Search The Query
Search
  • Home
  • Allgemein
  • EU AI Act: 6-Schritte-Fahrplan und 90-Tage-Checkliste für DACH-Unternehmen

EU AI Act: 6-Schritte-Fahrplan und 90-Tage-Checkliste für DACH-Unternehmen

Allgemein Achim B.C Karpf Nov. 2, 2025
11
Minute Read
Image

Der EU AI Act ist die erste umfassende Regulierung für Künstliche Intelligenz in Europa. Für Unternehmen in der DACH-Region – ob mit EU-Marktbezug oder als Teil europäischer Lieferketten – bedeutet dies schrittweise, aber verbindliche Anforderungen an Entwicklung, Einkauf und Nutzung von KI-Systemen. Die Pflichten treten gestaffelt in Kraft: kurzfristig greifen Verbote einzelner Praktiken und Transparenzanforderungen; mittelfristig folgen umfassende Pflichten für Hochrisiko-Systeme, einschließlich Konformitätsbewertung und laufendem Monitoring. Für viele Organisationen heißt das: Schon heute die eigenen Use-Cases inventarisieren, Risikoklassen korrekt zuordnen und Governance-Strukturen aufsetzen, damit in 12–36 Monaten keine kostspieligen Nacharbeiten anfallen.

Wesentlich ist die Unterscheidung der Rollen:

  • Anbieter/Hersteller (Provider): entwickeln, fine-tunen oder vertreiben KI-Systeme.
  • Verwender/Betreiber (Deployer): setzen KI in Geschäftsprozessen ein.
  • Importeure, Händler, Integratoren: übernehmen spezifische Sorgfaltspflichten entlang der Supply Chain.

Parallel sollten Sie Überschneidungen mit DSGVO/Schweizer DSG, sektoralen Regelungen (z. B. MDR/IVDR im Gesundheitsbereich, Bankenaufsicht) und internen Qualitätsmanagement-Systemen berücksichtigen.

Der 6‑Schritte‑Fahrplan zur Compliance

Schritt 1: Systematische Inventarisierung Ihrer KI-Use-Cases

Erstellen Sie ein unternehmensweites KI-Register. Für jeden Use-Case sollten mindestens erfasst werden:

  • Zweck und Geschäftsprozess
  • Eingaben/Datenquellen, Kategorien personenbezogener Daten, Datenherkunft
  • Modelltyp und -version (z. B. interne Modelle, GPAI/LLMs von Drittanbietern)
  • Bereitstellungsmodell (On-Prem, Cloud, Edge) und Anbieter
  • Nutzergruppen und betroffene Personengruppen
  • Automatisierungsgrad (Unterstützung, Empfehlung, (teil-)automatisierte Entscheidung)
  • Potenzielle Auswirkungen auf Gesundheit, Sicherheit und Grundrechte
  • Verantwortliche Rollen (Owner), Betriebsverantwortung, Freigaben
  • Relevante Rechtsgrundlagen und Policies

Dieses Register ist Dreh- und Angelpunkt für Risikoklassifizierung, Governance und Audits.

Schritt 2: Korrekte Einstufung in Risikoklassen

Ordnen Sie jeden Use-Case einer der vier Kategorien zu:

  • Verboten: u. a. manipulative Praktiken, die erheblichen Schaden verursachen können, soziale Bewertung durch öffentliche Stellen oder bestimmte biometrische Kategorisierungen. Solche Vorhaben sind einzustellen.
  • Hochrisiko: KI, die als Sicherheitskomponente regulierter Produkte dient (z. B. Medizinprodukte, Maschinen) oder Anwendungen aus der EU-Positivliste, etwa Kreditwürdigkeitsprüfung natürlicher Personen, bestimmte Beschäftigungs- und Bildungsanwendungen. Hier gelten strenge Anforderungen an Datenqualität, technische Dokumentation, Konformitätsbewertung, Human Oversight, Logging, Robustheit und Cybersicherheit.
  • Begrenztes Risiko: vor allem Transparenzpflichten (z. B. Kennzeichnung von Chatbots oder generierten Inhalten), Benutzerinformationen, ggf. Grundrechtseinschätzungen.
  • Minimales Risiko: keine spezifischen AI-Act-Pflichten; dennoch sind Good Practices empfehlenswert.

