Home Blog EU AI Act: In 90 Tagen compliance-ready
17.07.2026

EU AI Act: In 90 Tagen compliance-ready

Inventar, Klassifizierung, Governance-Prozess — die 90-Tage-Anleitung fuer Mittelstaendler, die vom EU AI Act betroffen sind.

Der EU AI Act ist seit August 2024 in Kraft, die ersten Verbote gelten seit Februar 2025 — und ab August 2026 wird es fuer viele Unternehmen ernst. Wer heute KI einsetzt oder plant, sollte in den naechsten 90 Tagen drei Dinge tun: den eigenen Bestand katalogisieren, das Risiko klassifizieren und einen Governance-Prozess aufsetzen. Diese Anleitung zeigt, wie das ohne juristisches Fach-Chinesisch geht.

Warum jetzt handeln?

Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Der Zeitplan ist ambitioniert:

  • 2. Februar 2025: Verbot von KI mit unannehmbaren Risiken (Social Scoring, biometrische Massenueberwachung, emotionale Manipulation).
  • 2. August 2025: Regeln fuer General-Purpose-AI-Modelle (GPT, Claude, Mistral) und Governance-Strukturen der Behoerden.
  • 2. August 2026: Hauptteil der Verordnung — Pflichten fuer Hochrisiko-KI, Kennzeichnungspflicht fuer Deepfakes, Datenschutz-Folgenabschaetzung (FRIA).
  • 2. August 2027: Hochrisiko-KI, die bereits als Sicherheitskomponente in Produkten verbaut ist (z. B. Medizingeraete).

Bussgelder reichen bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes — deutlich schaerfer als bei der DSGVO.

Schritt 1 (Tag 1–30): KI-Inventar aufbauen

Sie koennen nichts regulieren, was Sie nicht kennen. Der erste Schritt ist ein vollstaendiges Inventar aller KI-Anwendungen in Ihrem Unternehmen. Das umfasst nicht nur „richtige“ ML-Modelle, sondern auch:

  • Eingesetzte SaaS-Tools mit KI-Features (CRM mit Lead-Scoring, HR-Tool mit CV-Screening, Support-Ticket-Klassifikation)
  • Copilot-Funktionen in Office-Suiten
  • Chatbots auf der Webseite oder im internen Support
  • Vom Fachbereich beauftragte Prototypen
  • KI in Produkten (Sprachassistenten, Empfehlungssysteme)

Fuer jedes System dokumentieren Sie: Zweck, verwendete Modelle, Datenquellen, Zielgruppe, Betriebs-Owner. Auf der scale-x.io-Plattform ist das ein integrierter KI-Inventar-Baustein — pro Eintrag entsteht automatisch ein Datenblatt, das Sie fuer die Behoerden verwenden koennen.

Praxis-Tipp

Legen Sie zusaetzlich ein „Schatten-KI“-Feld an: Anwendungen, die von Mitarbeitern eigenmaechtig genutzt werden (private ChatGPT-Accounts fuer Kundenkorrespondenz). Diese sind fast immer der groesste blinde Fleck — und der groesste Compliance-Risiko-Faktor.

Schritt 2 (Tag 31–60): Risiko klassifizieren

Der EU AI Act unterscheidet vier Risikoklassen:

Unzulaessig

Verboten. Beispiele: biometrische Kategorisierung nach sensiblen Merkmalen (Ethnie, Sexualitaet), Social Scoring, ungezielte Gesichtserkennung im oeffentlichen Raum. Wenn ein System hier faellt: sofort ausschalten.

Hochrisiko

Klar erlaubt, aber stark reguliert. Dazu gehoeren KI-Systeme fuer:

  • Auswahl von Bewerbern und Personalbeurteilung
  • Kreditwuerdigkeitspruefung und Versicherungsrisiko-Scoring
  • Zugangsentscheidungen zu Bildung oder Grundleistungen
  • Justiz und Strafverfolgung
  • Sicherheitskomponenten in kritischer Infrastruktur, Medizingeraeten, Autos

Fuer diese Systeme brauchen Sie: Risikomanagement, Datenqualitaets-Verfahren, technische Dokumentation, Log-Aufzeichnung, menschliche Aufsicht, hohe Genauigkeits- und Robustheitsstandards.

Begrenztes Risiko

Chatbots, KI-generierte Inhalte, Deepfakes. Kernpflicht: Transparenz. Nutzer muessen erkennen, dass sie mit einer KI kommunizieren; generierte Inhalte muessen gekennzeichnet sein.

Minimales Risiko

Alles andere — Spam-Filter, Rechtschreibkorrektur, Empfehlungsalgorithmen fuer Produkte. Keine besonderen Pflichten, aber freiwillige Compliance sinnvoll.

In der Praxis: die meisten Enterprise-KI-Anwendungen landen im „begrenzten Risiko“-Bereich. HR-Tools und Kredit-Scoring in „Hochrisiko“. Wenn Sie Software fuer den europaeischen Markt entwickeln, sollten Sie ausserdem den Aufsteller-Standort pruefen — der EU AI Act gilt bereits bei Vermarktung in der EU, nicht erst bei Firmensitz in der EU.

Schritt 3 (Tag 61–90): Prozess und Nachweise

Ein Risiko-Register allein reicht nicht. Sie brauchen einen wiederholbaren Prozess:

  1. KI-Governance-Verantwortlicher benannt. Meistens Compliance-Officer + Datenschutzbeauftragter + IT-Sicherheit als Dreieck.
  2. Freigabe-Workflow fuer neue KI-Anwendungen. Kein Team startet ein KI-Projekt, ohne das Inventar-Formular auszufuellen und die Risikoklasse einordnen zu lassen.
  3. FRIA — Fundamental Rights Impact Assessment. Fuer alle Hochrisiko-KI verpflichtend. Vorlage: aehnlich zur DSGVO-DSFA, aber mit KI-spezifischen Aspekten (Bias, Erklaerbarkeit, menschliche Aufsicht).
  4. Log-Aufzeichnung. Wer hat wann welche Entscheidung getroffen? Welche Modellversion war aktiv? Bei Audit-Anfragen muessen Sie zurueckspulen koennen.
  5. Regelmaessige Ueberpruefung. Jede Aenderung am Modell (Retraining, Prompt-Anpassung, neue Datenquelle) triggert eine Neu-Bewertung.

Wo scale-x.io helfen kann

Wir haben genau diese drei Schritte in unser AI-Governance-Add-on gebaut. Sie bekommen:

  • Fertige Vorlage fuer das Use-Case-Inventar
  • Automatische Risiko-Vorklassifizierung nach EU-AI-Act-Kriterien
  • FRIA-Fragebogen mit Ausdruck-Version fuer Auditoren
  • Vollstaendiger Audit-Trail aller Modellentscheidungen
  • KPI-Dashboard fuer die Geschaeftsleitung

Das Add-on kostet 149 Euro pro Monat zusaetzlich zur Plattform (im Enterprise-Paket bereits inklusive). Alle Details auf der Preisseite.

Fazit

90 Tage sind knapp, aber machbar. Der EU AI Act ist keine Katastrophe, sondern eine Chance: Wer heute sauber dokumentiert, ist morgen schneller im Rollout. Wer wartet, hat spaeter mit einem Wildwuchs zu kaempfen, den kein Prozess-Framework mehr einfaengt.

Reden wir 30 Minuten darueber, wo Ihr Unternehmen aktuell steht. Beratungsgespraech buchen — kostenfrei, unverbindlich.