Die Europäische Union hat mit dem Artificial Intelligence Act (kurz: AI-Act oder KI-Verordnung) Geschichte geschrieben. Das EU-Parlament hat erstmals einen umfassenden rechtlichen Rahmen für künstliche Intelligenz geschaffen. Ein Regelwerk, das weltweit Maßstäbe setzt.
Die Verordnung reagiert auf das rasante Wachstum und die zunehmende Integration von KI in wirtschaftliche und gesellschaftliche Prozesse. Die EU möchte sicherstellen, dass KI-Technologien das Leben der Menschen verbessern, Innovation ermöglichen und keine Risiken für Benutzer und Gesellschaft schaffen. Insbesondere schließt die KI-Verordnung Anwendungen aus, die mit europäischen Werten unvereinbar sind, und sorgt für kontrollierte Bedingungen beim Einsatz von hochriskanten KI-Systemen.
Für Unternehmen, die KI entwickeln oder einsetzen, bedeutet diese Verordnung eine grundlegende Veränderung der Compliance-Landschaft. Dabei lohnt sich eine begriffliche Unterscheidung: Ein KI-Modell ist die technische Grundkomponente. Trainiert auf Daten, entwickelt von Anbietern wie OpenAI, Google oder Meta und für sich allein noch keine einsatzfertige Lösung. Ein KI-System hingegen ist die anwendungsbereite Lösung, die ein oder mehrere solcher Modelle einbettet und durch Infrastruktur, Schnittstellen sowie Kontroll- und Überwachungsprozesse zu einer konkreten Anwendung macht, etwa für juristische Recherchen oder die Erstellung von Stellenanzeigen. Der EU AI Act reguliert primär KI-Systeme, also den Einsatz in der Praxis, nicht das Modell als solches. Dieser Leitartikel erklärt, was der EU AI Act konkret regelt, wen er betrifft und welche Handlungsschritte Unternehmen jetzt einleiten müssen.
Was regelt der Europäische AI-Act? Grundprinzipien und Schutzziele
Der EU AI Act ist eine Verordnung zur Regelung von künstlicher Intelligenz, die mit dem Ziel eingeführt wurde, „eine auf den Menschen ausgerichtete KI in Europa zu fördern und dabei ein hohes Schutzniveau in Bezug auf Gesundheit, Sicherheit und die Grundrechte der Bürger sicherzustellen". Dabei geht es nicht um ein Verbot von KI per se, sondern um eine differenzierte Regulierung je nach Risiko der jeweiligen Anwendung. Risiken und Einsatzmöglichkeiten von KI-Systemen werden umfassend adressiert und Unternehmen zur Einhaltung klar definierter Standards verpflichtet.
Das Herzstück der Verordnung bildet ein risikobasierter Ansatz, der KI-Systeme in vier Kategorien einteilt. Je höher das Risiko einer KI-Anwendung, desto umfassender sind die Compliance-Anforderungen. Dieser pragmatische Weg konzentriert die strengsten Vorgaben auf Systeme, die tatsächlich erheblichen Schaden anrichten könnten, während risikoarme Anwendungen weitgehend unreguliert bleiben.
Zeitplan & Übergangsfristen: Ihre Compliance-Roadmap
Die Verordnung wurde am 12. Juli 2024 im EU-Amtsblatt veröffentlicht und trat zwanzig Tage danach, am 1. August 2024, in Kraft. Die praktische Anwendung erfolgt gestaffelt. Regelungen zu verbotenen KI-Praktiken gelten bereits seit Februar 2025. Die Mehrheit der Vorschriften wird nach ein bis zwei Jahren anwendbar, während die umfassenden Pflichten für Hochrisiko-KI-Systeme ursprünglich für August 2026 geplant waren.
Allerdings sind die Fristen aktuell in Bewegung: Im Rahmen des siebten Omnibus-Pakets der Europäischen Kommission stimmten die zuständigen Parlamentsausschüsse für eine Verschiebung der Hochrisiko-Anforderungen. Konkret werden zwei neue Daten vorgeschlagen: der 2. Dezember 2027 für explizit im Gesetz genannte Hochrisiko-Systeme (etwa aus den Bereichen Biometrie, Bildung, Beschäftigung oder Strafverfolgung) sowie der 2. August 2028 für KI-Systeme, die unter sektorspezifische EU-Produktsicherheitsvorschriften fallen. Das Plenum des Europäischen Parlaments muss dem noch zustimmen, danach folgen Verhandlungen mit dem Rat der EU. Die finalen Fristen sind damit noch nicht rechtskräftig. (Steinschaden & newsrooms.ai, 2026)
Für Unternehmen bedeutet dies: Das erste Handlungsfenster ist bereits geschlossen. Seit Anfang 2025 müssen Organisationen sicherstellen, dass sie keine verbotenen KI-Systeme entwickeln oder einsetzen. Die mögliche Fristverlängerung bei Hochrisiko-Anforderungen gibt mehr Planungszeit. Sie entbindet jedoch nicht von der strategischen Vorbereitung, die jetzt beginnen sollte.
Geltungsbereich: Welche Unternehmen der EU AI Act betrifft
Die Verordnung gilt für alle, die KI-Systeme in der EU in Verkehr bringen oder einsetzen, unabhängig davon, wo das Unternehmen seinen Sitz hat. Auch ein amerikanisches oder chinesisches Unternehmen, das KI-Dienste für den europäischen Markt anbietet, unterliegt denselben Anforderungen wie ein europäischer Anbieter.
Dabei unterscheidet der EU AI Act drei relevante Rollen, die für die Compliance-Verantwortung entscheidend sind:
Anbieter sind Unternehmen, die ein KI-System entwickeln und am Markt bereitstellen (etwa als SaaS-Lösung). Sie tragen die Hauptverantwortung für die Einhaltung regulatorischer Anforderungen, Transparenz und Sicherheit des Systems.
Betreiber setzen ein KI-System im eigenen Betrieb ein, ohne es weiterzuvertreiben (etwa für interne HR-Prozesse oder Kundenservice). Sie sind für den sicheren Betrieb und die Risikokontrolle in ihrem Nutzungskontext verantwortlich.
Verwender nutzen ein Modell oder System „as is", also ohne wesentliche eigene Integration, typischerweise für interne Zwecke. Wichtig: Die Pflichten des EU AI Act richten sich immer an das KI-System und die jeweilige Rolle im Umgang damit, nicht an das zugrundeliegende KI-Modell allein. Wer also ein Modell wie GPT-4 in eine eigene Anwendung integriert und diese anbietet, wird zum Anbieter eines KI-Systems und trägt die volle regulatorische Verantwortung dafür.
Für die Länder des Europäischen Wirtschaftsraums (Island, Liechtenstein, Norwegen) ist die Übernahme der Vorschriften noch offen. Unternehmen mit EWR-Bezug sollten die Entwicklung aufmerksam verfolgen, da eine spätere Übernahme wahrscheinlich ist.
Bereits existierende KI-Systeme und Modelle mit allgemeinem Verwendungszweck unterliegen gesonderten Übergangsregelungen.
Die vier Risikokategorien: So klassifizieren Sie Ihre KI-Systeme richtig
Um die eigenen Compliance-Anforderungen zu verstehen, müssen Unternehmen zunächst ihre KI-Systeme korrekt klassifizieren. Die Verordnung unterscheidet vier Risikostufen mit jeweils unterschiedlichen Vorgaben:
Kategorie 1: Verbotene KI-Systeme (Unacceptable Risk) stehen an der Spitze der Regulierung. Es bezieht sich auf Systeme, die mit europäischen Werten unvereinbar sind und daher komplett verboten werden. Diese Kategorie ist klein, aber präzise. Sie umfasst Arten von Anwendungen, die besonders schwer in Grundrechte und Menschenwürde eingreifen.
Die Verbote sind präzise formuliert und betreffen vier spezifische Praktiken. Systeme zur Vorhersage zukünftiger Straffälligkeit von Personen sind ebenso verboten wie KI-Anwendungen, die Menschen ohne deren Wissen manipulieren. Ein Beispiel wäre ein unhörbarer Ton in LKW-Kabinen, der Fahrer unbewusst dazu bringt, länger zu fahren als gesund ist, wobei KI die optimale Frequenz ermittelt. Verboten sind außerdem Systeme, die Schwachstellen bestimmter Personengruppen ausnutzen. Etwa eine intelligente Puppe, die Kinder zu gefährlichem Verhalten ermutigt. Die dritte Verbotskategorie umfasst Social Scoring-Systeme, die Menschen anhand ihres sozialen Verhaltens flächendeckend bewerten. Die vierte Kategorie betrifft biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum zu Strafverfolgungszwecken, wobei enge Ausnahmen für Opfersuche, Terrorismusbekämpfung oder schwere Kriminalität existieren.
Kategorie 2: Hochrisiko-KI (High Risk) bilden den Kern der Regulierung. Diese Systeme sind nicht verboten, unterliegen aber umfangreichen Anforderungen. Die Hochrisiko-Klassifizierung entsteht auf zwei Wegen. Erstens gelten KI-Systeme als hochriskant, wenn sie in Produkten oder Sicherheitskomponenten eingesetzt werden, die bereits streng reguliert sind, etwa in Medizinprodukten oder Aufzügen. Zweitens fallen KI-Anwendungen in bestimmten sensiblen Bereichen in diese Kategorie: Biometrie, kritische Infrastruktur, Bildung und Berufsbildung, Beschäftigung und Personalmanagement, Zugang zu grundlegenden privaten und öffentlichen Diensten, Strafverfolgung, Migration und Grenzkontrolle sowie Rechtspflege und demokratische Prozesse.
Die Europäische Kommission wird spätestens 18 Monate nach Inkrafttreten, also in naher Zukunft, eine detaillierte Liste mit praktischen Beispielen veröffentlichen, die konkretisiert, welche Anwendungen als hochriskant gelten. Für diese Systeme müssen Anbieter ein Risikomanagement-System einrichten, qualitativ hochwertige Daten nutzen, umfassende technische Dokumentation führen, Transparenz gewährleisten, menschliche Aufsicht ermöglichen und Robustheit sowie Cybersicherheit garantieren. Die CE-Kennzeichnung zeigt an, dass das System den regulatorischen Anforderungen entspricht.
Die technische Umsetzung der Cybersicherheitsanforderungen erfordert ein tiefgreifendes Verständnis aktueller Bedrohungen für KI-Systeme, insbesondere für Large Language Models. Evasion-Angriffe, bei denen Angreiferversuchen, Sicherheitsmechanismen zu umgehen, stellen eine wachsende Herausforderung dar. Unternehmen sollten einen mehrschichtigen Sicherheitsansatz implementieren, der präventive Maßnahmen wie sichere Prompt-Entwicklung, serverseitige Eingabevalidierung und kontinuierliches Threat Modeling kombiniert. (Bundesamt für Sicherheit in der Informationstechnik [BSI], 2026)
Ein zentraler Schutzmechanismus ist dabei die automatische Maskierung sensibler Daten in Prompts und Dokumenten. Europäische SaaS-Plattformen bieten hierfür DSGVO-konforme und NENNA.AI sogar eine echt datensichere Lösung, die sensible Informationen bereits vor der Verarbeitung automatisch erkennen und maskieren. Dies verhindert, dass personenbezogene oder geschäftskritische Daten an externe KI-Modelle weitergegeben werden. Denn NENNA.AI bindet diese Modelle über ihre APIs an, verarbeitet die Daten jedoch ausschließlich innerhalb der eigenen, europäischen Systeminfrastruktur. Das schafft eine wichtige technische Schutzschicht für die Einhaltung der Cybersicherheitsanforderungen des AI Acts.
Kategorie 3: KI-Systeme mit besonderen Transparenzpflichten umfassen Anwendungen wie Chatbots oder Emotionserkennungssysteme. Hier gilt die Pflicht, Nutzer zu informieren, dass sie mit einer KI interagieren, sofern dies nicht offensichtlich ist.
Zusätzlich zur Nutzerinformation sind auch interne Transparenzpflichten relevant: Unternehmen müssen nachweisen können, welche KI-Systeme von wem, wann und zu welchem Zweck eingesetzt werden. Besonders bei der Nutzung externer KI-Dienste ist die Einhaltung von DSGVO und EU AI Act oft schwer nachvollziehbar. Hier schaffen europäische Plattformen wie NENNA.AI mit Made-in-Germany-Infrastruktur und 100% EU-Serverstandorten eine konforme Grundlage. Durch Browser-Integration lässt sich die KI-Nutzung im gesamten Unternehmen zentral steuern und dokumentieren, was sowohl Transparenz- als auch Nachweispflichten erheblich erleichtert.
Auch der Einsatz von Emotionserkennungs- oder biometrischen Kategorisierungssystemen muss transparent gemacht werden. Bei synthetischen Inhalten wie Deepfakes besteht ebenfalls Kennzeichnungspflicht, es sei denn, dies würde fundamentale Grundrechte oder öffentliche Interessen beeinträchtigen..
Kategorie 4: KI-Systeme mit minimalem oder keinem Risiko unterliegen der Verordnung faktisch nicht. Viele alltägliche KI-Anwendungen fallen in diese Kategorie. Die Kommission und die Mitgliedstaaten fördern hier freiwillige Verhaltenskodizes, deren Einhaltung den Unternehmen überlassen bleibt.
Hochrisiko-KI in der Praxis: Ihr Weg zur CE-Kennzeichnung
Für Hochrisiko-KI-Systeme folgt die Compliance einem strukturierten Prozess. Zunächst muss festgestellt werden, ob ein System tatsächlich als hochriskant einzustufen ist. Anschließend prüft der Anbieter die Konformität mit allen Anforderungen der Verordnung. Ein formales Konformitätsbewertungsverfahren dokumentiert die Einhaltung der Vorgaben, bevor das System mit der CE-Kennzeichnung versehen und in Verkehr gebracht werden kann.
Anbieter müssen ein Qualitätsmanagementsystem einrichten, das die kontinuierliche Einhaltung aller Anforderungen sicherstellt. Die technische Dokumentation muss alle relevanten Informationen zum System enthalten und fortlaufend aktualisiert werden. Protokollierungsfunktionen ermöglichen die lückenlose Nachverfolgung des Systemverhaltens. Nach erfolgreicher Konformitätsbewertung wird das System in einer EU-weiten Datenbank registriert, die CE-Kennzeichnung angebracht und eine Konformitätserklärung unterzeichnet.
General Purpose AI (GPAI): Compliance-Anforderungen für Foundation Models
Einen weiteren Schwerpunkt bilden Vorgaben für General Purpose AI-Modelle (GPAI). Diese großen Sprachmodelle oder Foundation Models, die für vielfältige Anwendungen trainiert wurden, müssen künftig verstärkt organisatorische und technische Vorkehrungen treffen. Anbieter unterliegen erweiterten Informations- und Dokumentationspflichten, die Transparenz über Trainingsmethoden, Datenquellen und Systemfähigkeiten schaffen.
Post-Markt-Überwachung: Kontinuierliche Compliance nach der Markteinführung
Eine oft unterschätzte Anforderung ist die kontinuierliche Überwachung nach der Markteinführung. Anbieter müssen aktiv und systematisch Daten über Zuverlässigkeit, Leistung und Sicherheit ihrer Systeme während der gesamten Lebensdauer sammeln, dokumentieren und analysieren.
Für Unternehmen, die verschiedene KI-Modelle im Betrieb nutzen, bedeutet dies eine besondere Herausforderung: Die Kontrolle und Nachvollziehbarkeit der KI-Nutzung über alle Systeme hinweg. Plattformen mit zentralem Zugang zu mehreren KI-Modellen wie NENNA.AI, die über 300 Modelle verschiedener Anbieter (OpenAI, Anthropic, Google, Mistral, etc.) integrieren, ermöglichen eine konsolidierte Überwachung und Dokumentation der KI-Nutzung. Zudem helfen solche Systeme bei der Kontrolle der sogenannten KI-Schattennutzung, also dem ungeregelten Einsatz von KI-Tools durch Mitarbeiter, der ein erhebliches Compliance-Risiko darstellt.
Bei wesentlichen Änderungen eines Systems ist eine neue Konformitätsbewertung erforderlich. Dies gilt etwa, wenn sich der beabsichtigte Zweck ändert oder wenn ein kontinuierlich lernendes System außerhalb vordefinierter Parameter zu lernen beginnt.
Schwerwiegende Vorfälle oder Fehlfunktionen, die zu Grundrechtsverletzungen führen oder führen könnten, müssen den zuständigen Behörden unverzüglich gemeldet werden. Unternehmen sollten robuste Prozesse für Incident Response etablieren, die schnelles Handeln ermöglichen.
Behörden und Durchsetzung: Die neue KI-Governance-Architektur der EU
Die Verordnung schafft eine neue Governance-Architektur auf EU- und nationaler Ebene. Auf EU-Ebene sind zwei zentrale Institutionen relevant:
Das Europäische KI-Gremium, das sich aus je einem Vertreter der 27 Mitgliedstaaten zusammensetzt, koordiniert die Umsetzung über Ländergrenzen hinweg und berät die Kommission (AI Act Law, o. J.). Ergänzend dazu überwacht und setzt das KI-Büro der Europäischen Kommission die Anforderungen des AI Acts durch, insbesondere für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) (Artificial Intelligence Act, 2024).
Auf nationaler Ebene benennen die Mitgliedstaaten zuständige Behörden und richten zentrale Anlaufstellen ein, die als Kontaktstellen für Unternehmen und Bürger fungieren. In Deutschland ist dies die Bundesnetzagentur (BNetzA), die als Marktüberwachungsbehörde und Single Point of Contact fungiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine unterstützende Rolle in anderen Bereichen der IT-Sicherheit, ist allerdings nicht die zentrale Anlaufstelle für AI Act-Compliance.
Hochrisiko-KI-Systeme werden in einer öffentlich zugänglichen EU-Datenbank registriert. Diese Transparenz ermöglicht es Behörden, Nutzern und der Öffentlichkeit, Einblick in die auf dem europäischen Markt verfügbaren Hochrisiko-Systeme zu erhalten.
Verstöße gegen die Verordnung werden mit empfindlichen Geldbußen sanktioniert. Dies macht Compliance zu einer strategischen Notwendigkeit, nicht zu einer optionalen Frage.
Regulatory Sandboxes und KMU-Förderung: So unterstützt der AI Act Innovation
Die Verordnung ist nicht ausschließlich restriktiv, sondern fördert auch Innovation. Regulatory Sandboxes bieten kontrollierte Testumgebungen, in denen Unternehmen ihre KI-Systeme unter behördlicher Aufsicht entwickeln und erproben können, bevor sie vollständig auf den Markt kommen. Dieses Instrument senkt Eintrittsbarrieren und ermöglicht es insbesondere Start-ups und kleineren Unternehmen, innovative Lösungen zu entwickeln, ohne sofort alle Compliance-Anforderungen erfüllen zu müssen.
Zusätzlich sieht die Verordnung gezielte Unterstützungsmaßnahmen für KMU vor, etwa Beratungsangebote oder vereinfachte Dokumentationsanforderungen unter bestimmten Bedingungen. Diese Maßnahmen sollen sicherstellen, dass die Regulierung Innovation nicht hemmt, sondern in geordnete Bahnen lenkt.
Ihre AI Act Compliance-Strategie: Handlungsschritte in drei Phasen
Basierend auf dem AI Act sollten Unternehmen ein strukturiertes Vorgehen in drei Phasen etablieren.
Phase 1: Sofortmaßnahmen (ab sofort) sind bereits jetzt erforderlich. Unternehmen müssen prüfen, ob sie verbotene KI-Systeme entwickeln oder einsetzen, und diese gegebenenfalls sofort einstellen. Eine erste Bestandsaufnahme aller genutzten und entwickelten KI-Systeme schafft die notwendige Transparenz für weitere Schritte.
Phase 2: Mittelfristige Vorbereitung (bis 2026/2027) umfasst die systematische Klassifizierung aller KI-Systeme nach Risikokategorien. Für Hochrisiko-KI sollten Unternehmen mit der Vorbereitung auf Konformitätsbewertungen beginnen, Dokumentationsprozesse aufbauen und ein Qualitätsmanagementsystem etablieren.
Ein erster praktischer Schritt ist dabei die Erfassung aller im Unternehmen genutzten KI-Systeme, sowohl offiziell genehmigte als auch inoffizielle Tools, die Mitarbeiter eigenständig einsetzen. Gerade diese KI-Schattennutzung birgt erhebliche Compliance- und Sicherheitsrisiken, da sensible Unternehmensdaten unkontrolliert an externe Dienste übermittelt werden können. Europäische Plattformen wie NENNA.AI adressieren beide Herausforderungen: Sie schaffen durch datenschutzkonforme Alternativen Anreize, offizielle Kanäle zu nutzen, und ermöglichen gleichzeitig durch zentrale Zugangsverwaltung die vollständige Transparenz über die KI-Nutzung im Unternehmen.
Die Registrierung in der EU-Datenbank und die CE-Kennzeichnung müssen rechtzeitig vor dem vollständigen Inkrafttreten der Hochrisiko-Anforderungen erfolgen.
Phase 3: Langfristige Compliance-Strukturen (ab 2027) sichern die dauerhafte Einhaltung. Prozesse für Post-Markt-Monitoring müssen etabliert werden, die kontinuierlich Leistung und Sicherheit der Systeme überwachen. Vorfallmeldeprozesse ermöglichen schnelle Reaktion bei Problemen. Schulungsprogramme stellen sicher, dass alle relevanten Mitarbeiter die Anforderungen kennen und umsetzen können. Die kontinuierliche Überwachung regulatorischer Entwicklungen, etwa der angekündigten detaillierten Listen der Kommission, ermöglicht es, rechtzeitig auf Änderungen zu reagieren.
Ein oft übersehener, aber für Audits entscheidender Aspekt ist die systematische Schulung aller relevanten Mitarbeiter. KI-Cybersicherheitstrainings sollten gestaffelt nach Rollen und Verantwortlichkeiten erfolgen: Entwickler benötigen andere Kenntnisse als Betreiber oder Compliance-Verantwortliche. Diese Schulungen dokumentieren nicht nur Compliance-Bemühungen, sondern reduzieren aktiv Sicherheitsrisiken durch menschliche Fehler. (BSI, 2026)
Bußgelder und Sanktionen: Was bei Verstößen droht
Die Verordnung sieht ein Sanktionssystem vor, obwohl die genauen Bußgeldhöhen in den verfügbaren Dokumenten nicht vollständig dargelegt sind.Klar ist: Verstöße gegen die Verordnung werden mit empfindlichen Geldbußen sanktioniert. Dies macht Compliance nicht zu einer optionalen Frage, sondern zu einer strategischen Notwendigkeit.
Technologische Compliance-Lösungen: Wo Automatisierung sinnvoll ist
Gerade bei der Implementierung komplexer Compliance-Anforderungen wie dem EU AI Act stoßen traditionelle Dokumentations- und Überwachungsmethoden an ihre Grenzen. Moderne Compliance-Management-Systeme können hier erhebliche Erleichterung schaffen. Sie ermöglichen die strukturierte Erfassung und Klassifizierung aller KI-Systeme im Unternehmen, automatisieren Dokumentationsprozesse und stellen sicher, dass alle erforderlichen Nachweise lückenlos vorliegen.
Speziell für den Einsatz externer KI-Dienste wie ChatGPT, Claude oder Gemini in europäischen Unternehmen stellt sich die Herausforderung der datenschutzkonformen Nutzung. Während diese Dienste selbst oft außereuropäische Infrastrukturen nutzen, ermöglichen spezialisierte europäische Plattformen wie NENNA.AI den DSGVO- und EU AI Act-konformen Zugang zu über 300 solcher KI-Modelle. NENNA schützt die Daten zusätzlich durch die integrierte automatische Maskierung sensibler Daten und verhindert so, dass personenbezogene oder geschäftskritische Informationen die europäische Rechtsinfrastruktur verlassen. Für Unternehmen mit besonders hohen Sicherheitsanforderungen bietet NENNA zudem On-Premise-Lösungen an, die vollständige Datensouveränität gewährleisten.
Besonders wertvoll wird technologiegestützte Compliance bei der Post-Markt-Überwachung. Automatisierte Monitoring-Systeme erfassen kontinuierlich Leistungsdaten, erkennen Anomalien und lösen Warnungen aus, wenn vordefinierte Schwellenwerte überschritten werden. Dies reduziert den manuellen Aufwand erheblich und erhöht gleichzeitig die Zuverlässigkeit der Überwachung.
Auch das Management von Konformitätsbewertungen, die Vorbereitung auf Audits und die Kommunikation mit Behörden lassen sich durch spezialisierte Software erheblich effizienter gestalten. Integrierte Workflows stellen sicher, dass alle notwendigen Schritte rechtzeitig durchgeführt werden, und zentrale Dokumentenrepositorien ermöglichen schnellen Zugriff auf alle relevanten Informationen.
Fazit: Ihre nächsten Schritte zur AI Act Compliance
Der Europäische AI-Act markiert einen Wendepunkt in der Regulierung von künstlicher Intelligenz. Er ist nicht prohibitiv, sondern differenzierend. Er verbietet das Schädlichste und reguliert das Risikoreiche, während er Raum für Innovation lässt. Für Unternehmen bedeutet dies: Wer KI-Systeme nutzt oder entwickelt, muss ab sofort handeln. Die gestaffelte Anwendung gibt zwar ein wenig Zeit, doch die erste Phase der Verbote ist bereits um. Unternehmen sollten jetzt ihre KI-Systeme systematisch analysieren, ihre Compliance-Strukturen aufbauen und mit ihren technischen Teams und Rechtsabteilungen einen Plan entwickeln, wie sie die Anforderungen erfüllen. Wer früh handelt, vermeidet später teure Umstrukturierungen und kann zudem von Unterstützungsinstrumenten wie „Regulatory Sandboxes“ profitieren.
Compliance ist komplex, doch Ihre Lösung muss es nicht sein. Während Sie an Ihrer AI Act Strategie arbeiten, läuft die KI-Nutzung in Ihrem Unternehmen weiter. Jeden Tag entstehen neue Risiken durch unkontrollierte Schatten-KI, ungeschützte Prompts und fehlende Dokumentation.
NENNA.AI schließt diese Lücke ab dem ersten Tag: Automatischer Datenschutz, zentrale Kontrolle und vollständige Transparenz über alle KI-Aktivitäten, compliant und datensicher. Erfahren Sie mehr über NENNA.AI und wie wir Unternehmen bei der datenschutzkonformen KI-Nutzung unterstützen.
Hier alles zum Thema Schatten-KI lesen!
Quellen
AI Act Law. (2024). Artikel 65. Das KI-Büro: Was ist es, und wie funktioniert es? https://ai-act-law.eu/de/artikel/65/
Artificial Intelligence Act. (2024a). *Das Gesetz*. https://artificialintelligenceact.eu/de/das-gesetz/
Artificial Intelligence Act. (2024b). Überblick: Das AI-Büro. https://artificialintelligenceact.eu/de/the-ai-office-summary/
Europäische Union. (2024). *Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz)*. Amtsblatt der Europäischen Union, L 1689. https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689
Bundesamt für Sicherheit in der Informationstechnik. (2026). Evasion-Attacks auf LLMs – Gegenmaßnahmen in der Praxis: Ein Leitfaden zum Umgang mit Prompt Injections, Jailbreaks und adversarialen Angriffen (Version 1.0). https://www.bsi.bund.de
Sioli, L. (2021). *AI-Presentation-CEPS-Webinar-L.-Sioli-23.4.21.pdf*. Shaping Europe's Digital Future.
Steinschaden, J., & newsrooms.ai. (2026). EU AI Act: Strenge Regeln für Hochrisikosystem werden verschoben. Trending Topics. https://www.trendingtopics.eu/ai-act-strenge-regeln-fuer-hochrisikosystem-werden-verschoben/