Hinweise:

  • Credit Scoring für Privatkundinnen und -kunden ist typischerweise Hochrisiko.
  • Diagnoseunterstützung als Teil eines Medizinprodukts fällt regelmäßig in Hochrisiko (interplay mit MDR/IVDR).
  • Personalisierung im Handel ist oft begrenzt oder minimal, kann jedoch je nach Datenkategorien (z. B. biometrische Merkmale) höhere Pflichten auslösen.
  • Qualitätsprüfung in der Fertigung variiert: Ist die KI sicherheitsrelevant oder Teil eines regulierten Produkts, tendiert die Einstufung zu Hochrisiko.

Schritt 3: Governance und Verantwortlichkeiten etablieren

Bauen Sie eine schlanke, wirksame KI-Governance auf:

  • Richtlinien: AI Policy mit Prinzipien, Rollen, Entscheidungskompetenzen, Freigabeprozessen
  • Gremien: AI Steering Committee, Risk Board, Datenschutz- und Informationssicherheitsanbindung
  • Rollen: Product/Use-Case Owner, Responsible AI Lead, Model Risk Manager, Human Oversight Verantwortliche
  • Prozesse: Change- und Release-Management, Exception Handling, Incident- und Vulnerability-Management
  • Kompetenzaufbau: Schulungen für Fachbereiche, Risiko- und Compliance-Teams
  • Lieferkettensteuerung: Due Diligence, SLAs, Audit- und Testrechte gegenüber Anbietern

Schritt 4: Technische Dokumentation und Datengovernance absichern

Für Hochrisiko-Systeme verpflichtend, für alle anderen Best Practice:

  • Technische Dokumentation: Zweck, Design, Trainings-/Testdaten, Metriken (Genauigkeit, Robustheit), Begrenzungen, Use Instructions
  • Datenmanagement: Datenqualität, Bias-Analysen, Data Provenance, Lösch- und Aktualisierungsprozesse
  • Logging und Nachvollziehbarkeit: Input/Output-Logs, Model- und Prompt-Versionierung, Decision Trails
  • Evaluierung: Pre-Deployment-Tests, Red-Teaming für sicherheitsrelevante Risiken, Fairness- und Drift-Monitoring
  • Nutzerinformation: klare Anweisungen, Transparenz- und Kennzeichnungspflichten erfüllen
  • Für Hochrisiko: Konformitätsbewertung, ggf. Einbindung benannter Stellen; Post-Market-Surveillance-Plan

Schritt 5: Human Oversight wirksam gestalten

Definieren Sie konkrete Kontrollpunkte:

  • Klarer Automatisierungsgrad: Unterstützung, Vorschlag, Override, oder bindende Entscheidung
  • Eingriffsgrenzen: Schwellenwerte, unter denen eine menschliche Prüfung zwingend ist
  • Qualifikation und Schulung der Aufsichtspersonen
  • Arbeitsanweisungen: Checklisten, Eskalationen, Dokumentationspflichten
  • Nutzererlebnis: Oberflächen, die Übersteuerungen und begründete Ablehnungen ermöglichen

Schritt 6: Laufendes Monitoring und Verbesserungszyklus

Etablieren Sie Betrieb und Überwachung als Regelbetrieb:

  • Performance-, Bias- und Drift-KPIs mit Alerting
  • Feedbackkanäle für Nutzerinnen/Nutzer und Betroffene
  • Incident-Management inkl. Meldungen an zuständige Stellen, wo erforderlich
  • Periodische Reviews, Re-Validierungen und Re-Zertifizierungen
  • Änderungsmanagement bei Modell-Updates, Datenverschiebungen oder Zweckänderungen

ISO/IEC 42001 als Orchestrierungsrahmen (Blueprint)

ISO/IEC 42001 liefert den Managementsystem-Rahmen, um die AI-Act-Pflichten effizient zu integrieren – ähnlich wie ISO 27001 für Informationssicherheit. Ein praxisnaher Blueprint:

  • Kontext und Scope: definieren, welche Geschäftsbereiche/Use-Cases im AIMS (AI Management System) liegen
  • Führung und Policy: AI-Grundsatz, Ziele, Verantwortlichkeiten, Ressourcen
  • Planung und Risikomanagement: Risiko- und Auswirkungsanalysen (u. a. Sicherheit, Grundrechte), Kontrollen, Maßnahmenpläne
  • Unterstützung: Kompetenz, Bewusstsein, Kommunikation, dokumentierte Information (Model Cards, Datasheets, Logs)
  • Betrieb: Prozesse für Entwicklung, Beschaffung, Integration, Tests, Freigaben und Betrieb
  • Leistungsbewertung: Monitoring, interne Audits, Management-Reviews, KPIs
  • Verbesserung: Korrektur- und Vorbeugemaßnahmen, Lessons Learned, kontinuierliche Optimierung

Die Norm lässt sich mit bestehenden Systemen (ISO 9001/27001, MDR-QMS, MaRisk/BAIT) verzahnen und dient als „Organisationskitt“ zwischen Fachbereichen, IT und Compliance.

90‑Tage‑Checkliste: schnelle Compliance‑Gewinne

  • Woche 1–2: KI-Register aufsetzen; Template bereitstellen; Top-20 Use-Cases erfassen
  • Woche 2–3: Grobklassifizierung nach Risiko; rote Flaggen (verboten) stoppen; Hochrisiko-Kandidaten markieren
  • Woche 3–4: AI-Policy und RACI-Rollenentwurf verabschieden; Steering Committee benennen
  • Woche 4–6: Lieferanteninventar (Modelle, APIs, Tools) erstellen; Due-Diligence-Questionnaire versenden; Vertrags-Addenda für Transparenz, Logging, Auditrechte vorbereiten
  • Woche 5–7: Human-Oversight-Standard-Operating-Procedures (SOP) für priorisierte Use-Cases definieren
  • Woche 6–8: Technische Basismaßnahmen implementieren: Prompt-/Modell-Versionierung, zentralisiertes Logging, Zugriffs- und Rollenkonzepte
  • Woche 7–9: Risiko- und Auswirkungsanalysen pilotieren (einschließlich Datenschutz); Bias- und Robustheits-Checks auf Prioritätsmodellen
  • Woche 8–10: Post-Market-Monitoring-Plan entwerfen; Incident-Workflow und Meldekanäle etablieren
  • Woche 9–12: Interner Audit-Check (Readiness Review); Maßnahmenplan mit Budget und Meilensteinen für 12–24 Monate verabschieden
  • Laufend: Schulungen für Fachbereiche und Management; Kennzeichnungspflichten (Chatbots/Generatives) umsetzen

Branchenbeispiele aus der Praxis

  • Fertigung – Visuelle Qualitätsprüfung:
    • Einstufung: abhängig von Produkt und Sicherheitsrelevanz; bei sicherheitskritischen Komponenten tendenziell Hochrisiko.
    • Maßnahmen: robuste Datensets mit Repräsentanz seltener Fehler, Edge-Absicherung, klare Ablehnungs- und Nachprüfpfade, Liniendrift-Monitoring; Lieferantennachweise zur Modellleistung und Änderungslogs.
  • Finanzdienstleistung – Kreditscoring:
    • Einstufung: in der Regel Hochrisiko.
    • Maßnahmen: Datenqualitäts- und Fairness-Kontrollen, Feature-Governance, erklärbare Entscheidungskriterien, Human Oversight bei Grenzfällen, gründliche technische Dokumentation und Konformitätsbewertung; Abstimmung mit Datenschutz und Aufsicht.
  • Gesundheitswesen – Diagnoseunterstützung:
    • Einstufung: typischerweise Hochrisiko (als Teil eines Medizinprodukts).
    • Maßnahmen: klinische Validierung, Risiko-Management nach einschlägigen Normen, klare Nutzerinstruktionen, Monitoring von Leistung in der Versorgungsrealität, strukturierte Meldemechanismen für Vorkommnisse.
  • Handel – Personalisierung/Recommendation:
    • Einstufung: meist begrenztes oder minimales Risiko.
    • Maßnahmen: Transparenz (Kennzeichnung generierter Inhalte/Chatbots), Kontrolle sensibler Merkmale, A/B-Tests mit Fairness-KPIs, Möglichkeit für Nutzerinnen/Nutzer, Personalisierung zu steuern oder abzulehnen.

