Log in
Sign up
The Europe Artificial Intelligence Act: A Plain-English Operating Manual for Providers and Deployers

Sections

Die europäische KI-Verordnung: ein operatives Handbuch für Anbieter und Betreiber

Auf einen Blick

  • Die europäische KI-Verordnung ist die Verordnung (EU) 2024/1689, das weltweit erste horizontale Gesetz über künstliche Intelligenz. Sie gilt unmittelbar in allen 27 Mitgliedstaaten, ohne nationale Umsetzung.
  • Sie folgt einer vierstufigen Risikopyramide: inakzeptables Risiko (seit 2. Februar 2025 verboten), hohes Risiko (der Hauptanteil der Pflichten), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (keine spezifischen Pflichten).
  • Vier Akteursrollen sind erfasst (Anbieter, Betreiber, Einführer, Händler), ergänzt um eine separate Schiene für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI). Ihre Rolle bestimmt, welche Artikel für Sie verbindlich sind.
  • Die Fristen sind datiert und gestaffelt: 2. Februar 2025, 2. August 2025, 2. August 2026, 2. August 2027, 2. August 2028.
  • Die Höchstbußen erreichen 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken, 15 Millionen oder 3 % für die meisten anderen Pflichten.

Was die europäische KI-Verordnung tatsächlich ist

Die europäische KI-Verordnung, offiziell Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates, wurde am 13. Juni 2024 unterzeichnet und am 12. Juli 2024 im Amtsblatt veröffentlicht. Sie trat am 1. August 2024 in Kraft und ist ab dem 2. August 2026 vollständig anwendbar, mit mehreren früheren und späteren Stufen, die wir weiter unten abbilden (Europäische Kommission).

Es handelt sich um eine Verordnung, nicht um eine Richtlinie. Der Unterschied ist praktisch entscheidend: Sie gilt unmittelbar in jedem Mitgliedstaat, ohne nationalen Umsetzungsschritt. Ein einheitlicher Text, ein vernetzter Regulierungskreis, dieselben Pflichten von Lissabon bis Tallinn.

Artikel 1(2) beschreibt den Gegenstand in einfachen Worten. Die Verordnung legt harmonisierte Regeln für das Inverkehrbringen von KI-Systemen in der Union fest, verbietet bestimmte Praktiken, regelt spezifische Anforderungen an Hochrisiko-KI-Systeme und Pflichten ihrer Akteure, schreibt Transparenzregeln für bestimmte Systeme vor, organisiert Marktaufsicht und Governance und fördert Innovation (AI Act Service Desk).

Der Anwendungsbereich ist bewusst weit gefasst. Artikel 2 erfasst jeden Anbieter, der ein KI-System oder ein GPAI-Modell auf dem Unionsmarkt in Verkehr bringt, unabhängig vom Sitz, sowie jeden Betreiber mit Sitz oder Aufenthalt in der Union. Entscheidend: Artikel 2(1)(c) erstreckt die Verordnung auf Anbieter und Betreiber außerhalb der EU, sobald die Ausgabe des KI-Systems im Unionsgebiet verwendet wird. Ein US-Anbieter, dessen Modell Kreditanträge in Madrid bewertet, fällt damit ebenfalls in den Anwendungsbereich, auch ohne europäisches Büro.

Wenige Ausnahmen verbleiben. Die Verordnung gilt nicht für KI-Systeme, die ausschließlich für militärische, Verteidigungs- oder nationale Sicherheitszwecke entwickelt und genutzt werden, nicht für wissenschaftliche Forschung und Entwicklung vor dem Inverkehrbringen und nicht für rein persönliche, nicht-berufliche Tätigkeiten natürlicher Personen. Diese Ausnahmen sind eng. Die meisten Unternehmensanwendungen fallen klar unter die Verordnung.

Die risikobasierte Architektur in einer Skizze

Die Verordnung gliedert KI-Systeme in vier Ebenen, jede mit eigenen Pflichten.

Inakzeptables Risiko: verbotene Praktiken

Artikel 5 listet Praktiken auf, die mit den Grundrechten der Union unvereinbar sind. Sie sind seit dem 2. Februar 2025 untersagt. Die Liste umfasst subliminale Manipulation, die das Verhalten wesentlich verzerrt und Schaden verursacht, die Ausnutzung von Schutzbedürftigkeiten aufgrund von Alter oder Behinderung, Social Scoring durch öffentliche Behörden, das ungezielte Auslesen von Gesichtsbildern zum Aufbau von Erkennungsdatenbanken und biometrische Echtzeit-Fernidentifikation in öffentlich zugänglichen Räumen durch Strafverfolgungsbehörden (mit engen Ausnahmen).

Fällt ein System unter diese Liste, hilft weder Risikobewertung noch Dokumentation noch menschliche Aufsicht. Sie nehmen das System vom Markt, oder Sie tragen die höchsten Bußen der Verordnung.

Hohes Risiko: hier liegt die Hauptlast der Pflichten

Ein System ist hochriskant in zwei Fällen. Erstens, wenn es eine Sicherheitskomponente eines Produkts ist, das unter EU-Harmonisierungsvorschriften in Anhang I fällt (Maschinen, Spielzeug, Medizinprodukte, Fahrzeuge, Aufzüge). Zweitens, wenn es in einen der acht Bereiche in Anhang III fällt: Biometrie, kritische Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung und Personalmanagement, Zugang zu wesentlichen privaten und öffentlichen Leistungen, Strafverfolgung, Migration und Grenzkontrolle, Justizverwaltung und demokratische Prozesse (Anhang III).

Artikel 6(3) eröffnet Anbietern eine schmale Ausstiegstür per Selbstbewertung, wenn ihr Anhang-III-System nur eine prozedurale Aufgabe erfüllt oder das Ergebnis einer vorherigen menschlichen Tätigkeit verbessert. Artikel 6(4) ist eindeutig: Anbieter, die zu diesem Schluss kommen, müssen ihre Bewertung vor dem Inverkehrbringen schriftlich dokumentieren und das System in der EU-Datenbank nach Artikel 49(2) registrieren. Der Ausstieg ist keine Abkürzung. Es ist eine dokumentierte, behördlich überprüfbare Entscheidung.

Begrenztes Risiko: Transparenzpflichten

Artikel 50 erlegt Chatbots, Emotionserkennungssystemen, biometrischer Kategorisierung und synthetischen Inhalten (Deepfakes) eine dünne Schicht Informationspflichten auf. Endnutzer müssen erfahren, dass sie mit einer KI interagieren, und KI-generierte Medien müssen maschinenlesbar als solche kenntlich sein.

Minimales Risiko: keine spezifische Pflicht

Spamfilter, Empfehlungssysteme in nicht wesentlichen Kontexten, KI in Spielen. Die Verordnung verlangt nichts über freiwillige Verhaltenskodizes hinaus. Hier sitzt der Großteil der Unternehmens-KI, weshalb das vierstufige Bild entscheidend ist: Bürden Sie sich kein strengeres Regime auf, als das Gesetz fordert.

Sind Sie Anbieter, Betreiber, Einführer oder Händler?

Der teuerste Fehler zu Beginn eines KI-VO-Programms besteht darin, die Rollenklassifizierung zu überspringen und einfach anzunehmen, man sei der Betreiber. Die Rolle bestimmt die Pflichten weit mehr als die Technologie.

  • Anbieter: Stelle, die ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen oder Markenzeichen in Verkehr bringt oder in Betrieb nimmt, unentgeltlich oder entgeltlich. Artikel 3(3).
  • Betreiber: Stelle, die ein KI-System unter eigener Aufsicht verwendet, sofern die Nutzung nicht rein persönlich und nicht-beruflich ist. Artikel 3(4).
  • Einführer: natürliche oder juristische Person mit Sitz in der Union, die ein KI-System mit Namen oder Marke eines Drittlandsunternehmens in Verkehr bringt.
  • Händler: jeder andere Akteur in der Lieferkette, der das System ohne Änderung verfügbar macht.

Eine Organisation kann für ein System Anbieter und für ein anderes Betreiber sein. Die Zuordnung erfolgt System für System, nicht Unternehmen für Unternehmen.

Drei Grenzfälle stören die meisten Teams. Erstens White-Labelling: Wer ein Drittanbieter-System unter eigener Marke vertreibt, gilt nach Artikel 25(1)(a) als Anbieter, mit allen Pflichten zu Dokumentation, Konformitätsbewertung und Marktbeobachtung. Zweitens wesentliche Änderung: Wer ein Hochrisiko-System oder ein GPAI-Modell für eine neue Zweckbestimmung feinabstimmt, nachtrainiert oder umnutzt, wird nach Artikel 25(1)(c) ebenfalls Anbieter. Drittens Fine-Tuning eines GPAI-Modells: Wer ein offenes oder lizenziertes GPAI-Modell zu einem nachgelagerten System mit hochriskanter Zweckbestimmung anpasst, wird Anbieter eines Hochrisiko-Systems, nicht bloß Betreiber.

Kartieren Sie jedes KI-System Ihres Portfolios nach diesen vier Rollen, bevor Sie irgendeinen Compliance-Plan schreiben. Erst danach hängen Sie die Pflichten daran.

Was Anbieter von Hochrisiko-Systemen leisten müssen

Anbieter tragen die schwerste Last. Kapitel III, Abschnitt 2 stapelt die Pflichten.

Artikel 9 verlangt ein dokumentiertes Risikomanagementsystem über den gesamten Lebenszyklus, keine einmalige Vorab-Prüfung. Risiken identifiziert, bewertet, nach Markteintritt erneut bewertet, gemindert und geprüft.

Artikel 10 regelt Daten und Datengovernance. Trainings-, Validierungs- und Testdatensätze müssen relevant, ausreichend repräsentativ, soweit wie möglich fehlerfrei und der Zweckbestimmung angemessen sein. Statistische Bias-Kontrollen sind ausdrücklich vorgeschrieben.

Artikel 11 fordert eine technische Dokumentation vor dem Inverkehrbringen. Anhang IV listet die Inhalte auf: allgemeine Beschreibung, Entwurfs- und Entwicklungsprozess, verwendete Daten, Überwachungs- und Kontrollmechanismen, Risikomanagement-Maßnahmen, Änderungsmanagement. Artikel 12 ergänzt automatische Ereignisprotokollierung während des Betriebs mit mindestens sechsmonatiger Aufbewahrung.

Artikel 13 verlangt Transparenz gegenüber den Betreibern: klare Gebrauchsanweisungen, erwartete Genauigkeit, Robustheits- und Cybersicherheitseigenschaften, bekannte Einschränkungen und Bedingungen, unter denen das System für seinen Zweck geeignet ist. Artikel 14 verlangt menschliche Aufsichtsmaßnahmen, die in das System eingebaut werden. Artikel 15 schreibt Genauigkeit, Robustheit und Cybersicherheit vor.

Dann folgt die Konformitätsmaschinerie. Artikel 16 fasst die übergreifenden Pflichten des Anbieters zusammen. Artikel 17 schreibt ein Qualitätsmanagementsystem vor. Artikel 43 legt den Pfad der Konformitätsbewertung fest (interne Kontrolle für die meisten Anhang-III-Systeme, Drittprüfung für bestimmte biometrische Fälle und jedes System, das in ein nach NLF reguliertes Produkt eingebettet ist). Nach bestandener Bewertung stellt der Anbieter eine EU-Konformitätserklärung aus (Artikel 47), bringt die CE-Kennzeichnung an (Artikel 48) und trägt das System in die EU-Datenbank ein (Artikel 49). Marktbeobachtung (Artikel 72) und Meldung schwerwiegender Vorfälle (Artikel 73) laufen über die gesamte Lebensdauer.

Was Betreiber leisten müssen

Die Pflichten der Betreiber sind zahlenmäßig geringer, operativ jedoch oft schwerer, weil sie das System im Produktivbetrieb führen.

Artikel 26 setzt den Rahmen: das System gemäß Gebrauchsanweisung einsetzen, die menschliche Aufsicht qualifizierten natürlichen Personen übertragen, sicherstellen, dass Eingabedaten relevant und ausreichend repräsentativ für die Zweckbestimmung sind, den Betrieb überwachen und bei Risiken nach Artikel 79 aussetzen.

Artikel 26(6) verpflichtet Betreiber, automatisch erzeugte Protokolle mindestens sechs Monate aufzubewahren, sofern sektorales Recht keine längere Frist setzt. Artikel 26(7) verlangt eine vorherige Information der Beschäftigten vor dem Einsatz eines Hochrisiko-Systems am Arbeitsplatz.

Artikel 27 verpflichtet eine bestimmte Untergruppe von Betreibern zu einer Grundrechte-Folgenabschätzung (FRIA): Einrichtungen des öffentlichen Rechts, private Betreiber, die öffentliche Dienstleistungen erbringen, sowie Betreiber von Hochrisiko-Systemen für Bonitätsbewertung oder Tarifierung von Lebens- und Krankenversicherungen. Die FRIA erfasst Zweckbestimmung, betroffene Personengruppen, vorhersehbare Grundrechtsrisiken, Aufsichtsmaßnahmen und Reaktionspläne bei Risikoeintritt. Sie ist keine allgemeine Datenschutz-Folgenabschätzung.

Artikel 4 setzt einen Sockel, der für jeden Betreiber jedes KI-Systems gilt, nicht nur für Hochrisiko-Systeme: KI-Kompetenz der Beschäftigten, die KI-Systeme bedienen oder nutzen. Die Pflicht ist seit 2. Februar 2025 in Kraft, parallel zu den Verboten. Sie ist heute durchsetzbar. Das BSI hat 2025 erste sektorübergreifende Hinweise zur Verzahnung von KI-Kompetenz und IT-Sicherheitskonzepten veröffentlicht.

KI-Modelle mit allgemeinem Verwendungszweck: die zweite regulatorische Schiene

Kapitel V der Verordnung schafft eine parallele Schiene für GPAI-Modelle, die in Artikel 3(63) als Modelle mit erheblicher Allgemeinheit definiert sind, die ein breites Spektrum unterschiedlicher Aufgaben kompetent ausführen können. Artikel 3(66) erweitert dieselbe Logik auf GPAI-Systeme, die auf solchen Modellen aufbauen.

GPAI-Anbieter sehen sich drei Stufen von Pflichten gegenüber. Artikel 53 erfasst alle GPAI-Anbieter: aktuelle technische Modelldokumentation, Bereitstellung der notwendigen Informationen für nachgelagerte Anbieter, Umsetzung einer Urheberrechtspolitik im Einklang mit dem Opt-out der Richtlinie (EU) 2019/790 zum Text- und Data-Mining sowie Veröffentlichung einer hinreichend detaillierten Zusammenfassung der Trainingsinhalte.

Artikel 55 ergänzt Pflichten für GPAI-Modelle mit systemischem Risiko. Die Vermutung stützt sich auf einen Rechenmaßstab als Indikator: Trainingsrechenleistung über 10^25 Fließkommaoperationen löst die Einstufung als systemrelevant aus. Diese Modelle müssen modernste Evaluationen durchlaufen, systemische Risiken auf Unionsebene bewerten und mindern, schwerwiegende Vorfälle dem KI-Büro melden und ausreichende Cybersicherheit gewährleisten.

Die dritte Stufe ist freiwillig, aber praktisch wirksam: der 2025 finalisierte GPAI-Verhaltenskodex verleiht Unterzeichnern eine Konformitätsvermutung.

Zwei operative Folgen für nachgelagerte Organisationen. Erstens: Fine-Tuning verschiebt die Haftung. Eine Bank, die ein GPAI-Modell zu einem Kredit-Scoring-System feinabstimmt, wird Anbieter eines Hochrisiko-Systems nach Artikel 25 und erbt den vollständigen Pflichtenstapel aus Kapitel III, Abschnitt 2. Zweitens: Informationsketten-Pflichten nach Artikel 53(1)(b) zwingen GPAI-Anbieter, Ihnen ein brauchbares Dokumentationspaket zu liefern. Fordern Sie es bereits in der Beschaffung an.

Der Compliance-Zeitplan, den Sie tatsächlich einplanen müssen

Artikel 113 legt einen gestaffelten Anwendungszeitplan fest. Fünf Daten bilden den Rahmen.

  • 2. Februar 2025: Verbote des Artikels 5 gelten, ebenso die KI-Kompetenzpflicht aus Artikel 4. Prüfen Sie zuerst Ihr Portfolio auf verbotene Anwendungen; jedes erfasste System muss bis zu diesem Datum stillgelegt sein.
  • 2. August 2025: GPAI-Pflichten (Kapitel V) gelten, die Governance-Architektur (KI-Büro, KI-Beirat, nationale zuständige Behörden) wird operationell, und der Sanktionsrahmen (Artikel 99) wird für die bereits geltenden Pflichten vollstreckbar.
  • 2. August 2026: der Hauptteil der Verordnung wird anwendbar. Hochrisiko-Pflichten aus Kapitel III, Abschnitt 2, Transparenzpflichten aus Artikel 50, EU-Datenbank, Konformitätsbewertungswege. Auf dieses Datum richten die meisten Teams ihren Plan aus.
  • 2. August 2027: GPAI-Modelle, die vor dem 2. August 2025 in Verkehr gebracht wurden, müssen vollständig konform sein. Die Schonfrist endet.
  • 2. August 2028: erweiterte Übergangsfrist für Hochrisiko-KI-Systeme, die in regulierte Produkte nach Anhang I, Abschnitt A eingebettet sind (Maschinen, Medizinprodukte, In-vitro-Diagnostika usw.).

Die gestaffelte Anwendung bedeutet, dass ein einziges KI-Portfolio heute schon Pflichten trägt, im August weitere und eine letzte Welle im Jahr 2028. Planen Sie in Wellen, nicht in einem Big Bang.

Sanktionen und Vollzug

Artikel 99 sieht drei Sanktionsbereiche vor. Verbotene Praktiken: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes des Vorjahres, je nachdem, was höher ist. Die meisten anderen Pflichten (Hochrisiko-Anforderungen, Transparenz, Marktbeobachtung): bis zu 15 Millionen oder 3 % des Umsatzes. Irreführende Angaben gegenüber Behörden: bis zu 7,5 Millionen oder 1 %.

Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge, nicht der höhere. Der Gesetzgeber hat diese Regel kalibriert, um kleine Akteure nicht zu überlasten, und gleichzeitig den Abschreckungseffekt für Hyperscaler zu erhalten.

Der Vollzug läuft über drei Ebenen. Das KI-Büro, angesiedelt bei der GD CONNECT, hat ab dem 2. August 2026 direkte Durchsetzungsbefugnisse gegenüber GPAI-Anbietern. Nationale zuständige Behörden, von jedem Mitgliedstaat benannt, beaufsichtigen KI-Systeme im eigenen Hoheitsgebiet. Der Europäische KI-Beirat koordiniert das Netzwerk, harmonisiert die Praxis und gibt Stellungnahmen zu strittigen Einstufungen ab. Der Europäische Datenschutzbeauftragte ist für die Unionsorgane zuständig.

Die Governance-Artefakte, die die Verordnung von Ihnen verlangt

Die Verordnung ist um Dokumente herum gebaut, die Sie auf Verlangen vorzeigen können müssen. Wenn Sie sie als Artefaktliste operationalisieren, ordnet sich der Rest des Programms.

  • Risikomanagement-Akte (Artikel 9): lebendes Register identifizierter Risiken, Restrisiken, Minderungsmaßnahmen und der Begründung für akzeptierte Restrisiken.
  • Technische Dokumentation (Artikel 11 + Anhang IV): Vormarkt-Dossier, das der Anbieter der Konformitätsbewertungsstelle und den Behörden auf Verlangen vorlegt.
  • Automatisch erzeugte Protokolle (Artikel 12): mindestens sechs Monate aufbewahrt, unveränderlich, abfragbar.
  • Gebrauchsanweisungen (Artikel 13): das betreiberorientierte Handbuch mit Grenzen, Genauigkeit, Aufsichtsanforderungen.
  • Qualitätsmanagementsystem-Dokumentation (Artikel 17): organisatorisches Rückgrat des Anbieters mit Zuständigkeiten, Eskalationswegen und Ressourcen.
  • EU-Konformitätserklärung (Artikel 47) und Aufzeichnungen zur CE-Kennzeichnung (Artikel 48).
  • Eintragung in die EU-Datenbank (Artikel 49): öffentlich einsehbarer Eintrag für Hochrisiko-Systeme.
  • Marktbeobachtungsplan (Artikel 72) und Meldungen schwerwiegender Vorfälle (Artikel 73).
  • Grundrechte-Folgenabschätzung (Artikel 27): Dossier auf Betreiberseite.
  • KI-Kompetenz-Programmaufzeichnungen (Artikel 4): Schulungspläne und Teilnahmenachweise.

Wer das Artefakt besitzt, besitzt die Pflicht. Ordnen Sie jedes vor dem Marktstart einer Fachabteilung zu: Recht führt die Konformitätserklärung, Risiko führt die FRIA, MLOps führt die Protokolle, HR führt die KI-Kompetenz, Einkauf führt die GPAI-Dokumentationskette.

Häufige Fragen

Ist mein Chatbot nach der europäischen KI-Verordnung hochriskant? Ein allgemeiner Kunden-Chatbot fällt in der Regel unter begrenztes Risiko und löst nur die Transparenzpflicht aus Artikel 50 aus (den Nutzer darüber informieren, dass er mit einer KI spricht). Er wird hochriskant, sobald er in einen Anhang-III-Anwendungsfall eingebettet ist, etwa Vorauswahl von Bewerbungen oder Zugang zu öffentlichen Leistungen. Die Einstufung folgt der Zweckbestimmung, nicht dem zugrunde liegenden Modell. Gleicher Chatbot, anderer Einsatz, andere Risikostufe.

Gilt die Verordnung für ein US-Unternehmen ohne EU-Büro? Ja, sobald die Ausgabe des KI-Systems in der Union verwendet wird. Artikel 2(1)(c) bezieht Anbieter und Betreiber aus Drittländern ein, sobald ihre Ausgabe das Unionsgebiet erreicht. Ein US-Anbieter, der Kreditanträge für eine spanische Bank bewertet, ist erfasst. Er muss nach Artikel 22 einen Bevollmächtigten in der Union benennen und die Anbieterpflichten erfüllen.

Wann gilt das Gesetz für ein Modell, das vor August 2025 trainiert wurde? GPAI-Modelle, die vor dem 2. August 2025 in Verkehr gebracht wurden, haben eine Übergangsfrist und müssen spätestens bis 2. August 2027 vollständig konform sein. KI-Systeme, die vor dem 2. August 2026 in Betrieb genommen wurden, werden nicht rückwirkend erfasst, jede wesentliche Änderung nach diesem Datum löst jedoch die vollständige Anwendung aus.

Was passiert, wenn ich ein GPAI-Modell feinabstimme? Werde ich Anbieter? Es hängt vom Ergebnis ab. Wer ein GPAI-Modell zu einem nachgelagerten System mit neuer Zweckbestimmung verfeinert, wird Anbieter dieses Systems nach Artikel 25. Liegt der neue Zweck im Hochrisiko-Bereich (Kreditwürdigkeit, Personalauswahl, medizinische Triage), erbt er den vollständigen Pflichtenkatalog aus Kapitel III, Abschnitt 2. Erwägungsgrund 109 und Artikel 25(2) bilden den Prüfrahmen.

Sind Open-Source-Modelle ausgenommen? Teilweise. Artikel 2(12) nimmt freie und Open-Source-KI-Komponenten von den meisten Pflichten aus, mit Vorbehalten. Die Ausnahme gilt nicht für GPAI-Modelle mit systemischem Risiko, nicht für Systeme, die als Hochrisiko-KI genutzt werden, und nicht für Fälle der Artikel-5-Verbote. Open Source ist kein Freibrief, sondern ein eng begrenzter Schutzraum.

Wie greift die KI-Verordnung in die DSGVO ein? Beide Verordnungen gelten kumulativ. Die DSGVO regelt die Verarbeitung personenbezogener Daten; die KI-Verordnung regelt das KI-System selbst. Artikel 26(7) und 27 verweisen ausdrücklich auf die Datenschutz-Folgenabschätzung nach DSGVO. Eine Hochrisiko-KI, die personenbezogene Daten verarbeitet, benötigt eine DSFA nach Artikel 35 DSGVO und gegebenenfalls eine FRIA nach Artikel 27 der KI-Verordnung. Der Europäische Datenschutzausschuss hat 2025 Hinweise veröffentlicht, wie beide Folgenabschätzungen ohne Mehrarbeit zusammengeführt werden.

Wie verhält sich ISO 42001 zur europäischen KI-Verordnung? ISO/IEC 42001 ist eine freiwillige Norm für ein KI-Managementsystem. CEN-CENELEC entwirft harmonisierte europäische Normen (die Familie prEN 18228 und die Terminologiegrundlage prEN 18282), die nach Veröffentlichung nach Artikel 40 eine Konformitätsvermutung für bestimmte Artikel der Verordnung auslösen. Die heutige Einführung von ISO 42001 ist ein glaubwürdiger Zwischenschritt, da die Norm viele der Management-Kontrollen abdeckt, die die künftige harmonisierte EN verlangen wird.

Schlussfolgerung

Die europäische KI-Verordnung ist keine einzelne Frist. Sie ist ein Zeitplan in fünf Daten, vier Akteursrollen, eine vierstufige Risikopyramide, eine zweite Schiene für Modelle mit allgemeinem Verwendungszweck und etwa ein Dutzend benannter Artefakte, die Sie auf Verlangen vorlegen können müssen. Teams, die den Text als juristische Lektüre behandeln, verfehlen den Punkt. Teams, die ihn als Betriebshandbuch behandeln, Rolle für Rolle, System für System, Artefakt für Artefakt, schließen das Programm ohne Überraschungen ab.

Wenn Sie ein KI-Portfolio in der EU steuern, beginnen Sie mit der Rollenklassifizierung, hängen Sie die Pflichten System für System daran, bauen Sie die Artefaktliste als Backlog auf und staffeln Sie die Arbeit entlang der datierten Meilensteine. AI Sigil ist genau um dieses Betriebsmodell herum gebaut: die AI Sigil Plattform liefert den Governance-Rahmen, der die Pflichten der Verordnung auf die Artefakte abbildet, die Ihr Team produzieren muss.

Dr. Anna Hoffmann

Die europäische KI-Verordnung: ein operatives Handbuch für Anbieter und Betreiber

Die europäische KI-Verordnung, nach Rolle entschlüsselt. Anbieter, Betreiber, GPAI: wer muss was bis wann mit welchem Governance-Artefakt liefern.

Gesetze zur künstlichen Intelligenz im Jahr 2026: die globale Compliance-Landkarte

Anbieter, Betreiber oder GPAI-Anbieter? So greifen KI-Verordnung, US-Recht, NIST AI RMF und ISO/IEC 42001 im Jahr 2026 ineinander, mit Checkliste.

KI-Governance-Rahmenwerk: Der vollständige Leitfaden

NIST AI RMF, ISO 42001, EU-KI-Verordnung und OECD-Grundsätze im Vergleich. Erfahren Sie, welches Rahmenwerk Ihr Unternehmen braucht und wie Sie alle gemeinsam einsetzen.

Human-in-the-Loop vs. Human-on-the-Loop: Leitfaden zur KI-Aufsicht

Human-in-the-Loop oder Human-on-the-Loop: sieben Entscheidungsachsen, Artikel 14 der KI-Verordnung und Verankerung in ISO/IEC 42001.

KI-Governance-Frameworks: NIST AI RMF, ISO 42001, EU-KI-Verordnung und OECD-Prinzipien im Vergleich (2026)

NIST AI RMF, ISO/IEC 42001, EU-KI-Verordnung und OECD-KI-Prinzipien im Vergleich, mit Control-Mapping und Entscheidungsbaum zur Framework-Wahl.

ISO 42001 deckt die KI-Verordnung nicht ab: der echte Konformitäts-Baukasten

Eine ISO-42001-Zertifizierung allein macht Sie nicht KI-Verordnungs-konform. Das ist der vollständige Baukasten harmonisierter Normen und seine operative Umsetzung.