Die Timeline, kurz erklärt
Der EU AI Act ist die erste umfassende KI-Regulierung weltweit und tritt gestaffelt in Kraft. Seit dem 2. Februar 2025 sind bestimmte Praktiken verboten und es gelten Anforderungen an KI-Kompetenz. Seit 2. August 2025 bestehen Pflichten für Anbieter von KI-Basismodellen (GPAI). Ab 2. August 2026 wird der Act weitgehend anwendbar; einzelne Hochrisiko-Fristen wurden im Zuge des vorgeschlagenen „Digital Omnibus“ teils nach hinten verschoben.
Schritt 1: Risikoklasse bestimmen
Nicht jede KI ist „Hochrisiko“. Der Act unterscheidet verbotene, hochriskante, begrenzt riskante (Transparenz) und minimal riskante Anwendungen. Für den Mittelstand sind viele Anwendungen, etwa interne Assistenten oder Dokumentensuche, gering bis begrenzt riskant. Entscheidend ist die konkrete Verwendung, nicht die Technologie.
Schritt 2: ISO 42001 als Fahrplan
ISO/IEC 42001:2023 ist der erste Standard für KI-Management-Systeme. Er liefert eine Struktur für Verantwortlichkeiten, Risikobewertung, Daten-Governance und Dokumentation, und deckt sich in weiten Teilen mit den Nachweispflichten des AI Act. Wer 42001 umsetzt, hat den Großteil der Hausaufgaben gemacht.
Schritt 3: Compliance in die Architektur ziehen
Dokumentation, Audit-Logs, Datenresidenz und Zugriffskontrolle gehören in die technische Lösung, nicht in einen Ordner, der bei der Prüfung gesucht wird. Genau hier hilft eine souveräne Plattform: Sie erzeugt die Nachweise als Nebenprodukt des Betriebs.