KI-Compliance

Fast jedes Unternehmen, das KI-Systeme einsetzt oder entwickelt, fällt unter den EU AI Act. Die Verordnung unterscheidet vor allem zwei Rollen: Provider entwickeln KI-Systeme oder bringen sie unter eigenem Namen in Verkehr. Deployer nutzen fertige KI-Systeme in eigener Verantwortung für berufliche Zwecke. Die meisten KMU sind Deployer, etwa wenn sie Microsoft Copilot, ChatGPT oder branchenspezifische SaaS-Tools einsetzen.

Die Rolle wird pro KI-System bestimmt, nicht pro Unternehmen. Ein Unternehmen kann gleichzeitig Provider für ein selbst entwickeltes System und Deployer für zugekaufte Lösungen sein. Einen vertieften Überblick bietet mein EU AI Act Leitfaden (PDF).

Für Betreiber von Hochrisiko-KI-Systemen definiert Artikel 26 einen konkreten Pflichtenkatalog. Dazu gehören die Nutzung gemäß Betriebsanleitung des Providers, die Sicherstellung menschlicher Aufsicht durch qualifiziertes Personal, die Kontrolle über Eingabedaten sowie die mindestens sechsmonatige Aufbewahrung automatisch erzeugter Logs.

Hinzu kommen laufende Überwachung, die Meldung schwerwiegender Vorfälle an Provider und Marktüberwachungsbehörde sowie Informationspflichten gegenüber betroffenen Arbeitnehmern, wenn das System am Arbeitsplatz eingesetzt wird. Öffentliche Stellen, Banken und Versicherungen müssen zusätzlich eine Grundrechte-Folgenabschätzung durchführen. Details im Artikel Deployer-Pflichten im EU AI Act.

Der EU AI Act klassifiziert nicht Tools, sondern Anwendungen. Entscheidend ist der konkrete Verwendungszweck, nicht das System selbst. Artikel 6 macht die Risikoklasse vom intended purpose abhängig. Dasselbe KI-Modell kann je nach Einsatzfeld minimal riskant oder hochriskant sein.

Hochrisiko liegt vor, wenn ein System in einen der acht Bereiche aus Annex III fällt: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung und Personalmanagement, Zugang zu wesentlichen Dienstleistungen, Strafverfolgung, Migration und Asyl sowie Justiz und demokratische Prozesse. Für KMU sind vor allem HR-Anwendungen und Kreditwürdigkeitsprüfungen relevant. Führt das System Profiling natürlicher Personen durch, gilt es immer als hochriskant. Mehr dazu im Artikel Hochrisiko-KI erkennen.

NADOVO ist mein 5-Phasen-Framework für EU AI Act Compliance: DISCOVER (KI-Assets erfassen und Rollen bestimmen), DEFINE (Assets mit Anwendungsfällen zu Prozessen verknüpfen und Risikoklassen bestimmen), ASSESS (systematische Risikobewertung für Hochrisiko-Prozesse), IMPLEMENT (Maßnahmen, Schulungen und Dokumentation umsetzen) und MONITOR (laufende Überwachung und Reassessment).

Der Clou ist der Prozess-Layer: Nicht das Tool wird klassifiziert, sondern die Kombination aus Asset und Anwendungsfall. So skaliert der Aufwand mit dem tatsächlichen Risiko statt pauschal für jedes Tool. Für die systematische Umsetzung nutze ich NADOVO zusätzlich als Software-Plattform, die das Framework technisch abbildet, Audit-Trails erzeugt und Risikoklassifizierungen dokumentiert. Überblick im Artikel Der NADOVO Compliance Cycle.

Der EU AI Act tritt stufenweise in Kraft. Seit Februar 2025 gelten die Verbote unzulässiger KI-Praktiken und die Pflicht zur KI-Kompetenz nach Artikel 4. Seit August 2025 greifen die Regeln für General-Purpose-AI-Modelle. Am 2. August 2026 folgen die vollständigen Anforderungen für Hochrisiko-Systeme nach Annex III, das ist die entscheidende Deadline für die meisten Unternehmen.

Der im November 2025 vorgeschlagene Digital Omnibus könnte die Hochrisiko-Deadline auf Dezember 2027 verschieben, ist aber noch nicht beschlossen. Bis der Gesetzgebungsprozess abgeschlossen ist, bleibt August 2026 geltendes Recht. Mehr zur Unsicherheit im Artikel EU AI Act Deadline.

Zwingend nicht, aber in den meisten Fällen sinnvoll. Der EU AI Act umfasst 180 Erwägungsgründe, 113 Artikel und 13 Anhänge mit unterschiedlichen Pflichten je nach Rolle und Risikoklasse. Die korrekte Klassifizierung eines KI-gestützten Bewerbermanagements, die Grundrechte-Folgenabschätzung für Hochrisiko-Systeme oder die Frage, wann ein Deployer ungewollt zum Provider wird, erfordern Fachkenntnis.

Was Beratung allein aber nicht löst: Compliance ist kein Zustand, sondern ein laufender Prozess. Artikel 12 verlangt eine zehnjährige Dokumentation jeder Änderung, Risikobewertung und Maßnahme. Excel-Listen und statische PDF-Berichte scheitern hier. Sinnvoll ist eine Kombination aus fachlicher Einordnung und strukturiertem Prozess, der Beratungsergebnisse operationalisiert. Details im Artikel KI-Compliance braucht Struktur.