Search The Query
Search
  • Home
  • Allgemein
  • EU AI Act in DACH: Pflichten, Fristen und 7-Schritte-Fahrplan für konforme, skalierbare KI

EU AI Act in DACH: Pflichten, Fristen und 7-Schritte-Fahrplan für konforme, skalierbare KI

Allgemein Achim B.C Karpf Nov. 3, 2025
11
Minute Read
Image

Der EU AI Act schafft einen einheitlichen Rechtsrahmen für Künstliche Intelligenz im Europäischen Binnenmarkt. Für mittelgroße und große Unternehmen in Industrie, Finanzdienstleistung, Gesundheitswesen und Handel ist er mehr als eine Compliance-Pflicht: Er ist ein Governance- und Qualitätsstandard, der Produktivitätsgewinne ermöglicht – sofern er proaktiv umgesetzt wird. Auch Unternehmen in der Schweiz und Liechtenstein sind betroffen, sobald sie KI-Systeme in der EU in Verkehr bringen oder betreiben, Teil einer EU-Lieferkette sind oder EU-Daten verarbeiten.

Kernprinzip ist eine risikobasierte Regulierung mit abgestuften Pflichten, ergänzt um klare Rollen in der Lieferkette (Anbieter vs. Anwender/Betreiber) und spezifische Regeln für General-Purpose-/Foundation-Modelle (GPAI). Im Ergebnis werden Managementsysteme, technische Dokumentation, Human Oversight, Datenqualität, Vorfallmanagement und vertragsbasierte Lieferantensteuerung zum neuen Standard.

Risikoklassen mit Branchenbeispielen

  • Verbotene KI (Unzulässig, ~6 Monate nach Inkrafttreten):
    • Social Scoring staatlicher oder privatwirtschaftlicher Art mit breiter Überwachung.
    • Bestimmte Formen biometrischer Echtzeit-Fernidentifikation im öffentlichen Raum (mit eng begrenzten Ausnahmen für Behörden).
    • Manipulative oder ausnutzende KI, die spezifisch verletzliche Gruppen schädigt.
    • Beispiel Industrie/Handel: Verdeckte Emotionserkennung zur Verkaufsbeeinflussung in Filialen. Beispiel Finanz: KI, die Kund:innen systematisch intransparent benachteiligt.
  • Begrenztes Risiko (Transparenzpflichten):
    • Systeme, die als KI erkennbar sein müssen (z. B. Chatbots, synthetische Medien/Deepfakes).
    • Beispiel Handel/Service: Kundenservice-Chatbot muss als KI kenntlich sein; generierte Produktbilder sind zu kennzeichnen.
  • Hohem Risiko (Annex II/III, umfassende Pflichten, ~24 Monate):
    • Sicherheitsteile von Produkten (z. B. Medizinprodukte, Maschinen) und bestimmte Anwendungsfälle mit erheblichem Personenrisiko.
    • Beispiele:
    • Industrie: KI-Qualitätskontrolle, die Produktfreigaben beeinflusst; autonome mobile Roboter als Sicherheitskomponente.
    • Finanzdienstleistung: Kreditwürdigkeitsbewertung, Betrugserkennung, Mitarbeiter-Screening.
    • Gesundheitswesen: Diagnostik-Triage, Entscheidungsunterstützung bei Therapie, radiologische Befundung (als Teil eines regulierten Medizinprodukts).
    • HR über Branchen: Bewerberauswahl/Ranking, interne Versetzungen, Leistungsbewertung.
  • Minimales Risiko (Best Practices, freiwillige Codes):
    • Office-Automatisierung, Textzusammenfassungen ohne Folgerisiko, generische Analytics-Dashboards.
    • Empfehlung: interne Policies, Logging, Qualitätssicherung auch ohne regulatorische Pflicht.

Wichtig: Die Einstufung hängt vom konkreten Verwendungszweck ab. Ein und dasselbe Modell kann in einem Kontext hochriskant, in einem anderen minimal riskant sein.

