Search The Query
Search
  • Home
  • Allgemein
  • EU AI Act jetzt umsetzen: Rollen, Risikoklassen und 90‑Tage‑Roadmap für mittelgroße und große DACH‑Unternehmen

EU AI Act jetzt umsetzen: Rollen, Risikoklassen und 90‑Tage‑Roadmap für mittelgroße und große DACH‑Unternehmen

Allgemein Achim B.C Karpf Sep. 20, 2025
12
Minute Read
Image

Der EU AI Act schafft erstmals einen umfassenden, risikobasierten Ordnungsrahmen für Künstliche Intelligenz in Europa. Für mittelgroße und große Unternehmen in der DACH‑Region bedeutet das: Sie müssen Ihre bestehenden und geplanten KI‑Systeme systematisch einordnen, Governance‑Prozesse etablieren und Nachweise vorbereiten. Der Act unterscheidet deutlich zwischen den Rollen in der Wertschöpfung (Anbieter vs. Verwender), den Risikoklassen von KI‑Systemen und sieht gestaffelte Fristen vor. Mit einer 90‑Tage‑Roadmap können Sie pragmatisch starten, Risiken reduzieren und Investitionssicherheit schaffen – ohne Ihre Transformationsprojekte auszubremsen.

Hinweis: Der Beitrag bietet praxisorientierte Orientierung und ersetzt keine Rechtsberatung. Prüfen Sie stets die finalen, für Ihren Anwendungsfall relevanten Anforderungen und Auslegungshilfen.

Rollen verstehen: Anbieter vs. Verwender (und weitere Akteure)

  • Anbieter (Provider): Unternehmen, die ein KI‑System entwickeln und unter eigenem Namen in Verkehr bringen oder wesentlich verändern. Pflichten: u. a. Qualitäts‑/Risikomanagement, Daten- und Modellgovernance, Technische Dokumentation (Annex‑IV‑Inhalte), Konformitätsbewertung und ggf. CE‑Kennzeichnung (bei Hochrisiko).
  • Verwender (Deployer): Unternehmen, die ein KI‑System einsetzen, um ein Ergebnis für eine bestimmte Zweckbestimmung zu erzielen. Pflichten: u. a. zweckgemäßer Einsatz, Human Oversight, Log‑Aufbewahrung, Performance‑/Bias‑Monitoring, ggf. Nutzerinformationen und Transparenzpflichten.
  • Weitere Wirtschaftsakteure: Importeure, Händler, Integratoren und Distributoren haben jeweils eigene Sorgfaltspflichten (z. B. keine Bereitstellung nichtkonformer Systeme, Weitergabe von Informationen, Kooperationspflichten gegenüber Behörden).

Für viele Unternehmen gilt: Sie sind gleichzeitig Verwender von zugekaufter KI und Anbieter eigener, eingebetteter KI‑Funktionalitäten (z. B. in digitalen Produkten oder internen Plattformen). Klären Sie diese Rollen frühzeitig pro Use Case.

Risikoklassen im Überblick – mit Branchenbezug

  • Verbotene KI: Praktiken mit inakzeptablem Risiko, z. B. soziale Bewertung (Social Scoring) durch Behörden, bestimmte Formen biometrischer Massenüberwachung oder sensitive Attribut‑Kategorisierung. Unternehmen aus Industrie, Finance, Healthcare und Retail sind selten direkt betroffen, sollten aber Lieferkettenrisiken (etwa unerlaubtes Face‑Scraping) ausschließen.
  • Hochrisiko‑KI: Systeme, die in sicherheitskritischen Produkten eingesetzt werden (z. B. als Bestandteil eines Medizinprodukts) oder in sensiblen Anwendungsfeldern gemäß Annex III (u. a. Kreditwürdigkeitsprüfung natürlicher Personen, Personalrekrutierung, kritische Infrastrukturen).
    • Beispiele:
    • Fertigung: Visuelle Qualitätsprüfung ist meist nicht hochrisiko – es sei denn, sie beeinflusst die Sicherheit eines Produkts als sicherheitsrelevante Komponente.
    • Finance: Kreditwürdigkeitsprüfung für Verbraucher ist regelmäßig hochrisiko.
    • Healthcare: Klinische Entscheidungsunterstützung als Teil eines Medizinprodukts fällt i. d. R. unter Hochrisiko (Schnittstellen zur MDR beachten).
  • Begrenztes Risiko (Transparenzpflichten): Systeme mit Interaktions‑/Transparenzanforderungen, z. B. Chatbots, die klarstellen müssen, dass Nutzer mit KI interagieren; synthetische Inhalte mit Kennzeichnungspflichten.
  • Minimales Risiko: Die Mehrheit der heute genutzten KI‑Anwendungen (z. B. interne Analytik). Gute Praxis bleibt aber: Governance, Dokumentation, Monitoring.

Wichtig: Die konkrete Einstufung hängt von Zweck, Einbettung in ein Produkt, Nutzergruppe und Kontext ab. Dokumentieren Sie Ihre Einstufung nachvollziehbar.

Gestaffelte Fristen: Was bedeutet das praktisch?

Die Pflichten greifen in Wellen, abhängig von Risikoklasse und Rolle. Orientierungsgrößen:

  • Verbotene Praktiken: Geltung innerhalb weniger Monate nach Inkrafttreten (kurzfristig).
  • Transparenzanforderungen und Regeln für General‑Purpose‑Modelle (GPAI): mittelfristig.
  • Hochrisiko‑Pflichten (u. a. QMS, Konformität, CE‑Kennzeichnung): mittel‑ bis langfristig, mit Übergangsfristen und sektoralen Besonderheiten (z. B. Medizinprodukte).
    Planen Sie rückwärts von den für Sie relevanten Stichtagen und berücksichtigen Sie Beschaffungs‑ und Audit‑Vorläufe. Prüfen Sie regelmäßig die Veröffentlichungen der EU‑Kommission und nationaler Marktüberwachungsbehörden (DACH).

Ihre 90‑Tage‑Compliance‑Roadmap – Phase 1 (Tage 0–30): Inventur und Risikobild

Ziel: Vollständige Sicht auf KI‑Einsatz, erste Risikoklassifizierung und Priorisierung.

  • Use‑Case‑Inventur:
    • Erheben Sie alle KI‑Systeme/Modelle (intern entwickelt, zugekauft, Cloud‑Services), Zweckbestimmung, Nutzer, betroffene Daten, Automatisierungsgrad, Entscheidungseinfluss.
    • Ordnen Sie die Rolle je Use Case zu (Anbieter, Verwender, Integrator).
  • Vorläufige Risikoklassifizierung:
    • Zuordnung zu verboten, hoch, begrenzt, minimal.
    • Prüfen Sie Annex‑III‑Kategorien (z. B. Kredit‑Scoring) und sektorale Produktregeln (z. B. MDR in Healthcare).
  • Regulatorische Landkarte:
    • Schnittstellen zu DSGVO, Produktsicherheitsrecht, Branchennormen (z. B. BaFin‑Rundschreiben, GxP) und Nachhaltigkeitsberichterstattung (z. B. CSRD) markieren.
  • Priorisierung:
    • Fokus auf hochrisiko‑nahe Use Cases und solche mit großer Reichweite (Kundeneinfluss, Reputationswirkung).
  • Sofortmaßnahmen:
    • Abschalten/Anpassen potenziell verbotener Praktiken.
    • Transparenzhinweise bei Chatbots/GenAI ergänzen.

Ergebnis: Inventarliste, erste Einstufung, Risikomatrix und Management‑Commitment.

Phase 2 (Tage 31–60): Gap‑Analyse und Zielbild – Governance, Prozesse, Lieferkette

Ziel: Abgleich gegen Anforderungen und Design eines tragfähigen Zielbetriebsmodells.

  • Gap‑Analyse zu Kernanforderungen:
    • Risikomanagement: Dokumentierte Verfahren zur Identifikation, Bewertung, Behandlung und Überwachung von Modell‑ und Betriebsrisiken über den Lebenszyklus.
    • Daten‑/Modellgovernance: Richtlinien zu Datenherkunft, Qualität, Repräsentativität, Bias‑Kontrollen; Modellregistrierung, Versionierung, Freigaben; Anforderungen an Trainings‑/Test‑/Validierungsdaten.
    • Human Oversight: Rolle, Kompetenzen und Befugnisse der Aufsicht; Eingriffs‑/Abbruchkriterien; Eskalationspfade.
    • Technische Dokumentation: Struktur nach Annex‑IV‑Inhalten (Systembeschreibung, Zweck, Trainingsdaten, Leistungsmetriken, Validierung, Einschränkungen, bekannte Risiken, Kontrollmechanismen).
    • Logging & Nachvollziehbarkeit: Ereignis‑ und Entscheidungslogs, Datenflüsse, Rückverfolgbarkeit von Modellversionen.
  • Lieferanten‑ und Beschaffungs‑Checks:
    • Due Diligence: Klassifizierung des gelieferten Systems, Konformitätsstatus (bei Hochrisiko: CE‑Kennzeichnung, QMS‑Nachweise), Sicherheit/Robustheit, Cybersecurity.
    • Vertragsklauseln: Informations‑ und Änderungsrechte, Audit‑/Pen‑Test‑Rechte, Incident‑Meldepflichten, Service Levels für Modellqualität, Datenlizenzierung/Copyright (insb. bei GPAI), Exportbeschränkungen.
    • Artefakte anfordern: Model Cards/System Cards, Datenherkunft, Bias‑/Performance‑Berichte, Energie‑/CO₂‑Metriken.
  • Zielbetriebsmodell (TOM) entwerfen:
    • Rollen/RACI (Owner je Use Case, Risk Owner, Data Steward, Human‑Oversight‑Rollen).
    • Entscheidungsforen (AI Review Board), Freigabeprozesse, Change‑Management.
    • Tooling‑Backbone: Model Registry, MLOps‑Pipelines, Monitoring‑Plattform, Dokumentations‑Repository.
  • ISO/IEC 42001 Anlehnung:
    • Verknüpfen Sie die entstehenden Prozesse mit einem AI‑Managementsystem (AIMS): Kontext, Politik, Rollen, Kompetenzen, dokumentierte Informationen, Betrieb, Leistungsbewertung, Verbesserung.

Ergebnis: Dokumentierte Gaps, priorisierter Maßnahmenplan, Entwurf Governance‑ und Prozessrahmen, Lieferantencheckliste.

Phase 3 (Tage 61–90): Umsetzung Quick Wins, Nachweise, Betriebsreife

Ziel: Erste Anforderungen produktiv erfüllen, Nachweisfähigkeit herstellen, skalieren.

  • Governance & Policies live schalten:
    • AI‑Policy, Datenpolicy für Trainings-/Testdaten, Responsible‑AI‑Prinzipien, Lieferantenstandard.
  • Mindestkontrollen implementieren:
    • Für hoch/nahe hochrisiko Use Cases: Risikomanagementakte, Validierungsprotokolle, Human‑Oversight‑Playbooks, Fail‑Safe‑Mechanismen.
    • Für begrenztes Risiko: Transparenzmechanismen (Hinweise, Watermarking/Kennzeichnung synthetischer Inhalte).
  • Technische Dokumentation erzeugen:
    • Vorlagen nach Annex‑IV, automatisierte Generierung aus MLOps, Versionierung.
  • Monitoring & Incident‑Prozesse aufsetzen:
    • Kontinuierliches Leistungs‑/Bias‑Monitoring mit Schwellenwerten, Drift‑Erkennung, Alarmierung.
    • Incident‑Workflow: Erkennung, Klassifizierung, Eskalation, Kommunikation, ggf. Meldung an Behörden; Lessons Learned/Corrective Actions.
  • Trainings & Befähigung:
    • Rollenbasiert: Management (Pflichten, Risiken, KPIs), Fachbereiche (Human Oversight), Data/ML‑Teams (Dokumentation, Validierung), Einkauf/Legal (Vendor‑Checks, Verträge).
  • Vorbereitung auf Konformität:
    • Bei Hochrisiko: Qualitätsmanagementsystem (QMS) anpassen, internen Auditplan festlegen, externe Bewertung/Prüfstelle frühzeitig einbinden.
  • Nachhaltigkeit integrieren:
    • Energie‑/CO₂‑KPIs für Trainings/Inference, Effizienz‑Ziele (z. B. Hardwareauslastung, Komprimierung), Governance für verantwortungsvollen Einsatz.

Ergebnis: Betriebsfähige Mindest‑Compliance, belastbare Artefakte, geschulte Teams, skalierbares Fundament.

Monitoring, Incident‑Prozesse, KPIs und Trainings – was sich bewährt

  • KPIs:
    • Modellleistung: Genauigkeit, F1/AUC, Fehlerraten pro Segment, Stabilität über Zeit.
    • Fairness/Bias: Demografische Parität, Equal Opportunity, disparate Impact‑Indikatoren (branchen‑/rechtskonform auswählen).
    • Betrieb: Drift‑Signale, Latenz, Verfügbarkeit, Kosten pro Inferenz.
    • Compliance: Dokumentations‑Vollständigkeit, Zeit bis Freigabe, Incident‑MTTD/MTTR, Quote geschulter Mitarbeitender, Vendor‑Compliance‑Rate.
  • Monitoring:
    • Daten‑/Kontextdrift, Out‑of‑Distribution‑Erkennung, Guardrails/Policy‑Filter (insb. bei GenAI), Canary‑Deployments, Rollback‑Strategien.
    • Log‑Retention und Nachvollziehbarkeit für Prüfungen.
  • Incident‑Prozesse:
    • Klare Definition „schwerwiegender Vorfall“, interne/extern zu informierende Stellen, Kommunikationsleitfäden, Root‑Cause‑Analyse, CAPA‑Prozess.
  • Trainings:
    • Regelmäßige, role‑based Programme; Onboarding‑Module; Refreshers zu Gesetzesänderungen; praxisnahe Übungen (z. B. Oversight‑Entscheidungssimulation).

Praxisbeispiele aus vier Branchen

  • Fertigung: KI‑gestützte visuelle Qualitätsprüfung
    • Einstufung: Häufig minimales bis begrenztes Risiko; wird es sicherheitsrelevant (z. B. Ausschussentscheidungen mit Sicherheitsfolgen), kann Hochrisiko vorliegen.
    • Schwerpunkte: Datenqualität (Licht, Winkel, Verzerrung), Robustheit gegen Anomalien, Human‑Oversight bei Grenzfällen, lückenlose Traceability.
    • Quick Wins: Standardisierte Model Cards, Kamera‑/Pipeline‑Kalibrierungsprotokolle, Alarmierung bei Drift.
  • Finance: Kreditwürdigkeitsprüfung
    • Einstufung: In der Regel Hochrisiko.
    • Schwerpunkte: Erklärbarkeit, Diskriminierungsfreiheit, konsistente Ablehnungsgründe, Human‑in‑the‑Loop bei Ablehnungen, Transparenz gegenüber Antragstellern.
    • Quick Wins: Bias‑Tests pro Segment, Oversight‑Playbook, Auditierbare Entscheidungslogs, Lieferantenklauseln für Score‑Engines.
  • Healthcare: Klinische Entscheidungsunterstützung
    • Einstufung: Hochrisiko, oft Teil eines Medizinprodukts (MDR).
    • Schwerpunkte: Klinische Validierung, Risikomanagementakte, Vigilanz/Incident‑Meldungen, Datenherkunft, Cybersecurity, Interoperabilität.
    • Quick Wins: Annex‑IV‑Dokumentationsgerüst, Post‑Market‑Monitoring‑Plan, Rollenklarheit zwischen Hersteller, Integrator und Klinik.
  • Retail: Personalisierte Angebote
    • Einstufung: Meist minimales bis begrenztes Risiko; Transparenz und Datenschutz zentral.
    • Schwerpunkte: Einwilligungs‑/Rechtsgrundlagen, Frequency‑Capping, Fairness (keine Ausgrenzung vulnerabler Gruppen), Content‑Kennzeichnung bei GenAI.
    • Quick Wins: Transparenzhinweise, Präferenz‑Management, KPI‑Set für Relevanz vs. Fairness, Energie‑Effizienzmetriken für Recommender.

Verzahnung mit ISO/IEC 42001 und Nachhaltigkeitszielen

Ein AI‑Managementsystem nach ISO/IEC 42001 bietet die Struktur, um die EU‑AI‑Act‑Pflichten nachhaltig zu verankern:

  • Politik und Ziele: Responsible‑AI‑Leitlinien mit messbaren Zielen (z. B. Fehlerraten, Bias‑Grenzwerte, Energie‑Intensität).
  • Rollen und Kompetenzen: Benennung von Verantwortlichen, Qualifikationsprofile, Schulungsplanung.
  • Betrieb: Standardisierte Lebenszyklusprozesse (Design, Daten, Training, Validierung, Deployment, Betrieb, Abschaltung).
  • Leistungsbewertung: Regelmäßige Audits, Management‑Reviews, KPI‑Dashboards.
  • Verbesserung: CAPA‑Schleifen, Lessons Learned, Modell‑ und Prozess‑Retrospektiven.

Nachhaltigkeit integrieren Sie entlang dreier Dimensionen:

  • Ökologisch: Messung und Reduktion von Rechenaufwand/CO₂, Re‑Use vor Re‑Train, effiziente Architekturen, Standortwahl Rechenzentren.
  • Sozial: Fairness‑Kontrollen, Zugänglichkeit, Wirkung auf Beschäftigte (Umschulung, Human‑Oversight), Stakeholder‑Dialog.
  • Governance: Transparenzberichte, Lieferkettenprüfungen, klare Verantwortlichkeiten.

Nächste Schritte: Risikofähig werden – in 90 Tagen starten, langfristig skalieren

  • Starten Sie mit einer sauberen Use‑Case‑Inventur und einer belastbaren Einstufung – sie ist das Fundament aller weiteren Entscheidungen.
  • Schließen Sie die größten Gaps in Governance, Daten/Modell und Human Oversight zuerst, und richten Sie Beschaffung und Lieferantenmanagement auf AI‑Act‑Nachweise aus.
  • Etablieren Sie Monitoring, Incident‑Prozesse, KPIs und Trainings als Tagesgeschäft – so werden Prüfungen handhabbar und Risiken früh sichtbar.
  • Verankern Sie das Erreichte in einem AIMS gemäß ISO/IEC 42001 und verbinden Sie Compliance mit Effizienz‑ und Nachhaltigkeitszielen.

So schaffen Sie in kurzer Zeit Klarheit, reduzieren regulatorische und Reputationsrisiken und legen die Basis für skalierbare, vertrauenswürdige KI in Industrie, Finance, Healthcare und Retail.

0Geteilt

Achim B.C Karpf

Achim B.C. Karpf ist ein führender Kopf in den Bereichen Nachhaltigkeit, künstliche Intelligenz (KI) und Enterprise Solution Architecture. Mit einem scharfen Blick für innovative Technologien und nachhaltige Geschäftsmodelle hat er in verschiedenen Rollen – vom Gründer bis hin zum strategischen Berater – Unternehmen dabei unterstützt, zukunftsorientierte Lösungen umzusetzen. Er ist bekannt für seine tiefgründigen Analysen und provokativen Beiträge, die nicht nur aktuelle Trends in den Bereichen Marketing, Digitalisierung und Nachhaltigkeit beleuchten, sondern auch herausfordern, etablierte Denkmuster zu hinterfragen. Achims Engagement für Themen wie KI, Marketing-Automation und die Auswirkungen des EU AI Act zeigt seinen unermüdlichen Einsatz, Unternehmen auf dem Weg in eine nachhaltige, digitalisierte Zukunft zu begleiten. Durch seine Tätigkeit als Gründer und ehemaliger Geschäftsführer von NetPress, die er erfolgreich aufgebaut und verkauft hat, und seine Rolle als Berater für Marktführer wie BMW, bringt er eine Fülle von Erfahrungen mit, die er nun in innovative Projekte wie die Climb AI Academy oder sein eigenes Unternehmen einbringt. Seine Fähigkeit, komplexe Technologien verständlich zu machen und gleichzeitig strategische Visionen umzusetzen, macht ihn zu einer gefragten Persönlichkeit für Unternehmen, die in einer globalisierten und technologiegetriebenen Welt erfolgreich sein wollen.

Verwandte Beiträge

AI Governance als Wettbewerbsvorteil: EU AI Act und…
Allgemein

AI Governance als Wettbewerbsvorteil: EU AI Act und…

Achim B.C Karpf März 10, 2026
EU-KI-Verordnung wird operativ: EN 304 223, Pflichten und…
Allgemein

EU-KI-Verordnung wird operativ: EN 304 223, Pflichten und…

Achim B.C Karpf März 9, 2026
Agentenbasierte KI im Unternehmen: Sicherheits- und Governance‑Standards neu…
Allgemein

Agentenbasierte KI im Unternehmen: Sicherheits- und Governance‑Standards neu…

Achim B.C Karpf März 8, 2026

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Folge Uns

Heiße Themen

Künstliche Intelligenz als Schlüssel zu…

Künstliche Intelligenz als Schlüssel zu…

Achim B.C Karpf
Prozessoptimierung durch Künstliche Intelligenz: Praxisbeispiele…

Prozessoptimierung durch Künstliche Intelligenz: Praxisbeispiele…

Achim B.C Karpf
Dieses Handbuch bietet eine detaillierte Anleitung zur Implementierung und Einhaltung der ISO 42001-Standards für Künstliche Intelligenz (KI) in Unternehmen. Es wurde entwickelt, um Unternehmen aller Branchen zu unterstützen, ihre KI-Systeme verantwortungsvoll und gesetzeskonform zu gestalten und die besonderen Herausforderungen im Zusammenhang mit KI zu meistern. Die Inhalte des Handbuchs richten sich an Führungskräfte, Compliance-Manager, KI-Entwickler und alle, die an der Governance und Regulierung von KI-Projekten beteiligt sind.

Ein neues Muss für den…

Achim B.C Karpf
dummy-img

Die Zukunft der Künstlichen Intelligenz:…

Achim B.C Karpf
Die Bedeutung von KI-Kompetenzen für…

Die Bedeutung von KI-Kompetenzen für…

Achim B.C Karpf

Top Kategorien

Entdecke mehr von AIStrategyConsult

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen