NIS2 & DORA gelten. EU AI Act folgt — Demo buchen
Alle Frameworks
Framework

EU AI Act Compliance, vollständig automatisiert

Der EU AI Act ist die weltweit erste umfassende KI-Verordnung - verbindlich ab 2. August 2026. Matproof deckt Risikoklassifizierung, Screening verbotener Praktiken, Datenverwaltung, menschliche Aufsicht und Konformitätsbewertung ab.

Demo anfragen

Was ist der EU AI Act?

Der EU AI Act (Verordnung 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Er wurde im März 2024 vom Europäischen Parlament verabschiedet und am 12. Juli 2024 im Amtsblatt veröffentlicht. Die Verordnung legt harmonisierte Regeln für die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Systemen in der gesamten Europäischen Union fest. Sie verfolgt einen risikobasierten Ansatz mit Verpflichtungen, die von absoluten Verboten bis hin zu Transparenz- und Dokumentationsanforderungen reichen.

Der AI Act klassifiziert KI-Systeme in vier Risikostufen: verboten (KI-Praktiken mit inakzeptablen Risiken für Grundrechte), hochriskant (KI in kritischen Bereichen wie Biometrie, Bildung, Beschäftigung, Strafverfolgung und wesentlichen Dienstleistungen), begrenztes Risiko (KI mit spezifischen Transparenzpflichten wie Chatbots und Deepfakes) und minimales Risiko (alle anderen KI ohne spezifische Verpflichtungen ausser KI-Kompetenz).

Für Hochrisiko-KI-Systeme legt die Verordnung umfassende Anforderungen an Risikomanagement (Art. 9), Datenverwaltung (Art. 10), technische Dokumentation (Art. 11), Aufzeichnungspflichten (Art. 12), Transparenz (Art. 13), menschliche Aufsicht (Art. 14) sowie Genauigkeit, Robustheit und Cybersicherheit (Art. 15) fest. Anbieter müssen zudem Qualitätsmanagementsysteme einführen und Konformitätsbewertungen durchführen.

Der AI Act führt auch Verpflichtungen für Allzweck-KI-Modelle (GPAI) gemäss den Artikeln 53-55 ein, einschliesslich technischer Dokumentation, Urheberrechts-Compliance und zusätzlicher Anforderungen für Modelle mit systemischen Risiken. Die Durchsetzung erfolgt durch eine Kombination aus dem Europäischen KI-Büro, nationalen zuständigen Behörden und Marktüberwachungsbehörden.

Wer muss den EU AI Act einhalten?

Der EU AI Act gilt für jede Organisation, die KI-Systeme innerhalb des EU-Marktes oder für den EU-Markt entwickelt, einsetzt oder nutzt. Der Anwendungsbereich ist bewusst breit gefasst, um die gesamte KI-Wertschöpfungskette abzudecken:

KI-Anbieter (Entwickler)

  • Unternehmen, die KI-Systeme für den EU-Markt entwickeln
  • GPAI-Modellanbieter (z.B. Foundation-Model-Entwickler)
  • Open-Source-KI-Entwickler (mit Ausnahmen für Forschung)
  • Nicht-EU-Unternehmen, deren KI-Output in der EU genutzt wird
  • Produkthersteller, die KI in regulierte Produkte integrieren
  • Unternehmen, die KI-Modelle Dritter anpassen oder feinabstimmen

KI-Betreiber (Nutzer)

  • Öffentliche Stellen, die Hochrisiko-KI-Systeme einsetzen
  • Finanzinstitute, die KI für Kreditbewertung nutzen
  • Arbeitgeber, die KI für Einstellung und HR-Entscheidungen nutzen
  • Gesundheitsdienstleister, die KI-Diagnosesysteme nutzen
  • Unternehmen, die KI für biometrische Identifikation nutzen
  • Jede Organisation, die Hochrisiko-KI in der EU einsetzt

Alle Organisationen, die KI in der EU nutzen, müssen KI-Kompetenz bei ihren Mitarbeitern sicherstellen (Art. 4), unabhängig davon, ob ihre KI-Systeme als hochriskant eingestuft sind. Diese Pflicht gilt ab dem 2. Februar 2025. Für Hochrisiko-KI-Anbieter und -Betreiber gilt der vollständige Pflichtenkatalog ab dem 2. August 2026.

Not sure if you're compliant?

Take the free EU AI Act readiness assessment — 10 questions, 3 minutes.

Check your readiness

Zentrale Anforderungen des EU AI Act

1. KI-Risikoklassifizierung (Artikel 5-7, Anhang III)

Die Grundlage der AI-Act-Compliance ist die korrekte Klassifizierung jedes KI-Systems nach Risikostufe. Artikel 5 definiert verbotene Praktiken (wirksam ab Februar 2025). Artikel 6-7 und Anhang III definieren Hochrisiko-Kategorien, die Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration und Justiz abdecken. Organisationen müssen ein KI-System-Inventar führen, jedes System klassifizieren und Klassifizierungen regelmässig überprüfen.

2. KI-Risikomanagementsystem (Artikel 9)

Anbieter von Hochrisiko-KI müssen ein kontinuierliches, iteratives Risikomanagementsystem einrichten, das den gesamten Lebenszyklus abdeckt. Dies umfasst die Identifizierung und Analyse bekannter und vorhersehbarer Risiken, die Schätzung und Bewertung von Risiken aus bestimmungsgemässer Nutzung und Fehlanwendung, die Annahme von Risikominderungsmassnahmen und Tests zur Sicherstellung akzeptabler Restrisiken.

3. Datenverwaltung (Artikel 10)

Trainings-, Validierungs- und Testdatensätze für Hochrisiko-KI müssen strenge Governance-Anforderungen erfüllen. Dies umfasst die Sicherstellung von Datenqualität, Relevanz, Repräsentativität und Fehlerfreiheit. Datensätze müssen auf potenzielle Verzerrungen untersucht werden, insbesondere solche, die geschützte Merkmale betreffen. Die Datenverwaltungspraktiken müssen dokumentiert und überprüfbar sein.

4. Menschliche Aufsicht (Artikel 14)

Hochrisiko-KI-Systeme müssen so konzipiert sein, dass eine effektive menschliche Aufsicht möglich ist. Menschliche Bediener müssen die Fähigkeiten und Grenzen des Systems vollständig verstehen, Ausgaben korrekt interpretieren, entscheiden können, wann das System nicht zu verwenden oder seine Ausgabe zu übersteuern ist, und den Betrieb unterbrechen können.

5. Technische Dokumentation und Transparenz (Artikel 11-13)

Anbieter müssen vor dem Inverkehrbringen eines Hochrisiko-KI-Systems eine detaillierte technische Dokumentation gemäss Anhang IV erstellen. Diese umfasst Systemdesign, Entwicklungsmethodik, Überwachung und Tests, Genauigkeitsmetriken und bekannte Einschränkungen. Betreiber müssen klare Gebrauchsanweisungen erhalten.

6. Konformitätsbewertung und CE-Kennzeichnung (Artikel 19-20, 43)

Vor dem Inverkehrbringen eines Hochrisiko-KI-Systems müssen Anbieter eine Konformitätsbewertung durchführen, eine EU-Konformitätserklärung (Anhang V) erstellen und die CE-Kennzeichnung anbringen. Biometrische KI-Systeme für die Strafverfolgung erfordern eine Drittbewertung durch eine benannte Stelle. Systeme müssen in der EU-Datenbank registriert werden.

7. Pflichten für Allzweck-KI-Modelle (Artikel 53-55)

Anbieter von GPAI-Modellen müssen technische Dokumentation erstellen und pflegen, nachgelagerten Anbietern Informationen bereitstellen, Urheberrechts-Compliance-Richtlinien festlegen und Zusammenfassungen der Trainingsdaten veröffentlichen. GPAI-Modelle mit systemischen Risiken unterliegen zusätzlichen Pflichten: Modellbewertung, Adversarial Testing, Meldung schwerwiegender Vorfälle und angemessene Cybersicherheitsmassnahmen.

