen. Für Unter­nehmen, die KI-Systeme entwickeln, betreiben oder integrieren, ist die Umset­zung der Anfor­derungen keine rein juris­tische, sondern eine tief­greifend tech­nische und orga­nisatorische Heraus­forderung.

Was regelt der EU AI Act konkret?

Der EU AI Act unter­scheidet nicht nach Tech­nologien, sondern nach Anwendungs­risiken. Ob ein System als verbotene, hoch­riskante, begrenzt oder minimal risiko­behaftete KI einge­stuft wird, hängt maß­geblich von dessen Funktion im Kontext ab. Besonders stark reguliert werden Systeme in sensiblen Sektoren: z. B. bio­metrische Identi­fikation im öffent­lichen Raum, Bewertung von Kredit­würdigkeit oder automa­tisierte Personal­ent­scheidungen. Diese Systeme müssen eine Viel­zahl an Anfor­derungen erfüllen, darunter Dokumen­tation, Nach­vollzieh­barkeit, Auditier­barkeit und mensch­liche Kontroll­mechanismen.

Zeitlicher Umsetzungsrahmen des EU AI Act

Der EU AI Act tritt nicht abrupt, sondern stufen­weise in Kraft. Für Unter­nehmen, ins­besondere kleine und mittlere Unter­nehmen (KMU), ist es ent­scheidend, die rele­vanten Zeit­punkte zu kennen, um not­wendige Vorbe­reitungs- und Imple­mentierungs­schritte recht­zeitig einzu­leiten. Der gestaffelte Inkraft­tretens­mechanismus erlaubt eine abge­stufte Anpassung, reduziert jedoch nicht die Ver­bindlichkeit oder die erfor­derliche Inten­sität der Umset­zungsarbeit. Wer sich frühzeitig vor­bereitet, verschafft sich nicht nur Rechts­sicherheit, sondern auch strate­gische Vorteile gegen­über weniger agilen Mit­bewerbern.

Zeitlich gestaffelte Ein­führung – was wann gilt

Die schritt­weise Ein­führung der Reg­elungen erlaubt es Unter­nehmen, sich syste­matisch vor­zu­bereiten. Wichtig ist jedoch: Die Deadlines sind verbindlich.

  • Ab 2. Februar 2025: Inkraft­tretens der Verbote für bestimmte KI-An­wendungen wie Social Scoring oder manipu­lative Systeme. Unter­nehmen müssen bestehende Produkte unver­züglich prüfen und ggf. vom Markt nehmen.
  • Ab 2. August 2025: GPAI-Systeme unter­liegen spezifischen Trans­parenz- und Infor­mations­pflichten. Auch Anbieter, die auf externen Basis­modellen aufbauen (z. B. über APIs), müssen tech­nische Dokumen­tationen bereit­stellen und Haftungs­fragen klären.
  • Ab 2. August 2026: Ab diesem Zeit­punkt gilt der EU AI Act.
  • Ab 2. August 2027: Der vollständige regula­torische Rahmen für Hoch­risiko-KI wird verbindlich. Jetzt greifen Pflichten zur Risiko­bewertung, Daten- und Modell-Governance, mensch­lichen Aufsicht und Konfor­mitäts­erklärung.

Verbots­regelungen ab 2. Februar 2025

Ab diesem Datum sind bestimmte KI-Praktiken in der EU verboten. Dazu zählen ins­besondere KI-Systeme zur sozialen Bewertung (Social Scoring), bio­metrische Echtzeit-Fern­über­wachung im öffent­lichen Raum sowie Systeme, die das Verhalten von Personen auf manipu­lative Weise beein­flussen. Diese Reg­elungen gelten unmit­telbar und ohne Über­gangsfrist. Unter­nehmen müssen prüfen, ob ihre einge­setzten oder entwickelten Systeme unter diese Verbote fallen. Für bestehende Systeme ist ggf. eine sofortige Abschaltung oder Modifi­kation erfor­derlich. Besonders relevant ist dies für Anbieter von Sicher­heits­tech­no­logien, Platt­form­betreiber und Software­anbieter mit Behavioral Analytics-Kompo­nenten.

All­gemeine Vorschriften ab 2. August 2025


In dieser Phase treten wichtige Kern­regelungen des AI Act in Kraft, darunter:

  • Trans­parenz­pflichten für KI-Systeme, die mit Nutzern inter­agieren (z. B. Chatbots, Empfehlungs­dienste)
  • Ver­pflichtungen für Anbieter von General Purpose AI (GPAI), ins­besondere bezüglich tech­nischer Dokumen­tation, interner Kontrolle und Offen­legung gegen­über Aufsichts­behörden
  • Be­stimmungen zu Markt­aufsicht, Beschwerde­mechanismen und Durch­setzung durch nationale Stellen sowie die European AI Office


Unter­nehmen, die GPAI-Modelle ein­setzen oder weiter­verarbeiten, müssen spä­testens jetzt eine tech­nische und recht­liche Analyse zur Compliance durch­führen. Auch White-Label-An­wendungen und APIs auf Basis externer Foundation Models sind betroffen.

Grund­legende Geltung ab 2. August 2026

Ab diesem Zeit­punkt gilt der EU AI Act in der Breite. Alle all­gemeinen Be­stimmungen, ins­besondere jene zur Rolle von Betreibern, Anbietern und weiteren Wirt­schafts­akteuren, treten nun verbindlich in Kraft. Unter­nehmen müssen intern Rollen klar definieren, Zuständig­keiten dokumen­tieren und regula­torisch notwendige Prozesse imple­mentieren. Dies betrifft auch Importeure, Distri­butoren und Händler von KI-Produkten. Nicht selten entstehen hier in der Praxis Unklarheiten über Verant­wort­lichkeiten – ins­besondere bei komplexen Liefer­ketten oder SaaS-Modellen.

Eine sorg­fältige Aufbe­reitung der internen Kontroll­struktur sowie die Inte­gration in bestehende Manage­mentsysteme (z. B. ISMS, QMS, Compliance-Manage­ment) ist in dieser Phase empfehlens­wert. Auch Vertrags­werke mit Dritten sollten über­arbeitet und um KI-spezifische Compliance-Klauseln ergänzt werden.

Hoch­risiko-KI ab 2. August 2027


Die umfas­senden Pflichten für Hoch­risiko-KI-Systeme werden ab diesem Datum scharf geschaltet. Dazu zählen:

  • Durch­führung und Dokumen­tation von Risiko­bewertungen auf Basis realer Anwendungs­szenarien
  • Imple­mentierung eines Risiko­manage­mentsystems über den gesamten Lebens­zyklus hinweg
  • An­forderungen an Daten­qualität, Modell­kontrolle, mensch­liche Aufsicht und algorith­mische Trans­parenz
  • Ein­haltung detail­lierter Vorgaben zur tech­nischen Dokumen­tation, Konfor­mitäts­erklärung und Kenn­zeichnung


Für Unter­nehmen bedeutet dies: Wer Systeme in den Bereichen Personal­manage­ment, Zugang zu Bildung, öffent­liche Sicher­heit, Straf­verfolgung oder Justiz einsetzt, muss diese bis dahin syste­matisch klassi­fizieren, bewerten und regula­torisch einhegen. Der Einsatz von KI in Be­wer­bungs­screenings, Schufa ähnlichen Risiko­bewertungen oder öffent­lichen Ent­schei­dungs­prozessen fällt in vielen Fällen unter die Hoch­risiko­definition.

Haben Sie weitere Fragen zum EU AI Act?

Kontaktieren Sie uns. Wir helfen Ihnen bei Fragen gerne weiter.

EU AI Act Sanktionen

Wichtig zu wissen:

Ähnlich wie bei der DSGVO sind die Sanktionsmechanismen bewusst abschreckend ausgestaltet. Die Bußgelder richten sich dabei nach der Schwere des Verstoßes und der Rolle des Unternehmens. Die folgende Tabelle bietet einen Überblick über die wichtigsten Sanktionsrahmen im Kontext des EU AI Act

 

Verstoßtyp Max. Geldbuße Bemerkung
Einsatz verbotener KI-Systeme Bis zu 35 Mio. EUR oder 7 % des Jahresumsatzes Gilt für Anbieter, Betreiber und Händler
Verstöße bei Hochrisiko-KI (z. B. Dokumentation, Risikomanagement) Bis zu 15 Mio. EUR oder 3 % des Jahresumsatzes Auch bei fehlender oder mangelhafter Umsetzung relevant
Unzureichende Zusammenarbeit mit Behörden Bis zu 7,5 Mio. EUR oder 1 % des Jahresumsatzes Betrifft z. B. fehlerhafte Informationen oder Blockade von Audits

Zudem droht Reputationsverlust – eine oft unterschätzte Nebenfolge regulatorischer Verstöße. Dieser kann sich negativ auf Kundenbindung, Investor Relations und öffentliche Wahrnehmung auswirken

Wofür steht die SECURAM Consulting?

Expertise und Know-How in den Regulariken der IT-Security und Informationssicherheit

Konstruktive & vertrauensvolle Zusammenarbeit

Verantwortung übernehmen & Sicherheit leben

Hands-on beim Aufbau von IT-Security & Informationssicherheit

Sicherheitsziele systematisch definieren, umsetzen & im Alltag leben

Wo steckt überhaupt KI drin?

Der erste syste­matische Schritt zur Compliance besteht in der Klassifi­kation aller einge­setzten und geplanten KI-Systeme. Unter­nehmen müssen Klarheit darüber schaffen, welche Systeme eigen­entwickelt, einge­kauft oder von Dritt­anbietern genutzt werden. In der Praxis ist dies oftmals nicht trivial: Viele Organi­sationen nutzen bereits KI-Funktio­nalität in Standard­software, ohne dass dies trans­parent dokumen­tiert ist. Eine syste­matische Bestands­aufnahme ist daher Voraus­setzung für jede weiter­gehende Bewertung.

Nicht jedes Unter­nehmen hat ein eigenes Data-Science-Team und dennoch ist KI in vielen Tools bereits integriert. CRM-Systeme mit Predictive Analytics, Chatbots mit seman­tischem Ver­ständnis oder HR-Lösungen mit automa­tisierten Bewer­tungen sind heute oft Standard. Der erste Schritt zur Compliance ist daher eine umfas­sende Bestands­aufnahme:

  • Wo genau kommen KI-Funktio­nalitäten zum Einsatz?
  • Wer ist Anbieter, wer Betreiber?
  • Welche Systeme sind Eigen­ent­wicklungen, welche zuge­kauft?

Nach der Klassifi­kation ist eine Risiko- und Anwendungs­prüfung durch­zuführen. Diese orien­tiert sich nicht allein am Zweck des Systems, sondern auch an der konkreten Einsatz­umgebung und poten­ziellen Aus­wirkungen auf betroffene Personen. Gerade in Unter­nehmen mit um­fangreicher HR- oder Kunden­inter­aktion (z. B. Banken, Versiche­rungen, Platt­form­anbieter) kann dieselbe Tech­nologie je nach Use Case unter­schiedliche regula­torische Konse­quenzen haben.

EU AI Act / EU KI Akt

Hochrisiko-KI im Sine des EU AI Acts

Für Hoch­risiko-Systeme schreibt der EU AI Act die Imple­mentierung eines Risiko­manage­mentsystems vor, das konti­nuierlich über den gesamten Lebens­zyklus des Systems wirkt. Praktisch bedeutet dies, dass tech­nische Risiken (z. B. Modell­robus­theit, Erklär­barkeit, Fehler­folgen) ebenso dokumen­tiert, über­wacht und miti­giert werden müssen wie orga­nisatorische Aspekte (z. B. Zugriffs­kontrollen, Trainings­daten-Governance, Auditie­rung der Ent­wicklungs­prozesse).


Die tech­nische Dokumen­tation muss auditierbar und versi­oniert sein. Viele Unter­nehmen werden ihre DevOps- und MLOps-Prozesse erweitern müssen, um die An­forderungen an Nach­vollzieh­barkeit, Logging und Change-Manage­ment abzu­bilden. Vor allem für CTOs und IT-Leiter ist dies nicht nur eine Compliance-Frage, sondern ein strate­gischer Aspekt: Ohne tech­nische Trans­parenz und Robust­heit ist eine spätere Zerti­fizierung oder Markt­zugangs­möglichkeit in der EU gefährdet.

    Sobald ein System als Hochrisiko-KI eingestuft wird, greifen umfangreiche Anforderungen:

    Datengovernance

    Qualität, Repräsentativität, Bias-Kontrolle der Trainingsdaten

    Modelltransparenz

    Offenlegung der Funktionalitäten und Limitierungen

    Sicherheitsarchitektur

    Schutz vor Manipulation, Fail-Safe-Mechanismen

    Protokollierung & Versionierung

    Jede Änderung muss nachvollziehbar dokumentiert sein

    Human Oversight

    Prozesse müssen sicherstellen, dass ein Mensch in der Lage ist, Entscheidungen zu überprüfen und einzugreifen

    Diese Anforderungen überschneiden sich mit Anforderungen an Software-Entwicklung und IT-Security – müssen aber explizit auf KI bezogen werden.

      Wie kann SECURAM Consulting beim EU AI Act helfen?

      Die GAP-Analyse steht im Regelfall am Anfang und hilft Unternehmen zu bestimmen, welche Handlungsfelder existieren und wie das eigene Unternehmen aufgestellt ist.

      Zusammen mit dem Kunden werden systematische Maßnahmen geplant und umgesetzt. Die Expertise der SECURAM Consulting hilft die identifizierten Lücken systematisch zu schließen.

      Aufbau und Dokumentation münden final in gelebte Sicherheitsprozessen, mit denen Unternehmen die eigene Sicherheit im Firmenalltag signifikant verbessern können.

      EU AI Act im Zusammenspiel mit DSGVO & Produktsicherheit

      Im Bereich der Trans­parenz­pflichten bestehen erhebliche Schnitt­stellen zur DSGVO. KI-Systeme, die in personal­bezogenen Kontexten genutzt werden, müssen nachvoll­ziehbare Er­klärungen über ihre Funktions­weise liefern, ins­besondere bei automa­tisierten Ent­scheidungen mit Rechts­wirkung. Die inter­disziplinäre Zusammen­arbeit zwischen Daten­schutz­beauf­tragten, IT-Security, Produkt­verant­wortlichen und Legal ist hier keine Option, sondern Not­wendig­keit.

      Wer DSGVO-konform arbeitet, hat bereits gute Voraus­setzungen geschaffen. Dennoch gibt es Unter­schiede: Während sich die DSGVO auf personen­bezogene Daten konzen­triert, bezieht der AI Act auch nicht-personen­bezogene, aber gesell­schaftlich relevante Ent­scheidungen ein. Zudem kommen neue An­forderungen an tech­nische Erklär­barkeit hinzu, die weit über gängige Daten­schutz-Er­klärungen hinaus­gehen. Auch die Ver­bindung zum Produkt­sicher­heits­recht (z. B. CE-Kenn­zeichnung) wird enger – ins­besondere bei physischen Systemen mit KI-Kompo­nente.

      EU AI Act & ISO 42001


      Der EU AI Act verweist in Teilen auf Normen wie ISO 42001 für das KI-Manage­mentsystem. Diese inter­nationale Norm beschreibt erstmals syste­matisch die An­forderungen an ein Manage­mentsystem für KI. Sie umfasst unter anderem Richt­linien zur Risiko­identi­fikation, Modell­steuerung, Auditie­rung und Kontrolle des gesamten KI-Lebens­zyklus. Auch wenn sie aktuell nicht ver­pflichtend ist, dient sie als de-facto-Re­ferenz­rahmen – ver­gleichbar mit der Rolle, die ISO 27001 für Infor­mations­sicherheit spielt. Unter­nehmen mit bestehender ISO-Infra­struktur profi­tieren doppelt, wenn sie diese um KI-spezifische Elemente erweitern.

      ISO/IEC 42001 bietet einen inter­national abge­stimmten Rahmen für ein KI-spezifisches Manage­mentsystem. Unter­nehmen, die bereits Erfah­rung mit ISO 27001 oder ISO 14001 haben, profi­tieren von der struk­turellen Kompa­tibilität. Die Norm unter­stützt bei:

      • Aufbau eines rollen­basierten Ver­antwort­lichkeits­systems
      • Inte­gration von KI-Risiken in bestehende Kontroll­strukturen
      • Er­stellung auditier­barer Prozesse zur Modell­pflege und Dokumen­tation
      • Vor­bereitung auf externe Konfor­mitäts­prüfungen

      Für viele Mittel­ständler bietet ISO/IEC 42001 einen pragma­tischen Einstieg, um regula­torische Sicher­heit ohne Über­regulierung zu schaffen.

      Was können Unternehmen tun?

      Der EU AI Act ist keine abstrakte Regu­lierung, sondern ein opera­tiver Game­changer. Wer recht­zeitig handelt, sichert sich nicht nur Rechts­sicherheit, sondern auch Markt­zugang, Kunden­vertrauen und Inno­vations­spielraum. Ent­scheider sollten jetzt in Know-how, Systeme und Prozesse investieren und ihre KI-Strate­gie mit regula­torischer Weit­sicht ver­knüpfen.

      Wann tritt der EU AI Act in Kraft?

      Der EU AI Act wurde am 13. März 2024 vom Europäischen Parlament verabschiedet. Die Veröffentlichung der Verordnung im Amtsblatt der Europäischen Union erfolgte am 12. Juli 2024. Am 2. August 2024 tritt das Gesetz offiziell in Kraft und ab diesem Zeitpunkt beginnt eine Übergangsfrist von 24 Monaten, in der Unternehmen Zeit haben, die Anforderungen umzusetzen.

      Was ist das Ziel vom EU AI Act?

      Der AI Act soll dazu beitragen, den europäischen Binnenmarkt effizienter zu gestalten und gleichzeitig die Entwicklung sowie den Einsatz vertrauenswürdiger, menschenzentrierter KI voranzubringen. Dabei legt er besonderen Wert auf den Schutz von Gesundheit, Sicherheit und den Grundrechten – wie sie in der EU-Grundrechtecharta verankert sind – einschließlich Demokratie, Rechtsstaatlichkeit und Umweltschutz. Zugleich soll der AI Act potenziell schädliche Auswirkungen von KI-Systemen wirksam begrenzen.

      Was besagt der AI Act?

      Der AI Act regelt den Einsatz und die Entwicklung von künstlicher Intelligenz innerhalb der EU, um die Grundrechte der Menschen zu wahren. Gleichzeitig schafft er einen Rahmen, der die Einführung neuer Technologien sowie Innovation und Investitionen fördert. Herzstück des Gesetzes ist die Einstufung von KI-Anwendungen in vier Risikoklassen – je nach möglichem Einfluss auf Gesellschaft, Sicherheit und Rechte der Betroffenen.

      Empfehlungen der SECURAM Consulting zum EU AI Act

      Ein funktio­nierendes KI-Compliance-Frame­work besteht aus tech­nischen Kontroll­mechanismen, prozes­sualer Ver­ankerung und juris­tischer Beglei­tung. Die größten Heraus­forderungen liegen in der Ver­bindung dieser Dimen­sionen. Nicht selten zeigt sich in der Praxis: Selbst große Unter­nehmen besitzen keine belast­baren Nach­weise darüber, wie ein KI-Modell trainiert, vali­diert und deployed wurde. Ohne diese Nach­weise ist eine Auditie­rbarkeit im Sinne des AI Act nicht gegeben.

      Stra­tegisch ist zu empfehlen, KI nicht isoliert, sondern als Teil der digi­talen Gesamt­architektur zu betrachten. Nur so lassen sich Compliance, Skalie­rbarkeit und Zukunfts­fähigkeit vereinen. Wer heute auf minima­listische Lösungen setzt, wird morgen mit hohem Aufwand nach­rüsten müssen – nicht selten unter Druck regula­torischer Fristen oder Markt­an­forderungen. Die früh­zeitige Etab­lierung eines funktions­übergreifenden KI-Governance-Boards, ein internes KI-Register sowie die Inte­gration des AI Act in bestehende Kontroll­systeme (z. B. ISMS, QMS, Datenschutz-Folgen­abschätzungen) sind zentrale Schritte auf diesem Weg.

      Kontakt

      Neue ABC-Straße 8
      20354 Hamburg
      040 2984553-0
      contact@securam-consulting.com