KI-Compliance Informationssicherheit Datenschutz Unternehmens-Compliance

KI-Potenzial entfalten. Normkonform.

Risikoklassifizierung, Governance-Strukturen und Konformitätsbewertung nach der KI-Verordnung und ISO 42001. Ihr KI-Einsatz strukturiert und nachweisbar.

KI-Verordnung ISO 42001 Risikoklassifizierung Art. 4 Schulung KI & DSGVO Art. 50 Kennzeichnung
2. Dez 2027
Neue Frist für eigenständige Hochrisiko-KI (Omnibus-Einigung Mai 2026)
4
Risikoklassen
35 Mio.
Euro maximales Bußgeld bei Verstößen.
Hintergrund

KI-Verordnung: stufenweise Anwendung, risikobasierter Ansatz.

Die KI-Verordnung ist seit August 2024 in Kraft und wird schrittweise anwendbar. Nach der Omnibus-Einigung vom Mai 2026 gelten die Pflichten für eigenständige Hochrisiko-KI-Systeme erst ab dem 2. Dezember 2027, für in Produkte eingebettete Systeme ab dem 2. August 2028. Betroffen sind insbesondere Systeme aus den Bereichen Beschäftigung, Bildung, kritische Infrastruktur und wesentliche öffentliche Dienstleistungen.

Hintergrund

Die politische Einigung zum EU-Omnibus-Paket vom 7. Mai 2026 verschiebt die Hochrisiko-KI-Fristen erheblich: Eigenständige Hochrisiko-KI-Systeme unterliegen den vollen Pflichten erst ab dem 2. Dezember 2027, in Produkte eingebettete Systeme erst ab dem 2. August 2028. Die Kompetenzpflicht nach Art. 4 wird von einer Pflicht zu einer Empfehlung abgestuft. Unverändert gilt die Kennzeichnungspflicht für KI-generierte Inhalte ab August 2026. Die EU-Kommission konsultiert derzeit die Leitlinien zur Klassifizierung von Hochrisiko-KI-Systemen; die Konsultationsfrist läuft bis zum 23. Juni 2026.

Was wir abdecken

  • KI-Inventarisierung: Erfassung Ihrer Use Cases
  • Risikoklassifizierung nach Anhang I/III KI-Verordnung
  • Konformitätsbewertung für Hochrisiko-Systeme
  • Technische Dokumentation nach Anhang IV
  • KI-Managementsystem nach ISO 42001
  • GenAI-Governance und Nutzungsrichtlinien
  • Schulungen nach Art. 4 KI-Verordnung
Kennzeichnungspflicht

Art. 50: KI-generierte Inhalte kennzeichnen.

Ab dem 2. August 2026 gilt die Kennzeichnungspflicht nach Art. 50 KI-Verordnung. Wer KI-Systeme einsetzt, die Texte, Bilder, Audio oder Videos generieren, muss sicherstellen, dass diese Inhalte als KI-generiert erkennbar gemacht werden.

Besonders strenge Anforderungen gelten für Deepfakes: Synthetisch erzeugte Bilder und Videos von real existierenden Personen müssen eindeutig als solche gekennzeichnet sein. Die Pflicht trifft Anbieter von GenAI-Systemen und Betreiber, die solche Systeme öffentlich einsetzen. Die Omnibus-Einigung lässt Art. 50 unverändert.

Alle Anforderungen im Überblick: KI-Kennzeichnungspflicht nach Art. 50 →

Was ab August 2026 gilt

  • KI-generierte Texte, Bilder, Audio und Video kennzeichnen
  • Deepfake-Inhalte eindeutig als synthetisch ausweisen
  • Technische Umsetzung via Metadaten, Wasserzeichen oder Hinweistexte
  • Ausnahmen für offensichtlich satirische oder fiktionale Inhalte
Leistungsumfang

Was wir für Sie übernehmen.

KI-Verordnung Compliance

  • Use-Case-Erhebung und vollständige Inventarisierung
  • Risikoklassifizierung aller KI-Systeme
  • Pflichtenmatrix nach Risikoklasse
  • Konformitätsbewertung und Dokumentation

ISO 42001 KI-Managementsystem

  • Gap-Analyse und Aufbau des KI-Managementsystems
  • KI-Governance: Policies, Rollen, Verantwortlichkeiten
  • Risikomanagement für KI-Systeme und Daten
  • Audit-Readiness und Zertifizierungsvorbereitung

GenAI Governance

  • GenAI-Policy und Use-Case-Katalog
  • Prompt-Governance und Output-Kontrollen
  • Vertraulichkeit, IP-Rechte, Datenschutz bei KI-Tools
  • Tool-Freigabeprozess für KI-Anwendungen

Ratgeber: GenAI-Governance im Unternehmen →

Ratgeber: KI-Produkthaftung nach der KI-Verordnung →

Lieferanten & Modell-Due-Diligence

  • Prüfung von KI-Anbietern und Drittmodellen
  • Vertragliche Anforderungen an KI-Lieferanten
  • Datenpraktiken: Trainings- und Testdaten-Governance
  • Supply-Chain-Risiken im KI-Kontext
Vorgehensweise

Von der Inventarisierung zur nachweisbaren Konformität.

01

KI-Inventarisierung

Vollständige Erfassung aller KI-Systeme und -Anwendungen.

02

Risikoklassifizierung

Einordnung nach KI-Verordnung-Risikoklassen. Identifikation von Systemen mit besonderem Handlungsbedarf.

03

Governance-Design

KI-Policy, Rollen, Prozesse und Managementsystem aufbauen. Strukturiert und dokumentiert.

04

Konformitätsdokumentation

Technische Dokumentation, Konformitätsbewertung und laufendes Monitoring etablieren.

FAQ

Häufige Fragen zur EU KI-Verordnung.

Verwandte Themen

Die EU KI-Verordnung ist das weltweit erste umfassende Regelwerk für Künstliche Intelligenz. Sie gilt für Anbieter, Importeure, Händler und Betreiber von KI-Systemen in der EU. Die Verordnung trat im August 2024 in Kraft und ist schrittweise anwendbar.

Seit Februar 2025 verboten sind KI-Systeme mit inakzeptablem Risiko: Social Scoring durch staatliche Stellen, biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen (mit eng begrenzten Ausnahmen für Strafverfolgung), KI zur unbewussten Manipulation von Personen sowie Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. Auch das Profiling anhand biometrischer Daten zur Ableitung sensibler Merkmale wie politischer Überzeugungen oder ethnischer Herkunft ist untersagt. Die Omnibus-Einigung vom Mai 2026 ergänzt die Verbotsliste um KI-Systeme zur Erstellung nicht-einvernehmlicher synthetischer Intimbilder (Nudification), die ebenfalls als inakzeptables Risiko eingestuft werden.

Hochrisiko-KI-Systeme sind in Anhang III der KI-Verordnung aufgelistet. Dazu gehören KI in kritischer Infrastruktur, Bildung, Beschäftigung, wesentlichen privaten und öffentlichen Dienstleistungen, Strafverfolgung, Migration und Rechtspflege.

Anbieter von Hochrisiko-KI müssen ein Qualitätsmanagementsystem aufbauen und umfangreiche technische Dokumentation bereitstellen. Darüber hinaus sind Konformitätsbewertungen durchzuführen, das System in der EU-Datenbank zu registrieren und eine Konformitätserklärung auszustellen.

Betreiber, also Unternehmen, die Hochrisiko-KI nicht selbst entwickeln, sondern einsetzen, tragen eigene Verantwortung. Sie müssen menschliche Aufsicht sicherstellen, das System bestimmungsgemäß nutzen und Protokolle führen. Bei bestimmten Systemen sind zusätzlich Folgenabschätzungen verpflichtend.

Die Kosten hängen von der Anzahl und Komplexität der eingesetzten KI-Systeme ab. Nach einem kostenlosen Erstgespräch erhalten Sie eine transparente Aufwandsschätzung.

KI compliant einsetzen. Verantwortungsvoll und nachweisbar.

Von der Risikoklassifizierung bis zur Konformitätsdokumentation. Wir zeigen Ihnen, wo Ihr Unternehmen steht und was zu tun ist.

Kostenloses Erstgespräch buchen