Securance logo
Beautiful landscape with old compass on traveler's hand. Traveling concept.
Beratung | EU AI Act

EU AI Act – Einheitliche KI-Regulierung in der EU

Wir begleiten Unternehmen bei der Umsetzung der EU AI Act-Anforderungen,von der Betroffenheitsanalyse über die Risikoklassifizierung Ihrer KI-Systemebis hin zur Integration in bestehende Strukturen.

Kostenloses Kennenlerngespräch buchen

Vertrauen von über 800 professionellen Unternehmen und KMUs

Fujitsu Logo
Simplinic
DRV
Plusserver
Adesso
Biobeat
Docmedico

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) wurde vom Europäischen Parlament und dem Rat der EU verabschiedet, um einheitliche, verbindliche Anforderungen für die Entwicklung, den Einsatz und die Verwendung von KI-Systemen innerhalb der EU zu schaffen – abgestuft nach dem Risiko, das diese Systeme für Gesundheit, Sicherheit und Grundrechte darstellen.

Ziel ist es, einen einheitlichen Binnenmarkt für KI-gestützte Produkte und Dienstleistungen zu fördern und gleichzeitig Transparenzpflichten sowie die Verantwortung von Anbietern und Betreibern auf allen Ebenen zu stärken.

Deutschland setzt den EU AI Act mit dem KI-Marktüberwachungs- und Innovationsförderungs-Gesetz (KI-MIG) um und benennt die Bundesnetzagentur als zentrale Aufsichts- und Anlaufstelle. Der Kabinettsbeschluss fiel im Februar 2026 – das Gesetz durchläuft derzeit noch Bundestag und Bundesrat.

Kostenlose Beratung vereinbaren
JST 2025

Schritt für Schritt zum EU AI Act

Möchtest du mehr über den EU AI Act erfahren und wie dein Unternehmen die Anforderungen systematisch umsetzen kann?

Was bedeutet der EU AI Act konkret für dein Unternehmen – und wo müsst ihr jetzt handeln? Unser kostenloses Whitepaper führt euch durch den risikobasierten Ansatz der Verordnung und macht deutlich, welche Pflichten für euch konkret entstehen.

Außerdem erfahrt ihr, welche Rolle ein internes Kontrollsystem (IKS) bei der Umsetzung des EU AI Acts spielt.

EU AI Act herunterladen

Wen betrifft der EU AI Act?

Ob ein Unternehmen vom EU AI Act betroffen ist, hängt nicht von Branche oder Unternehmensgröße ab — sondern von seiner Rolle im Umgang mit KI-Systemen.

  • Anbieter entwickeln KI-Systeme und bringen sie in Verkehr — auch für den eigenen Einsatz. Sie tragen die umfassendsten Pflichten.
  • Betreiber setzen KI-Systeme unter eigener Verantwortung ein — auch wenn sie diese nicht selbst entwickelt haben. Der Kauf oder die Lizenzierung eines Systems entbindet nicht von eigenen Pflichten.
  • Importeure und Händler führen KI-Systeme aus Drittländern in die EU ein oder stellen sie im Markt bereit — mit anteiligen Konformitätspflichten.

Entscheidend ist außerdem: Der EU AI Act gilt nach dem Marktortprinzip. Jedes Unternehmen, das KI-Systeme in der EU anbietet oder deren Ergebnisse in der EU genutzt werden, unterliegt der Verordnung — unabhängig vom Unternehmenssitz.

Der EU AI Act ist damit Pflicht für alle, die KI-Systeme in der EU entwickeln, einsetzen oder bereitstellen — und zugleich eine Chance für Unternehmen, die Vertrauen bei Kunden, Partnern und Behörden durch nachweisbare KI-Governance aufbauen wollen.

Der risikobasierte Ansatz

Das zentrale Ordnungsprinzip des EU AI Acts ist klar: Je größer das Schadenspotenzial eines KI-Systems, desto strenger die Anforderungen. Nicht die Technologie selbst wird reguliert — sondern der konkrete Einsatzzweck und das damit verbundene Risiko. Der erste und wichtigste Schritt für jedes Unternehmen ist daher die Einordnung der eigenen KI-Systeme in dieses Stufenmodell.

Verbotenes Risiko

Bestimmte KI-Systeme sind vollständig untersagt — unabhängig vom Nutzen. Diese Verbote gelten seit Februar 2025. Beispiele: Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung im öffentlichen Raum.

Hohes Risiko

KI-Systeme, die schwerwiegende Entscheidungen über Menschen beeinflussen, unterliegen umfassenden Governance- und Dokumentationspflichten. Beispiele: Kreditvergabe, Personalentscheidungen, kritische Infrastruktur.

Begrenztes Risiko

Systeme, die direkt mit Menschen interagieren, müssen offenlegen, dass der Nutzer mit KI kommuniziert. Beispiele: Chatbots, KI-generierte Texte und Bilder, Deepfakes.

Minimales Risiko

Für den Großteil aller KI-Systeme gelten keine gesetzlichen Pflichten. Freiwillige Verhaltenskodizes werden empfohlen. Beispiele: Spam-Filter, Empfehlungssysteme, KI in Spielen.

Ein erster Überblick

Verbotene KI-Praktiken (Art. 5)

Bestimmte KI-Systeme sind im EU AI Act vollständig verboten — unabhängig vom wirtschaftlichen Nutzen. Diese Verbote gelten seit dem 2. Februar 2025 und erfordern sofortiges Handeln, wenn solche Systeme im Unternehmen eingesetzt werden oder wurden.

Dazu zählen unter anderem Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung im öffentlichen Raum sowie Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.

Pflichten für Hochrisiko-KI-Systeme

Wer Hochrisiko-KI-Systeme entwickelt oder einsetzt, trägt die umfangreichsten Pflichten im EU AI Act — von Risikomanagement und technischer Dokumentation über menschliche Aufsicht bis hin zur Konformitätsbewertung vor Inbetriebnahme. Diese Pflichten gelten ab dem 2. August 2026.

Hinzu kommt die KI-Kompetenzpflicht nach Art. 4: Sie gilt bereits seit Februar 2025 und verpflichtet Unternehmen sicherzustellen, dass alle Personen, die KI-Systeme einsetzen oder überwachen, nachweislich über die notwendigen Kenntnisse verfügen.

Transparenzpflichten (Art. 50)

Auch unterhalb der Hochrisiko-Schwelle kennt der EU AI Act verbindliche Anforderungen. Wer KI-Systeme einsetzt, die direkt mit Menschen interagieren oder Inhalte erzeugen, muss offenlegen, dass KI im Spiel ist — etwa bei Chatbots, automatisierten Assistenzsystemen oder KI-generierten Texten, Bildern und Videos.

Wichtig: Diese Pflichten hängen nicht von der Risikoeinstufung eines Systems ab. Ob Kundenservice, Marketing oder interne Kommunikation — sobald KI sichtbar oder verdeckt mit Menschen interagiert oder Inhalte erzeugt, greift Art. 50. Deepfakes und synthetische Medieninhalte müssen zusätzlich explizit als solche gekennzeichnet sein. Die Pflichten gelten ab dem 2. August 2026.

Unser EU AI Act-Angebot

Betroffenheitsanalyse

Geprüft wird, ob und in welchem Umfang Ihr Unternehmen unter den EU AI Act fällt — anhand Ihrer Rolle, des Einsatzzwecks Ihrer KI-Systeme und der Einordnung in die regulatorischen Risikoklassen. Die Bewertung mündet in einem verbindlichen Handlungsrahmen für die Geschäftsleitung.

AI Act Readiness Assessment

Wir gleichen Ihren Ist-Zustand systematisch gegen die Anforderungen des EU AI Acts ab und überführen identifizierte Lücken in einen priorisierten Maßnahmenplan mit klaren Verantwortlichkeiten.

Umsetzung & Integration in Ihr IKS/ISMS

Die identifizierten Anforderungen werden in Ihre bestehenden Governance- und Kontrollstrukturen integriert — angepasst an Ihre vorhandenen Strukturen und regulatorischen Prioritäten, mit belastbarer Dokumentation und einer soliden Vorbereitung auf regulatorische Prüfungen.

Das sagen unsere Kunden

CEO Stiftung NAB Impact Investing

Laura Wessemius Chibrac 1 jpg

Laura Wessemius-Chibrac

Die Zusammenarbeit mit Securance war eine echte Bereicherung. Sie haben es geschafft, eine Risikomanagement-Policy und -Bewertung zu entwickeln, die nicht nur unsere professionellen Standards erhöht hat, sondern auch perfekt zur Art und Größe unserer Organisation passt.

 

Chief Executive Officer ONVZ

Jean Paul van Haarlem jpg

Jean-Paul van Haarlem
Der kritische und reflektierende Dialog mit Securance hat uns ermöglicht, Herausforderungen aus verschiedenen Blickwinkeln zu betrachten und die besten Lösungen zu finden. Sie waren bereit, nicht nur als Berater oder Umsetzer zu agieren, sondern wirklich als eine Erweiterung unserer Organisation.

Director of Asset Management ABN AMRO

Richard de Groot jpg

Richard de Groot
Securance hat den Implementierungsprozess von Anfang bis Ende professionell begleitet. Sie halfen uns, das sensible Gleichgewicht zwischen Risikomanagement und der Umsetzbarkeit von Kontrollmaßnahmen zu finden. Neben der Umsetzung von Best Practices legten sie großen Wert darauf, die Unterstützung unserer Mitarbeitenden zu gewinnen und Wissen an unser eigenes Team zu übertragen.

Media

Securance als Ihr EU AI Act-Partner

Wir bei Securance glauben an die Aufrechterhaltung solider interner Kontrollen und die Förderung von Integrität im Geschäftsbetrieb. Unsere Dienstleistungen sind darauf zugeschnitten, die strengen Anforderungen der Aufsichtsbehörden zu erfüllen, damit Ihr Unternehmen stets konform und widerstandsfähig ist. Als Ihr engagierter Implementierungspartner verfügen wir über fundiertes Fachwissen und eine nachweisliche Erfolgsbilanz bei der erfolgreichen Bewältigung von Risiko- und Compliance-Herausforderungen in verschiedenen Branchen.

Kontaktieren Sie uns jetzt

FAQ

Häufig gestellte Fragen und unsere Antworten darauf

Der EU AI Act (Verordnung (EU) 2024/1689) ist eine EU-Verordnung zur Regulierung von Künstlicher Intelligenz, die seit August 2024 in Kraft ist und unmittelbar in allen EU-Mitgliedstaaten gilt — ohne nationale Umsetzungsgesetze. Die Verordnung verfolgt einen risikobasierten Ansatz: KI-Systeme werden nach ihrem Schadenspotenzial in vier Kategorien eingeteilt (verboten, Hochrisiko, begrenztes Risiko, minimales Risiko), und die Pflichten für Unternehmen richten sich nach dieser Einstufung. Sie gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen — unabhängig davon, ob sie ihren Sitz in der EU haben.

Verboten sind unter anderem Social Scoring, Emotionserkennung in Arbeits- und Bildungsumgebungen, biometrische Kategorisierung nach sensiblen Merkmalen sowie das ungezielte Scrapen von Gesichtsbildern aus dem Internet.  Diese Verbote gelten seit dem 2. Februar 2025 uneingeschränkt.

Für Hochrisiko-KI-Systeme gelten Anforderungen aus den Artikeln 8 bis 15 der Verordnung: Unternehmen müssen ein Risikomanagementsystem einrichten, Qualitätskriterien für Trainingsdaten einhalten, eine technische Dokumentation erstellen, Protokollierungsfunktionen implementieren, menschliche Aufsicht sicherstellen sowie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit gewährleisten. Zusätzlich sind Hochrisiko-Systeme in einer EU-Datenbank zu registrieren.

Der EU AI Act folgt einem gestaffelten Zeitplan: Seit dem 2. Februar 2025 sind verbotene KI-Praktiken untersagt. Ab dem 2. August 2025 gelten Regeln für GPAI-Modelle, neue Governance-Strukturen und Sanktionsmechanismen. Ab dem 2. August 2026 greifen die verbleibenden Bestimmungen — insbesondere für Hochrisiko-KI-Systeme. Bereits seit dem 2. Februar 2025 gilt zudem die KI-Kompetenzpflicht nach Artikel 4 für alle Unternehmen, die KI einsetzen.

Hochrisiko-KI-Systeme fallen in Bereiche wie Personalmanagement und Beschäftigung (z. B. Recruiting-Software), kritische Infrastruktur, biometrische Identifizierung sowie Bildung und Berufsbildung. Darüber hinaus zählen dazu KI-Systeme zur Kreditwürdigkeitsprüfung, zur Risikobewertung in der Lebens- und Krankenversicherung sowie zur Unterstützung von Strafverfolgungsbehörden. Die vollständige Liste der Hochrisikobereiche findet sich in Anhang III der Verordnung. Ob ein konkretes System als hochriskant gilt, hängt vom tatsächlichen Einsatzzweck ab.

Ja. Der EU AI Act unterscheidet zwischen Anbietern (wer ein KI-System in der EU auf den Markt bringt oder in Betrieb nimmt) und Betreibern (wer ein KI-System im eigenen beruflichen Kontext einsetzt). Das bedeutet: Wer ChatGPT, ein Bewerbungstool oder eine KI-gestützte CRM-Funktion im Unternehmen nutzt, kann unter den AI Act fallen. Auch reine Anwender tragen Pflichten — insbesondere beim Einsatz von Hochrisiko-KI-Systemen.