EU AI Act 2026: Was CTOs und Produktteams vor dem Einsatz von KI in Europa ändern müssen

In den letzten zwei Jahren wurden die meisten Gespräche über das EU-KI-Gesetz hauptsächlich von Rechtsteams, Compliance-Verantwortlichen und Politikern geführt. Ab dem 2. August 2026 ändert sich das für Produkt-, Technik- und Plattformteams auf eine sehr viel praktischere Weise.

Ab diesem Zeitpunkt gelten die meisten Vorschriften des KI-Gesetzes, einschließlich des Rahmens für KI-Systeme mit hohem Risiko nach Anhang III und der Transparenzpflichten nach Artikel 50 für bestimmte KI-Systeme und KI-generierte Inhalte. Das Gesetz ist am 1. August 2024 in Kraft getreten. Die Vorschriften über verbotene KI-Praktiken und KI-Kenntnisse gelten seit dem 2. Februar 2025, und die Verpflichtungen für KI-Modelle für allgemeine Zwecke gelten seit dem 2. August 2025. Einige Verpflichtungen für hochriskante KI, die in regulierte Produkte eingebettet ist, gelten später, am 2. August 2027.

Dies ist kein weiterer Überblick über die Einhaltung von Vorschriften. Es ist ein praktischer Leitfaden für die Teams, die KI-Systeme entwerfen, entwickeln, integrieren und ausliefern: Was müssen Sie in Ihrer Architektur, Ihren Produktabläufen, der Protokollierung, der Dokumentation, den Abhängigkeiten von Anbietern und den betrieblichen Kontrollen überprüfen, bevor Sie KI in Europa einsetzen.

Warum dies für CTOs und Produktteams wichtig ist - nicht nur für die Rechtsabteilung und die Compliance-Abteilung

Die EU-Verordnung über künstliche Intelligenz ist als Produktsicherheitsverordnung für künstliche Intelligenz konzipiert. Die Verpflichtungen, die sie auferlegt, sind nicht in erster Linie Dokumentationsaufgaben oder Grundsatzerklärungen. Sie sind technische Anforderungen.

Für KI-Systeme mit hohem Risiko verlangt das Gesetz eine von Grund auf in das System integrierte automatische Ereignisprotokollierung. Es erfordert menschliche Aufsichtsmechanismen, die keine Zusatzfunktionen sind. Er verlangt, dass die technische Dokumentation während des gesamten Lebenszyklus des Systems aufrechterhalten wird. Er verlangt, dass Konformitätsbewertungen vor der Markteinführung durchgeführt werden. Dies sind keine Dinge, die ein Rechtsteam im Nachhinein erstellen kann. Das sind Dinge, die Ingenieurteams entwerfen, erstellen und pflegen müssen.

Die Versäumnisse bei der Einhaltung der Vorschriften, die sich aus der Durchsetzung von 2026 ergeben, werden nicht von Teams stammen, die eine unvollständige Dokumentation erstellt haben. Sie werden von Teams kommen, die ihre Systeme nie klassifiziert haben, ohne Governance Gates in ihrem Entwicklungsprozess ausgeliefert haben und Dritte AI-Integrationen als Software-Abhängigkeiten und nicht als regulierte KI-Komponenten.

Produktteams sind in ähnlicher Weise gefährdet. Die Transparenzverpflichtungen gemäß Artikel 50 erfordern, dass die Nutzer über die Interaktion mit KI informiert werden. Wenn Ihr System Inhalte generiert, Medien manipuliert oder Entscheidungen trifft, die sich auf die Nutzer auswirken, müssen Sie Ihre Produktabläufe möglicherweise ändern. Berührungspunkte mit der Einwilligung, Offenlegungsmechanismen, Ausweichpfade und menschliche Eskalationswege sind Fragen des Produktdesigns - und sie müssen vor der Einführung beantwortet werden.

Die Quintessenz: Die Einhaltung des EU-KI-Gesetzes im Jahr 2026 ist in erster Linie ein Produkt-, Technik- und Beschaffungsproblem. Die rechtliche Überprüfung ist Teil des Prozesses, kann aber nicht die Designentscheidungen ersetzen, die in der Sprintplanung hätten getroffen werden müssen.

Was der Stichtag im August 2026 tatsächlich bedeutet

Das Gesetz wird seit seinem Inkrafttreten im August 2024 schrittweise umgesetzt. Hier ist der Stand der Dinge:

Die Europäische Kommission schlug Ende 2025 ein “Digital Omnibus”-Paket vor, das bestimmte risikoreiche Fristen um bis zu 16 Monate verlängern könnte, sofern harmonisierte Normen verfügbar sind. Dieser Vorschlag ist noch nicht als Gesetz bestätigt worden. Eine umsichtige Planung sieht den August 2026 als verbindliche Frist vor.

Das Gesetz gilt extraterritorial. Wie die DSGVO richtet es sich nach der Reichweite der Ausgaben Ihres Systems, nicht nach der Registrierungsadresse Ihres Unternehmens. Wenn Ihr KI-System in der EU eingesetzt wird oder EU-Bürger betrifft, gilt das Gesetz - unabhängig davon, ob Sie in London, Austin oder Dubai bauen.

Verstehen Sie Ihre Rolle in der KI-Lieferkette

Einer der operationell wichtigsten - und unterschätzten - Aspekte des Gesetzes ist, dass Ihre Verpflichtungen von Ihrem Rolle, und nicht nur Ihre Technologie.

Im Gesetz wird unterschieden zwischen:

• Anbieter - Unternehmen, die ein KI-System bauen oder in Auftrag geben und es unter ihrem eigenen Namen auf dem EU-Markt in Verkehr bringen
• Einsetzer - Unternehmen, die ein KI-System in einem beruflichen Kontext nutzen

Ein SaaS-Unternehmen, das ein KI-gestütztes Einstellungstool entwickelt und es an europäische Unternehmen verkauft, ist ein Anbieter. Ein Unternehmen, das dieses Instrument in seinen HR-Workflow integriert, ist ein Einsatzkräfte. Beide haben unterschiedliche Verpflichtungen.

Diese Unterscheidung ist bei der Integration von KI von Drittanbietern von enormer Bedeutung:

• Wenn Sie ein Modell eines Drittanbieters (über eine API) in ein Produkt einbetten, das Sie an europäische Kunden liefern, übernehmen Sie möglicherweise Verpflichtungen auf Anbieterebene für das nachgelagerte System - selbst wenn Sie das zugrunde liegende Modell nicht trainiert haben.
• Wenn Sie ein Modell eines Drittanbieters verfeinern, anpassen oder wesentlich verändern, ändert sich Ihre Haltung zur Einhaltung der Vorschriften.
• Wenn Sie ein GPAI-Modell wie ein LLM über eine API nutzen, hat der Modellanbieter separate GPAI-Verpflichtungen - aber das System, das Sie darauf aufbauen, liegt in Ihrer Verantwortung, es zu klassifizieren und zu steuern.

In der Praxis sind viele Produktteams gleichzeitig Anbieter für die Systeme, die sie bauen, und Einsatzkräfte der GPAI-Fähigkeiten, die sie integrieren. Es können beide Arten von Verpflichtungen gelten.

Risikoklassifizierung: Die Frage, die Sie zuerst beantworten müssen

Die Verpflichtungen des Gesetzes steigen mit dem Risiko. Vor allem anderen - vor der Dokumentation, vor der Protokollierung der Infrastruktur, vor der Neugestaltung des Produkts - müssen Sie Ihre KI-Systeme klassifizieren.

Der kritische Entscheidungspunkt für die meisten Entwicklungsteams ist, ob ein System unter Anhang III hohes Risiko. Die Kommission war gesetzlich verpflichtet, bis Februar 2026 Leitlinien für die Einstufung nach Artikel 6 zu veröffentlichen, und hat diese Frist nicht eingehalten. Die endgültigen Leitlinien werden in den kommenden Monaten erwartet. Wenn Sie unsicher sind, ob Ihr System die Voraussetzungen erfüllt, ist das Fehlen offizieller Leitlinien kein Grund zu warten - es ist ein Grund, Ihre eigene dokumentierte Bewertung vorzunehmen und auf den höheren Standard hinzuarbeiten.

Was Entwicklungsteams vor der Bereitstellung prüfen müssen

Wenn Ihr System als hochriskant eingestuft wird, sind die technischen Auswirkungen erheblich. Hier finden die Teams in der Regel die größten Lücken.

Protokollierung und Auditierbarkeit

Artikel 12 schreibt vor, dass KI-Systeme mit hohem Risiko technisch Folgendes ermöglichen müssen automatische Aufzeichnung von Ereignissen während der gesamten Lebensdauer des Systems. “Automatisch” bedeutet, dass das System von sich aus Protokolle erstellt - eine manuelle Dokumentation erfüllt diese Anforderung nicht. “Lebensdauer” bedeutet von der Bereitstellung bis zur Außerbetriebnahme, nicht nur die aktuelle Version.

Die Protokolle müssen Folgendes abdecken: Situationen, in denen das System ein Risiko darstellen oder wesentlich verändert werden kann, Daten für die Überwachung nach dem Inverkehrbringen und Daten für die Betriebsüberwachung durch den Bereitsteller. Gemäß Artikel 18 müssen die Protokolle mindestens sechs Monate lang aufbewahrt werden.

Die meisten Protokollierungspipelines erfassen die Ausgaben, aber nicht die Entscheidungslogik. In dieser Lücke liegt die Gefahr der Nichteinhaltung von Vorschriften.

In der Praxis sollten die Teams überprüfen:

• ob Protokolle Eingaben, Ausgaben, Zwischenentscheidungsschritte, Zeitstempel und Bedienerinteraktionen erfassen
• ob mehrstufige Arbeitsabläufe von Agenten durchgängig nachverfolgt werden
• ob die Protokolle so aufbewahrt werden, dass sie nachweislich nicht verfälscht wurden

Technische Dokumentation

Für Hochrisikosysteme sind in Anhang IV neun Kategorien obligatorischer technischer Unterlagen festgelegt, die vor dem Inverkehrbringen zu erstellen und während des gesamten Lebenszyklus des Systems aufzubewahren sind, einschließlich der Systemarchitektur, der Schulungsmethodik, der Leistungskennzahlen, der bekannten Einschränkungen und der Risikomanagementunterlagen. Artikel 18 schreibt vor, dass diese Unterlagen aufbewahrt werden müssen für 10 Jahre.

In der Praxis sollten die Teams überprüfen:

• ob die Dokumentation zusammen mit den Modellversionen versioniert wird
• ob sie die Leistung bei repräsentativen Datensätzen einschließlich Randfällen abdeckt
• ob es so strukturiert ist, dass eine Aufsichtsbehörde die Einhaltung der Vorschriften ohne Reverse-Engineering des Modells bewerten kann

Modellprovenienz und Abhängigkeiten von Drittanbietern

Wenn Ihr System von einem Basismodell eines Drittanbieters abhängt, müssen Sie wissen, welche Dokumentation dieser Anbieter zur Verfügung stellt und wo Ihre Verpflichtungen beginnen. Wenn Sie eine Anwendung auf einem GPAI-Modell aufbauen und sie in einem risikoreichen Kontext einsetzen, fallen die Verpflichtungen des Anbieters auf Anwendungsebene auf Sie.

In der Praxis sollten die Teams überprüfen:

• die von den einzelnen Anbietern von KI-Modellen bereitgestellte Dokumentation zur KI-Governance
• Die vertraglichen Grenzen der Verantwortung
• ob Ihr Anwendungsfall im Rahmen dessen liegt, was der Modellanbieter dokumentiert hat

Menschliche Überwachungsmechanismen

KI-Systeme mit hohem Risiko müssen so konzipiert sein, dass sie von Menschen beaufsichtigt werden können. Dies ist eine Architekturanforderung, und nicht eine Prozessanweisung. Das System muss von einem menschlichen Bediener angehalten, außer Kraft gesetzt oder gekennzeichnet werden können.

In der Praxis sollten die Teams überprüfen:

• ob Ihr System über konfigurierbare Vertrauensschwellenwerte verfügt, die eine menschliche Überprüfung auslösen
• ob Überschreibungspfade in der Benutzeroberfläche und im Backend existieren
• ob die Eingriffe der menschlichen Aufsicht protokolliert werden

Zugriffskontrollen und rollenbasierte Rechenschaftspflicht

Das Gesetz verlangt implizit, dass Sie feststellen können, wer Entscheidungen getroffen, das System geändert oder Implementierungen genehmigt hat. Schatten-KI - Mitarbeiter, die externe KI-Tools verwenden und Produktionsdaten ohne zentrale Sichtbarkeit berühren - schafft ein Compliance-Risiko, das die meisten technischen Teams derzeit nicht messen.

In der Praxis sollten die Teams überprüfen:

• ob alle AI-Komponenten in Ihrem Produktionsstapel zentral inventarisiert werden
• ob rollenbasierte Zugriffskontrollen festlegen, wer KI-Komponenten einsetzen, ändern oder deaktivieren darf
• ob Ihr Prozess zur Behandlung von Vorfällen speziell Ausfälle von KI-Systemen abdeckt

Was Produktteams vor der Bereitstellung überprüfen müssen

Transparenz und Offenlegung

Die Transparenzverpflichtungen nach Artikel 50 gelten ab August 2026 für bestimmte KI-Systeme, darunter einige interaktive KI-Systeme, Systeme für synthetische Inhalte, Systeme zur Erkennung von Emotionen und biometrischen Merkmalen sowie für bestimmte Deepfake-Anwendungen - nicht nur für Hochrisikosysteme. Wenn Ihr Produkt über eine Dialogschnittstelle mit den Nutzern interagiert, Inhalte erzeugt oder sichtbare Entscheidungen trifft, die sich auf die Nutzer auswirken, müssen Sie möglicherweise offenlegen, dass KI im Spiel ist.

In der Praxis sollten die Teams überprüfen:

• ob KI-generierte Inhalte in der Schnittstelle als solche gekennzeichnet sind
• Ob Nutzer informiert werden, wenn sie mit einem Chatbot oder KI-Assistenten interagieren
• ob die Berührungspunkte mit der Offenlegung sichtbar und klar sind - und nicht in den Servicebedingungen versteckt werden

Menschliche Eskalation und Rückfallpfade

Bei Systemen mit hohem Risiko müssen die Nutzer die Möglichkeit haben, sich an einen Menschen zu wenden, wenn das KI-System eine Entscheidung trifft, die sie betrifft. Das ist nicht optional.

In der Praxis sollten die Teams überprüfen:

• ob es für jede KI-gesteuerte Entscheidung, die sich auf einen Nutzer auswirken könnte, einen entsprechenden Eskalations- oder Überprüfungspfad gibt
• ob Ausweichpfade funktionieren, wenn die KI-Komponente nicht verfügbar ist
• ob der Fallback als Teil der Betriebsanforderungen des Systems dokumentiert ist

Einverständnis und Datenpraktiken

Für Teams, die KI einsetzen, die personenbezogene Daten verarbeitet, überschneiden sich die Verpflichtungen der DSGVO und des KI-Gesetzes erheblich. Die automatisierte Entscheidungsfindung, die Rechtsgrundlage für Schulungsdaten und die Rechte der betroffenen Personen gelten gleichzeitig.

In der Praxis sollten die Teams überprüfen:

• ob die Zustimmungsströme mit der Art und Weise, wie die KI-Komponente Daten verarbeitet, in Einklang stehen
• ob betroffene Personen Rechte ausüben können (Auskunft, Löschung, Widerspruch), die sich über Ihre KI-Pipeline verbreiten
• ob Ihr System die Rücknahme von Einwilligungen verarbeiten kann, ohne dass veraltete Schulungsdaten in der Produktion verbleiben

Eine praktische Bereitschafts-Checkliste für CTOs und Produktteams

Diese Checkliste enthält praktische Empfehlungen, die auf den Anforderungen des Gesetzes beruhen, nicht auf einer ständigen Rechtsauslegung. Verwenden Sie sie als Ausgangspunkt für eine interne Bewertung, nicht als Ersatz für eine formale rechtliche Überprüfung.

Systeminventarisierung und -klassifizierung

• [ ] Alle KI-Komponenten in der Produktion und in der Roadmap wurden inventarisiert
• [ ] Jedes System verfügt über eine dokumentierte Bewertung der Risikostufen
• [ ] Systeme in der Nähe des Gebiets von Anhang III wurden anhand spezifischer Kriterien für den Anwendungsfall bewertet
• [ ] KI-Integrationen von Drittanbietern wurden identifiziert und auf ihre Konformität hin überprüft
• [ ] Die Rolle des Anbieters bzw. des Verteilers wurde für jede KI-Komponente festgelegt

Ingenieurwesen und Architektur

• [ ] Die Protokollierungsinfrastruktur erfasst Eingaben, Ausgaben, Entscheidungsschritte, Zeitstempel und Bedieneraktionen
• [ ] Protokolle werden mindestens sechs Monate lang aufbewahrt und in manipulationssicherer Form aufbewahrt
• [Für jedes System gibt es eine technische Dokumentation, die mit den Modellversionen abgeglichen wird.
• [Menschliche Übersteuerungsmechanismen sind in die Systemarchitektur integriert.
• [Rollenbasierte Zugriffskontrollen regeln, wer KI-Komponenten einsetzen, ändern oder deaktivieren darf.
• [ ] Die Modellherkunft und die Dokumentation der Modelle Dritter werden überprüft und gespeichert
• [Der Prozess zur Behandlung von Vorfällen umfasst KI-Systemausfälle und unerwünschte Ergebnisse

Produkt und UX

• [ ] Kontaktstellen für die Offenlegung sind dort vorhanden, wo das Gesetz Transparenz verlangt
• [Es gibt menschliche Eskalationswege für KI-gesteuerte Entscheidungen, die die Nutzer betreffen.
• [Fallback-Flows funktionieren, wenn die AI-Komponente nicht verfügbar ist.
• [ ] Zustimmungsströme stimmen mit den KI-Datenverarbeitungspraktiken überein
• [ ] Die Produktdokumentation deckt die Fähigkeiten, Einschränkungen und den Verwendungszweck der KI-Komponenten ab.

Governance und Prozess

• [ ] In Ihrer Organisation gibt es einen Verantwortlichen für die Einhaltung von AI
• [Die KI-Governance ist in den Entwicklungsprozess eingebettet und wird nicht als abschließende rechtliche Prüfung behandelt.
• [ ] Plan zur Überwachung nach dem Inverkehrbringen für Hochrisikosysteme vorhanden
• [ ] Für Hochrisikosysteme wurde eine Konformitätsbewertung durchgeführt (oder geplant)
• [ ] EU-Datenbankregistrierung für geeignete Hochrisikosysteme geplant

Die Verbindung zwischen Architektur und Governance

Es gibt ein Muster, das es wert ist, hervorgehoben zu werden: Die Teams, die im Rahmen des EU-KI-Gesetzes am stärksten dem Compliance-Risiko ausgesetzt sind, sind nicht unbedingt diejenigen, die die anspruchsvollste KI entwickeln. Es sind diejenigen, die schnell gehandelt, KI-Funktionen opportunistisch integriert und nie die zugrunde liegende Architektur zur Unterstützung von Beobachtbarkeit, Rückverfolgbarkeit und Governance auf Systemebene aufgebaut haben.

Protokollierungsinfrastruktur, die revisionssichere Nachweise liefert. Modellierung von Orchestrierungspipelines mit nachvollziehbaren Entscheidungswegen. Dokumentationsrahmen, die das System durch seinen Lebenszyklus begleiten. In den Kernablauf integrierte Kontrollmechanismen für den Menschen. Dies sind keine Compliance-Funktionen - es sind gute technische Praktiken, die auf KI-Systeme angewandt werden. Das Gesetz kodifiziert in vielerlei Hinsicht, was produktionsreife KI-Einsatz aussehen sollte.

Teams, die in die Plattformdisziplin investiert haben, werden feststellen, dass die Vorbereitung auf die Einhaltung der Vorschriften größtenteils eine Dokumentations- und Bewertungsübung ist, und nicht ein Neuaufbau. Teams, die dies nicht getan haben, werden einen schwierigeren Weg einschlagen.

Dies ist der wesentliche Unterschied zwischen Experimentieren mit KI Und Einsatz von KI. Experimente sind von vornherein mit geringen Risiken verbunden. Der Produktionseinsatz auf regulierten Märkten bedeutet, dass jede Komponente des Systems einen Eigentümer, einen Zweck, eine Grenze und einen Prüfpfad hat.

Fragen, die vor dem Einsatz von KI in Europa zu stellen sind

Es handelt sich um praktische Empfehlungen und nicht um eine endgültige rechtliche Checkliste.

1. Haben wir dieses System klassifiziert? Handelt es sich um ein hohes Risiko gemäß Anhang III? Haben wir unsere Bewertung dokumentiert?
2. Sind wir der Anbieter, der Verteiler oder beides? Verstehen wir unsere Verpflichtungen in jeder Rolle?
3. Auf welche KI von Drittanbietern ist dieses System angewiesen? Wo endet ihre Verantwortung und wo beginnt unsere?
4. Können wir rekonstruieren, was das System getan hat und warum? Erzeugt unsere Protokollierungsinfrastruktur Beweise, die einen Prüfer zufrieden stellen würden?
5. Wenn dieses System eine Entscheidung trifft, die einen Benutzer betrifft, was passiert dann? Gibt es einen menschlichen Eskalationsweg? Funktioniert er?
6. Legt unser Produkt bei Bedarf die Beteiligung von KI offen? Spiegelt sich die Verpflichtung zur Transparenz in der Benutzeroberfläche wider, nicht nur in der Datenschutzrichtlinie?
7. Haben wir eine DPIA oder FRIA durchgeführt? Für Hochrisikosysteme, die personenbezogene Daten verarbeiten, kann beides erforderlich sein.
8. Ist unsere technische Dokumentation aktuell und auf dem neuesten Stand? Wäre eine Aufsichtsbehörde in der Lage, anhand dieser Daten die Einhaltung der Vorschriften zu beurteilen?
9. Enthält unser Entwicklungsprozess ein Governance-Gate für den KI-Einsatz? Oder ist die Einhaltung der Vorschriften zum Zeitpunkt der Freigabe immer noch ein nachträglicher Gedanke?

Haben wir einen Plan zur Überwachung nach dem Inverkehrbringen? Was ist der Auslöser für eine Überprüfung oder einen Bericht über einen Vorfall?

Häufige Fehler von Unternehmen

Behandlung der Einhaltung der Vorschriften als abschließende rechtliche Prüfung. Die Anforderungen, die das Gesetz stellt - Protokollierung, Dokumentation, menschliche Aufsicht, Transparenz - sind Designentscheidungen. Sie können nicht ohne erhebliche Nacharbeit in ein ausgeliefertes Produkt eingebaut werden.

Nichtbeachtung der Verpflichtungen aus dem Modell für Dritte. Integration eines LLM über die API überträgt Ihre Compliance-Verantwortung nicht auf den Modellanbieter. Wenn Sie ein Produkt auf der Grundlage eines GPAI-Modells entwickeln und es in einem risikoreichen Umfeld einsetzen, liegen die Verpflichtungen des Anbieters mit hohem Risiko bei Ihnen.

Verwechslung von KI-Kompetenz und KI-Governance. Zu wissen, was im Gesetz steht, ist nicht dasselbe wie die Infrastruktur zu haben, um die Einhaltung nachzuweisen. Dokumentation, Protokollierung, Überwachungsmechanismen und Konformitätsbewertungen sind operative Leistungen, keine politischen Positionen.

Ich warte auf die Erweiterung des Digital Omnibus. Der Vorschlag liegt vor. Er könnte verabschiedet werden. Aber er ist noch nicht als Gesetz bestätigt worden, und er hebt die zugrunde liegenden Verpflichtungen zur Einhaltung der Vorschriften nicht auf - er passt nur möglicherweise die Fristen für bestimmte Kategorien in Anhang III an.

Anwendung der GDPR-Logik und Annahme, dass sie ausreichend ist. Die Rahmenwerke überschneiden sich, sind aber nicht identisch. Das KI-Gesetz fügt spezifische Anforderungen hinzu - Protokollierung, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung -, die von der DSGVO nicht abgedeckt werden.

Wie ein ingenieurgeführter Implementierungspartner helfen kann

Der Übergang von KI-Experimenten zum produktionsreifen Einsatz in regulierten Märkten ist eine technische Herausforderung und nicht nur eine Übung zum Ankreuzen von Compliance-Kriterien. Die Arbeit ist konkret: Aufbau einer Protokollierungsinfrastruktur, die revisionssichere Nachweise liefert; Entwicklung menschlicher Aufsichtsmechanismen, die auf der Architekturebene funktionieren; Erstellung von Dokumentationsrahmen, die das System während seines Lebenszyklus begleiten; Überprüfung der Modellorchestrierung Pipelines für die Rückverfolgbarkeit, die Bewertung von Abhängigkeiten von Drittanbietern und die Integration von Governance Gates in die Entwicklungsabläufe.

Bei Carmatec haben wir diese Arbeit mit Kunden im Bereich der KI-Integration durchgeführt, Plattformtechnik, und Unternehmenssysteme. Wir haben gebaut RAG-Pipelines, umgesetzt. KI-gestützte Automatisierung, und half Unternehmen dabei, vom Proof-of-Concept zur Produktion überzugehen. Die Anforderungen an die Infrastruktur, die mit der Einhaltung des EU-KI-Gesetzes einhergehen, sind keine neue Kategorie von Aufgaben - sie zeigen, wie eine produktionsreife KI-Bereitstellung aussieht, wenn sie richtig gemacht wird.

Wenn Ihr Team KI-Systeme für den europäischen Markt entwickelt und sich mit den oben genannten Fragen beschäftigt, sind wir gut aufgestellt, um Ihnen dabei zu helfen, Ihren aktuellen Stand zu bewerten, zu ermitteln, was geändert werden muss, und einsatzfähige Systeme mit einer Architektur zu entwickeln, die die Einhaltung der Vorschriften unterstützt.

FAQ

Gilt das EU-Gesetz über künstliche Intelligenz auch für mein Unternehmen, wenn wir außerhalb der EU ansässig sind?

Das Gesetz gilt extraterritorial. Wenn Ihr KI-System in der EU eingesetzt wird oder seine Ergebnisse sich auf in der EU ansässige Personen auswirken, gilt das Gesetz - unabhängig davon, wo Ihr Unternehmen eingetragen ist oder wo das Modell gehostet wird. Dies spiegelt das territoriale Modell der GDPR wider.

Was gilt als risikoreiches KI-System im Sinne des EU-KI-Gesetzes?

Systeme mit hohem Risiko sind in Anhang III aufgelistet und decken spezifische Anwendungsfälle ab, darunter Einstellungs- und Lebenslauf-Screening, Kreditwürdigkeitsprüfung, Management kritischer Infrastrukturen, biometrische Kategorisierung und Instrumente zur Bildungsbewertung. Wenn Ihr System in diese oder ähnliche Kategorien fällt, sollten Sie eine dokumentierte Risikoklassifizierung durchführen.

Wenn wir ein LLM eines Drittanbieters über eine API verwenden, haben wir dann Verpflichtungen zur Einhaltung der Vorschriften?

Ja. Wenn Sie eine Anwendung auf der Grundlage eines GPAI-Modells erstellen und sie in einem Hochrisikokontext einsetzen, sind Sie den Verpflichtungen des Hochrisiko-Anbieters unterworfen. Die Einhaltung der Vorschriften durch den Modellanbieter ersetzt nicht Ihre Pflichten als Anwendungsentwickler.

Wie hoch sind die Bußgelder bei Nichteinhaltung?

Bei hochriskanten Verstößen gegen das KI-System können die Strafen bis zu 15 Mio. EUR oder 3% des weltweiten Jahresumsatzes betragen - je nachdem, welcher Betrag höher ist. Für verbotene KI-Praktiken liegt die Obergrenze bei 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes. Bei automatisierter Entscheidungsfindung kann die Datenschutz-Grundverordnung zusätzlich zu diesen Beträgen Anwendung finden.

Der Vorschlag für den digitalen Omnibus könnte einige Fristen verschieben. Sollten wir warten?

Nein. Der Vorschlag ist noch nicht als Gesetz bestätigt worden, und selbst wenn er verabschiedet wird, ändert er möglicherweise nur die Fristen für bestimmte Anhang-III-Kategorien - die zugrunde liegenden Verpflichtungen werden dadurch nicht aufgehoben. Die Planung bis zum August 2026 ist der richtige Ansatz.

Gilt das Gesetz für interne KI-Tools und nicht nur für kundenorientierte Produkte?

Es kommt auf den Anwendungsfall an. Interne KI-Tools, die Entscheidungen treffen, die sich auf die Arbeitnehmer auswirken - Leistungsbewertung, Aufgabenzuweisung, Arbeitsplatzüberwachung - können unter die Hochrisikokategorien von Anhang III fallen und eine Überprüfung der Klassifizierung rechtfertigen.

Abschluss

Das EU AI-Gesetz stellt keine zukünftige Belastung dar. Es handelt sich um eine aktuelle technische Anforderung mit einem Durchsetzungstermin am 2. August 2026.

Die Unternehmen, die am effektivsten damit umgehen können, sind diejenigen, die sie als das behandeln, was sie tatsächlich ist: eine Produktsicherheitsvorschrift, die die gleiche technische Strenge verlangt, die jedes Produktionssystem verdient. Systemklassifizierung, revisionssichere Protokollierung, versionierte Dokumentation, eine Architektur mit menschlicher Aufsicht, transparente Produktflüsse und eine in den Entwicklungsprozess eingebettete Governance - das sind die Bausteine für eine konforme KI-Implementierung. Nicht zufällig sind dies auch die Bausteine für KI-Systeme, die in der Produktion zuverlässig, wartbar und vertrauenswürdig sind.

Wenn Ihr Team derzeit KI-Funktionen für den europäischen Einsatz bereitstellt und noch keine systematische Klassifizierung durchgeführt, Ihre Protokollierungsinfrastruktur überprüft oder Ihre Abhängigkeiten von Drittanbietermodellen bewertet hat, ist es jetzt an der Zeit, damit zu beginnen.

Über Carmatec

Carmatec entwickelt seit 23 Jahren Software-Plattformen. Wir arbeiten mit technologieorientierten Unternehmen in Großbritannien, Europa, Nordamerika, dem Nahen Osten und Indien zusammen, um KI von der Erprobung bis zur produktionsreifen Implementierung zu bringen - mit der Architektur, Beobachtbarkeit und Lieferdisziplin, die Produktionssysteme benötigen.

Wenn Sie KI-Systeme für den Einsatz in Europa vorbereiten und einen ingenieurwissenschaftlichen Partner benötigen, der Sie bei der Bewertung der Bereitschaft, der Überprüfung der Architektur und der Entwicklung einer konformen Bereitstellung unterstützt, sprechen Sie mit unserem Team.