Log in
Sign up
Sumi-e manga lineart of a single brass legal seal resting on plain paper, symbolising the EU AI Act regulatory framework

Sections

EU-KI-Verordnung, der operative Leitfaden für die Compliance 2026

Auf einen Blick

  • Die Verordnung (EU) 2024/1689, kurz EU-KI-Verordnung, ist am 1. August 2024 in Kraft getreten und gilt vollumfänglich ab dem 2. August 2026; verbotene Praktiken sind bereits seit dem 2. Februar 2025 wirksam, die Pflichten für Modelle mit allgemeinem Verwendungszweck seit dem 2. August 2025 (Europäische Kommission).
  • Die Verordnung prüft jedes KI-System parallel an vier Toren: verbotene Praktiken (Artikel 5), Hochrisiko-Systeme (Artikel 6 mit Anhang III), Transparenzpflichten (Artikel 50), Pflichten für KI mit allgemeinem Verwendungszweck (Kapitel V). Ein System kann mehrere Tore gleichzeitig auslösen.
  • Anbieter von Hochrisiko-Systemen müssen ein laufendes Risikomanagement betreiben, Daten kontrolliert beschaffen, dokumentieren, protokollieren, eine wirksame menschliche Aufsicht sicherstellen, eine Konformitätsbewertung durchführen und eine Marktbeobachtung im Rahmen eines Qualitätsmanagementsystems nach Artikel 17 etablieren.
  • Für Anbieter von Modellen mit allgemeinem Verwendungszweck gilt ein Basispflichtenpaket; Modelle mit systemischem Risiko, identifiziert durch den 10^25-FLOPs-Schwellenwert oder die Kriterien aus Anhang XIII, tragen zusätzlich adversariale Bewertung, Vorfallmeldungen und Cybersicherheit (Artikel 51).
  • Bußgelder erreichen den höheren Betrag aus 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken; KMU profitieren von einer Proportionalitätsklausel, und der GPAI-Verhaltenskodex bietet eine dokumentierte Compliance-Spur.

Was die EU-KI-Verordnung tatsächlich regelt

Die EU-KI-Verordnung, formal Verordnung (EU) 2024/1689, ist das weltweit erste horizontale KI-Gesetz. Sie gilt für jedes KI-System, das auf dem Unionsmarkt in Verkehr gebracht wird oder dessen Ausgaben in der Union verwendet werden, unabhängig vom Sitz des Anbieters. Ein US-Start-up, eine britische Plattform, ein japanischer Hersteller, alle fallen in den Anwendungsbereich, sobald ein europäischer Nutzer von den Ausgaben des Systems betroffen sein kann. Der Rechtstext ist am 1. August 2024 in Kraft getreten. Die Pflichten werden gestaffelt aktiv: verbotene Praktiken am 2. Februar 2025, GPAI-Pflichten am 2. August 2025, der Hauptteil des Regimes einschließlich aller Hochrisiko-Anwendungen aus Anhang III am 2. August 2026, integrierte Pflichten für Produkte aus Anhang I am 2. August 2027 (AI Act Service Desk). Die Kommission hat im Februar 2025 zwei bindende Auslegungsdokumente veröffentlicht. Das erste präzisiert, was ein KI-System nach Artikel 3 Absatz 1 ist, auf Basis von sieben Merkmalen: maschinengestützter Betrieb, Autonomie, Anpassungsfähigkeit, Zielsetzung, Inferenz, Erzeugung von Ausgaben, Einwirkung auf die Umwelt (Leitlinien zur Definition). Das zweite kommentiert die acht verbotenen Praktiken aus Artikel 5 (Leitlinien zu verbotenen Praktiken). Ohne diese beiden Qualifikationen trägt der Rest der Verordnung nicht. Am 7. Mai 2026 haben Rat und Europäisches Parlament eine politische Einigung getroffen, das Regime zu vereinfachen, insbesondere die Dokumentationslast für KMU (Pressemitteilung des Rates). Die in diesem Leitfaden beschriebenen materiellen Pflichten ändern sich dadurch nicht; nur die Umsetzungsformalitäten werden gelockert.

Die vier Risikoebenen, entschlüsselt

Die Verordnung sortiert KI-Systeme nicht in vier saubere Schubladen. Sie lässt jedes System parallel durch vier Prüfungen laufen, und ein System kann mehrere Prüfungen auslösen. Jede Prüfung ist ein eigenständiges Tor.

Unannehmbares Risiko, Artikel 5

Artikel 5 verbietet acht Familien von KI-Praktiken vollständig, mit engen Ausnahmen: unterschwellige Manipulation mit erheblichem Schaden, Ausnutzung von Schutzbedürftigkeit aufgrund von Alter oder Behinderung, Social Scoring durch öffentliche Behörden, vorhersagende Polizeiarbeit allein durch Profiling, ungezieltes Scrapen von Gesichtsbildern zum Aufbau von Erkennungsdatenbanken, Emotionserkennung am Arbeitsplatz und in der Schule, biometrische Kategorisierung sensibler Merkmale, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (Artikel 5). Diese Verbote gelten seit dem 2. Februar 2025.

Hohes Risiko, Artikel 6 mit Anhang I und Anhang III

Ein System gilt in zwei Fällen als Hochrisiko-System. Erstens, wenn es Sicherheitsbauteil eines Produkts ist oder selbst ein Produkt darstellt, das sektoralem Unionsrecht aus Anhang I unterliegt (Medizinprodukte, Maschinen, Spielzeug, Kraftfahrzeuge, Luftfahrt). Zweitens, wenn es in einem der acht eigenständigen Anwendungsbereiche aus Anhang III liegt: Biometrie, kritische Infrastruktur, Bildung und Berufsausbildung, Beschäftigung und Personalverwaltung, Zugang zu wesentlichen Diensten, Strafverfolgung, Migration und Grenzkontrolle, Justizverwaltung und demokratische Prozesse (Artikel 6, Anhang III).

Transparenzrisiko, Artikel 50

KI-Systeme mit geringeren Konsequenzen, die mit Menschen interagieren oder synthetische Inhalte erzeugen, müssen sich kenntlich machen. Chatbots müssen ihre maschinelle Natur offenlegen. KI-erzeugte Bilder, Audio und Video, einschließlich Deepfakes, müssen mit maschinenlesbaren Herkunftsmarkierungen versehen werden.

Minimales Risiko

Der Rest, weiterhin die große Mehrheit aller Anwendungsfälle, trägt keine Pflicht. Spamfilter und KI in Videospielen werden ausdrücklich genannt. Die Kommission fördert freiwillige Verhaltenskodizes, doch keine Compliance-Kosten werden auferlegt. Fünf kurze Fragen liefern eine erste Sortierung: Trifft Artikel 5 zu? Fällt das System unter Anhang I oder III? Handelt es sich um ein eigenständiges Modell mit allgemeinem Verwendungszweck? Erzeugt es Inhalte, die menschlich wirken? Berührt es eine Person, die informiert werden sollte? Jedes Ja öffnet eine parallele Spur.

Wer welche Pflichten trägt: Anbieter, Betreiber, Einführer, Händler

Die Verordnung unterscheidet vier Rollen, deren Pflichtenlast sehr unterschiedlich ausfällt. Ein Anbieter entwickelt das System oder lässt es entwickeln und bringt es unter eigenem Namen auf den europäischen Markt. Anbieter tragen die schwerste Last: technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung, EU-Konformitätserklärung, Marktbeobachtung, Eintrag in die EU-Datenbank für Hochrisiko-Systeme, Vorfallmeldungen. Ein Betreiber nutzt das System im Rahmen einer beruflichen Tätigkeit. Seine Pflichten sind leichter, aber konkret: Sicherstellen, dass die menschliche Aufsicht tatsächlich ausgeübt wird, Anbieter-Anweisungen folgen, den Betrieb überwachen, Protokolle führen, in bestimmten Fällen des Anhangs III eine Grundrechte-Folgenabschätzung durchführen, betroffene Beschäftigte am Arbeitsplatz informieren. Ein Einführer bringt das System eines Drittland-Anbieters auf den Unionsmarkt. Er prüft, dass die Konformitätsarbeit erledigt, die Dokumentation vollständig und die Kontaktstellen erreichbar sind. Ein Händler macht das System in der Lieferkette verfügbar, ohne es zu verändern. Er prüft, dass CE-Kennzeichnung und erforderliche Dokumente beiliegen, und meldet ernstzunehmende Zweifel. Die KMU-Verhältnismäßigkeit ist eingebaut. KMU und Start-ups erhalten bevorzugten Zugang zu Reallaboren, reduzierte Gebühren bei benannten Stellen und den niedrigeren Schwellenwert in jeder Bußgeldstufe. Das beseitigt die Pflichten nicht, es reduziert die Compliance-Kosten. Wer KI einkauft statt baut, ist fast immer Betreiber, und seine Verträge sollten die Nachweise des Anbieters schriftlich anziehen. Die KI-Governance-Plattform von AI Sigil ist genau um diesen Nachweisfluss herum gebaut: Der Betreiber kann seinen Teil zeigen, ohne die Anbieter-Architektur nachzubilden.

Pflichten für Hochrisiko-Systeme

Anbieter von Hochrisiko-Systemen tragen den Löwenanteil der Pflichten. Die Struktur lässt sich direkt in operative Kontrollen übersetzen. Risikomanagement, Artikel 9. Kontinuierlicher, iterativer Prozess über den gesamten Lebenszyklus. Operativ: ein dokumentiertes Risikoregister, regelmäßige Reviews entlang der Release-Linie, Nachweise, dass Restrisiken an Betreiber kommuniziert wurden. Daten und Daten-Governance, Artikel 10. Trainings-, Validierungs- und Testdaten müssen einschlägig, repräsentativ und so weit machbar fehlerfrei und vollständig sein, mit dokumentierter Aufbereitung. Operativ: Dataset Cards, Sourcing-Logs, Bias-Diagnostik, Aufbewahrungsrichtlinien. Technische Dokumentation, Artikel 11 und Anhang IV. Vollständige Konstruktionsakte: allgemeine Beschreibung, Zweckbestimmung, Architekturentscheidungen, Validierung, Marktbeobachtungsplan. Die Akte bleibt aktuell. Aufzeichnungspflicht, Artikel 12. Automatische Protokollierung des Betriebs über die gesamte Lebensdauer des Systems, die Rückverfolgbarkeit der Ausgaben ermöglicht. Transparenz und Information des Betreibers, Artikel 13. Klare Gebrauchsanweisungen, die Eigenschaften, Fähigkeiten, Grenzen und das erwartete Genauigkeitsniveau abdecken. Menschliche Aufsicht, Artikel 14. Bei der Auslegung mitgedacht, mit risikoproportionalen Maßnahmen, sodass eine natürliche Person eingreifen, interpretieren, überstimmen oder stoppen kann. Genauigkeit, Robustheit und Cybersicherheit, Artikel 15. Definierte und offengelegte Leistungsziele, Widerstandsfähigkeit gegenüber Fehlern und Inkonsistenzen, Cybersicherheitsmaßnahmen, die der Angriffsfläche angemessen sind, insbesondere gegen Datenvergiftung, gegnerische Beispiele und Modellinversion. Qualitätsmanagementsystem, Artikel 17. Das Gerüst, das alles zusammenhält. Ein dokumentiertes Set aus Richtlinien, Verfahren, Zuständigkeiten und Auditakten. Hier zahlt sich die Ausrichtung auf ISO/IEC 42001 am unmittelbarsten aus. Konformitätsbewertung, Artikel 43. Interne Kontrolle für die meisten Anhang-III-Systeme; Prüfung durch eine benannte Stelle bei biometrischer Identifikation und bestimmten Anhang-I-Fällen. Ergebnis: CE-Kennzeichnung, EU-Konformitätserklärung, Eintrag in die EU-Datenbank. Marktbeobachtung und Vorfallmeldung. Betriebsdaten fließen zum Anbieter zurück; schwerwiegende Vorfälle werden den nationalen Behörden in engen Fristen gemeldet. Jeder dieser Blöcke ist, operativ gesehen, eine Kontrollfamilie: ein Verantwortlicher, eine Richtlinie, ein Nachweisartefakt, ein Aktualisierungstakt.

Pflichten für GPAI und systemisches Risiko

Modelle mit allgemeinem Verwendungszweck, die Foundation-Modelle, die vielen nachgelagerten Anwendungen vorgeschaltet sind, haben ein eigenes Kapitel. Sockelpflichten nach Artikel 53, anwendbar für jedes GPAI-Modell, das seit dem 2. August 2025 auf den Unionsmarkt kommt: technische Dokumentation für das AI Office und nachgelagerte Anbieter, urheberrechtskonforme Politik nach Unionsrecht, hinreichend detaillierte Zusammenfassung der Trainingsdaten. Open-Source-Modelle erhalten eine Teilbefreiung, wobei Urheberrecht und Trainingsdaten-Zusammenfassung erhalten bleiben. Einstufung als systemisches Risiko nach Artikel 51. Ein Modell wird mit hoher Wirkungsfähigkeit vermutet, sobald die kumulative Trainingsrechenleistung 10^25 Gleitkommaoperationen übersteigt. Die Kommission kann auch nach den Kriterien aus Anhang XIII benennen: Nutzerzahl, Parameterzahl, Fähigkeits-Benchmarks, nachgelagerte Abhängigkeiten (Artikel 51). Zusätzliche Pflichten nach Artikel 55 für systemische Modelle: standardisierte Modellbewertung einschließlich adversarialer Tests, Bewertung und Mitigation systemischer Risiken auf Unionsebene, Meldung schwerwiegender Vorfälle an das AI Office, angemessene Cybersicherheit für das Modell und seine Infrastruktur (Artikel 55). Die Kommission hat den GPAI-Verhaltenskodex am 10. Juli 2025 veröffentlicht (Kodex-Seite). Die Unterzeichnung ist freiwillig, gilt aber als angemessenes Mittel, die Einhaltung der Artikel 53 und 55 zu belegen.

Governance und Durchsetzung: AI Office, nationale Behörden, Bußgelder

Die Durchsetzung der Verordnung erfolgt auf zwei Ebenen. Das AI Office, angesiedelt in der Kommission, übt direkte Durchsetzungsbefugnisse für Kapitel V (GPAI) aus. Jeder Mitgliedstaat benennt eine oder mehrere Marktaufsichtsbehörden für den Rest. Einige Mitgliedstaaten haben eigene KI-Behörden geschaffen; andere haben das Thema bestehenden Datenschutz- oder Sektorbehörden übertragen (Marktaufsichtsbehörden). Ab dem 2. August 2026 dürfen diese Behörden die Anbieterdokumentation prüfen, auf Trainings- und Validierungsdaten zugreifen und, in definierten Fällen, sogar Zugang zum Quellcode verlangen. Sie können Korrekturmaßnahmen, Marktbeschränkungen oder Rücknahmen anordnen sowie Bußgelder verhängen. Artikel 99 sieht drei Stufen vor (Artikel 99):

  • Verbotene Praktiken: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes, je höher.
  • Verstoß gegen Hochrisiko-Anforderungen oder Transparenzpflichten: bis zu 15 Mio. € oder 3 %.
  • Bereitstellung falscher, unvollständiger oder irreführender Informationen an Behörden: bis zu 7,5 Mio. € oder 1 %.

KMU und Start-ups profitieren vom niedrigeren Wert in jeder Stufe. Die Verordnung verlangt zudem, dass Mitgliedstaaten bis zum 2. August 2026 ein nationales KI-Reallabor bereithalten.

Crosswalk zu ISO/IEC 42001 und NIST AI RMF

Niemand baut KI-Governance allein gegen die Verordnung. Die meisten Teams kombinieren drei Referenzen: ISO/IEC 42001 für das Managementsystem, NIST AI RMF für die operative Risikoarbeit, EU-KI-Verordnung als rechtlicher Sockel. Die Beziehung ist geschichtet. NIST AI RMF liefert die operative Methodik, die Funktionen Govern-Map-Measure-Manage und ein Vokabular zur Risikobehandlung. ISO/IEC 42001, veröffentlicht 2023, ist die erste internationale Managementsystem-Norm für KI; ihre Zertifizierung ist der sauberste Weg, organisatorische Reife zu zeigen. Die EU-KI-Verordnung macht aus diesen freiwilligen Praktiken eine rechtliche Pflicht für Hochrisiko- und GPAI-Systeme. Eine arbeitsfähige Zuordnung auf Pflichtenebene:

  • Artikel 9 Risikomanagement ↔ NIST AI RMF Map und Measure ↔ ISO/IEC 42001 Abschnitte 6.1 und 8.
  • Artikel 10 Daten-Governance ↔ NIST AI RMF Map 4 ↔ Anhang-B-Kontrollen von ISO/IEC 42001.
  • Artikel 11 technische Dokumentation ↔ NIST AI RMF Manage 4 ↔ ISO/IEC 42001 Abschnitt 7.5.
  • Artikel 14 menschliche Aufsicht ↔ NIST AI RMF Govern 1 ↔ ISO/IEC 42001 Kontrolle zu Aufsichtsrollen.
  • Artikel 17 Qualitätsmanagementsystem ↔ das gesamte ISO/IEC-42001-Gehäuse.

CEN-CENELEC bereitet eine harmonisierte Norm vor, prEN 18286, die ISO/IEC 42001 formal mit der Konformitätsbewertung der Verordnung verbindet. Veröffentlichung wird 2026 erwartet.

Zeitplan, Quartal für Quartal

Die meisten Compliance-Verantwortlichen brauchen einen Projektplan, keinen Absatz. Hier der Zeitplan in operativer Form.

  • Q1 2025 (in Kraft). Verbotene Praktiken (Artikel 5) und KI-Kompetenzpflichten (Artikel 4) gelten. Inventar gegen die acht Verbote prüfen und betroffene Systeme abschalten oder radikal umbauen.
  • Q3 2025 (in Kraft). GPAI-Pflichten aus Artikel 53 für neue Modelle aktiv. Governance-Strukturen (AI Office, nationale Behörden) im Einsatz. Modellanbieter brauchen ihre technische Dokumentation und Urheberrechtspolitik bereits.
  • Q3 2026 (acht Wochen vor Start). Der Hauptteil des Regimes greift. Jedes Hochrisiko-System aus Anhang III auf dem Markt braucht eine vollständige Konformitätsbewertungsakte, CE-Kennzeichnung, EU-Datenbank-Eintrag und eine aktive Marktbeobachtung. Nationale Reallabore müssen verfügbar sein.
  • Q3 2027. Hochrisiko-Pflichten erstrecken sich auf KI, die in Produkte des Anhangs I integriert ist (Medizinprodukte, Maschinen, Spielzeug, Kraftfahrzeuge). Sektorale benannte Stellen zeichnen KI-Bauteile ab.

Die politische Einigung vom 7. Mai 2026 verschiebt diese Termine nicht. Sie reduziert die KMU-spezifische Dokumentationslast und einige Erwartungen aus Anhang III.

Wie der Start in den nächsten 90 Tagen gelingt

Wer Mitte 2026 bei null beginnt, sollte vier Schritte vor jeder Perfektion priorisieren.

  1. KI-Inventar aufbauen. Alle KI-Systeme in Produktion, Pilot und Beschaffung listen. Jedes mit Rolle (intern entwickelt, gekauft, in SaaS eingebettet), Funktion und berührten personenbezogenen Daten markieren.
  2. Jedes System gegen die vier Parallelprüfungen klassifizieren. Artikel 5, Artikel 6 und Anhang III, Artikel 50, Kapitel V. In diesem Stadium reicht eine Tabelle.
  3. Lückenanalyse der Hochrisiko- und GPAI-Kandidaten gegen die Artikel 9 bis 17 (und 53 bis 55 bei Modellanbietern). Jede Pflicht als vorhanden, teilweise oder fehlend markieren und einem Verantwortlichen zuweisen.
  4. Nachweis-Gerüst errichten, idealerweise auf einem ISO/IEC-42001-Managementsystem. Jede Pflicht braucht eine Richtlinie, eine Rolle, ein Artefakt und einen Aktualisierungstakt.

Wenn ISO/IEC 42001 bereits läuft, sind etwa 60 % erledigt. Es bleiben die verordnungsspezifischen Artefakte (Konformitätsbewertungsakte, EU-Datenbank-Eintrag, Marktbeobachtungsplan, Vorfallmeldungsprozess).

Häufige Fragen

Ab wann gilt die EU-KI-Verordnung? Die Verordnung ist am 1. August 2024 in Kraft getreten und gilt vollumfänglich ab dem 2. August 2026. Verbotene Praktiken gelten seit dem 2. Februar 2025, GPAI-Pflichten seit dem 2. August 2025. Die Integration in Produkte aus Anhang I greift am 2. August 2027. Die Durchsetzungsbefugnisse der Kommission werden mit dem Hauptteil des Regimes im August 2026 aktiv. Gilt die Verordnung auch außerhalb der EU? Ja. Sie wirkt extraterritorial für jeden Anbieter, der ein KI-System auf den Unionsmarkt bringt, und für jeden Betreiber oder Anbieter, dessen KI-Ausgaben in der Union genutzt werden, unabhängig vom Sitz. Ein US-Entwickler mit einem einzigen EU-Nutzer ist im Anwendungsbereich, vergleichbar mit der DSGVO bei personenbezogenen Daten. Was ist ein Hochrisiko-System? Ein System ist in zwei Fällen Hochrisiko. Erstens, wenn es Sicherheitsbauteil eines Produkts oder selbst ein Produkt ist, das von Sektorrecht aus Anhang I erfasst wird (Medizinprodukte, Maschinen, Kraftfahrzeuge). Zweitens, wenn es einem der acht Bereiche aus Anhang III angehört: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienste, Strafverfolgung, Migration und Grenzen, Justiz und demokratische Prozesse. Was ändert sich für GPAI-Modelle? Jedes GPAI-Modell, das seit dem 2. August 2025 auf den Unionsmarkt kommt, muss eine technische Dokumentation, eine Urheberrechtspolitik und eine hinreichend detaillierte Trainingsdaten-Zusammenfassung veröffentlichen. Modelle, die nach Artikel 51 als systemisch eingestuft sind, also derzeit jene mit mehr als 10^25 FLOPs Trainingsrechenleistung, tragen zusätzlich adversariale Bewertung, Vorfallmeldungen an das AI Office und Risikomitigation auf Unionsebene. Der GPAI-Verhaltenskodex gilt als angemessenes Compliance-Vehikel. Wie hoch sind die Bußgelder? Artikel 99 sieht drei Stufen vor. Verbotene Praktiken bringen bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes, je höher. Verstöße gegen Hochrisiko- oder Transparenzpflichten sind bei 15 Mio. € oder 3 % gedeckelt. Falsche Angaben gegenüber Behörden bei 7,5 Mio. € oder 1 %. KMU bekommen den niedrigeren Wert. Nationale Behörden können parallel Korrekturmaßnahmen oder Marktrücknahmen anordnen. Wie verhält sich die Verordnung zu ISO 42001 und NIST AI RMF? Die drei Referenzen ergänzen sich. NIST AI RMF ist ein freiwilliger Rahmen für Risikomanagement-Operationen. ISO/IEC 42001 ist die Managementsystem-Norm und die sauberste Industrialisierungslinie. Die EU-KI-Verordnung bildet den rechtlichen Sockel. Wer ISO/IEC 42001 betreibt und NIST AI RMF als Methodik nutzt, erfüllt den Großteil der Dokumentations- und Prozesserwartungen der Verordnung; es bleiben die verordnungsspezifischen Artefakte (Konformitätsbewertungsakte, EU-Datenbank-Eintrag, Vorfallmeldungsprozess).

Fazit

Die EU-KI-Verordnung erzwingt eine Frage, die jede operative Stelle ohnehin stellen sollte: welchen KI-Einsatz können Sie schriftlich verteidigen? Die Verordnung erfindet Governance nicht, sie macht sie prüfbar. Teams, die ein ISO/IEC-42001-Managementsystem mit sauberen Nachweisflüssen kombinieren, werden 2026 als Checklistenarbeit abhaken. Wer wartet, wird feststellen, dass Konformitätsbewertung, EU-Datenbank-Eintrag und Marktbeobachtung sich nicht im Eiltempo nachrüsten lassen. Beginnen Sie mit dem Inventar, klassifizieren Sie Ihre Systeme entlang der vier parallelen Prüfungen und wählen Sie den Rahmen, der jede Pflicht in eine Kontrolle umsetzt. Die Verordnung liefert die Standards; aneignen müssen Sie sie selbst.

Dr. Anna Hoffmann

Das größte Risiko generativer KI: Warum Halluzinationen jede andere Schwachstelle überlagern

Das dominante Risiko generativer KI ist weder Bias noch Urheberrecht, sondern die Halluzination. Hier ist der Beleg, und das ergibt sich daraus für Betreiber.

Schatten-KI: Warum unentdeckte KI ein Governance-Problem ist

Schatten-KI bricht die Inventarpflichten der KI-Verordnung, ISO 42001 und des NIST RMF. So entdecken und registrieren Sie sie.

EU-KI-Verordnung, der operative Leitfaden für die Compliance 2026

Verordnung 2024/1689 für Praktiker erklärt. Risikoklassen, GPAI, Konformitätsbewertung, Bußgelder und Compliance-Start mit Zeitplan 2026.

KI-Regulierung 2026: Das Handbuch für Betreiber

KI-Pflichten nach Typ kartieren. Transparenz, Risiko, Marktbeobachtung in EU-KI-Verordnung, NIST, ISO 42001, Europarat-KI-Konvention.

KI-Governance-Tools 2026: Die Compliance-Plattform und das Tool-Umfeld

KI-Governance-Tools bilden zwei Ebenen: eine compliance-native Plattform und ergänzende Werkzeuge. Zuordnung nach Ihrer Rolle unter EU AI Act, ISO 42001 und NIST AI RMF.

Die europäische KI-Verordnung: ein operatives Handbuch für Anbieter und Betreiber

Die europäische KI-Verordnung, nach Rolle entschlüsselt. Anbieter, Betreiber, GPAI: wer muss was bis wann mit welchem Governance-Artefakt liefern.