Praxis-Templates für sofortige Anwendung

Template: Lieferanten‑Due‑Diligence (Auszug)

  • Unternehmensdaten: Rechtsträger, Sitz, Subprozessoren
  • Produktumfang: Modell/Service, Version, Einsatzgrenzen, intended purpose
  • Compliance-Nachweise: AI-Act-Readiness, ggf. ISO/IEC 42001, 27001, sektorale Zertifikate
  • Datenherkunft und -rechte: Provenance, Lizenzierung, Urheberrechts-Compliance
  • Modellinformationen: Trainings-/Evaluationsdaten, Leistungsmetriken, bekannte Limitierungen
  • Sicherheit: Secure Development, Schwachstellenmanagement, Penetrationstests
  • Transparenz: Model Card/Datasheet vorhanden? Logging- und Audit-Schnittstellen
  • Support/SLA: Reaktionszeiten, Änderungsmitteilungen, Roadmap
  • Rechte und Pflichten: Audit- und Testrechte, Incident-Meldepflichten, Decommissioning-Regeln
  • Ethik/Grundrechte: Bias-Tests, Maßnahmen gegen Diskriminierung, Human Oversight-Unterstützung

Template: Human‑Oversight‑Plan (Auszug)

  • Rolle und Qualifikation der Beaufsichtigenden
  • Entscheidungsmodell: HITL/HOTL/HOoL, Schwellenwerte, Notfallstopp
  • Checkliste für Prüfungen: Daten-/Kontextangemessenheit, Plausibilität, Begründung
  • Eskalationspfade: Wann und an wen eskalieren
  • Dokumentation: Entscheidungsjournal, Gründe für Overrides/Bestätigungen
  • Schulung und Kompetenznachweise; regelmäßige Re‑Zertifizierung

Template: Post‑Market‑Monitoring‑Plan (Auszug)

  • KPIs: Genauigkeit, Fehlerraten, Drift, Fairness-Indikatoren, Stabilität
  • Datenerfassung: Umfang, Sampling, Schutz personenbezogener Daten
  • Trigger und Alarme: Grenzwerte, die Maßnahmen auslösen
  • Feedbackkanäle: interne Nutzer, Kundinnen/Kunden, Beschwerdemechanismen
  • Incident-Workflow: Klassifikation, Erstmaßnahmen, Fristen für Meldungen an relevante Stellen, Lessons Learned
  • Änderungsmanagement: Bewertung und Dokumentation von Modell- oder Datenupdates
  • Review-Zyklen: monatlich/vierteljährlich, Management-Reportings

Fazit und nächste Schritte

Die Reise zur AI-Act-Compliance ist beherrschbar, wenn Sie strukturiert vorgehen: Use-Cases inventarisieren, sauber klassifizieren, Governance aufbauen, dokumentieren und kontinuierlich überwachen. ISO/IEC 42001 bietet den optimalen Orchestrierungsrahmen, um diese Elemente effizient zu verbinden und mit bestehenden Managementsystemen zu verzahnen. Beginnen Sie mit der 90‑Tage‑Checkliste, identifizieren Sie Hochrisiko-Schwerpunkte und professionalisieren Sie parallel Lieferantensteuerung, Human Oversight und Monitoring. So schaffen Sie kurzfristig Sicherheit und legen die Basis für nachhaltige, verantwortungsvolle KI‑Innovation in den nächsten 12–36 Monaten.

0Geteilt

Achim B.C Karpf

Achim B.C. Karpf ist ein führender Kopf in den Bereichen Nachhaltigkeit, künstliche Intelligenz (KI) und Enterprise Solution Architecture. Mit einem scharfen Blick für innovative Technologien und nachhaltige Geschäftsmodelle hat er in verschiedenen Rollen – vom Gründer bis hin zum strategischen Berater – Unternehmen dabei unterstützt, zukunftsorientierte Lösungen umzusetzen. Er ist bekannt für seine tiefgründigen Analysen und provokativen Beiträge, die nicht nur aktuelle Trends in den Bereichen Marketing, Digitalisierung und Nachhaltigkeit beleuchten, sondern auch herausfordern, etablierte Denkmuster zu hinterfragen. Achims Engagement für Themen wie KI, Marketing-Automation und die Auswirkungen des EU AI Act zeigt seinen unermüdlichen Einsatz, Unternehmen auf dem Weg in eine nachhaltige, digitalisierte Zukunft zu begleiten. Durch seine Tätigkeit als Gründer und ehemaliger Geschäftsführer von NetPress, die er erfolgreich aufgebaut und verkauft hat, und seine Rolle als Berater für Marktführer wie BMW, bringt er eine Fülle von Erfahrungen mit, die er nun in innovative Projekte wie die Climb AI Academy oder sein eigenes Unternehmen einbringt. Seine Fähigkeit, komplexe Technologien verständlich zu machen und gleichzeitig strategische Visionen umzusetzen, macht ihn zu einer gefragten Persönlichkeit für Unternehmen, die in einer globalisierten und technologiegetriebenen Welt erfolgreich sein wollen.

Verwandte Beiträge

EU AI Act jetzt umsetzen: Inventar, Risikoklassen und…
Allgemein

EU AI Act jetzt umsetzen: Inventar, Risikoklassen und…

Achim B.C Karpf Nov. 13, 2025
Nachhaltige KI jetzt: Wettbewerbsvorsprung durch KPIs, Right-Sizing und…
Allgemein

Nachhaltige KI jetzt: Wettbewerbsvorsprung durch KPIs, Right-Sizing und…

Achim B.C Karpf Nov. 12, 2025
Die Pilotfalle überwinden: KI skalieren mit Governance-by-Design und…
Allgemein

Die Pilotfalle überwinden: KI skalieren mit Governance-by-Design und…

Achim B.C Karpf Nov. 10, 2025

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Folge Uns

Heiße Themen

Künstliche Intelligenz als Schlüssel zu…

Künstliche Intelligenz als Schlüssel zu…

Achim B.C Karpf
Prozessoptimierung durch Künstliche Intelligenz: Praxisbeispiele…

Prozessoptimierung durch Künstliche Intelligenz: Praxisbeispiele…

Achim B.C Karpf
Dieses Handbuch bietet eine detaillierte Anleitung zur Implementierung und Einhaltung der ISO 42001-Standards für Künstliche Intelligenz (KI) in Unternehmen. Es wurde entwickelt, um Unternehmen aller Branchen zu unterstützen, ihre KI-Systeme verantwortungsvoll und gesetzeskonform zu gestalten und die besonderen Herausforderungen im Zusammenhang mit KI zu meistern. Die Inhalte des Handbuchs richten sich an Führungskräfte, Compliance-Manager, KI-Entwickler und alle, die an der Governance und Regulierung von KI-Projekten beteiligt sind.

Ein neues Muss für den…

Achim B.C Karpf
dummy-img

Die Zukunft der Künstlichen Intelligenz:…

Achim B.C Karpf
Prädiktive Analytik: Der Schlüssel zu…

Prädiktive Analytik: Der Schlüssel zu…

Achim B.C Karpf

Top Kategorien

EU AI Act: 6-Schritte-Fahrplan und 90-Tage-Checkliste für DACH-Unternehmen - AIStrategyConsult

Entdecke mehr von AIStrategyConsult

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen