EU AI Act: In 90 Tagen compliance-ready
Inventar, Klassifizierung, Governance-Prozess — die 90-Tage-Anleitung fuer Mittelstaendler, die vom EU AI Act betroffen sind.
Der EU AI Act ist seit August 2024 in Kraft, die ersten Verbote gelten seit Februar 2025 — und ab August 2026 wird es fuer viele Unternehmen ernst. Wer heute KI einsetzt oder plant, sollte in den naechsten 90 Tagen drei Dinge tun: den eigenen Bestand katalogisieren, das Risiko klassifizieren und einen Governance-Prozess aufsetzen. Diese Anleitung zeigt, wie das ohne juristisches Fach-Chinesisch geht.
Warum jetzt handeln?
Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Der Zeitplan ist ambitioniert:
- 2. Februar 2025: Verbot von KI mit unannehmbaren Risiken (Social Scoring, biometrische Massenueberwachung, emotionale Manipulation).
- 2. August 2025: Regeln fuer General-Purpose-AI-Modelle (GPT, Claude, Mistral) und Governance-Strukturen der Behoerden.
- 2. August 2026: Hauptteil der Verordnung — Pflichten fuer Hochrisiko-KI, Kennzeichnungspflicht fuer Deepfakes, Datenschutz-Folgenabschaetzung (FRIA).
- 2. August 2027: Hochrisiko-KI, die bereits als Sicherheitskomponente in Produkten verbaut ist (z. B. Medizingeraete).
Bussgelder reichen bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes — deutlich schaerfer als bei der DSGVO.
Schritt 1 (Tag 1–30): KI-Inventar aufbauen
Sie koennen nichts regulieren, was Sie nicht kennen. Der erste Schritt ist ein vollstaendiges Inventar aller KI-Anwendungen in Ihrem Unternehmen. Das umfasst nicht nur „richtige“ ML-Modelle, sondern auch:
- Eingesetzte SaaS-Tools mit KI-Features (CRM mit Lead-Scoring, HR-Tool mit CV-Screening, Support-Ticket-Klassifikation)
- Copilot-Funktionen in Office-Suiten
- Chatbots auf der Webseite oder im internen Support
- Vom Fachbereich beauftragte Prototypen
- KI in Produkten (Sprachassistenten, Empfehlungssysteme)
Fuer jedes System dokumentieren Sie: Zweck, verwendete Modelle, Datenquellen, Zielgruppe, Betriebs-Owner. Auf der scale-x.io-Plattform ist das ein integrierter KI-Inventar-Baustein — pro Eintrag entsteht automatisch ein Datenblatt, das Sie fuer die Behoerden verwenden koennen.
Praxis-Tipp
Legen Sie zusaetzlich ein „Schatten-KI“-Feld an: Anwendungen, die von Mitarbeitern eigenmaechtig genutzt werden (private ChatGPT-Accounts fuer Kundenkorrespondenz). Diese sind fast immer der groesste blinde Fleck — und der groesste Compliance-Risiko-Faktor.
Schritt 2 (Tag 31–60): Risiko klassifizieren
Der EU AI Act unterscheidet vier Risikoklassen:
Unzulaessig
Verboten. Beispiele: biometrische Kategorisierung nach sensiblen Merkmalen (Ethnie, Sexualitaet), Social Scoring, ungezielte Gesichtserkennung im oeffentlichen Raum. Wenn ein System hier faellt: sofort ausschalten.
Hochrisiko
Klar erlaubt, aber stark reguliert. Dazu gehoeren KI-Systeme fuer:
- Auswahl von Bewerbern und Personalbeurteilung
- Kreditwuerdigkeitspruefung und Versicherungsrisiko-Scoring
- Zugangsentscheidungen zu Bildung oder Grundleistungen
- Justiz und Strafverfolgung
- Sicherheitskomponenten in kritischer Infrastruktur, Medizingeraeten, Autos
Fuer diese Systeme brauchen Sie: Risikomanagement, Datenqualitaets-Verfahren, technische Dokumentation, Log-Aufzeichnung, menschliche Aufsicht, hohe Genauigkeits- und Robustheitsstandards.
Begrenztes Risiko
Chatbots, KI-generierte Inhalte, Deepfakes. Kernpflicht: Transparenz. Nutzer muessen erkennen, dass sie mit einer KI kommunizieren; generierte Inhalte muessen gekennzeichnet sein.
Minimales Risiko
Alles andere — Spam-Filter, Rechtschreibkorrektur, Empfehlungsalgorithmen fuer Produkte. Keine besonderen Pflichten, aber freiwillige Compliance sinnvoll.
In der Praxis: die meisten Enterprise-KI-Anwendungen landen im „begrenzten Risiko“-Bereich. HR-Tools und Kredit-Scoring in „Hochrisiko“. Wenn Sie Software fuer den europaeischen Markt entwickeln, sollten Sie ausserdem den Aufsteller-Standort pruefen — der EU AI Act gilt bereits bei Vermarktung in der EU, nicht erst bei Firmensitz in der EU.
Schritt 3 (Tag 61–90): Prozess und Nachweise
Ein Risiko-Register allein reicht nicht. Sie brauchen einen wiederholbaren Prozess:
- KI-Governance-Verantwortlicher benannt. Meistens Compliance-Officer + Datenschutzbeauftragter + IT-Sicherheit als Dreieck.
- Freigabe-Workflow fuer neue KI-Anwendungen. Kein Team startet ein KI-Projekt, ohne das Inventar-Formular auszufuellen und die Risikoklasse einordnen zu lassen.
- FRIA — Fundamental Rights Impact Assessment. Fuer alle Hochrisiko-KI verpflichtend. Vorlage: aehnlich zur DSGVO-DSFA, aber mit KI-spezifischen Aspekten (Bias, Erklaerbarkeit, menschliche Aufsicht).
- Log-Aufzeichnung. Wer hat wann welche Entscheidung getroffen? Welche Modellversion war aktiv? Bei Audit-Anfragen muessen Sie zurueckspulen koennen.
- Regelmaessige Ueberpruefung. Jede Aenderung am Modell (Retraining, Prompt-Anpassung, neue Datenquelle) triggert eine Neu-Bewertung.
Wo scale-x.io helfen kann
Wir haben genau diese drei Schritte in unser AI-Governance-Add-on gebaut. Sie bekommen:
- Fertige Vorlage fuer das Use-Case-Inventar
- Automatische Risiko-Vorklassifizierung nach EU-AI-Act-Kriterien
- FRIA-Fragebogen mit Ausdruck-Version fuer Auditoren
- Vollstaendiger Audit-Trail aller Modellentscheidungen
- KPI-Dashboard fuer die Geschaeftsleitung
Das Add-on kostet 149 Euro pro Monat zusaetzlich zur Plattform (im Enterprise-Paket bereits inklusive). Alle Details auf der Preisseite.
Fazit
90 Tage sind knapp, aber machbar. Der EU AI Act ist keine Katastrophe, sondern eine Chance: Wer heute sauber dokumentiert, ist morgen schneller im Rollout. Wer wartet, hat spaeter mit einem Wildwuchs zu kaempfen, den kein Prozess-Framework mehr einfaengt.
Reden wir 30 Minuten darueber, wo Ihr Unternehmen aktuell steht. Beratungsgespraech buchen — kostenfrei, unverbindlich.