Strafen bei Nichteinhaltung des EU AI Act

Der AI Act etabliert eines der bedeutendsten Sanktionsregime im EU-Technologierecht. Bussgelder werden als der höhere Betrag aus Festbetrag oder Prozentsatz des weltweiten Jahresumsatzes berechnet:

Bis zu 35 Mio. EUR / 7%

für Verstösse gegen verbotene KI-Praktiken (Artikel 5) - die schärfsten Sanktionen der Verordnung

Bis zu 15 Mio. EUR / 3%

für Nichteinhaltung der Hochrisiko-KI-Pflichten, GPAI-Modellanforderungen oder Pflichten benannter Stellen

Bis zu 7,5 Mio. EUR / 1%

für die Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen an Behörden

KMU-Verhältnismässigkeit

KMU und Start-ups unterliegen dem niedrigeren Betrag aus Festbetrag oder Prozentsatzobergrenze

Über finanzielle Sanktionen hinaus kann Nichteinhaltung zur Rücknahme von KI-Systemen vom Markt, Nutzungsbeschränkungen und Reputationsschäden führen. Nationale Marktüberwachungsbehörden haben weitreichende Ermittlungs- und Korrekturkompetenzen.

Wie Sie sich auf die EU AI Act-Compliance vorbereiten

Da die Hochrisiko-KI-Pflichten ab dem 2. August 2026 gelten, sollten Organisationen jetzt mit der Vorbereitung beginnen:

  1. 1

    KI-System-Inventar und Klassifizierung

    Erstellen Sie ein umfassendes Inventar aller von Ihrer Organisation genutzten oder entwickelten KI-Systeme. Klassifizieren Sie jedes System gemäss den in Artikel 5-7 und Anhang III definierten Risikostufen. Identifizieren Sie verbotene Praktiken, Hochrisiko-Anwendungsfälle und Transparenzpflichten.

  2. 2

    Gap-Analyse gegen Anforderungen

    Bewerten Sie für jedes Hochrisiko-KI-System die aktuellen Praktiken gegen den vollständigen Anforderungskatalog der Artikel 9-15. Identifizieren Sie Lücken in Risikomanagement, Datenverwaltung, technischer Dokumentation, Protokollierung, Transparenz, menschlicher Aufsicht und Genauigkeit/Robustheit.

  3. 3

    KI-Risikomanagementsystem

    Richten Sie einen kontinuierlichen, iterativen Risikomanagementprozess für jedes Hochrisiko-KI-System ein. Dokumentieren Sie Risikoidentifikation, -analyse, -bewertung und -behandlung. Implementieren Sie Testprotokolle zur Validierung akzeptabler Restrisiken.

  4. 4

    Datenverwaltung und Bias-Tests

    Implementieren Sie Datenverwaltungspraktiken für Trainings-, Validierungs- und Testdatensätze. Etablieren Sie Qualitätskriterien, Repräsentativitätsprüfungen und Bias-Untersuchungsprozesse. Richten Sie laufendes Bias-Monitoring für eingesetzte Systeme ein.

  5. 5

    Vorbereitung der Konformitätsbewertung

    Erstellen Sie die technische Dokumentation gemäss Anhang IV, implementieren Sie ein Qualitätsmanagementsystem gemäss Artikel 17 und bereiten Sie die EU-Konformitätserklärung gemäss Anhang V vor. Registrieren Sie Systeme in der EU-Datenbank gemäss Artikel 49.

  6. 6

    KI-Kompetenz und laufende Compliance

    Implementieren Sie ein KI-Kompetenzprogramm für alle Mitarbeiter gemäss Artikel 4. Richten Sie Post-Market-Monitoring (Art. 72), Meldung schwerwiegender Vorfälle (Art. 73) und laufende menschliche Aufsichtsprozesse ein.

Häufig gestellte Fragen zum EU AI Act

Was ist der EU AI Act?

Der EU AI Act (Verordnung 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Er verfolgt einen risikobasierten Ansatz mit Verpflichtungen von absoluten Verboten bis hin zu Transparenzanforderungen. Hochrisiko-KI-Systeme unterliegen den strengsten Anforderungen. Vollständige Anwendung ab 2. August 2026.

Wer muss den EU AI Act einhalten?

Der AI Act gilt für Anbieter (Entwickler) und Betreiber (Nutzer) von KI-Systemen, die auf dem EU-Markt in Verkehr gebracht werden oder deren Output in der EU genutzt wird. Alle Organisationen, die KI in der EU nutzen, müssen KI-Kompetenz bei ihren Mitarbeitern sicherstellen.

Welche Strafen drohen bei Nichteinhaltung?

Bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Mio. EUR oder 3% für Hochrisiko-KI-Pflichten, bis zu 7,5 Mio. EUR oder 1% für die Bereitstellung falscher Informationen. KMU und Start-ups unterliegen verhältnismässig niedrigeren Obergrenzen.

Was ist ein Hochrisiko-KI-System?

Hochrisiko-KI-Systeme sind in Anhang III definiert und umfassen KI in den Bereichen: biometrische Identifikation, Verwaltung kritischer Infrastruktur, Bildung, Beschäftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration und Justiz.

Was ist der Unterschied zwischen EU AI Act und ISO 42001?

Der EU AI Act ist eine rechtsverbindliche Verordnung mit Durchsetzung und Sanktionen, während ISO 42001 ein freiwilliger internationaler Standard für KI-Managementsysteme ist. ISO 42001 kann die Compliance unterstützen, garantiert sie aber nicht.

Wann wird der EU AI Act durchsetzbar?

Der AI Act trat am 1. August 2024 in Kraft mit gestaffelter Umsetzung: verbotene KI-Praktiken ab 2. Februar 2025, GPAI-Modellpflichten ab 2. August 2025, vollständige Hochrisiko-KI-Anforderungen ab 2. August 2026.

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Kernfunktionen

KI-Risikoklassifizierung (Art. 6)

Automatisiertes KI-System-Inventar mit Risikoklassifizierung nach Anhang-III-Kategorien. Kontinuierliche Überwachung für verbotene, hochriskante, begrenzt riskante und minimal riskante Systeme.

Screening verbotener Praktiken (Art. 5)

Überprüfung aller KI-Anwendungsfälle gegen Artikel-5-Verbote - unterschwellige Manipulation, Social Scoring, Emotionserkennung und biometrische Kategorisierung. Automatische Warnungen und Abhilfe.

Risikomanagementsystem (Art. 9)

Aufbau und Pflege kontinuierlicher KI-Risikomanagementsysteme. Risikoidentifikation, -analyse, -bewertung und -behandlung - mit vollständigem Audit-Trail und Nachweissammlung.

Menschliche Aufsicht (Art. 14)

Dokumentation der menschlichen Aufsichtsmassnahmen für Hochrisiko-KI. Verfolgung von Bedienerrollen, Eingriffsprozeduren, Override-Fähigkeiten und Vermeidung von Automatisierungsbias.

Technische Dokumentation (Art. 11)

Erstellung und Pflege der technischen Dokumentation gemäss Anhang IV. Systemdesign, Entwicklungsmethodik, Testverfahren und Leistungskennzahlen - alles an einem Ort.

Konformitätsbewertung (Art. 19)

Vorbereitung auf Konformitätsbewertungen mit automatisierter Gap-Analyse. Erstellung der EU-Konformitätserklärung und CE-Kennzeichnungsdokumentation.

Warum Matproof

Deckt alle EU AI Act-Pflichten in einer einzigen Plattform ab
KI-gestützte Risikoklassifizierung nach Anhang-III-Kategorien
Vorgefertigte Richtlinien für alle 8 zentralen KI-Governance-Bereiche
100% EU-Datenresidenz (gehostet in Deutschland)

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Kundenstimmen

Teams, die keine Angst mehr vor der Audit-Saison haben.

85 %weniger Vorbereitungszeit

Montag Tools angebunden, Freitag hatten wir DORA-konforme Nachweise. Der Prüfer hat gefragt, wie wir das so schnell hinbekommen haben.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Bereit loszulegen?

Bereit loszulegen?

Erfahren Sie, wie Matproof Compliance für Ihr Unternehmen automatisiert.

Demo anfragen