Decision guide · Compliance
EU AI Act umsetzen: Entscheidungs-Guide bis zum 2. August 2026
Die EU-AI-Act-Umsetzung scheitert nicht am Gesetzestext, sondern an der Inventarisierung und Klassifizierung der eigenen KI-Systeme. Wer bis zum 2. August 2026 den Nachweis erbringen muss, braucht keinen Rechts-Workshop, sondern eine strukturierte Entscheidung pro System: Ist es Hochrisiko nach Anhang III? Welche Pflichten greifen? Wer ist Provider, wer Deployer? Die Antworten sind auditfest dokumentierbar, in einem Decision Memo pro System, das Art. 9 Risikomanagement, Art. 10 Datenqualität und Art. 11 technische Dokumentation in einem Artefakt zusammenführt.
TL;DR
Der AI Act scheitert an fehlendem KI-Inventar, nicht am Gesetzestext. Pro System eine dokumentierte Entscheidung.
Who owns this decision
CISO oder AI-Governance-Lead als Entscheidungsträger, Datenschutzbeauftragter, Rechtsabteilung, Fachbereichs-Owner des KI-Systems und CIO als Freigeber.
Key criteria to weight
System-Inventar und Klassifizierung
Welche KI-Systeme sind im Einsatz oder geplant? Ohne vollständiges Inventar greifen keine Pflichten, aber auch kein Nachweis.
Hochrisiko-Prüfung nach Anhang III
8 Anwendungsfelder plus Produktsicherheit (Anhang I). Die Zuordnung ist binär und entscheidet über 80% der Folgepflichten.
Rolle: Provider vs. Deployer
Provider (Entwickler/Einführer) tragen die vollen Pflichten nach Art. 16, Deployer deutlich reduziert. Rollenzuordnung ist nicht verhandelbar.
Risikomanagement-Framework
Art. 9 verlangt Lebenszyklus-Risikomanagement. Bestehende ISO 31000 oder NIST-AI-RMF-Prozesse können aufsetzen.
Datenqualität und Data-Governance
Art. 10 fordert repräsentative, fehlerarme Trainings-, Validierungs- und Testdaten plus dokumentierte Bias-Prüfung.
Menschliche Aufsicht und Transparenz
Art. 14 verlangt sinnvolle menschliche Kontrolle. Das ist Design-Entscheidung, keine Dokumentation im Nachhinein.
Step-by-step decision flow
- 1
KI-Inventar erstellen
Alle KI-Systeme erfassen: selbst entwickelt, eingekauft, in Fachbereichen als Shadow-IT laufend. Ohne dieses Inventar ist kein weiterer Schritt belastbar.
- 2
Pro System klassifizieren
Verbotene Praxis (Art. 5), Hochrisiko (Anhang III), GPAI (Kapitel V), begrenzt/minimales Risiko. Die Klassifizierung ist die zentrale Weiche.
- 3
Rollen und Verantwortlichkeiten zuordnen
Provider, Deployer, Importer, Distributor. Je System. Bei eingekauften Systemen: Vertragsklauseln anpassen.
- 4
Pflichten-Matrix aufsetzen
Art. 9 (Risikomanagement), Art. 10 (Daten), Art. 11 (Dokumentation), Art. 12 (Logging), Art. 14 (Aufsicht), Art. 15 (Robustheit). Pro System: welche greifen.
- 5
Gap-Analyse und Priorisierung
Welche Systeme müssen bis 2.8.2026 vollständig compliant sein, welche fallen unter Bestandsschutz bis 2027, welche werden ausgesetzt oder abgebaut?
- 6
Pro Hochrisiko-System ein Decision Memo
Entscheidung über Weiterbetrieb, Anpassung oder Abschaltung. Jedes Memo ist eigenständig auditfähig und hält einer Marktüberwachungs-Prüfung stand.
Compliance note
Der AI Act überlagert sich mit DSGVO (Art. 22 automatisierte Entscheidungen), NIS2 (Art. 21 Sicherheitsanforderungen), DORA und produktrechtlichen Vorgaben. Bei Finanzdienstleistern: DORA setzt zusätzliche Dokumentationsanforderungen für KI-gestützte ICT-Dienstleistungen. Bei biometrischen Systemen: DSGVO Art. 9 besondere Kategorien. Das Decision Memo konsolidiert diese Pflichten pro System.
Common pitfalls
- !Das KI-Inventar ohne Fachbereiche erstellen, Shadow-IT fehlt systematisch.
- !Klassifizierung vom Hersteller übernehmen statt eigenverantwortlich prüfen.
- !Provider-Pflichten delegieren wollen, obwohl das Unternehmen substanziell modifiziert.
- !Die Art.-10-Datenqualitätsprüfung als einmaligen Check statt als Lebenszyklus behandeln.
- !Menschliche Aufsicht als Checkbox abhandeln statt als Design-Entscheidung.
FAQ
Bis wann muss der EU AI Act umgesetzt sein?
Die zentrale Frist für Hochrisiko-KI-Systeme ist der 2. August 2026, dann gelten Art. 6 ff. vollständig. Verbotene Praktiken (Art. 5) sind bereits seit 2. Februar 2025 wirksam, die Pflichten für General-Purpose-KI seit 2. August 2025. Bestandssysteme haben bis 2. August 2027 Übergangsfrist, neue Systeme sofort.
Welche KI-Systeme sind Hochrisiko nach AI Act?
Anhang III definiert 8 Kategorien: biometrische Identifikation, kritische Infrastruktur, Bildung, Beschäftigung (Bewerber-Screening!), essentielle Dienste, Strafverfolgung, Migration, Justiz. Zusätzlich sind KI-Systeme Hochrisiko, wenn sie Sicherheitskomponente eines Produkts sind, das unter EU-Produktsicherheitsrecht fällt (Anhang I).
Was verlangt Art. 9 AI Act konkret vom CISO?
Risikomanagement-System über den gesamten Lebenszyklus: Identifikation, Bewertung, Minderung. Plus: Datenqualität (Art. 10), technische Dokumentation (Art. 11), Logging (Art. 12), menschliche Aufsicht (Art. 14), Robustheit/Cybersecurity (Art. 15). Jede dieser Pflichten ist eine dokumentierte Entscheidung, genau dort setzt ein Decision Memo an.