Zusammenfassung

Der EU AI Act tritt am 2. August 2026 vollständig in Kraft und bringt Bußgelder von bis zu 35 Millionen EUR oder 7 % des weltweiten Jahresumsatzes mit sich. Trotzdem zeigt unsere Befragung von 200 europäischen Unternehmen, dass lediglich 23 % ihr KI-Systemverzeichnis — den grundlegenden ersten Schritt der Compliance — abgeschlossen haben. Dieser Report liefert eine praktische Compliance-Roadmap.

Risikoklassifizierungsrahmen

Das Gesetz legt vier Risikostufen für KI-Systeme fest. Zu verstehen, in welche Kategorie Ihre Systeme fallen, ist der entscheidende erste Schritt.

Inakzeptables Risiko

Systeme, die vollständig verboten sind: Social Scoring, biometrische Echtzeit-Identifizierung im öffentlichen Raum (mit engen Ausnahmen) und Manipulationstechniken, die sich gegen vulnerable Gruppen richten.

Hohes Risiko

Die umfangreichste Kategorie, die KI-Systeme in den Bereichen Beschäftigung, Bildung, Strafverfolgung, kritische Infrastruktur und Zugang zu wesentlichen Diensten abdeckt. Diese Systeme unterliegen den strengsten Anforderungen.

Begrenztes Risiko

Systeme mit Transparenzpflichten — hauptsächlich Chatbots, Deepfake-Generatoren und Emotionserkennungssysteme. Nutzer müssen darüber informiert werden, dass sie mit KI interagieren.

Minimales Risiko

Die Mehrheit der KI-Systeme fällt in diese Kategorie, ohne spezifische Verpflichtungen über allgemeine Sicherheitsanforderungen hinaus.

Technische Dokumentationsanforderungen

KI-Systeme mit hohem Risiko müssen eine umfassende technische Dokumentation vorhalten, die den beabsichtigten Zweck des Systems, Designspezifikationen, die Governance von Trainingsdaten, Leistungsmetriken und Risikomanagementmaßnahmen abdeckt.

Häufige Compliance-Lücken

Unsere Analyse zeigt fünf wiederkehrende Lücken bei Unternehmen, die sich auf Compliance vorbereiten:

  1. Unvollständige KI-Systemverzeichnisse — Organisationen unterschätzen ihre KI-Systeme im Durchschnitt um 40 %
  2. Fehlende Data-Governance-Dokumentation — die Herkunft von Trainingsdaten wird selten mit ausreichender Granularität nachverfolgt
  3. Fehlende menschliche Aufsichtsmechanismen — das Gesetz verlangt eine sinnvolle menschliche Aufsicht, keine Pro-forma-Genehmigung
  4. Unzureichende Risikobewertungen — die meisten Bewertungen konzentrieren sich auf technische Risiken und vernachlässigen gesellschaftliche Auswirkungen
  5. Keine Konformitätsbewertungsverfahren — insbesondere für Hochrisiko-Systeme, die eine Drittparteibeurteilung erfordern

Empfehlungen

Beginnen Sie mit einem umfassenden KI-Systemverzeichnis. Etablieren Sie Data-Governance-Frameworks. Implementieren Sie eine sinnvolle menschliche Aufsicht. Dokumentieren Sie alles — die Beweislast des Gesetzes liegt bei der einsetzenden Organisation.