77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
AI Act Compliance: Pflichten, Fristen und Nachweise für die Geschäftsleitung
Governance & Compliance

AI Act Compliance: Pflichten, Fristen und Nachweise für die Geschäftsleitung

9. Juli 202612 Min. LesezeitVon Dr. Henrik Bauer
CIVAC

Die EU-KI-Verordnung (Verordnung 2024/1689) gilt seit dem 1. August 2024 stufenweise. Dieser Beitrag erklärt Risikoklassen, Pflichten der Geschäftsleitung, Nachweisarchitektur und die operative Brücke zu DSGVO und ISO/IEC 27001:2022.

Die EU-Verordnung 2024/1689 (KI-Verordnung, AI Act) ist am 1. August 2024 in Kraft getreten und entfaltet ihre Pflichten in Stufen bis zum 2. August 2027. Seit dem 2. Februar 2025 greifen die Verbote nach Artikel 5 sowie die Pflicht zur KI-Kompetenz nach Artikel 4. Ab dem 2. August 2026 gelten die zentralen Pflichten für Hochrisiko-KI-Systeme nach Anhang III, einschließlich Risikomanagement, Datenqualität, technischer Dokumentation und menschlicher Aufsicht. Für die Geschäftsleitung bedeutet das: AI-Act-Compliance ist keine Stabsaufgabe, sondern eine dokumentationspflichtige Linienverantwortung mit klarer Berichtskette und nachvollziehbarer Aufsichtsorganisation. Wer KI-Systeme im Personalwesen, in der Bonitätsprüfung oder als Sicherheitskomponente in regulierten Produkten einsetzt, muss spätestens jetzt Konformitätsbewertung, Inventar und Schulungsspur aufbauen.

Dieser Beitrag ordnet die Pflichten der KI-Verordnung in eine operative Architektur ein. Sie erhalten eine belastbare Methodik für KI-Inventar, Risikoklassifizierung, Konformitätsbewertung und Berichtslinie. Wir zeigen, wie sich AI-Act-Pflichten an bestehende Strukturen aus DSGVO, ISO/IEC 27001:2022 und NIS-2 anschließen lassen, statt parallele Compliance-Silos zu bauen. Sie erfahren, welche Fristen 2025, 2026 und 2027 greifen, welche Pflichten die Geschäftsleitung delegieren kann und welche nicht, wie eine Konformitätsbewertung nach Artikel 43 in der Praxis abläuft und welche Sanktionen Artikel 99 vorsieht. Der Beitrag richtet sich an Geschäftsführungen, Compliance-Verantwortliche, Datenschutzbeauftragte und Informationssicherheitsbeauftragte mittelständischer und großer Organisationen. CIVAC ist die Compliance-Plattform und Officer-as-a-Service, die diese Verzahnung im Workspace abbildet.

Auf einen Blick

  • Der AI Act gilt seit 1. August 2024 stufenweise; Pflichten für Hochrisiko-KI nach Anhang III greifen ab 2. August 2026.
  • Bußgelder nach Artikel 99 reichen bis 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes für Verstöße gegen Artikel 5.
  • AI-Act-Compliance lebt im Zusammenspiel mit DSGVO, ISO/IEC 27001:2022 und NIS-2 und braucht ein zentrales KI-Inventar mit Berichtslinie an die Geschäftsleitung.

Geltungsbereich: Wann der AI Act für Ihr Unternehmen gilt

Der AI Act unterscheidet vier Akteursrollen nach Artikel 3: Anbieter (Provider), Betreiber (Deployer), Einführer (Importer) und Händler (Distributor). Die meisten deutschen Unternehmen sind Betreiber im Sinne von Artikel 3 Nummer 4, also Stellen, die ein KI-System in eigener Verantwortung verwenden. Wer ein Modell wesentlich verändert, einen bestehenden Namen umbenennt oder als Eigenmarke vertreibt, wird nach Artikel 25 selbst zum Anbieter und übernimmt die volle Pflichtenkette nach Artikel 16. Diese Rollenklärung ist der erste Schritt jeder belastbaren Konformitätsbewertung und nicht delegierbar an die IT. Sie erfordert eine gemeinsame Lesart von Einkauf, Recht und Fachbereich, weil die Vertragsgestaltung mit dem Anbieter darüber entscheidet, ob ein Betreiber im Schadensfall in die Anbieterhaftung rutscht.

Das Pflichtenprofil hängt zudem von der Risikoklasse ab. Artikel 5 verbietet bestimmte Praktiken vollständig, etwa Social Scoring durch Behörden oder Emotionserkennung am Arbeitsplatz. Anhang III listet Hochrisiko-Anwendungen, darunter KI im Personalwesen (Recruiting, Beförderung, Kündigung), in der Kreditwürdigkeitsprüfung natürlicher Personen, in der Bewertung von Schülern und Studierenden sowie in kritischen Infrastrukturen. Daneben gelten Transparenzpflichten nach Artikel 50 für generative Systeme, Chatbots und Deepfakes. Der räumliche Anwendungsbereich nach Artikel 2 erfasst auch Drittstaaten-Anbieter, sofern das Ergebnis des KI-Systems in der Union genutzt wird. Damit greift die Verordnung auch bei US-amerikanischen SaaS-Lösungen, die in Deutschland eingesetzt werden.

Der Compliance-Beauftragte klärt diese Einordnung gemeinsam mit IT, Datenschutz und Fachbereichen und führt das Ergebnis in ein zentrales KI-Inventar zurück. Erst auf dieser Basis lässt sich entscheiden, welche Artikel und Anhänge tatsächlich greifen und welche Konformitätsbewertung in welcher Tiefe vorbereitet werden muss. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Fristenkaskade bis 2027: Was wann gilt

Die KI-Verordnung folgt einer mehrstufigen Anwendung nach Artikel 113. Seit dem 2. Februar 2025 greifen die Verbote nach Artikel 5 und die Pflicht zur KI-Kompetenz nach Artikel 4, wonach Anbieter und Betreiber sicherstellen müssen, dass Personal mit ausreichender Schulung in KI-Themen arbeitet. Diese Schulungsverpflichtung ist nicht delegationsfest und betrifft jede Person, die ein KI-System entwickelt, einsetzt oder beaufsichtigt. Schulungsinhalte, Teilnehmerlisten und Wiederholungstermine sind nachweispflichtig. Eine einmalige Awareness-Mail reicht nicht; gefordert ist eine strukturierte Lerneinheit mit Bezug auf die konkret eingesetzten Systeme und Rollen.

Ab dem 2. August 2025 gelten die Pflichten für General-Purpose-AI-Modelle nach Kapitel V, einschließlich der Pflicht zur technischen Dokumentation nach Artikel 53 und der erweiterten Pflichten für GPAI-Modelle mit systemischem Risiko nach Artikel 55. Gleichzeitig werden die Sanktionsbestimmungen nach Artikel 99 wirksam, soweit sie sich auf bereits geltende Pflichten beziehen. Die Mitgliedstaaten müssen ihre zuständigen Behörden benennen und das Governance-Modell nach Kapitel VII einrichten. Für Betreiber heißt das: Bei jeder Anbieter-Auswahl muss die GPAI-Dokumentation des Anbieters geprüft und im eigenen KI-Inventar referenziert werden.

Der zentrale Stichtag ist der 2. August 2026: An diesem Tag werden die Pflichten für Hochrisiko-KI-Systeme nach Anhang III wirksam. Das umfasst Risikomanagementsystem nach Artikel 9, Data-Governance nach Artikel 10, technische Dokumentation nach Artikel 11, Aufzeichnungspflichten nach Artikel 12, Transparenz nach Artikel 13, menschliche Aufsicht nach Artikel 14 und Robustheits-/Cybersicherheits-Anforderungen nach Artikel 15. Für Hochrisiko-KI, die als Sicherheitskomponente regulierter Produkte verbaut wird (Anhang I), gilt eine verlängerte Frist bis zum 2. August 2027. Wer heute KI-Systeme im Personalwesen oder in der Bonitätsprüfung einsetzt, hat damit weniger als ein operatives Geschäftsjahr Zeit, um Nachweisarchitektur, Konformitätsbewertung und CE-Kennzeichnung aufzubauen.

Risikoklassen verstehen: Verboten, Hochrisiko, Transparenz, Minimal

Der AI Act folgt einem risikobasierten Ansatz. Verbotene Praktiken nach Artikel 5 sind unter anderem manipulative Techniken, die kognitive Verhaltensschwächen ausnutzen, ungezieltes Scraping von Gesichtsbildern aus dem Internet zum Aufbau biometrischer Datenbanken sowie Emotionserkennung in Arbeitsverhältnissen und Bildungseinrichtungen, soweit nicht aus medizinischen oder Sicherheitsgründen gerechtfertigt. Auch Social Scoring durch Behörden und bestimmte biometrische Echtzeit-Fernidentifizierungen im öffentlichen Raum sind verboten. Verstöße gegen Artikel 5 lösen die höchste Sanktionsstufe nach Artikel 99 aus. Bestandsanwendungen wurden bis zum 2. Februar 2025 entweder abgeschaltet oder unter strenge Ausnahmegründe gestellt.

Hochrisiko-Systeme nach Anhang III betreffen unter anderem KI in der Strafverfolgung, in der Migrationskontrolle, im Bildungsbereich, im Personalwesen und in der Kreditwürdigkeitsprüfung natürlicher Personen. Hinzu kommt Anhang I, der Hochrisiko-KI als Sicherheitskomponente von Produkten unter sektoraler Produktregulierung erfasst, etwa Medizinprodukte nach Verordnung (EU) 2017/745, Maschinen nach Verordnung (EU) 2023/1230 oder Spielzeug nach Richtlinie 2009/48/EG. Für diese Anhang-I-Fälle bleibt die zuständige sektorale Aufsicht erhalten, die AI-Act-Anforderungen werden in die bestehende Produktbewertung integriert.

Für die meisten Unternehmen relevant sind die Transparenzpflichten nach Artikel 50: Wer einen Chatbot betreibt, muss Nutzerinnen und Nutzer informieren, dass sie mit einer KI interagieren. Wer synthetische Inhalte (Bilder, Audio, Video, Text) erzeugt, muss diese maschinenlesbar als KI-generiert kennzeichnen. Deepfakes nach Artikel 50 Absatz 4 sind zusätzlich gegenüber dem Betrachter offenzulegen. KI-Systeme mit minimalem Risiko (Spam-Filter, KI-gestützte Bildbearbeitung in Standardsoftware) unterliegen keinen weiteren Pflichten, profitieren aber von freiwilligen Verhaltenskodizes nach Artikel 95. Die operative Konsequenz: Sie brauchen einen dokumentierten Klassifizierungsprozess, der jedes neu eingeführte KI-System einer Risikoklasse zuordnet und das Ergebnis revisionssicher ablegt.

Pflichten der Geschäftsleitung nach AI Act

Die KI-Verordnung adressiert die Geschäftsleitung nicht namentlich wie § 38 BDSG oder § 130 OWiG, leitet aber faktisch eine Organisationspflicht ab. Artikel 26 verpflichtet Betreiber von Hochrisiko-KI dazu, geeignete technische und organisatorische Maßnahmen zu treffen, damit das System gemäß Gebrauchsanweisung genutzt wird, qualifiziertes Personal die menschliche Aufsicht ausübt, Eingabedaten relevant und repräsentativ sind und die Aufzeichnungen nach Artikel 12 mindestens sechs Monate aufbewahrt werden. Versäumt die Geschäftsleitung diese Aufsichtsorganisation, greift § 130 OWiG mit Bußgeldern bis 10 Mio. Euro nach § 30 OWiG, unabhängig von den Sanktionen nach Artikel 99 AI Act. Die Doppelsanktion ist regelmäßiger Prüfgegenstand der Bundesnetzagentur und der Datenschutzaufsicht.

Hinzu kommt die Pflicht zur KI-Kompetenz nach Artikel 4: Mitarbeitende, die KI-Systeme entwickeln oder einsetzen, müssen ausreichend geschult sein. Diese Schulungsverpflichtung ist nicht delegationsfest, sondern Teil der Organisationsverantwortung. Die Geschäftsleitung benötigt damit eine dokumentierte Berichtslinie zu KI-Themen, eine klare Rollenverteilung zwischen IT, Datenschutz, Fachbereich und Compliance sowie ein KI-Inventar, das jederzeit auskunftsfähig ist. Konzerne mit mehreren Tochtergesellschaften müssen zusätzlich klären, ob Aufsicht zentral oder dezentral organisiert wird; die Verordnung lässt beide Modelle zu, fordert aber durchgehende Dokumentation.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Im CIVAC-Workspace liegt das KI-Inventar neben dem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO und der Risiko-Bewertung nach ISO/IEC 27001:2022, sodass sich Pflichtenüberschneidungen ohne Medienbruch abbilden lassen. Die Berichtslinie an die Geschäftsleitung ist dort als Workflow hinterlegt, mit Eskalationsfristen, Verantwortlichkeiten und Audit-Trail. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.

Konformitätsbewertung und CE-Kennzeichnung für Hochrisiko-KI

Hochrisiko-KI-Systeme nach Artikel 6 müssen vor Inverkehrbringen oder Inbetriebnahme einer Konformitätsbewertung unterzogen werden. Artikel 43 unterscheidet zwei Wege: die interne Kontrolle nach Anhang VI für die meisten Anwendungsfälle aus Anhang III und die Beteiligung einer benannten Stelle nach Anhang VII, etwa für biometrische Identifizierung. Nach erfolgreicher Bewertung stellt der Anbieter eine EU-Konformitätserklärung nach Artikel 47 aus und bringt die CE-Kennzeichnung nach Artikel 48 an. Die technische Dokumentation nach Anhang IV ist zehn Jahre aufzubewahren und auf Anforderung der Marktüberwachungsbehörde vorzulegen. Substanzielle Änderungen am System lösen eine erneute Bewertung aus.

Die Konformitätsbewertung umfasst einen kompletten Pflichtenstapel: Risikomanagementsystem (Artikel 9), Trainings-, Validierungs- und Testdaten mit dokumentierter Governance (Artikel 10), technische Dokumentation (Artikel 11), automatische Protokollierung (Artikel 12), Transparenz für Betreiber (Artikel 13), menschliche Aufsicht (Artikel 14), Genauigkeit, Robustheit und Cybersicherheit (Artikel 15). Für Betreiber besteht eine Registrierungspflicht für bestimmte Hochrisiko-Anwendungen in der EU-Datenbank nach Artikel 49. Behörden als Betreiber sind gesondert in Artikel 49 Absatz 3 geregelt. Die Datenbank wird von der Europäischen Kommission betrieben und ist öffentlich einsehbar, soweit keine Geschäftsgeheimnisse berührt sind.

CIVAC stellt 490 einsatzbereite Audit-Vorlagen bereit, die für die Konformitätsbewertung gezielt zusammengestellt werden können. Vorlagen umfassen Risiko-Register, Daten-Governance-Sheet, Aufsichtsplan, Vorfallregister und Lieferantenfragebogen mit AI-Act-Klauseln. Jede Vorlage ist auf die jeweiligen Anhang-IV-Anforderungen abgestimmt und mit der bestehenden DSGVO- und ISO-Dokumentation verknüpft. Der Prüfer ruft an, der Nachweis liegt bereit. Die Übersicht zu den AI-Act-Pflichten im August 2026 ordnet diese Schritte zeitlich ein und benennt die jeweiligen Verantwortlichkeiten in der Linie.

Schnittstellen zu DSGVO, ISO 27001:2022 und NIS-2

Der AI Act steht nicht isoliert. Verarbeitet ein KI-System personenbezogene Daten, gilt parallel die DSGVO. Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist regelmäßig erforderlich, etwa bei automatisierten Entscheidungen im Sinne von Art. 22 DSGVO. Erwägungsgrund 9 des AI Act stellt klar, dass die Verordnung die DSGVO ergänzt, aber nicht ersetzt. Wer ein KI-System im Personalwesen einsetzt, dokumentiert die Rechtsgrundlage nach Art. 6 DSGVO, die DSFA nach Art. 35 DSGVO und die AI-Act-Klassifizierung nach Anhang III in einem konsolidierten Verzeichnis. Die Aufsichtsbehörden für Datenschutz und KI tauschen sich nach Artikel 74 Absatz 8 AI Act aus. Doppelte Aktenführung erzeugt nur Risiko und Aufwand. Eine integrierte Sicht reduziert auch den Aufwand bei Behördenanfragen, weil ein Klick die DSFA, das ISMS-Risiko-Register und die AI-Act-Konformitätsbewertung gleichzeitig sichtbar macht.

ISO/IEC 27001:2022 mit ihren 93 Controls liefert die technisch-organisatorische Basis für Cybersicherheit nach Artikel 15 AI Act und für die Sorgfaltspflichten nach § 13 NIS2UmsuCG (NIS-2-Umsetzungsgesetz). Controls wie A.5.7 (Threat Intelligence), A.8.16 (Monitoring activities) und A.8.28 (Secure coding) sind direkt anschlussfähig an die Robustheitsanforderungen des AI Act. Wer ein zertifiziertes ISMS betreibt, hat einen Teil der Artikel-15-Pflichten bereits erfüllt und muss vor allem die KI-spezifischen Erweiterungen (Adversarial Robustness, Modell-Drift-Monitoring) ergänzen.

ISO/IEC 42001:2023 (AI Management System) wird zunehmend als sektorale Ergänzung herangezogen, ist aber keine harmonisierte Norm im Sinne von Artikel 40 AI Act. Bis die Europäische Kommission harmonisierte Normen über das CEN-CENELEC-Mandat M/593 verabschiedet, müssen Unternehmen die Konformität durch eigene Dokumentation belegen. Der Informationssicherheitsbeauftragte übernimmt dabei die technische Sorgfaltsspur, der Compliance-Beauftragte die regulatorische. Beide Rollen koordinieren sich über eine gemeinsame Berichtslinie im Workspace.

KI-Inventar aufbauen: Methodik und Mindestinhalt

Ein belastbares KI-Inventar ist das operative Rückgrat der AI-Act-Compliance. Pro System sollten mindestens dokumentiert sein: eindeutige Bezeichnung und Versionsstand, Anbieter und Bezugsmodell (Eigenentwicklung, Open Source, GPAI über API), eingesetzte Trainingsdaten oder Modellbasis, Verarbeitungszweck und Fachbereichsverantwortung, Risikoklasse nach AI Act (verboten, Hochrisiko, Transparenz, minimal), DSGVO-Rechtsgrundlage und gegebenenfalls DSFA-Referenz, technische und organisatorische Maßnahmen, menschliche Aufsicht und Eskalationsweg sowie Berichts- und Vorfallpfad. Hinzu kommen Felder für Schnittstellen zu Anhang-I-Produktregulierung, sektorale Aufsicht und vertragliche Verpflichtungen des Anbieters. Das Inventar verlinkt direkt auf Datenbestand, DSFA, ISMS-Risiko-Eintrag und Schulungsnachweise, damit Audit-Anfragen ohne Recherche-Schleife beantwortet werden können.

Die Methodik zur Bestandsaufnahme folgt einem festen Vier-Schritt-Prozess. Erstens: Discovery durch Fachbereichs-Interviews, IT-Scan und strukturierte Lieferantenanfragen, inklusive Schatten-IT in Marketing, HR und Vertrieb. Zweitens: Klassifizierung mit drei Dimensionen (Risikoklasse + DSGVO-Bezug + ISMS-Bezug). Drittens: Bewertung mit Lückenanalyse gegen die Artikel 9 bis 15 AI Act und gegen die einschlägigen Controls aus ISO/IEC 27001:2022. Viertens: Steuerung mit Maßnahmenplan, Verantwortlichkeiten, Fristen und Wiedervorlage. Jeder Schritt erzeugt einen revisionsfesten Eintrag im Audit-Trail.

Das Inventar ist kein Excel-Dokument für einen Audit, sondern eine kontinuierlich gepflegte Datenbank, die in die Berichtslinie an die Geschäftsleitung eingebunden ist. Jede Änderung am System (Versions-Update, neuer Datensatz, geänderter Anwendungszweck) löst eine Re-Klassifizierung aus. CIVAC bildet diese Struktur im Workspace ab, inklusive Versionierung, Aufgabenverteilung und Audit-Trail mit EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen, wenn Sie keine eigene Officer-Funktion aufbauen wollen. Die Inventar-Pflege wird quartalsweise durch Aufsichts-Reviews bestätigt und gehört in die Berichts-Routine der Geschäftsleitung.

Bußgelder und Aufsicht: Was bei Verstößen droht

Artikel 99 AI Act sieht ein dreistufiges Sanktionsregime vor. Verstöße gegen die verbotenen Praktiken nach Artikel 5 können mit Geldbußen bis 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Verstöße gegen die Pflichten für Hochrisiko-KI nach Artikel 16, 22, 23, 24, 25, 26, 27, 50 oder 55 ziehen bis zu 15 Mio. Euro oder 3 Prozent des weltweiten Jahresumsatzes nach sich. Falsche oder irreführende Angaben gegenüber Behörden können mit bis zu 7,5 Mio. Euro oder 1 Prozent des Jahresumsatzes belegt werden. Für KMU und Start-ups gilt nach Artikel 99 Absatz 6 jeweils der niedrigere Betrag. Konzerngesellschaften haften gesamtschuldnerisch, sofern eine einheitliche wirtschaftliche Einheit vorliegt. Die Verjährung folgt grundsätzlich nationalem Recht, bei deutschen Verfahren also § 31 OWiG.

Die Aufsicht teilt sich in Deutschland zwischen Bundesnetzagentur (BNetzA) als zentraler Marktüberwachungsbehörde und sektoralen Behörden auf. Die Datenschutzaufsicht bleibt für personenbezogene Datenverarbeitungen zuständig. Im Finanzsektor ist die BaFin involviert, in regulierten Produkten greift das Marktüberwachungsregime der jeweiligen Produktverordnung. Die Koordination zwischen Behörden erfolgt über das nationale Single-Point-of-Contact-Modell, ergänzt um das European AI Board nach Artikel 65.

Hinzu kommen Auskunfts- und Zugangsrechte der Behörden nach Artikel 74 sowie Whistleblower-Schutz nach Artikel 87, der Hinweisgeber-Meldungen über mutmaßliche AI-Act-Verstöße in den Schutzbereich des HinSchG verlagert. Die Berichtslinie für AI-Act-Verstöße muss daher mit der Meldestelle nach HinSchG verzahnt werden. Zusätzlich greift bei schwerwiegenden Vorfällen mit Hochrisiko-KI nach Artikel 73 eine Meldepflicht innerhalb von 15 Tagen. Audit-fest, dokumentiert, AI-Act-fest.

AI-Act-Compliance operativ verankern mit CIVAC

AI-Act-Compliance lebt nicht von Memos, sondern von Routinen. Ein KI-Inventar, das nicht gepflegt wird, ist nach drei Monaten Makulatur. Eine Konformitätsbewertung ohne Anschluss an die ISO/IEC 27001:2022-Controls und das DSGVO-Verzeichnis erzeugt doppelten Aufwand und blinde Flecken. Eine Berichtslinie ohne unterschriebene Bestellurkunde ist kein Nachweis im Sinne der Aufsichtsorganisation nach § 130 OWiG. Die Aufsichtspraxis der Bundesnetzagentur orientiert sich erkennbar an der Linie der Datenschutzaufsicht: dokumentierte Prozesse schlagen guten Willen. Wer eine glaubwürdige Aufsichtsorganisation nachweist, profitiert in der Sanktionspraxis regelmäßig durch reduzierte Bußgelder oder Verwarnungen statt formaler Verfahren.

Die operativen Hebel sind: ein zentrales KI-Inventar im Workspace, eine Berichtslinie an die Geschäftsleitung mit dokumentierter Eskalation, eine vorbereitete Konformitätsbewertung mit den 490 CIVAC-Audit-Vorlagen, eine Schulungs- und Awareness-Spur für Artikel 4 sowie eine klare Eskalation an die interne Meldestelle nach HinSchG. Hinzu kommt ein Vorfallregister mit Anschluss an die 15-Tage-Meldefrist nach Artikel 73 und an die 72-Stunden-Frist nach Art. 33 DSGVO. Wer diese Hebel sauber verknüpft, reduziert das Bußgeldrisiko und gewinnt operative Geschwindigkeit beim Roll-out neuer KI-Anwendungen.

CIVAC ist die Compliance-Plattform und Officer-as-a-Service mit EU-Datenresidenz und ISO/IEC 27001:2022-zertifiziertem ISMS. Im Workspace verzahnen sich die Pflichtenstränge aus AI Act, DSGVO, ISO/IEC 27001:2022 und NIS-2 ohne Medienbruch. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de, um eine Erstanalyse Ihrer KI-Anwendungen gegen die Pflichten der Verordnung 2024/1689 zu vereinbaren. Der CIVAC-SLA für die Officer-Bestellung beträgt 2 Werktage statt der klassischen 2 bis 6 Wochen.

FAQ

Ab wann gilt der AI Act für mein Unternehmen?

Die KI-Verordnung 2024/1689 ist am 1. August 2024 in Kraft getreten und gilt stufenweise. Verbote nach Artikel 5 und die Pflicht zur KI-Kompetenz nach Artikel 4 gelten seit dem 2. Februar 2025. Die zentralen Pflichten für Hochrisiko-KI nach Anhang III werden ab dem 2. August 2026 wirksam, für Sicherheitskomponenten regulierter Produkte ab dem 2. August 2027.

Brauche ich einen KI-Beauftragten?

Der AI Act schreibt keine eigenständige Rolle vor, fordert aber Aufsichtsorganisation nach Artikel 26 und KI-Kompetenz nach Artikel 4. In der Praxis wird die Aufgabe an Compliance-Beauftragten, Datenschutzbeauftragten oder ISB delegiert, mit dokumentierter Berichtslinie an die Geschäftsleitung. Wichtig ist die Bündelung der Verantwortung mit Bestellurkunde, ein einheitliches KI-Inventar und eine durchgängige Eskalationskette, nicht der Titel auf der Tür.

Welche Bußgelder drohen bei Verstößen?

Artikel 99 AI Act sieht Geldbußen bis 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes für Verstöße gegen die verbotenen Praktiken nach Artikel 5 vor. Verstöße gegen Hochrisiko-Pflichten können mit bis zu 15 Mio. Euro oder 3 Prozent geahndet werden, falsche Angaben mit bis zu 7,5 Mio. Euro oder 1 Prozent des Jahresumsatzes.

Wie verhält sich der AI Act zur DSGVO?

Der AI Act ergänzt die DSGVO, ersetzt sie aber nicht. Verarbeitet ein KI-System personenbezogene Daten, gelten beide Regelwerke parallel. Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist regelmäßig erforderlich, insbesondere bei automatisierten Entscheidungen nach Art. 22 DSGVO und bei Hochrisiko-Systemen nach Anhang III. Die Aufsichtsbehörden tauschen sich nach Artikel 74 Absatz 8 AI Act aus.

Was muss ein KI-Inventar enthalten?

Pro System mindestens: Bezeichnung und Version, Anbieter, Verarbeitungszweck, Risikoklasse nach AI Act, DSGVO-Rechtsgrundlage, technische und organisatorische Maßnahmen, menschliche Aufsicht und Berichtslinie an die Geschäftsleitung. Hinzu kommen Felder für Anhang-I-Bezug, sektorale Aufsicht und Schulungsstand des Personals. Das Inventar wird kontinuierlich gepflegt und ist Grundlage für Konformitätsbewertung, ISO/IEC 27001:2022-Audits und Meldungen an die Aufsicht.

Wer ist in Deutschland die zuständige Aufsicht?

Die Bundesnetzagentur (BNetzA) übernimmt die zentrale Marktüberwachung für den AI Act in Deutschland. Sektorale Behörden bleiben in ihren Bereichen zuständig, etwa die BaFin im Finanzsektor und das BfArM für Medizinprodukte. Die Datenschutzaufsicht bleibt für personenbezogene Verarbeitungen zuständig. Behördliche Strukturen werden bis zum 2. August 2026 vollständig benannt und über das European AI Board koordiniert.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge