SECURITYSQUAD
Zurück zum Blog

EU AI Act / KI-Verordnung: Was Unternehmen jetzt wissen müssen

2026-07-15 · von SECURITYSQUAD

Die KI-Verordnung – europaweit als EU AI Act bekannt (Verordnung (EU) 2024/1689) – ist der erste umfassende Rechtsrahmen für Künstliche Intelligenz. Sie verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Pflichten. Für Entscheider, Compliance und IT-Leitung wird KI-Governance damit zur Pflichtaufgabe.

Was ist die KI-Verordnung?

Der EU AI Act ist eine unmittelbar geltende EU-Verordnung – sie gilt in allen Mitgliedstaaten ohne nationale Umsetzung. Ziel ist es, vertrauenswürdige KI zu fördern und zugleich Grundrechte, Sicherheit und Gesundheit zu schützen. Der Anwendungsbereich ist weit: Er umfasst nicht nur KI-Anbieter aus der EU, sondern auch Unternehmen aus Drittstaaten, sofern deren KI-Systeme in der EU eingesetzt werden oder deren Ergebnisse in der EU verwendet werden.

Die vier Risikoklassen

Der EU AI Act teilt KI-Systeme in vier Klassen ein – die Pflichten steigen mit dem Risiko:

  • Verbotene Praktiken (unannehmbares Risiko): Bestimmte Anwendungen sind grundsätzlich untersagt – etwa Social Scoring durch Behörden, manipulative Techniken, die ausnutzende Bewertung von Schutzbedürftigen, ungezieltes Auslesen von Gesichtsbildern zum Aufbau von Datenbanken sowie – mit engen Ausnahmen – biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum.
  • Hochrisiko-KI: KI in sensiblen Bereichen wie kritischer Infrastruktur, Bildung, Beschäftigung und Personalauswahl, Kreditwürdigkeitsprüfung, Strafverfolgung oder als Sicherheitsbauteil regulierter Produkte (z. B. Medizinprodukte). Hier gelten die umfangreichsten Pflichten.
  • Begrenztes Risiko (Transparenzpflichten): Systeme mit direktem Nutzerkontakt – etwa Chatbots – oder solche, die Inhalte erzeugen. Nutzer müssen erkennen können, dass sie mit einer KI interagieren; KI-generierte oder manipulierte Inhalte (Deepfakes) sind zu kennzeichnen.
  • Minimales Risiko: Der Großteil heutiger Anwendungen (etwa Spamfilter oder KI in Videospielen) unterliegt keinen besonderen Pflichten. Freiwillige Verhaltenskodizes werden empfohlen.

Welche Pflichten gelten je Klasse?

Für Hochrisiko-KI verlangt die Verordnung insbesondere ein Risikomanagementsystem über den gesamten Lebenszyklus, Anforderungen an Datenqualität und Data Governance, technische Dokumentation, automatische Protokollierung (Logging), Transparenz gegenüber Betreibern, wirksame menschliche Aufsicht sowie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit. Vor dem Inverkehrbringen ist eine Konformitätsbewertung durchzuführen, das System wird registriert und trägt eine CE-Kennzeichnung.

Bei begrenztem Risiko stehen Transparenz- und Kennzeichnungspflichten im Vordergrund. Für General-Purpose-AI-Modelle (GPAI, etwa große Sprachmodelle) gelten eigene Pflichten: technische Dokumentation, Angaben zu Trainingsinhalten und Urheberrecht sowie – bei Modellen mit systemischem Risiko – zusätzliche Bewertungs- und Meldepflichten.

Anbieter oder Betreiber – wen betrifft es?

Der EU AI Act unterscheidet Rollen. Anbieter (Provider) entwickeln ein KI-System oder lassen es entwickeln und bringen es unter eigenem Namen in Verkehr – sie tragen die Hauptlast der Pflichten. Betreiber (Deployer) setzen ein KI-System in eigener Verantwortung ein; auch sie haben Pflichten, etwa zur bestimmungsgemäßen Nutzung, zur menschlichen Aufsicht und zur Information betroffener Personen. Wichtig: Wer ein zugekauftes System wesentlich verändert oder unter eigenem Namen weitervertreibt, kann selbst zum Anbieter werden. Die meisten Unternehmen sind zunächst Betreiber – die Rollen sollten dennoch bewusst geklärt werden.

Zeitplan und Anwendungsphasen (Stand Juli 2026)

Der EU AI Act ist am 1. August 2024 in Kraft getreten und gilt gestaffelt:

  • 2. Februar 2025: Verbotene Praktiken und Pflichten zur KI-Kompetenz (AI Literacy) gelten bereits.
  • 2. August 2025: Pflichten für Anbieter von GPAI-Modellen sind wirksam; die Governance-Struktur (u. a. das EU-KI-Büro) hat ihre Arbeit aufgenommen.
  • 2. August 2026: Die Transparenzpflichten nach Artikel 50 sowie weite Teile der Durchsetzung greifen.
  • Hochrisiko-KI: Ursprünglich für August 2026 vorgesehen. Über den sogenannten Digital Omnibus haben sich EU-Gesetzgeber im Mai 2026 politisch auf eine Verschiebung geeinigt: Für Hochrisiko-Systeme nach Anhang III ist der 2. Dezember 2027 vorgesehen, für KI in regulierten Produkten (Anhang I) der 2. August 2028.

Hinweis: Die Digital-Omnibus-Verschiebung war Mitte 2026 politisch vereinbart, aber noch nicht final im Amtsblatt veröffentlicht. Verlassen Sie sich für rechtsverbindliche Fristen stets auf den amtlichen Text – und planen Sie mit Puffer, statt auf Fristverschiebungen zu setzen.

Bezug zu Informationssicherheit und Governance

Cybersicherheit ist im EU AI Act ausdrücklich verankert: Hochrisiko-KI muss gegen Manipulation, Datenvergiftung und Angriffe auf das Modell robust sein. Damit rückt KI in denselben Governance-Rahmen wie klassische Informationssicherheit. Wer bereits ein ISMS betreibt, hat einen Vorsprung – Risikomanagement, Rollenkonzepte, Dokumentation, Lieferantensteuerung und Vorfallsbehandlung lassen sich auf KI-Systeme erweitern. Auch die Verzahnung mit NIS2 und der DSGVO ist wichtig, damit Pflichten nicht doppelt oder widersprüchlich erfüllt werden. Für Unternehmen bedeutet das vor allem eines: KI ist kein Sonderthema der Fachabteilungen, sondern ein Governance-Thema für die Leitungsebene – mit klaren Verantwortlichkeiten, dokumentierten Entscheidungen und regelmäßiger Überprüfung.

Die Brücke zu ISO 42001

Die ISO/IEC 42001 ist die internationale Norm für KI-Management­systeme (AIMS). Sie liefert einen strukturierten Rahmen, um KI-Risiken, Rollen und Kontrollen systematisch zu steuern – analog zur ISO 27001 für Informationssicherheit. Ein nach ISO 42001 aufgebautes Managementsystem ist zwar kein automatischer Konformitätsnachweis für den AI Act, aber ein starkes Nachweisinstrument: Es zeigt Aufsichtsbehörden und Kunden, dass KI-Governance nicht ad hoc, sondern nachvollziehbar und auditfähig organisiert ist.

Erste konkrete Schritte

  1. KI-Inventar aufbauen: Welche KI-Systeme werden entwickelt, zugekauft oder genutzt – inklusive „Schatten-KI" in Fachabteilungen?
  2. Rollen klären: Sind Sie Anbieter oder Betreiber? Wer verantwortet KI-Governance auf Leitungsebene?
  3. Risikoklassifizierung vornehmen: Ordnen Sie jedes System einer Risikoklasse zu und leiten Sie die Pflichten ab.
  4. KI-Kompetenz sicherstellen: Schulen Sie Mitarbeitende – eine bereits geltende Pflicht.
  5. Governance verankern: Richtlinien, Freigabeprozesse und Kontrollen etablieren, idealerweise angelehnt an ISO 42001.

Wie SECURITYSQUAD unterstützt

Als Beratungshaus für Informationssicherheit mit Kompetenz in ISO 27001, IT-Grundschutz (BSI) und NIS2 begleiten wir Sie beim Aufbau von KI-Governance. Wir helfen bei KI-Inventar und Risikoklassifizierung, verzahnen den AI Act mit Ihrem ISMS und bereiten den Weg zu einem Managementsystem nach ISO 42001 – pragmatisch, risikobasiert und auditfest. So verwandeln Sie regulatorische Anforderungen in belastbare Governance.

Weiterführend: ISO 42001 – KI-Managementsystem · NIS2 im Mittelstand · Kompetenz & Services · Knowledge Hub