Rollen und Pflichten: Anbieter vs. Anwender/Betreiber und GPAI in der Lieferkette

  • Anbieter (Provider) eines KI-Systems:
    • Bringen ein System in Verkehr oder stellen es unter eigenem Namen bereit.
    • Pflichten bei Hochrisiko-Systemen u. a.:
    • Risikomanagement und -kontrollen über den gesamten Lebenszyklus.
    • Daten- und Modell-Governance (Datenqualität, Bias, Repräsentativität).
    • Technische Dokumentation und Gebrauchsanweisung.
    • Protokollierung, Nachvollziehbarkeit, Ereignis- und Vorfallmanagement.
    • Genauigkeit, Robustheit, Cybersicherheit.
    • Konformitätsbewertung, CE-Kennzeichnung, Registrierung in der EU-Datenbank.
    • Post-Market-Monitoring und Meldung schwerwiegender Vorfälle.
  • Anwender/Betreiber (Deployers):
    • Nutzen ein KI-System in ihrer Organisation, häufig als Kunde eines Anbieters.
    • Pflichten u. a.:
    • Nutzung gemäß Anbieteranweisungen; Einrichtung angemessener Human Oversight.
    • Datengüte im Betrieb (z. B. korrekte Inputdaten, Kontextgrenzen).
    • Monitoring, Log-Aufbewahrung, Meldung schwerwiegender Vorfälle.
    • Transparenz gegenüber Nutzer:innen, wenn vorgeschrieben.
    • Dokumentation von Zweck, Ablauf, Verantwortlichkeiten.
  • GPAI-/Foundation-Modelle:
    • Anbieter von GPAI-Modellen müssen technische Dokumentation, Trainingsdaten-Transparenz (inkl. urheberrechtlicher Aspekte), Evaluierungen, Sicherheitsvorkehrungen und Energie-/Leistungsinformationen bereitstellen; bei Modellen mit systemischem Risiko gelten verstärkte Prüf- und Reportingpflichten (z. B. adversariale Tests, Red-Teaming, Incident-Reporting).
    • Unternehmen als Anwender:
    • Stellen Sie sicher, dass Ihr GPAI-Anbieter die AI-Act-Pflichten erfüllt (inkl. Model Cards, Gebrauchsanweisungen, Evaluationsberichte).
    • Dokumentieren Sie eigene Anpassungen (Fine-Tuning, Prompt-Engineering, RAG), da diese Sie in die Anbieterrolle bringen können, wenn Sie ein „neues“ System in Verkehr bringen.
    • Lieferkette:
    • Vertraglich absichern (Auditrechte, Compliance-Zusicherungen, Support für Konformität, Benachrichtigungspflichten bei Modellupdates).
    • Prüfen, wie Drittanbieter-Modelle in Ihre Risiko- und Qualitätskontrollen integriert werden (z. B. Output-Filter, Content-Safety, Wasserzeichen).

Fristen und Zeitplan auf einen Blick

  • Verbote: etwa 6 Monate nach Inkrafttreten.
  • GPAI-/Foundation-Modelle: zentrale Transparenz- und Sicherheitsregeln etwa 12 Monate nach Inkrafttreten.
  • Hochrisiko-Anforderungen: ca. 24 Monate, inkl. Konformitätsbewertung, CE-Kennzeichnung, Registrierung.
  • Ausgewählte Übergangsregelungen: bis ca. 36 Monate, je nach Anwendungsbereich, Notifizierte Stellen und sektorale Schnittstellen.
  • Praktische Implikation:
    • 0–6 Monate: Governance, Inventar, Policies, Lieferanten-Check starten.
    • 6–12 Monate: GPAI-Verträge und Transparenz aktualisieren, Human Oversight etablieren.
    • 12–24 Monate: Hochrisiko-Systeme konformitätsfähig machen; Notifizierte Stellen und EU-Datenbankprozesse einplanen.
    • 24–36 Monate: Skalierung, Audits, kontinuierliche Verbesserung.

Hinweis: Nationale Aufsichtsbehörden und Notifizierte Stellen werden schrittweise benannt. Planen Sie Vorlaufzeiten für Bewertungen ein.

Der praxisnahe 7-Schritte-Fahrplan

1) Use-Case-Inventar und Klassifizierung

  • Erstellen Sie ein zentrales Inventar aller KI-Einsätze (Pilot, PoC, Produktion), inkl. Zweck, Daten, Nutzergruppe, Entscheidungsauswirkung.
  • Klassifizieren Sie pro Use Case: Risikoklasse, Rolle (Anbieter/Anwender), betroffene Regulierung (AI Act, DSGVO, Sektorrecht wie MDR, BaFin-Rundschreiben, Maschinenrichtlinie).
  • Ergebnis: Eine priorisierte Roadmap mit kritischen Lücken und Verantwortlichkeiten.

2) Gap-Analyse gegen AI Act und interne Policies

  • Vergleichen Sie Ist-Prozesse und -Kontrollen mit den Pflichten je Risikostufe.
  • Prüfen Sie vorhandene Managementsysteme (ISO 9001, 27001, 27701, MDR QMS) auf Anschlussfähigkeit.
  • Definieren Sie Mindestkontrollen für begrenztes Risiko (Transparenz, Kennzeichnung) und Vollkontrollen für Hochrisiko.

3) Aufbau eines AI-Managementsystems nach ISO/IEC 42001

  • Struktur: Kontext & Scope, Führung & Rollen (z. B. AI Governance Board), Planung & Risiko, Support (Kompetenzen, Schulung, Dokumentation), Betrieb (ML-Lifecycle), Leistungsbewertung (KPIs, Audits), Verbesserung.
  • Artefakte: AI-Policy, RACI für Use Cases, Risikoregister, Modellkarten, Datenkataloge, Change- und Release-Management, Vorfallmanagement.
  • Integration: Verzahnen Sie 42001 mit 27001/27701, Produkt-Safety-Management und internen Kontrollsystemen.

4) Daten- und Modell-Governance

  • Daten: Herkunft, Rechtmäßigkeit (DSGVO/Urheberrecht), Repräsentativität, Bias-Analysen, Data Lineage.
  • Modelle: Validierung, Testabdeckung, Drift-Überwachung, Robustheits-/Security-Tests (Adversarial, Prompt-Injection), dokumentierte Grenzen und bekannte Failure Modes.
  • Dokumentation: Trainings-/Evaluationsdaten, Testruns, Metriken (Accuracy, FPR/FNR, Calibration), Energie- und Ressourcenerfassung.

5) Human Oversight und Monitoring

  • Definieren Sie Oversight-Rollen und Eingriffsschwellen je Use Case (z. B. Vier-Augen-Prinzip bei negativen HR-/Kreditentscheidungen).
  • UX/Controls: Ergebnisbegründungen, Confidence-Indikatoren, Eskalationspfade, Fallbacks.
  • Betrieb: Echtzeit-Monitoring relevanter Metriken, Alarmierung, Retraining-Gates, Logging- und Aufbewahrungsfristen.

6) Lieferanten- und Vertragsklauseln

  • Mindestinhalte: Compliance-Zusicherungen (AI Act, DSGVO), Model Cards/Technische Dossiers, Änderungs- und Vorab-Informationspflichten, Auditrechte, Vorfalls- und Schwachstellenmeldung, Subdienstleister-Transparenz.
  • GPAI-spezifisch: Lizenz-/Urheberrechtsklärung, Content-Filter, Sicherheits- und Abuse-Prevention-Controls, Support bei Konformitätsbewertungen.
  • Beschaffung: AI-spezifische Fragebögen, Risikokriterien, Exit- und Reversibilität.

7) KPIs und Nachhaltigkeit

  • Governance-KPIs: Anteil inventarisierter Use Cases, Abschlussquote von Risikobewertungen, Zeit bis Incident-Closure.
  • Modell-KPIs: Genauigkeit, Stabilität/Drift, Fairness-Metriken, Fehlerraten in kritischen Pfaden.
  • Nachhaltigkeit: Energieverbrauch/Inference pro Anfrage, Rechenzeit, Hardwareauslastung; Optimierungen (Quantisierung, Distillation, Prompt-Optimierung, Caching).
  • Berichterstattung: Management-Reporting, ESG-Verknüpfung, kontinuierliche Verbesserung.

Checkliste für die Umsetzung

  • Verantwortlichkeiten:
    • AI-Governance-Lead benennen, Gremien und RACI festlegen.
    • Schulungsplan für Management, Entwickler:innen, Fachbereiche.
  • Inventar & Klassifizierung:
    • Vollständige Use-Case-Liste, Risikoklassen, Rollen, Datenflüsse.
  • Policies & Prozesse:
    • AI-Policy, Transparenz- und Kennzeichnungsstandard, Human-Oversight-Standard, Incident- und Change-Management.
  • Dokumentation:
    • Modellkarten, Datenblätter, Testberichte, Betriebsdokumente, Log-Strategie.
  • Technik & Sicherheit:
    • Monitoring-Stack, MLOps, Zugriffskontrollen, Adversarial- und Red-Team-Tests, Backup/Restore.
  • Recht & Verträge:
    • Lieferantenklauseln, GPAI-Anforderungen, Urheberrechtsklärung, Aufbewahrungsfristen, Meldemechanismen.
  • Fristen & Roadmap:
    • Plan pro Use Case: Was muss bis 6/12/24/36 Monaten erledigt sein?

Häufige Fallstricke in der DACH-Praxis

  • Überschätzung/Unterschätzung des Risikos:
    • HR- oder Kredit-Use Cases werden als „nur Unterstützung“ eingestuft, obwohl faktische Entscheidungseinflüsse bestehen.
  • Rollenvertauschung:
    • Durch Fine-Tuning oder Bündelung mit eigenen Daten entsteht unbemerkt eine Anbieterrolle – ohne die erforderliche Dokumentation und Konformitätsbewertung.
  • Lücken zwischen Datenschutz und AI Act:
    • DSGVO-Compliance ersetzt nicht die Anforderungen an Datenqualität, Bias, Robustheit und Human Oversight.
  • Abhängigkeit von Black-Box-Lieferanten:
    • Fehlende Model Cards, mangelnde Transparenz, keine Auditrechte – später kaum konformitätsfähig.
  • Betriebsrat/Worker Council spät eingebunden:
    • Gerade bei HR-/Produktivitäts-Tools sind Mitbestimmungsrechte früh zu adressieren.
  • Sektorale Überschneidungen:
    • Medizinprodukte-/Maschinenanforderungen, BaFin-Rundschreiben oder Produktsicherheitsrecht werden zu spät integriert.
  • Unklare KPIs:
    • Ohne messbare Qualitäts- und Fairnessziele bleiben Verbesserungen und Nachweise aus.

90-Tage-Quick-Wins

  • Woche 1–2:
    • Steering und Verantwortliche formell benennen, AI-Policy verabschieden.
    • Vorlagenpaket erstellen: Use-Case-Steckbrief, Modellkarte, Risiko-Assessment, Lieferantenfragebogen.
  • Woche 3–6:
    • Inventar mit Top-20-Use-Cases erstellen und grob klassifizieren.
    • GPAI-/SaaS-Lieferanten anschreiben: Compliance-Infos, Model Cards, Roadmaps anfordern.
    • Schulungen für Schlüsselrollen (Legal, IT, Data Science, Fachbereiche) durchführen.
  • Woche 7–10:
    • Zwei priorisierte Use Cases (z. B. HR-Screening, Kreditvorauswahl, visuelle Qualitätsprüfung) vollständig nach AI-Act-Maßstab dokumentieren.
    • Human-Oversight-Design, Logging und Monitoring live schalten.
    • Vertragliche Mindestklauseln in Beschaffungsvorlagen integrieren.
  • Woche 11–13:
    • Interne „dry run“-Konformitätsprüfung für einen Hochrisiko-Case durchführen.
    • KPI-Dashboard (Governance, Modellqualität, Nachhaltigkeit) aufsetzen.
    • Lessons learned in Standards überführen und Roadmap bis 24/36 Monate präzisieren.

Fazit: Compliance als Enabler für skalierbare KI

Wer jetzt strukturiert vorgeht, reduziert nicht nur Risiko und Aufwand vor den Stichtagen, sondern schafft die Basis für skalierbare, vertrauenswürdige KI. Der EU AI Act verlangt keine Perfektion über Nacht, sondern nachvollziehbare Prozesse, klare Verantwortlichkeiten und evidenzbasierte Entscheidungen. Mit einem belastbaren AI-Managementsystem, sauberer Lieferantensteuerung und aussagekräftigen KPIs wird Compliance zur Chance: Sie erschließen Effizienz, Qualität und Innovation – konform, messbar und nachhaltig.

0Geteilt

Achim B.C Karpf

Achim B.C. Karpf ist ein führender Kopf in den Bereichen Nachhaltigkeit, künstliche Intelligenz (KI) und Enterprise Solution Architecture. Mit einem scharfen Blick für innovative Technologien und nachhaltige Geschäftsmodelle hat er in verschiedenen Rollen – vom Gründer bis hin zum strategischen Berater – Unternehmen dabei unterstützt, zukunftsorientierte Lösungen umzusetzen. Er ist bekannt für seine tiefgründigen Analysen und provokativen Beiträge, die nicht nur aktuelle Trends in den Bereichen Marketing, Digitalisierung und Nachhaltigkeit beleuchten, sondern auch herausfordern, etablierte Denkmuster zu hinterfragen. Achims Engagement für Themen wie KI, Marketing-Automation und die Auswirkungen des EU AI Act zeigt seinen unermüdlichen Einsatz, Unternehmen auf dem Weg in eine nachhaltige, digitalisierte Zukunft zu begleiten. Durch seine Tätigkeit als Gründer und ehemaliger Geschäftsführer von NetPress, die er erfolgreich aufgebaut und verkauft hat, und seine Rolle als Berater für Marktführer wie BMW, bringt er eine Fülle von Erfahrungen mit, die er nun in innovative Projekte wie die Climb AI Academy oder sein eigenes Unternehmen einbringt. Seine Fähigkeit, komplexe Technologien verständlich zu machen und gleichzeitig strategische Visionen umzusetzen, macht ihn zu einer gefragten Persönlichkeit für Unternehmen, die in einer globalisierten und technologiegetriebenen Welt erfolgreich sein wollen.

Verwandte Beiträge

EU AI Act jetzt umsetzen: Inventar, Risikoklassen und…
Allgemein

EU AI Act jetzt umsetzen: Inventar, Risikoklassen und…

Achim B.C Karpf Nov. 13, 2025
Nachhaltige KI jetzt: Wettbewerbsvorsprung durch KPIs, Right-Sizing und…
Allgemein

Nachhaltige KI jetzt: Wettbewerbsvorsprung durch KPIs, Right-Sizing und…

Achim B.C Karpf Nov. 12, 2025
Die Pilotfalle überwinden: KI skalieren mit Governance-by-Design und…
Allgemein

Die Pilotfalle überwinden: KI skalieren mit Governance-by-Design und…

Achim B.C Karpf Nov. 10, 2025

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Folge Uns

Heiße Themen

Künstliche Intelligenz als Schlüssel zu…

Künstliche Intelligenz als Schlüssel zu…

Achim B.C Karpf
Prozessoptimierung durch Künstliche Intelligenz: Praxisbeispiele…

Prozessoptimierung durch Künstliche Intelligenz: Praxisbeispiele…

Achim B.C Karpf
Dieses Handbuch bietet eine detaillierte Anleitung zur Implementierung und Einhaltung der ISO 42001-Standards für Künstliche Intelligenz (KI) in Unternehmen. Es wurde entwickelt, um Unternehmen aller Branchen zu unterstützen, ihre KI-Systeme verantwortungsvoll und gesetzeskonform zu gestalten und die besonderen Herausforderungen im Zusammenhang mit KI zu meistern. Die Inhalte des Handbuchs richten sich an Führungskräfte, Compliance-Manager, KI-Entwickler und alle, die an der Governance und Regulierung von KI-Projekten beteiligt sind.

Ein neues Muss für den…

Achim B.C Karpf
dummy-img

Die Zukunft der Künstlichen Intelligenz:…

Achim B.C Karpf
Prädiktive Analytik: Der Schlüssel zu…

Prädiktive Analytik: Der Schlüssel zu…

Achim B.C Karpf

Top Kategorien

EU AI Act in DACH: Pflichten, Fristen und 7-Schritte-Fahrplan für konforme, skalierbare KI - AIStrategyConsult

Entdecke mehr von AIStrategyConsult

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen