Securance-iAP Prüfung & Auditierung
Buchen Sie jetzt ein kostenloses Kennenlerngespräch

Wir begleiten Unternehmen bei der Umsetzung der EU AI Act-Anforderungen,
von der Betroffenheitsanalyse über die Risikoklassifizierung Ihrer KI-Systeme
bis hin zur Integration in bestehende Strukturen.

EU AI Act – Einheitliche KI-Regulierung in der EU

Beratung I EU AI Act

Buchen Sie jetzt ein kostenloses Kennenlerngespräch
NIS 2 – Einheitliche Cybersicherheits-
standards in der EU
Prüfung & Implementierung I NIS 2

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) wurde vom Europäischen Parlament und dem Rat der EU verabschiedet, um einheitliche, verbindliche Anforderungen für die Entwicklung, den Einsatz und die Verwendung von KI-Systemen innerhalb der EU zu schaffen – abgestuft nach dem Risiko, das diese Systeme für Gesundheit, Sicherheit und Grundrechte darstellen.

Ziel ist es, einen einheitlichen Binnenmarkt für KI-gestützte Produkte und Dienstleistungen zu fördern und gleichzeitig Transparenzpflichten sowie die Verantwortung von Anbietern und Betreibern auf allen Ebenen zu stärken.

Deutschland setzt den EU AI Act mit dem KI-Marktüberwachungs- und Innovationsförderungs-Gesetz (KI-MIG) um und benennt die Bundesnetzagentur als zentrale Aufsichts- und Anlaufstelle. Der Kabinettsbeschluss fiel im Februar 2026 – das Gesetz durchläuft derzeit noch Bundestag und Bundesrat.

Schritt für Schritt zum EU AI Act

Möchten Sie mehr über den EU AI Act erfahren und wie Ihr Unternehmen die Anforderungen systematisch umsetzen kann?

Was bedeutet der EU AI Act konkret für Ihr Unternehmen – und wo müssen Sie jetzt handeln? Unser kostenloses Whitepaper führt Sie durch den risikobasierten Ansatz der Verordnung und macht deutlich, welche Pflichten für Sie konkret entstehen.

Erfahren Sie außerdem, welche Rolle ein internes Kontrollsystem (IKS) bei der Umsetzung des EU AI Acts spielt.

Schritt-fuer-Schritt-Anleitung_EU_AI_Act
Schritt fuer Schritt Anleitung EU AI Act 1 1

Was sind die Inhalte vom EU AI Act ?

Wen betrifft der EU AI Act?

Ob ein Unternehmen vom EU AI Act betroffen ist, hängt nicht von Branche oder Unternehmensgröße ab — sondern von seiner Rolle im Umgang mit KI-Systemen.

  • Anbieter entwickeln KI-Systeme und bringen sie in Verkehr — auch für den eigenen Einsatz. Sie tragen die umfassendsten Pflichten.
  • Betreiber setzen KI-Systeme unter eigener Verantwortung ein — auch wenn sie diese nicht selbst entwickelt haben. Der Kauf oder die Lizenzierung eines Systems entbindet nicht von eigenen Pflichten.
  • Importeure und Händler führen KI-Systeme aus Drittländern in die EU ein oder stellen sie im Markt bereit — mit anteiligen Konformitätspflichten.

Entscheidend ist außerdem: Der EU AI Act gilt nach dem Marktortprinzip. Jedes Unternehmen, das KI-Systeme in der EU anbietet oder deren Ergebnisse in der EU genutzt werden, unterliegt der Verordnung — unabhängig vom Unternehmenssitz.

Der EU AI Act ist damit Pflicht für alle, die KI-Systeme in der EU entwickeln, einsetzen oder bereitstellen — und zugleich eine Chance für Unternehmen, die Vertrauen bei Kunden, Partnern und Behörden durch nachweisbare KI-Governance aufbauen wollen.

Der risikobasierte Ansatz

Das zentrale Ordnungsprinzip des EU AI Acts ist klar: Je größer das Schadenspotenzial eines KI-Systems, desto strenger die Anforderungen. Nicht die Technologie selbst wird reguliert — sondern der konkrete Einsatzzweck und das damit verbundene Risiko. Der erste und wichtigste Schritt für jedes Unternehmen ist daher die Einordnung der eigenen KI-Systeme in dieses Stufenmodell.

Verbotenes Risiko

Bestimmte KI-Systeme sind vollständig untersagt — unabhängig vom Nutzen. Diese Verbote gelten seit Februar 2025. Beispiele: Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung im öffentlichen Raum.

Hohes Risiko

KI-Systeme, die schwerwiegende Entscheidungen über Menschen beeinflussen, unterliegen umfassenden Governance- und Dokumentationspflichten. Beispiele: Kreditvergabe, Personalentscheidungen, kritische Infrastruktur.

Flag Flag

Begrenztes Risiko

Systeme, die direkt mit Menschen interagieren, müssen offenlegen, dass der Nutzer mit KI kommuniziert. Beispiele: Chatbots, KI-generierte Texte und Bilder, Deepfakes.

Minimales Risiko

Für den Großteil aller KI-Systeme gelten keine gesetzlichen Pflichten. Freiwillige Verhaltenskodizes werden empfohlen. Beispiele: Spam-Filter, Empfehlungssysteme, KI in Spielen.

Ein erster Überblick

Verbotene KI-Praktiken (Art. 5)

Bestimmte KI-Systeme sind im EU AI Act vollständig verboten — unabhängig vom wirtschaftlichen Nutzen. Diese Verbote gelten seit dem 2. Februar 2025 und erfordern sofortiges Handeln, wenn solche Systeme im Unternehmen eingesetzt werden oder wurden.

Dazu zählen unter anderem Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung im öffentlichen Raum sowie Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.

Pflichten für Hochrisiko-KI-Systeme

Wer Hochrisiko-KI-Systeme entwickelt oder einsetzt, trägt die umfangreichsten Pflichten im EU AI Act — von Risikomanagement und technischer Dokumentation über menschliche Aufsicht bis hin zur Konformitätsbewertung vor Inbetriebnahme. Diese Pflichten gelten ab dem 2. August 2026.

Hinzu kommt die KI-Kompetenzpflicht nach Art. 4: Sie gilt bereits seit Februar 2025 und verpflichtet Unternehmen sicherzustellen, dass alle Personen, die KI-Systeme einsetzen oder überwachen, nachweislich über die notwendigen Kenntnisse verfügen.

Transparenzpflichten (Art. 50)

Auch unterhalb der Hochrisiko-Schwelle kennt der EU AI Act verbindliche Anforderungen. Wer KI-Systeme einsetzt, die direkt mit Menschen interagieren oder Inhalte erzeugen, muss offenlegen, dass KI im Spiel ist — etwa bei Chatbots, automatisierten Assistenzsystemen oder KI-generierten Texten, Bildern und Videos.

Wichtig: Diese Pflichten hängen nicht von der Risikoeinstufung eines Systems ab. Ob Kundenservice, Marketing oder interne Kommunikation — sobald KI sichtbar oder verdeckt mit Menschen interagiert oder Inhalte erzeugt, greift Art. 50. Deepfakes und synthetische Medieninhalte müssen zusätzlich explizit als solche gekennzeichnet sein. Die Pflichten gelten ab dem 2. August 2026.

Unser EU AI Act-Angebot – so läuft es ab

  • Betroffenheitsanalyse

    1

    Geprüft wird, ob und in welchem Umfang Ihr Unternehmen unter den EU AI Act fällt — anhand Ihrer Rolle, des Einsatzzwecks Ihrer KI-Systeme und der Einordnung in die regulatorischen Risikoklassen. Die Bewertung mündet in einem verbindlichen Handlungsrahmen für die Geschäftsleitung.

  • AI Act Readiness Assessment

    2

    Wir gleichen Ihren Ist-Zustand systematisch gegen die Anforderungen des EU AI Acts ab und überführen identifizierte Lücken in einen priorisierten Maßnahmenplan mit klaren Verantwortlichkeiten.

  • Umsetzung & Integration in Ihr IKS/ISMS

    3

    Die identifizierten Anforderungen werden in Ihre bestehenden Governance- und Kontrollstrukturen integriert — angepasst an Ihre vorhandenen Strukturen und regulatorischen Prioritäten, mit belastbarer Dokumentation und einer soliden Vorbereitung auf regulatorische Prüfungen.

ZurückWeiter

Welche Vorteile bringt dies?

NACHWEISBAR REGELKONFORM GEGENÜBER MARKTÜBERWACHUNGSBEHÖRDEN

KI-KONFORMITÄT ALS WETTBEWERBS- UND AUSWAHLKRITERIUM BEI KUNDEN UND PARTNERN

VERMEIDUNG EMPFINDLICHER SANKTIONEN BEI NICHT-KONFORMEM KI-EINSATZ

Warum mit uns?

Effizienz. Fachwissen. Nähe.

Securance unterstützt Unternehmen seit vielen Jahren erfolgreich bei IT-Zertifizierungen wie BSI C5, SOC 2, ISAE 3402 und PS 860 – und begleitet Sie gezielt bei der strukturierten Umsetzung der Anforderungen des EU AI Acts.

Mit fundierter Erfahrung in Informationssicherheit, internen Kontrollsystemen und regulatorischer Compliance verstehen wir Ihre Geschäftsabläufe – und begleiten Sie von der ersten Betroffenheitsanalyse bis zur nachweisfähigen Umsetzung.

Dabei bieten wir weit mehr als reine Audit-Services: Sie erhalten von uns gezielte Hinweise und Optimierungsvorschläge zur Steigerung Ihrer Sicherheits- und Compliance-Performance.

FAQ

Häufig gestellte Fragen und unsere Antworten darauf

Der EU AI Act (Verordnung (EU) 2024/1689) ist eine EU-Verordnung zur Regulierung von Künstlicher Intelligenz, die seit August 2024 in Kraft ist und unmittelbar in allen EU-Mitgliedstaaten gilt — ohne nationale Umsetzungsgesetze. Die Verordnung verfolgt einen risikobasierten Ansatz: KI-Systeme werden nach ihrem Schadenspotenzial in vier Kategorien eingeteilt (verboten, Hochrisiko, begrenztes Risiko, minimales Risiko), und die Pflichten für Unternehmen richten sich nach dieser Einstufung. Sie gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen — unabhängig davon, ob sie ihren Sitz in der EU haben.

Ja. Der EU AI Act unterscheidet zwischen Anbietern (wer ein KI-System in der EU auf den Markt bringt oder in Betrieb nimmt) und Betreibern (wer ein KI-System im eigenen beruflichen Kontext einsetzt). Das bedeutet: Wer ChatGPT, ein Bewerbungstool oder eine KI-gestützte CRM-Funktion im Unternehmen nutzt, kann unter den AI Act fallen. Auch reine Anwender tragen Pflichten — insbesondere beim Einsatz von Hochrisiko-KI-Systemen.

Der EU AI Act folgt einem gestaffelten Zeitplan: Seit dem 2. Februar 2025 sind verbotene KI-Praktiken untersagt. Ab dem 2. August 2025 gelten Regeln für GPAI-Modelle, neue Governance-Strukturen und Sanktionsmechanismen. Ab dem 2. August 2026 greifen die verbleibenden Bestimmungen — insbesondere für Hochrisiko-KI-Systeme. Bereits seit dem 2. Februar 2025 gilt zudem die KI-Kompetenzpflicht nach Artikel 4 für alle Unternehmen, die KI einsetzen.

Hochrisiko-KI-Systeme fallen in Bereiche wie Personalmanagement und Beschäftigung (z. B. Recruiting-Software), kritische Infrastruktur, biometrische Identifizierung sowie Bildung und Berufsbildung. Darüber hinaus zählen dazu KI-Systeme zur Kreditwürdigkeitsprüfung, zur Risikobewertung in der Lebens- und Krankenversicherung sowie zur Unterstützung von Strafverfolgungsbehörden. Die vollständige Liste der Hochrisikobereiche findet sich in Anhang III der Verordnung. Ob ein konkretes System als hochriskant gilt, hängt vom tatsächlichen Einsatzzweck ab.

Für Hochrisiko-KI-Systeme gelten Anforderungen aus den Artikeln 8 bis 15 der Verordnung: Unternehmen müssen ein Risikomanagementsystem einrichten, Qualitätskriterien für Trainingsdaten einhalten, eine technische Dokumentation erstellen, Protokollierungsfunktionen implementieren, menschliche Aufsicht sicherstellen sowie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit gewährleisten. Zusätzlich sind Hochrisiko-Systeme in einer EU-Datenbank zu registrieren.

Verboten sind unter anderem Social Scoring, Emotionserkennung in Arbeits- und Bildungsumgebungen, biometrische Kategorisierung nach sensiblen Merkmalen sowie das ungezielte Scrapen von Gesichtsbildern aus dem Internet.  Diese Verbote gelten seit dem 2. Februar 2025 uneingeschränkt.

BSI C5:2026

BSI C5:2026 veröffentlicht: Was Cloud-Anbieter jetzt wissen und planen müssen

09.04.2026/von Michaela Ibach
NIS2 Umsetzung Unternehmen

NIS2 Umsetzung in Unternehmen: Vom Zertifikat zur nachweisbaren Wirksamkeit

26.03.2026/von Michaela Ibach
SOC 2 Report

SOC 2 Report: Was Unternehmen über SOC 1 und SOC 2 wissen müssen

09.03.2026/von Michaela Ibach
Internes Kontrollsystem IKS

Warum ISO 27001 allein nicht mehr reicht – und wie ein IKS neue Chancen eröffnet

25.02.2026/von Michaela Ibach
Audit Ready für IT-Services

Audit Ready für IT-Services: Was Prüfungsreife heute wirklich bedeutet (3)

03.02.2026/von Michaela Ibach
IKS Aufbau für IT Services

IKS Aufbau für IT‑Services: Von der Theorie zur Prüfungsreife (2)

09.01.2026/von Michaela Ibach
IT-Sicherheitsnachweise_IT-services

IT-Sicherheitsnachweise für IT-Services: Warum Nachweisfähigkeit heute entscheidend ist (1)

08.01.2026/von Michaela Ibach
NIS 2 Richtlinie

NIS-2 Richtlinie: Was sich jetzt für KRITIS-Betreiber, Mittelstand und IT-Dienstleister ändert

02.01.2026/von Michaela Ibach
Mehr laden

Sie möchten mehr über die Anforderungen des EU AI Act und die Implementierung eines internen Kontrollsystems erfahren oder haben Fragen zu unseren Dienstleistungen?
Wir helfen Ihnen gern!

Jetzt Securance kontaktieren und unverbindlich starten