Wer muss die EU KI-Verordnung einhalten?

Jedes Unternehmen, das KI-Systeme für Nutzer in der EU entwickelt, auf dem Markt bereitstellt, betreibt, importiert oder vertreibt, unterliegt der Verordnung. Dies gilt sowohl für in der EU ansässige als auch für Nicht-EU-Unternehmen, deren KI-Ausgaben in der EU genutzt werden. Die wichtigsten Rollen sind: Anbieter (Entwicklung/Markteinführung), Betreiber (professionelle Nutzung), Importeure und Händler.

Was sind die wichtigsten Fristen der KI-Verordnung?

Drei kritische Daten: (1) 2. Februar 2025 — verbotene KI-Praktiken (Kapitel II, Artikel 5) sind seit diesem Datum durchsetzbar; (2) 2. August 2025 — GPAI-Pflichten (Kapitel V) sind in Kraft, Bußgeldregime greift; (3) 2. August 2026 — Anforderungen für Hochrisiko-KI-Systeme nach Anhang III müssen erfüllt sein. Systeme, die bereits vor dem 2. August 2026 im Betrieb sind, haben bis zum 2. August 2027 Zeit zur Compliance.

Welche Bußgelder drohen bei Verstößen gegen die KI-Verordnung?

Gemäß Artikel 99: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen das Verbot nach Artikel 5; bis zu 15 Millionen Euro oder 3 % bei Nichteinhaltung der Hochrisiko-Pflichten; bis zu 7,5 Millionen Euro oder 1 % für irreführende Angaben gegenüber Behörden. Bei KMU und Start-ups kann der jeweils niedrigere Wert gelten.

Welche KI-Systeme gelten nach Anhang III als Hochrisiko?

Anhang III nennt acht Bereiche: (1) Biometrie, (2) kritische Infrastruktur, (3) allgemeine und berufliche Bildung, (4) Beschäftigung und Arbeitnehmerverwaltung, (5) Zugang zu wesentlichen Leistungen, (6) Strafverfolgung, (7) Migration und Grenzkontrolle, (8) Rechtspflege und demokratische Prozesse. Konkrete Beispiele: KI zur Lebenslaufanalyse, Kreditwürdigkeitsprüfung oder Leistungsbewertung in der Schule.

Gilt die KI-Verordnung auch für KI-Modelle wie GPT-4 oder Claude?

Ja. Seit dem 2. August 2025 müssen GPAI-Anbieter (Kapitel V) Transparenz-, Urheberrechts- und Dokumentationspflichten einhalten. Modelle, die mit ≥ 10²⁵ FLOP trainiert wurden, gelten als systemische Risikomodelle und unterliegen zusätzlichen Anforderungen: Modellevaluierungen, Adversarial Testing, Cybersicherheitsmaßnahmen und Meldepflichten gegenüber dem EU-KI-Amt. Der GPAI-Verhaltenskodex, veröffentlicht am 10. Juli 2025, bietet praktische Compliance-Hinweise.

EU KI-Verordnung: Vollständiger Compliance-Leitfaden 2026 (Verordnung EU 2024/1689)

Published 26. März 2026

By Orbiq Team

EU KI-Verordnung: Vollständiger Compliance-Leitfaden 2026 (Verordnung EU 2024/1689)

Q: Was ist das Europäische KI-Amt?

Das Europäische KI-Amt (EU AI Office) ist die zentrale EU-Behörde mit direkten Durchsetzungsbefugnissen gegenüber GPAI-Modellanbietern. Es koordiniert die nationale Durchsetzung, veröffentlicht Leitlinien und führt die öffentliche EU-KI-Datenbank für Hochrisiko-Systeme.

Alles, was Unternehmen zur KI-Verordnung wissen müssen — verbotene KI, Hochrisiko-KI nach Anhang III, GPAI-Pflichten, August-2026-Frist, Bußgelder bis 35 Mio. € und eine Schritt-für-Schritt-Checkliste.

KI-Verordnung

EU AI Act

Hochrisiko-KI

GPAI

EU-Regulierung

EU KI-Verordnung: Vollständiger Compliance-Leitfaden 2026

Die EU KI-Verordnung (Verordnung EU 2024/1689) ist das weltweit erste umfassende Rechtsrahmenwerk für künstliche Intelligenz. Sie wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und trat am 1. August 2024 in Kraft. Die Pflichten werden schrittweise bis 2027 verbindlich.

Die entscheidende Frist ist in fünf Monaten: Ab dem 2. August 2026 sind die Anforderungen für Hochrisiko-KI-Systeme nach Anhang III vollständig durchsetzbar — mit Bußgeldern bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Ob Sie KI-Produkte entwickeln, KI-Lösungen von Drittanbietern einsetzen oder KI-Modelle in Ihren B2B-Prozessen nutzen — die KI-Verordnung gilt mit sehr hoher Wahrscheinlichkeit auch für Ihr Unternehmen. Dieser Leitfaden erläutert den gesamten Anwendungsbereich, die Risikoklassifikation, den Durchsetzungszeitplan, die Bußgeldstruktur und die praktischen Schritte, die Sie vor August 2026 unternehmen müssen.

KI-Verordnung auf einen Blick

Frage	Kurze Antwort
Was ist sie?	Verordnung (EU) 2024/1689 — erste horizontale KI-Verordnung weltweit.
Wer muss sie einhalten?	Anbieter, Betreiber, Importeure und Händler von KI-Systemen, die in der EU genutzt werden.
In Kraft getreten?	1. August 2024.
Verbotene KI durchsetzbar?	2. Februar 2025.
GPAI-Pflichten anwendbar?	2. August 2025.
Hochrisiko-KI-Frist?	2. August 2026 (Anhang-III-Systeme).
Höchststrafe bei verbotener KI?	Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.
Zuständige Behörden?	EU-KI-Amt + nationale Marktüberwachungsbehörden (mindestens eine je Mitgliedstaat).

Was ist die EU KI-Verordnung?

Die KI-Verordnung schafft einen risikobasierten Rahmen für KI. Nicht die Technologie selbst wird reguliert, sondern KI-Systeme werden nach dem Risiko bewertet, das sie für Gesundheit, Sicherheit und Grundrechte darstellen. Je höher das Risiko, desto strenger die Anforderungen.

Vierstufige Risikoklassifikation

Risikostufe	Beispiele	Bedeutung
Inakzeptables Risiko (Verboten)	Soziales Scoring, unterschwellige Manipulation, biometrische Echtzeit-Identifikation im öffentlichen Raum	Generell verboten. Seit dem 2. Februar 2025 durchsetzbar.
Hochrisiko (Anhang III)	Lebenslaufanalyse, Kreditwürdigkeitsprüfung, biometrische Identifikation, Schülerbeurteilung	Müssen Qualitäts-, Transparenz- und Überwachungsanforderungen vor August 2026 erfüllen.
Begrenztes Risiko	Chatbots, Deepfake-Generatoren, Emotionserkennungstools	Müssen Nutzer über die KI-Natur informieren (Art. 50 Transparenzpflichten).
Minimales Risiko	Spam-Filter, KI-gestützte Computerspiele	Keine spezifischen Pflichten; freiwillige Verhaltenskodizes werden empfohlen.

Die Verordnung erkennt an, dass die meisten KI-Systeme ein minimales oder begrenztes Risiko darstellen, und legt die größten Compliance-Anforderungen nur dort fest, wo der Einsatz die höchsten Risiken birgt.

Wer muss die KI-Verordnung einhalten?

Die Verordnung definiert vier Kategorien von Wirtschaftsakteuren:

Rolle	Definition	Wesentliche Pflichten
Anbieter	Entwickelt ein KI-System oder GPAI-Modell und bringt es auf den Markt.	Primäre Compliance-Last: Konformitätsbewertung, technische Dokumentation, EU-Datenbankregistrierung.
Betreiber	Nutzt ein KI-System im eigenen Namen in einem professionellen Kontext.	Menschliche Überwachung sicherstellen, KI-Performance überwachen, Grundrechte-Folgenabschätzung für bestimmte Hochrisiko-Systeme durchführen.
Importeur	Bringt KI-Systeme aus Drittländern auf den EU-Markt.	Anforderungserfüllung des Anbieters prüfen; Importeurserklärung beifügen.
Händler	Stellt KI-Systeme auf dem EU-Markt bereit, ohne sie zu modifizieren.	Compliance überprüfen, mit Behörden kooperieren.

Territorialer Anwendungsbereich: Die Verordnung gilt, wenn der Output des KI-Systems in der EU genutzt wird — unabhängig davon, wo der Anbieter seinen Sitz hat. Ein US-amerikanisches Unternehmen, dessen KI-Modell von EU-Kunden eingesetzt wird, fällt in den Anwendungsbereich.

Kapitel II: Verbotene KI-Praktiken (Seit 2. Februar 2025 durchsetzbar)

Artikel 5 der KI-Verordnung verbietet KI-Praktiken, die ein inakzeptables Risiko für Grundrechte darstellen. Diese tragen bereits Bußgelder von bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.

Folgende Praktiken sind verboten:

Unterschwellige Manipulation — KI, die das Verhalten durch unterschwellige Techniken beeinflusst und dadurch Schaden verursacht.
Ausnutzung von Schwachstellen — KI, die auf Personen aufgrund von Alter, Behinderung oder sozialer/wirtschaftlicher Lage abzielt, um ihr Verhalten zu verzerren.
Soziales Scoring — Staatliche oder private Bewertung von Personen anhand des Sozialverhaltens mit nachteiligen Folgen.
Biometrische Echtzeit-Identifikation im öffentlichen Raum (Strafverfolgung; eng begrenzte Ausnahmen).
Emotionserkennung in Arbeitsumgebungen und Bildungseinrichtungen.
Biometrische Kategorisierung zur Ableitung sensibler Attribute (Rasse, politische Überzeugung, sexuelle Orientierung).
Ungezielte Erfassung von Gesichtsbildern aus dem Internet oder CCTV zum Aufbau von Erkennungsdatenbanken.
Prädiktive Polizeiarbeit ausschließlich auf Basis von Profiling ohne individuelle Verdachtsmomente.

Hinweis für HR-Teams und EdTech-Unternehmen: Emotionserkennungssysteme am Arbeitsplatz und in Schulen sind verboten. Wenn Sie Wellness-Monitoring-Tools, Engagement-Tracker oder Proctoring-Software mit Emotionserkennung einsetzen, überprüfen Sie diese umgehend.

Kapitel III & Anhang III: Hochrisiko-KI-Systeme (Frist: 2. August 2026)

Dies ist die Kategorie, die die meisten Unternehmens- und B2B-Einsätze betrifft. Anhang III nennt acht Bereiche, in denen KI-Systeme als Hochrisiko eingestuft werden:

Biometrie — Fernidentifikation, Kategorisierung, Emotionserkennung (wo nicht verboten).
Kritische Infrastruktur — Sicherheitskomponenten in Energie, Wasser, Verkehr, digitaler Infrastruktur.
Allgemeine und berufliche Bildung — Zugang, Schülerbeurteilung, Lernergebnisbewertung.
Beschäftigung und Arbeitnehmerverwaltung — Rekrutierung, Auswahl, Leistungsbewertung, Beförderung, Kündigung.
Zugang zu wesentlichen Leistungen — Kreditwürdigkeitsprüfung, Versicherungsrisikobewertung, Notfalldienstdisposition.
Strafverfolgung — Risikobewertung für Kriminalität, Lügendetektoren, Beweisauswertung.
Migration, Asyl, Grenzkontrolle — Prüfung von Anträgen, Risikobewertung, Dokumentenechtheit.
Rechtspflege und demokratische Prozesse — KI in Gerichtsverfahren, Wahlsystemen.

Was Hochrisiko-Anbieter bis August 2026 tun müssen

Anforderung	Bedeutung in der Praxis
Risikomanagementsystem (Art. 9)	Kontinuierlicher Risikobewertungsprozess über den gesamten KI-Lebenszyklus — Identifikation, Analyse, Minderung.
Datenqualität und -governance (Art. 10)	Trainings-, Validierungs- und Testdatensätze müssen relevant, repräsentativ und soweit möglich fehlerfrei sein.
Technische Dokumentation (Art. 11 + Anhang IV)	Detaillierte Dokumentation von Systemdesign, Verwendungszweck, Fähigkeiten, Grenzen und Leistungskennzahlen.
Aufzeichnungen / Protokollierung (Art. 12)	Automatische Ereignisprotokolle für Rückverfolgbarkeit und Prüffähigkeit.
Transparenz gegenüber Betreibern (Art. 13)	Nutzungsanweisungen, die Fähigkeiten, Grenzen und Leistungsmerkmale erläutern.
Menschliche Überwachung (Art. 14)	Das System muss so gestaltet sein, dass natürliche Personen die KI-Ausgaben verstehen, überwachen und — wenn nötig — außer Kraft setzen können.
Genauigkeit, Robustheit, Cybersicherheit (Art. 15)	Konsistente Leistung; Schutz vor gegnerischen Angriffen, Datenvergiftung und Modellfehlern.
Konformitätsbewertung (Art. 43)	Selbstbewertung für die meisten Anhang-III-Systeme; Drittbewertung für biometrische Identifikation und bestimmte kritische Infrastrukturanwendungen.
EU-Datenbankregistrierung (Art. 49)	Hochrisiko-Systeme müssen vor Inbetriebnahme in der öffentlichen EU-KI-Datenbank registriert werden.
Post-Market-Monitoring (Art. 72)	Kontinuierliche Überwachung nach Inbetriebnahme; schwerwiegende Vorfälle müssen den nationalen Behörden gemeldet werden.

Betreiberpflichten für Hochrisiko-Systeme

Betreiber (Organisationen, die Hochrisiko-KI von Drittanbietern nutzen), haben eigene Pflichten:

Grundrechte-Folgenabschätzung (FRFBA) — Erforderlich für Betreiber, die öffentliche Stellen oder private Anbieter wesentlicher Dienstleistungen sind.
Menschliche Überwachungsmaßnahmen — Die vom Anbieter festgelegten Überwachungsverfahren müssen umgesetzt werden.
Mitarbeiterschulung — Sicherstellen, dass Mitarbeitende, die Hochrisiko-KI-Systeme nutzen, die erforderliche Kompetenz besitzen.
Vorfallüberwachung — System überwachen und schwerwiegende Vorfälle dem Anbieter und — wenn erforderlich — der zuständigen nationalen Behörde melden.

Wichtig für SaaS-Einkäufer: Wenn Sie ein Hochrisiko-KI-Tool von einem Drittanbieter erwerben, sind Sie Betreiber — und haben eigene gesetzliche Pflichten. KI-Act-Compliance-Klauseln sollten nun standardmäßig in Lieferantenverträgen enthalten sein.

Kapitel V: KI-Modelle für allgemeine Zwecke (GPAI) (Seit 2. August 2025)

Kapitel V führt ein eigenes Regime für KI-Basismodelle ein — Modelle wie GPT-4, Claude, Gemini, Llama und Mistral, die für viele Anwendungen genutzt werden können.

Wer ist GPAI-Anbieter?

Jedes Unternehmen, das ein GPAI-Modell trainiert und — auch über eine API — verfügbar macht, ist GPAI-Anbieter. Die Schwelle liegt bei Modellen, die mit mehr als 10²³ FLOP (Gleitkommaoperationen) trainiert wurden.

Grundlegende GPAI-Pflichten (Alle Anbieter)

Technische Dokumentation — Modellarchitektur, Trainingsdaten, eingesetzte Rechenleistung und Performance-Benchmarks dokumentieren.
Urheberrechts-Compliance — Richtlinie zur Einhaltung des EU-Urheberrechts implementieren, einschließlich der Text- und Data-Mining-Ausnahme nach Artikel 4 der DSM-Richtlinie.
Transparenz gegenüber nachgelagerten Anbietern — Informationen veröffentlichen, die nachgelagerten KI-Entwicklern helfen, Fähigkeiten und Grenzen des Modells zu verstehen.

Zusätzliche Pflichten: Systemische Risikomodelle

Modelle, die mit ≥ 10²⁵ FLOP trainiert wurden, gelten als Modelle mit hoher Wirkung und unterliegen systemischen Risikopflichten (Artikel 55):

Modellevaluierungen — Einschließlich Adversarial Testing (Red-Teaming) vor und nach Deployment.
Bewertung systemischer Risiken — Risiken bewerten, die erhebliche Auswirkungen auf den Binnenmarkt haben könnten.
Cybersicherheitsmaßnahmen — Modell und zugehörige Infrastruktur schützen.
Vorfallmeldung — Schwerwiegende Vorfälle dem EU-KI-Amt melden.
Benachrichtigung — Systemische Risikomodelle proaktiv beim EU-KI-Amt anzeigen.

Der GPAI-Verhaltenskodex, veröffentlicht am 10. Juli 2025, bietet praktische Compliance-Hinweise. Die Teilnahme ist freiwillig, gilt aber als Indiz für die Erfüllung der Pflichten.

Artikel 50: Transparenzpflichten (KI mit begrenztem Risiko)

Auch wenn Ihr KI-System kein Hochrisiko- oder verbotenes System ist, verlangt Artikel 50 in bestimmten Situationen eine Offenlegung:

Chatbots müssen Nutzer darüber informieren, dass sie mit einem KI-System interagieren.
Emotionserkennungs- und biometrische Kategorisierungssysteme müssen die betroffenen Personen benachrichtigen.
Deepfakes — KI-generierte synthetische Audio-, Video- oder Bildinhalte müssen mit maschinenlesbaren Wasserzeichen versehen sein.
KI-generierter Text zu Fragen von öffentlichem Interesse muss als künstlich erzeugt gekennzeichnet sein.

Diese Pflichten gelten ab dem 2. August 2026.

Bußgeldstruktur (Artikel 99 und Artikel 101)

Verstoß	Höchststrafe
Verbotene KI-Praktiken (Art. 5)	35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Nichteinhaltung der Hochrisiko-Pflichten (Anhang III)	15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Irreführende Angaben gegenüber Behörden	7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes
GPAI-Anbieter (Kommissions-Durchsetzung ab Aug. 2026)	15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Nichtkooperation mit dem EU-KI-Amt (GPAI)	Laufende Zwangsgelder

Bußgelder bemessen sich nach dem höheren der beiden Beträge — Festbetrag oder Umsatzprozentsatz. Für KMU und Start-ups kann national die niedrigere Obergrenze gelten.

Einordnung: Die 35-Mio.-€-Strafe für verbotene KI übersteigt die DSGVO-Höchststrafe der ersten Stufe (10 Mio. € / 2 %). Mit 7 % bei schwerwiegenden Verstößen erreicht die KI-Verordnung die höchste DSGVO-Stufe. Der Gesetzgeber hat bewusst auf wirksame Sanktionierung gesetzt.

Durchsetzungsarchitektur

EU-KI-Amt (European AI Office)

Das Europäische KI-Amt ist die zentrale EU-Behörde mit direkten Durchsetzungsbefugnissen gegenüber GPAI-Modellanbietern. Es koordiniert die nationale Durchsetzung, veröffentlicht Leitlinien und führt die öffentliche EU-KI-Datenbank für Hochrisiko-Systemregistrierungen.

Nationale Behörden in Deutschland

In Deutschland sind gemäß der KI-Verordnung zuständige Behörden zu benennen, mindestens eine Marktüberwachungsbehörde und eine Notifizierungsbehörde. Die genaue Zuständigkeitsverteilung zwischen BSI, BNetzA und weiteren Behörden wird durch nationale Umsetzungsmaßnahmen konkretisiert.

„Digital Omnibus"-Verlängerungsvorschlag

Ende 2025 schlug die Europäische Kommission ein „Digital Omnibus"-Paket vor, das bestimmte Anhang-III-Hochrisikopflichten bis Dezember 2027 verschieben könnte. Stand März 2026 ist dieser Vorschlag noch nicht verabschiedet. Eine seriöse Compliance-Planung behandelt den 2. August 2026 als verbindliche Frist.

Compliance-Checkliste bis August 2026

Schritt 1 — KI-System-Inventar

Alle KI-Systeme erfassen, die Ihre Organisation entwickelt, betreibt, importiert oder vertreibt und die EU-Nutzer betreffen.
Systemname, Anbieter, Zweck, Dateneingaben/-ausgaben und Nutzergruppe dokumentieren.

Schritt 2 — Risikoklassifikation

Für jedes System die Risikostufe bestimmen: verboten, Hochrisiko (Anhang III), begrenztes Risiko oder minimales Risiko.
Artikel-6-Klassifikationsregeln anwenden: Fällt das System unter Anhang III? Stellt es ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte dar?

Schritt 3 — Verbotene KI sofort adressieren

Systeme, die Artikel 5 verletzen, abschalten oder neu gestalten.
Emotionserkennungstools in Arbeitsumgebungen und Bildungseinrichtungen prüfen.
Social-Scoring- oder Verhaltensprofilierungssysteme überprüfen.

Schritt 4 — Hochrisiko-Compliance-Programm

Risikomanagementsystem einrichten (Artikel 9).
Datenqualitätsprüfung für Trainings-/Validierungsdaten (Artikel 10).
Technische Dokumentation gemäß Anhang IV erstellen (Artikel 11).
Protokollierung und Aufzeichnungspflichten umsetzen (Artikel 12).
Verfahren für menschliche Überwachung definieren (Artikel 14).
Konformitätsbewertung durchführen (Artikel 43).
In der EU-KI-Datenbank registrieren (Artikel 49).

Schritt 5 — Betreiberpflichten

Für Drittanbieter-Hochrisiko-KI-Tools: Technische Dokumentation und Konformitätsbewertungsnachweise anfordern und prüfen.
Lieferantenverträge um KI-Act-Compliance-Klauseln ergänzen.
Grundrechte-Folgenabschätzung durchführen, wo erforderlich.
Relevante Mitarbeitende in KI-Überwachungsverfahren schulen.

Schritt 6 — GPAI-Pflichten (falls zutreffend)

Als GPAI-Anbieter: Technische Dokumentation, Urheberrechtsrichtlinie und Transparenzpflichten gegenüber nachgelagerten Nutzern umsetzen.
Prüfen, ob das Modell den systemischen Risikoschwellenwert von 10²⁵ FLOP überschreitet.
GPAI-Verhaltenskodex prüfen und ggf. unterzeichnen.

Schritt 7 — Transparenz (Artikel 50)

KI-Hinweispflichten in alle Chatbot-Interfaces einbauen.
Deepfake-Wasserzeichen implementieren, falls synthetische Medien erzeugt werden.
Nutzer über Emotionserkennung informieren, wo nicht verboten.

Zusammenspiel mit anderen EU-Verordnungen

Verordnung	Beziehung
DSGVO	KI-Systeme, die personenbezogene Daten verarbeiten, müssen sowohl KI-Verordnung als auch DSGVO erfüllen. Die Datenqualitätspflichten (Art. 10) ergänzen DSGVO-Grundsätze zu Datensparsamkeit und Richtigkeit.
NIS2	Hochrisiko-KI-Systeme in kritischer Infrastruktur unterliegen sowohl KI-Verordnung (Genauigkeit, Robustheit, Cybersicherheit — Art. 15) als auch NIS2-Risikomanagementmaßnahmen (Art. 21).
DORA	Finanzunternehmen, die KI in ICT-Systemen einsetzen, haben überlappende KI-Verordnungs- und DORA-Pflichten. DORAs ICT-Risikomanagementrahmen kann Teile der KI-Verordnungsanforderungen an operative Resilienz abdecken.
Cyber Resilience Act (CRA)	KI-Produkte mit digitalen Elementen auf dem EU-Markt müssen sowohl CRA-Cybersicherheitsanforderungen als auch KI-Verordnungsanforderungen erfüllen. CRA-Schwachstellenmeldepflichten greifen ab September 2026.

Wie Orbiq bei der Einhaltung der KI-Verordnung hilft

Die Compliance mit der EU KI-Verordnung erfordert Dokumentation, Nachweiserhebung, Lieferantenbewertungen und kontinuierliches Monitoring über das gesamte KI-Portfolio. Wenn Sie dafür Tools vergleichen, zeigt unser Vergleich von Compliance-Automatisierungs-Software, welche Plattformen bei EU-Regulierungsworkflows und Nachweismanagement am stärksten sind.

KI-System-Inventar und Risikoklassifikation — Jedes KI-System strukturiert mit Nachweispfaden dokumentieren und klassifizieren mit Orbiq ISMS Software.
KI-Act-Fragebögen für Lieferanten — KI-Act-Compliance-Fragebögen an Drittanbieter versenden und Antworten über die Orbiq Vendor Assurance Platform nachverfolgen.
Nachweiserhebung und Prüfungsbereitschaft — Technische Dokumentation, Konformitätsbewertungsnachweise und Trainingsdaten-Governance-Belege automatisch erfassen.
Kontinuierliches Monitoring — Das kontinuierliche Monitoring von Orbiq stellt sicher, dass Ihre KI-Verordnungs-Compliance-Position aktuell bleibt, wenn sich Systeme weiterentwickeln.

Quellen und Nachweise

Verordnung (EU) 2024/1689 — Amtsblatt der EU — Offizieller Text der KI-Verordnung, 12. Juli 2024
Zeitplan der KI-Verordnung — artificialintelligenceact.eu
Artikel 5 — Verbotene KI-Praktiken
Artikel 6 — Klassifikationsregeln für Hochrisiko-KI-Systeme
Anhang III — Hochrisiko-KI-Kategorien
Artikel 55 — Pflichten für GPAI-Modelle mit systemischem Risiko
Artikel 99 — Bußgelder
GPAI-Verhaltenskodex — Europäische Kommission, 10. Juli 2025
Leitlinien für GPAI-Modellanbieter — Europäische Kommission
DLA Piper: Neue Welle von KI-Verordnungspflichten tritt in Kraft — August 2025
Orrick: 6 Schritte vor dem 2. August 2026
Baker Botts: What Energy Executives Should Know Before August 2026 — März 2026
EU AI Act Bußgelder — Holistic AI
Europäisches KI-Amt — Offizielle Seite der Europäischen Kommission