EU AI Act · ISO/IEC 42001 · KI-Managementsystem
EU AI Act: Ist Ihr Unternehmen auf die Hochrisiko‑Pflichten vorbereitet?
Der EU AI Act ist seit dem 1. August 2024 geltendes EU-Recht. Ab dem 2. August 2026 greifen die Pflichten für Hochrisiko-KI-Systeme — in rund 16 Monaten. Der Aufbau eines konformen KI-Managementsystems dauert 6 bis 12 Monate. Das Handlungsfenster schließt sich.
Dr. Bernhard Krömer
ISO/IEC 42001 Professional (TÜV)
ISO 27001 Lead Auditor
16 aktive Qualifikationen
16 aktive Qualifikationen
Zeitstrahl
Drei Meilensteine
01.08.2024
EU AI Act in Kraft getreten
Die Verordnung ist unmittelbar geltendes EU-Recht. Die Umsetzungsfristen sind gestaffelt: Verbotene Praktiken seit Februar 2025, Hochrisiko-Pflichten (Anhang III) ab August 2026, KI in regulierten Produkten (Anhang I) ab August 2027.
01.08.2024
Verbotene KI-Praktiken greifen
Seit diesem Datum verboten (Art. 5): unterschwellige Manipulation und täuschende Techniken, Ausnutzung der Schutzbedürftigkeit von Personen (Alter, Behinderung, soziale Lage), Social Scoring, Vorhersage von Straftaten allein auf Basis von Profiling, ungerichtetes Scraping von Gesichtsbildern für Datenbanken, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, biometrische Kategorisierung zur Ableitung sensibler Merkmale (Rasse, Religion, sexuelle Orientierung), biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit eng definierten Ausnahmen für die Strafverfolgung). Die EU-Kommission hat am 4. Februar 2025 nicht bindende Leitlinien zu diesen Verboten veröffentlicht.
02.08.2026
Pflichten für Hochrisiko-KI-Systeme
Ab diesem Datum gelten die vollständigen Anforderungen an Hochrisiko-KI-Systeme gemäß Anhang III: Risikomanagement, Datengovernance, technische Dokumentation, menschliche Überwachung, Genauigkeit, Robustheit, Cybersecurity. Hinweis: Der Digital Omnibus der EU-Kommission (November 2025) schlägt eine Verschiebung auf maximal Dezember 2027 vor. Stand März 2026 ist der Trilog noch nicht gestartet — der 2. August 2026 bleibt rechtlich bindend.
Einordnung
Was der EU AI Act für Ihr Unternehmen bedeutet
Der EU AI Act (Verordnung (EU) 2024/1689) reguliert den Einsatz von Künstlicher Intelligenz in der EU. Er klassifiziert KI-Systeme nach ihrem Risiko und legt abgestufte Pflichten fest. Für Ihr Unternehmen bedeutet das konkret: Wenn Sie KI einsetzen — in HR, Produktion, Qualitätssicherung, Kundenservice oder Einkauf —, müssen Sie wissen, welche Risikostufe Ihre Systeme haben und welche Pflichten daraus folgen. Das gilt unabhängig davon, ob Sie KI selbst entwickeln oder Lösungen von Drittanbietern wie Microsoft, SAP oder spezialisierten Anbietern nutzen.
| Risikostufe | Beschreibung | Pflichten | Zeitpunkt |
|---|---|---|---|
| Unakzeptables Risiko | KI-Systeme, die gegen EU-Grundwerte verstoßen: unterschwellige Manipulation, Ausnutzung von Schutzbedürftigkeit, Social Scoring, prädiktives Policing auf reiner Profiling-Basis, ungerichtetes Gesichtsbild-Scraping, Emotionserkennung am Arbeitsplatz/in Bildungseinrichtungen, biometrische Kategorisierung sensibler Merkmale, biometrische Echtzeit-Fernidentifizierung (mit engen Ausnahmen). | Vollständig verboten. | Seit 02.02.2025 |
| Hochrisiko | KI-Systeme in kritischen Bereichen gemäß Anhang III: Personalwesen (Bewerbervorauswahl, Leistungsbewertung), Kreditvergabe und Versicherung, kritische Infrastruktur, Bildung, Justiz, Migration, biometrische Identifizierung. Beispiel: Ein KI-basiertes HR-Tool zur Vorauswahl von Bewerbungen ist ein Hochrisiko-System — unabhängig davon, ob es selbst entwickelt oder als Dienst eingekauft wurde. | Strikte Pflichten: Risikomanagement, Datengovernance, Dokumentation, menschliche Überwachung, Genauigkeit, Robustheit, Cybersecurity. | Ab 02.08.2026 |
| Transparenzrisiko | KI-Systeme, die mit Menschen interagieren (Chatbots, Deepfakes, emotionserkennende Systeme). | Transparenzpflichten: Nutzer müssen informiert werden, dass sie mit KI interagieren oder dass Inhalte KI-generiert sind. | Ab 02.08.2026 |
| Minimales / Kein Risiko | Alle übrigen KI-Systeme (z. B. Spam-Filter, KI-gestützte Computerspiele). | Keine spezifischen Pflichten — freiwillige Verhaltenskodizes werden empfohlen. | Keine Frist |
Pflichten
Was Ihr Unternehmen vor dem 2. August 2026 sicherstellen muss
Vor Inbetriebnahme
Art. 9
Risikomanagement
Einrichtung eines Risikomanagementsystems über den gesamten Lebenszyklus des KI-Systems. Identifizierung und Bewertung bekannter und vernünftigerweise vorhersehbarer Risiken — einschließlich Risiken bei bestimmungsgemäßem Gebrauch und bei vorhersehbarer Fehlanwendung. Risikominderungsmaßnahmen und Restrisikobewertung. Besondere Prüfung: mögliche Auswirkungen auf Personen unter 18 Jahren und andere vulnerable Gruppen.
Art. 10
Datengovernance
Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ, möglichst fehlerfrei und vollständig sein. Prüfung auf Verzerrungen (Bias) und Ergreifen von Gegenmaßnahmen. Dokumentation der Datenherkunft, Datenaufbereitung und Datenannahmen.
Art. 11
Technische Dokumentation
Umfassende technische Dokumentation vor Inbetriebnahme. Nachweis der Konformität mit den Anforderungen des EU AI Act. Dokumentation muss für Behörden zugänglich und verständlich sein. Für KMU stellt die Kommission ein vereinfachtes Dokumentationsformular bereit.
Art. 14
Menschliche Überwachung
Hochrisiko-KI-Systeme müssen so gestaltet sein, dass sie von natürlichen Personen wirksam überwacht werden können. Die überwachende Person muss die Fähigkeiten und Grenzen des Systems verstehen, Anomalien erkennen, das Risiko von Automatisierungsverzerrung (Automation Bias) kennen und in der Lage sein, die Ausgabe zu übersteuern oder das System abzuschalten.
Art. 72
Post-Market Monitoring
Systematische und verhältnismäßige Überwachung der Leistung des KI-Systems nach Inbetriebnahme. Sammlung und Analyse von Nutzungsdaten über den gesamten Lebenszyklus. Auf Basis eines Post-Market-Monitoring-Plans, der Teil der technischen Dokumentation ist.
Art. 73
Incident Reporting
Schwerwiegende Vorfälle müssen den Marktüberwachungsbehörden gemeldet werden. Fristen: maximal 15 Tage nach Kenntnis; bei weit verbreiteten Verstößen maximal 2 Tage; bei Todesfolge maximal 10 Tage. Meldepflicht bei Grundrechtsverletzungen, Gesundheits- oder Sicherheitsrisiken und bei schwerwiegenden Störungen kritischer Infrastruktur.
Art. 12
Protokollierung
Automatische Protokollierung von Ereignissen während des gesamten Lebenszyklus. Protokolle müssen die Rückverfolgbarkeit von Entscheidungen ermöglichen und die Identifizierung von Situationen unterstützen, die eine Risikoerhöhung oder eine wesentliche Änderung darstellen könnten.
Art. 15
Cybersecurity und Robustheit
Hochrisiko-KI-Systeme müssen ein angemessenes Maß an Genauigkeit, Robustheit und Cybersecurity über den gesamten Lebenszyklus aufweisen. Schutz gegen: Datenvergiftung (Data Poisoning), Modellmanipulation (Model Poisoning), Adversarial Attacks und Model Evasion, Vertraulichkeitsangriffe (Confidentiality Attacks) sowie Modellschwächen. Bei Systemen, die nach Inbetriebnahme weiterlernen, müssen Feedback-Loops kontrolliert werden.
Sie wollen wissen, welche Ihrer KI-Systeme als Hochrisiko eingestuft werden?
Leistungscluster
Sechs Cluster — nach Steuerungsbedarf, nicht nach Normenliste.
Jeder Einstieg führt in dasselbe integrierte Steuerungsmodell. Der Unterschied liegt im Auslöser.
Bis zu 35 Mio. € / 7 %
Verbotene KI-Praktiken
Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).
Bis zu 15 Mio. € / 3 %
Pflichten für Hochrisiko-KI-Systeme
Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes.
Bis zu 7,5 Mio. € / 1 %
Falsche Angaben gegenüber Behörden
Bis zu 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes.
Hinweis: Für KMU und Start-ups gilt eine Entlastung: Es wird jeweils der niedrigere der beiden Beträge (Prozentsatz oder fester Betrag) herangezogen — nicht der höhere wie bei Großunternehmen (Art. 99 Abs. 6). Der geplante Digital Omnibus erweitert diese Erleichterung auf Unternehmen mit bis zu 750 Mitarbeitern und bis zu 150 Mio. € Jahresumsatz.
Managementsystem
ISO/IEC 42001 – Das Managementsystem für KI
ISO/IEC 42001 (veröffentlicht Dezember 2023) ist der internationale Standard für KI-Managementsysteme (AIMS – Artificial Intelligence Management System). Er bietet das strukturierte Framework, um die Anforderungen des EU AI Act systematisch umzusetzen und nachzuweisen. Das Ökosystem reift: ISO/IEC 42005 (Mai 2025) ergänzt den Standard um Leitlinien für KI-Folgenabschätzungen, ISO/IEC 42006 (Juli 2025) definiert die Anforderungen an Zertifizierungsstellen für AIMS-Audits. Als ISO/IEC 42001 Professional (TÜV) baue ich AIMS-Systeme auf, die diese Anforderungen systematisch umsetzen.
Risikomanagement
Systematische Identifizierung, Bewertung und Behandlung von KI-spezifischen Risiken — adressiert die Kernanforderungen von Art. 9 EU AI Act.
Datengovernance
Anforderungen an Datenqualität, Bias-Prüfung und Datenlebenszyklusmanagement — adressiert die Kernanforderungen von Art. 10 EU AI Act.
Dokumentation
Vollständige Dokumentation des KI-Lebenszyklus, Konformitätsnachweise, Audit-Trails — adressiert die Kernanforderungen von Art. 11 EU AI Act.
Menschliche Überwachung
Governance-Strukturen, Rollen und Verantwortlichkeiten für die menschliche Kontrolle von KI-Systemen — adressiert die Kernanforderungen von Art. 14 EU AI Act.
Fazit: Wer ein AIMS nach ISO 42001 aufbaut, adressiert systematisch die Kernanforderungen des EU AI Act und hat gleichzeitig ein auditierbares, zertifizierbares System. Der Standard umfasst insgesamt 38 Controls in 9 Bereichen — von AI Policy über Datengovernance bis hin zu Lieferantenmanagement — und geht damit über die regulatorischen Mindestanforderungen hinaus.
Der effizienteste Weg zur EU-AI-Act-Compliance beginnt mit einer Gap-Analyse.
Handlungsbedarf
Was die Geschäftsleitung jetzt tun muss
Die Pflichten für Hochrisiko-KI-Systeme greifen am 2. August 2026. Rechnen Sie: 16 Monate bis zum Stichtag, 6 bis 12 Monate für den AIMS-Aufbau. Das bedeutet: Wenn Sie heute beginnen, haben Sie Spielraum für eine saubere Umsetzung. Wenn Sie im Herbst 2026 beginnen, wird es ein Notprogramm. Die Frage ist nicht ob, sondern wann Sie starten.
1
Inventarisierung
Welche KI-Systeme setzen Sie ein? Welche entwickeln Sie? Welche planen Sie? Denken Sie an alle Bereiche: Einkauf, HR, Produktion, Kundenservice, Qualitätssicherung, Finanzen. Auch KI-Dienste von Drittanbietern (Microsoft Copilot, SAP-Module, ChatGPT) gehören ins Inventar.
2
Risikoeinstufung
In welche Risikostufe fällt jedes System? Hochrisiko, Transparenzrisiko oder minimal? Die Einstufung richtet sich nach dem Einsatzzweck, nicht nach der Technologie.
3
AIMS-Aufbau
Aufbau eines KI-Managementsystems nach ISO 42001, integriert in Ihr bestehendes Managementsystem (IMS). Keine Parallelstruktur, keine Doppelarbeit.
4
Dokumentation und Absicherung
Technische Dokumentation, Konformitätsbewertung, Post-Market-Monitoring-Plan, Schulung der verantwortlichen Personen. Vorbereitung auf externe Prüfungen.
Der effizienteste Weg zur EU-AI-Act-Compliance beginnt mit einer Gap-Analyse.
Ansatz
Mein Ansatz – 4 Phasen zur KI‑Governance
1
Inventarisierung
Vollständige Bestandsaufnahme aller KI-Systeme im Unternehmen (eingesetzt, geplant, in Entwicklung) — einschließlich Drittanbieter-Dienste. Klassifizierung nach EU-AI-Act-Risikostufen. Klärung: Sind Sie Anbieter oder Betreiber? Ergebnis: KI-Inventar mit Risikoeinstufung und Rollenklärung.
2
Gap-Analyse
Abgleich des Ist-Zustands mit den Anforderungen des EU AI Act und ISO 42001. Identifizierung der Lücken in Risikomanagement, Datengovernance, Dokumentation und menschlicher Überwachung. Ergebnis: Priorisierter Maßnahmenplan mit realistischer Zeitschätzung.
3
AIMS-Aufbau
Aufbau des KI-Managementsystems nach ISO 42001. Integration in das bestehende IMS (ISO 9001, ISO 27001, ISO 14001). Definition von Rollen, Prozessen, Dokumentationsstrukturen. Ergebnis: Funktionsfähiges AIMS.
4
Absicherung
Internes Audit des AIMS. Schulung der verantwortlichen Personen (Governance-Board, Fachverantwortliche). Vorbereitung auf externe Prüfungen und Zertifizierung. Ergebnis: Auditierbares, konformes System.
Vorteile
Warum dieses Mandat hier richtig aufgehoben ist
Integration statt Parallelprojekt
KI-Governance wird in Ihr bestehendes Managementsystem integriert — ob ISO 9001, ISO 27001 oder ISO 14001. Kein isoliertes IT-Projekt, keine Doppelstrukturen. Ob Sie KI-Systeme selbst entwickeln (Anbieter) oder Lösungen von Drittanbietern einsetzen (Betreiber) — der Ansatz wird auf Ihre tatsächliche Rolle zugeschnitten.
Governance-Sprache statt Technik-Jargon
Ich übersetze die Anforderungen des EU AI Act in Governance-Strukturen, Entscheidungsvorlagen und Boardroom-fähige Dokumentation — nicht in technische Spezifikationen. Das Ergebnis ist ein System, das die Geschäftsleitung versteht, verantwortet und gegenüber Aufsichtsbehörden vertreten kann.
Ingenieurpraxis, nicht Theoriemodell
Über 30 Jahre Industrie- und Automotive-Erfahrung, MBA, Promotion. 16 aktuelle Qualifikationen in Managementsystemen, darunter ISO 42001 Professional (TÜV). Diese Kombination stellt sicher, dass Ihr AIMS nicht nur auf dem Papier besteht, sondern im Betriebsalltag trägt.
Modularer Aufbau
Die vier Phasen können einzeln beauftragt werden. Sie entscheiden nach jeder Phase, ob und wie es weitergeht. Kein Pauschalpaket, keine Bindung.
FAQ
Häufig gestellte Fragen
Sind wir Anbieter Oder Betreiber — und was bedeutet der Unterschied?
Die meisten mittelständischen Unternehmen sind Betreiber (Deployer): Sie nutzen KI-Systeme von Drittanbietern unter eigener Verantwortung. Die Pflichten unterscheiden sich grundlegend von denen eines Anbieters (Provider), der KI-Systeme entwickelt und vermarktet. Als Betreiber müssen Sie u.a. ein KI-Inventar führen, automatisierte Logs mindestens 6 Monate aufbewahren, Mitarbeiter vor dem Einsatz von KI-Systemen informieren und bei Hochrisiko-Systemen eine Grundrechte-Folgenabschätzung durchführen. Achtung: Wenn Sie ein KI-System von einem Dritten entwickeln lassen und unter eigenem Namen betreiben, werden Sie zum Anbieter — mit deutlich umfangreicheren Pflichten. Im Erstgespräch klären wir, welche Rolle Ihr Unternehmen einnimmt.
Wir nutzen Microsoft Copilot, ChatGPT Oder KI-Module von SAP — was müssen wir tun?
Auch wenn Sie KI-Systeme nur als Dienst nutzen, sind Sie als Betreiber (Deployer) verantwortlich. Die Risikoeinstufung richtet sich nicht nach der Technologie, sondern nach dem Einsatzzweck: Derselbe Chatbot ist „minimales Risiko” für Marketing-Entwürfe, aber „Hochrisiko”, wenn er Bewerbungen vorselektiert (Anhang III, Nr. 4). Im ersten Schritt inventarisieren wir alle KI-Systeme in Ihrem Unternehmen — auch die, die als SaaS-Dienste eingekauft werden — und stufen sie nach Risiko ein.
Wir setzen Kl nur intern ein — sind wir trotzdem betroffen?
Ja, wenn das KI-System in eine Hochrisiko-Kategorie fällt. Der EU AI Act unterscheidet nicht zwischen internem und externem Einsatz. Beispiel: Ein KI-basiertes HR-Tool für interne Bewerberauswahl ist ein Hochrisiko-System (Anhang III, Nr. 4) — unabhängig davon, ob es nur intern genutzt wird. Gleiches gilt für KI-gestützte Qualitätsprüfung oder automatisierte Leistungsbewertung.
Was hat der EU Al Act mit der DSGVO zu tun — kommt da noch eine Regulierung obendrauf?
Beide Verordnungen gelten parallel. Die gute Nachricht: Wer bereits ein Datenschutz-Managementsystem betreibt, hat Grundlagen für Datengovernance und Transparenz geschaffen. Der EU AI Act verlangt darüber hinaus KI-spezifisches Risikomanagement, technische Dokumentation und Strukturen für menschliche Überwachung. Es gibt Überschneidungen — etwa bei der Bias-Prüfung sensibler Daten (Art. 10 EU AI Act, Art. 9 DSGVO) — aber auch zusätzliche Anforderungen. Mein Ansatz: Das AIMS wird in Ihr bestehendes System integriert — DSGVO, ISO 27001 und EU AI Act unter einem Dach, ohne Doppelstrukturen.
Gibt es Erleichterungen für den Mittelstand?
Ja. Der EU AI Act sieht mehrere Erleichterungen für KMU vor: vereinfachte technische Dokumentation (Art. 11), proportionale Bußgelder — bei KMU gilt jeweils der niedrigere der beiden Beträge, nicht der höhere (Art. 99 Abs. 6) —, bevorzugter und kostenfreier Zugang zu regulatorischen Sandboxen sowie reduzierte Konformitätsbewertungsgebühren. Der geplante Digital Omnibus erweitert diese Erleichterungen auf Unternehmen mit bis zu 750 Mitarbeitern. Im Erstgespräch ordne ich ein, welche Erleichterungen für Ihr Unternehmen konkret greifen.
Verschiebt der „Digital Omnibus" die Fristen?
Der Digital Omnibus der EU-Kommission (vorgeschlagen November 2025) schlägt vor, die Hochrisiko-Frist für Anhang-III-Systeme von August 2026 auf maximal Dezember 2027 zu verschieben. Stand März 2026: Der Rat hat seine Position am 13. März 2026 angenommen, das Europäische Parlament am 18. März 2026 — der Trilog zwischen den Institutionen hat aber noch nicht begonnen. Der 2. August 2026 bleibt derzeit rechtlich bindend. Meine Empfehlung: Planen Sie auf Basis des geltenden Rechts. Eine spätere Verlängerung wäre Bonus, nicht Rettungsanker.
Was hat ISO 42001 mit dem EU Al Act zu tun?
ISO/IEC 42001 ist das Managementsystem-Framework für KI — vergleichbar mit ISO 27001 für Informationssicherheit. Es adressiert genau die Anforderungen, die der EU AI Act an Hochrisiko-KI-Systeme stellt: Risikomanagement, Datengovernance, Dokumentation, menschliche Überwachung. Wer ein AIMS nach ISO 42001 aufbaut, hat ein auditierbares System — und den effizientesten Weg zur Compliance. Im Erstgespräch ordne ich ein, ob dieser Weg für Ihr Unternehmen der richtige ist.
Gelten die neuen Pflichten auch für KI-Systeme, die wir schon einsetzen?
Teilweise. Für Hochrisiko-KI-Systeme, die vor dem 2. August 2026 in Betrieb genommen wurden, gelten die Pflichten erst, wenn sie wesentlich verändert werden. Aber: „Wesentliche Änderung” ist weit definiert — ein Retraining mit neuen Daten oder der Einsatz von mehr als einem Drittel der ursprünglichen Trainingsressourcen kann bereits darunter fallen. Planen Sie vorausschauend und dokumentieren Sie den Stand Ihrer Systeme vor dem Stichtag.
Was hat Informationssicherheit (ISO 27001) mit KI-Governance zu tun?
Art. 15 EU AI Act verlangt von Hochrisiko-KI-Systemen ein angemessenes Maß an Cybersecurity und Robustheit. Wer bereits ein ISMS nach ISO 27001 betreibt, hat die Basis — Zugriffskontrollen, Incident Management, Risikobewertung. Das AIMS nach ISO 42001 wird in das ISMS integriert, nicht parallel aufgebaut. Als ISO 27001 Lead Auditor stelle ich sicher, dass beide Systeme konsistent zusammenarbeiten.
Was kostet der Aufbau eines KI-Managementsystems?
Das hängt von der Anzahl Ihrer KI-Systeme und der Reife Ihres bestehenden Managementsystems ab. Orientierung: Für ein mittelständisches Unternehmen mit 5 bis 15 KI-Systemen bewegt sich der Gesamtaufwand für ein vollständiges AIMS typischerweise im Bereich von 4 bis 8 Monaten. Phase 1 (Inventarisierung und Risikoeinstufung) dauert 2 bis 3 Wochen. Alle vier Phasen sind einzeln beauftragbar — Sie entscheiden nach jeder Phase, ob und wie es weitergeht. Im Erstgespräch inventarisieren wir Ihre KI-Systeme und schätzen den Aufwand realistisch ein.
Ist Ihr Unternehmen auf den EU AI Act vorbereitet?
In einem vertraulichen Erstgespräch inventarisieren wir Ihre KI-Systeme, ordnen die Risikostufe ein und skizzieren einen realistischen Umsetzungsplan — bevor die Pflichten am 2. August 2026 greifen.