Bluewaves ← Alle Notizen
Der August-Countdown
Bertrand 24. Februar 2026

Der August-Countdown

11 Min. Lesezeit
  1. August 2026. Das ist das Datum, an dem die Bestimmungen der KI-Verordnung der EU fuer Hochrisiko-KI-Systeme voll in Kraft treten. Nicht die GPAI-Modellbestimmungen und Governance-Regeln — die gelten seit dem 2. August 2025. Nicht die verbotenen Praktiken — die traten im Februar 2025 in Kraft. Die Hochrisiko-Bestimmungen. Die mit Biss.

Fuenf Monate ab heute.

Das ist kein weiterer “Was die KI-Verordnung der EU fuer Ihr Unternehmen bedeutet”-Artikel. Der Markt hat Tausende davon produziert. Sie sind abstrakt, umfassend und operativ nutzlos — entworfen, um die Vertrautheit des Autors mit der Verordnung zu demonstrieren, nicht um einem Unternehmen bei der Compliance-Vorbereitung zu helfen.

Das ist eine spezifische, artikelweise Aufschluesselung dessen, was ein Unternehmen, das KI-Systeme einsetzt, bis zum 2. August 2026 umgesetzt haben muss. Es ist geschrieben fuer Unternehmen mit 50 bis 500 Beschaeftigten, die KI-Systeme eingesetzt haben oder einsetzen, die unter die Hochrisiko-Klassifizierung fallen koennten. Es setzt voraus, dass Sie noch nicht mit der Vorbereitung begonnen haben. Fuenf Monate reichen — wenn Sie jetzt anfangen.

Ist Ihr System Hochrisiko?

Artikel 6 definiert Hochrisiko-KI-Systeme in zwei Kategorien:

Kategorie 1 (Artikel 6 Absatz 1): KI-Systeme, die Sicherheitskomponenten von Produkten sind oder selbst Produkte, die unter EU-Harmonisierungsvorschriften in Anhang I fallen. Dazu gehoeren Maschinen, Medizinprodukte, Spielzeug, Funkanlagen, Zivilluftfahrt, Fahrzeuge, Schiffsausruestung, Schienensysteme und andere. Wenn Ihr KI-System in ein Produkt eingebettet ist oder als Sicherheitskomponente eines Produkts fungiert, das unter diese Richtlinien faellt, ist es per Definition Hochrisiko.

Kategorie 2 (Artikel 6 Absatz 2 und Anhang III): KI-Systeme, die in spezifischen Hochrisikobereichen gemaess Anhang III eingesetzt werden. Die acht Bereiche sind:

  1. Biometrische Identifizierung und Kategorisierung. Fernbiometrische Identifizierungssysteme, Emotionserkennung, biometrische Kategorisierung.
  2. Verwaltung und Betrieb kritischer Infrastruktur. KI-Systeme als Sicherheitskomponenten in der Verwaltung von Strassenverkehr, Wasser-, Gas-, Heizungs- und Stromversorgung.
  3. Allgemeine und berufliche Bildung. KI-Systeme, die den Zugang zu Bildung bestimmen, Lernergebnisse bewerten, verbotenes Verhalten bei Pruefungen ueberwachen.
  4. Beschaeftigung, Arbeitnehmerverwaltung und Zugang zur Selbststaendigkeit. KI-Systeme fuer Bewerbervorauswahl, Stellenanzeigen-Targeting, Einstellungsentscheidungen, Aufgabenzuweisung, Ueberwachung und Bewertung der Arbeitnehmerleistung und Entscheidungen ueber Befoerderung oder Kuendigung.
  5. Zugang zu wesentlichen privaten und oeffentlichen Dienstleistungen. Kreditbewertung, Versicherungspreisgestaltung, Anspruch auf Sozialleistungen, Einsatzleitung von Rettungsdiensten.
  6. Strafverfolgung. Individuelle Risikobewertungen, Luegendetektion, Beweisbewertung, Profiling.
  7. Migration, Asyl und Grenzkontrolle. Risikobewertungen, Dokumentenverifizierung, Antragsbearbeitung.
  8. Rechtspflege und demokratische Prozesse. KI-Systeme zur Unterstuetzung bei Rechtsrecherche, Fallanalyse oder Strafzumessung.

Fuer ein EU-KMU mit 50-500 Beschaeftigten sind die haeufigsten Hochrisiko-Klassifizierungen: Beschaeftigung (jedes KI-Tool, das bei Einstellungen, Leistungsbewertung oder Personalverwaltung eingesetzt wird) und wesentliche Dienstleistungen (jedes KI-Tool, das bei Kreditentscheidungen, Versicherungsbewertungen oder Leistungsanspruechen eingesetzt wird).

Die Klassifizierung betrifft nicht das Modell. Sie betrifft den Anwendungsfall. Dasselbe Sprachmodell, das Marketingtexte generiert (minimales Risiko), wird zum Hochrisiko, wenn es Bewerbungen bewertet. Das Modell hat sich nicht geaendert. Der Anwendungsfall hat sich geaendert. Die Pflichten folgen.

Die Ausnahme nach Artikel 6 Absatz 3: In Anhang III aufgefuehrte KI-Systeme koennen von der Hochrisiko-Klassifizierung ausgenommen werden, wenn sie kein “erhebliches Risiko der Schaedigung” der Gesundheit, Sicherheit oder Grundrechte darstellen. Das Unternehmen muss dokumentieren, warum die Ausnahme gilt. Im Zweifelsfall als Hochrisiko klassifizieren. Die Kosten der Ueberklassifizierung sind Compliance. Die Kosten der Unterklassifizierung sind Durchsetzung.

Die fuenf Anforderungen — Artikel fuer Artikel

Wenn Ihr System Hochrisiko ist, gelten fuenf Anforderungsgruppen. Hier sind sie, mit spezifischen operativen Massnahmen fuer jede.

Anforderung 1: Risikomanagementsystem (Artikel 9)

Sie brauchen ein dokumentiertes Risikomanagementsystem, das die Risiken Ihres KI-Systems identifiziert, analysiert, bewertet und mindert. Das ist keine einmalige Risikobewertung. Es ist ein “kontinuierlicher iterativer Prozess”, der waehrend des gesamten Lebenszyklus des Systems laeuft.

Was das in der Praxis bedeutet:

Vor dem 2. August: Dokumentieren Sie die bekannten Risiken Ihres KI-Systems. Nicht generische KI-Risiken. Die spezifischen Risiken Ihres Systems. Was passiert, wenn es die falsche Antwort gibt? Wer ist betroffen? Wie schwer? Welche Fehlerkategorien sind am wahrscheinlichsten? (Die Model Card — worüber ich geschrieben habe — ist Ihre primaere Quelle fuer Risiken auf Modellebene.)

Erstellen Sie ein Risikoregister, das jedes identifizierte Risiko einer Minderungsmassnahme zuordnet. Die Minderung muss spezifisch sein: “Wir fuehren eine manuelle Pruefung aller automatisierten Entscheidungen durch, die die Beschaeftigung von Einzelpersonen betreffen” ist eine Minderung. “Wir ueberwachen das System auf Risiken” ist keine.

Etablieren Sie einen Prozess zur Aktualisierung des Risikoregisters, wenn sich das System aendert, der Anwendungsfall erweitert wird oder ein neues Risiko im Produktivbetrieb identifiziert wird. Der Prozess muss festlegen, wer verantwortlich ist, wie oft das Register ueberprueft wird und was eine Ad-hoc-Ueberpruefung ausloest.

Geschaetzter Aufwand: 2-3 Wochen dedizierte Arbeit fuer eine typische KMU-Einfuehrung. Eine Person, Teilzeit, mit Fachkompetenz im Anwendungsbereich des KI-Systems.

Anforderung 2: Daten-Governance (Artikel 10)

Trainings-, Validierungs- und Testdatensaetze muessen Qualitaetskriterien erfuellen, die in der Verordnung spezifiziert sind. Die Daten muessen “relevant, hinreichend repraesentativ und, soweit moeglich, fehlerfrei und vollstaendig” sein. Sie muessen die Merkmale der Daten, ihre Quelle, den Datenerhebungsprozess und alle Vorverarbeitungsvorgaenge dokumentieren.

Was das in der Praxis bedeutet:

Wenn Sie das Modell feinabgestimmt haben: Dokumentieren Sie den Feinabstimmungsdatensatz. Welche Daten wurden verwendet? Woher kamen sie? Welche Qualitaetspruefungen wurden durchgefuehrt? Waren geschuetzte Merkmale (Alter, Geschlecht, Ethnizitaet, Behinderung) in den Daten vorhanden? Falls ja, wie wurden sie behandelt? Gab es bekannte Verzerrungen in den Daten? Falls ja, welche Minderungsmassnahmen wurden angewandt?

Wenn Sie ein vortrainiertes Modell ueber API nutzen: Die Model Card und Datendokumentation des Modellanbieters tragen zu dieser Anforderung bei, aber Sie sind trotzdem fuer die Daten verantwortlich, die Ihr System verarbeitet. Dokumentieren Sie die Daten, die in Ihr System fliessen: Kundendaten, operative Daten, die Dokumente in Ihrer RAG-Pipeline. Die gleichen Qualitaetskriterien gelten.

Wenn Sie diese Dokumentation nicht haben: Beginnen Sie jetzt damit. Der Aufwand ist retrospektive Dokumentation bereits getroffener Entscheidungen. Es ist muehsam. Es ist nicht komplex. Ein Praktikant mit einer Vorlage und Zugang zum Datenteam kann 80 % der erforderlichen Dokumentation in zwei Wochen produzieren.

Geschaetzter Aufwand: 1-2 Wochen fuer ein System mit vortrainiertem Modell ueber API. 3-4 Wochen fuer ein System mit eigener Feinabstimmung.

Anforderung 3: Technische Dokumentation (Artikel 11 und Anhang IV)

Sie muessen technische Dokumentation erstellen, bevor das System auf den Markt gebracht oder in Betrieb genommen wird. Anhang IV spezifiziert den Inhalt im Detail:

  • Allgemeine Beschreibung des KI-Systems und seines Verwendungszwecks
  • Detaillierte Beschreibung der Elemente des KI-Systems und seines Entwicklungsprozesses
  • Detaillierte Informationen ueber Ueberwachung, Funktionsweise und Kontrolle des Systems
  • Beschreibung des Risikomanagementsystems
  • Beschreibung der am System waehrend seines Lebenszyklus vorgenommenen Aenderungen
  • Liste der angewandten harmonisierten Normen
  • Beschreibung der Massnahmen zur Sicherstellung der Einhaltung der relevanten Anforderungen

Was das in der Praxis bedeutet:

Das ist eine Dokumentationsuebung. Das System existiert bereits (oder wird gebaut). Die technische Dokumentation beschreibt, was existiert. Das Grundprinzip: Schreiben Sie es so, dass ein kompetenter technischer Pruefer verstehen kann, was das System tut, wie es das tut, welche Risiken es birgt und welche Kontrollen vorhanden sind.

Das Dokument muss nicht schoen sein. Es muss genau, vollstaendig und gepflegt sein. Ein lebendiges Dokument, das bei Systemaeaenderungen aktualisiert wird, ist konform. Ein poliertes Dokument, das vor sechs Monaten korrekt war und nicht aktualisiert wurde, ist es nicht.

Geschaetzter Aufwand: 3-4 Wochen fuer die Erstdokumentation. Laufende Pflege: 2-4 Stunden pro Monat.

Anforderung 4: Aufzeichnung und Protokollierung (Artikel 12)

Das KI-System muss automatisch Ereignisse protokollieren, die fuer die Risikoerkennung und die Marktueberwachung nach dem Inverkehrbringen relevant sind. Protokolle muessen enthalten: den Zeitraum jeder Nutzung, die Referenzdatenbank, gegen die Eingabedaten geprueft wurden, Eingabedaten, bei denen die Suche zu einem Treffer fuehrte, und die Identifikation der an der Ergebnisverifizierung beteiligten natuerlichen Personen.

Was das in der Praxis bedeutet:

Ihr KI-System muss Audit-Trails produzieren. Jede Entscheidung, die das System trifft (oder empfiehlt), muss mit ausreichend Detail protokolliert werden, um die Entscheidung nachtraeglich rekonstruieren zu koennen. Das Protokoll muss enthalten: die Eingabe, die Ausgabe, den Zeitstempel und die Identitaet jedes menschlichen Pruefers.

Fuer ein KMU, das ein Kundenservice-KI oder ein HR-Screening-Tool einsetzt, bedeutet das die Implementierung strukturierter Protokollierung in der Anwendungsschicht. Der Engineering-Aufwand ist ueberschaubar — die meisten modernen KI-Deployment-Frameworks unterstuetzen strukturierte Protokollierung. Die Speicherkosten sind proportional zum Volumen: Ein System, das 500 Entscheidungen pro Tag verarbeitet, generiert bei moderater Ausfuehrlichkeit etwa 15 MB strukturierter Protokolle pro Monat.

Geschaetzter Aufwand: 1-2 Wochen Engineering fuer die Implementierung. Minimale laufende Kosten.

Anforderung 5: Menschliche Aufsicht (Artikel 14)

Ich habe einen vollstaendigen Artikel darueber geschrieben (“Der 500.000-Euro-Fehler”). Die Zusammenfassung: Das System muss so konzipiert sein, dass es von natuerlichen Personen wirksam beaufsichtigt werden kann. Die Aufsicht muss sinnvoll sein — eigenstaendige Bewertung, praktische Abweichungsbefugnis, ausreichend Zeit und nachgewiesene Variation der Ergebnisse.

Was das in der Praxis bedeutet:

Bauen Sie die Pruef-Oberflaeche. Entwerfen Sie den Workflow. Schulen Sie die Pruefer. Ueberwachen Sie die Abweichungsraten. All das muss vor dem 2. August stehen.

Geschaetzter Aufwand: 3-5 Wochen fuer Oberflaechenentwicklung, Workflow-Design und Prueferschulung.

Die Konformitaetsbewertung

Artikel 16-22 definieren die Pflichten der Anbieter von Hochrisiko-KI-Systemen — die Anforderungen, die ein Unternehmen erfuellen muss, um die Konformitaet seines Hochrisiko-KI-Systems nachzuweisen.

Fuer die meisten KMU-Einfuehrungen (die nicht unter spezifische EU-Harmonisierungsvorschriften in Anhang I fallen) ist die Konformitaetsbewertung eine interne Bewertung nach Artikel 43 Absatz 2. Sie brauchen keinen externen Pruefer. Sie brauchen keine benannte Stelle. Sie bewerten Ihre eigene Konformitaet auf Basis der Anforderungen der Artikel 8-15, dokumentieren die Bewertung und stellen eine EU-Konformitaetserklaerung aus (Artikel 47).

Das ist wichtig: Fuer die meisten KMU-Anwendungsfaelle ist die Konformitaet selbstbewertet. Die Verordnung vertraut dem Betreiber, seine eigene Konformitaet zu bewerten — vorausgesetzt, die Bewertung ist dokumentiert, die Dokumentation wird gepflegt und das System unterliegt der Marktueberwachung nach dem Inverkehrbringen.

Die Konformitaetserklaerung ist ein einseitiges Dokument, das besagt: Dieses KI-System, eingesetzt fuer diesen Zweck, erfuellt die Anforderungen der KI-Verordnung der EU. Es verweist auf die technische Dokumentation, das Risikomanagementsystem und das Qualitaetsmanagementsystem.

Die Erklaerung muss zehn Jahre nach Inverkehrbringen des KI-Systems aufbewahrt werden.

Die Registrierungspflicht

Artikel 49 verlangt, dass Hochrisiko-KI-Systeme in der EU-Datenbank fuer eigenstaendige Hochrisiko-KI-Systeme (eingerichtet nach Artikel 71) registriert werden, bevor sie auf den Markt gebracht oder in Betrieb genommen werden.

Die Registrierung ist elektronisch, ueber ein Portal des KI-Bueros. Die erforderlichen Informationen sind: Name und Kontaktdaten des Anbieters, Beschreibung des Verwendungszwecks, Status des KI-Systems (auf dem Markt, zurueckgezogen, zurueckgerufen), Beschreibung der Bereitstellungsweise und die EU-Konformitaetserklaerung.

Die Registrierung ist kein Zugangsmechanismus. Sie ist ein Transparenzmechanismus. Die Datenbank ist oeffentlich. Die Registrierung Ihres Systems demonstriert Compliance-Absicht. Ein betriebsbereites Hochrisikosystem nicht zu registrieren ist selbst ein Verstoss.

Der Zeitplan

Fuenf Monate. Hier ist ein realistischer Zeitplan fuer ein KMU, das noch nicht mit der Vorbereitung begonnen hat:

Monate 1-2 (Maerz-April 2026): Risikoklassifizierung. Bestimmen Sie, ob Ihre KI-Systeme nach Artikel 6 und Anhang III als Hochrisiko einzustufen sind. Inventarisieren Sie alle im Unternehmen eingesetzten KI-Systeme — einschliesslich Tools, die von einzelnen Teams ohne zentrale IT-Aufsicht eingefuehrt wurden. Beginnen Sie mit der Risikomanagement-Dokumentation (Artikel 9) und der Daten-Governance-Dokumentation (Artikel 10) fuer alle als Hochrisiko klassifizierten Systeme.

Monat 3 (Mai 2026): Technische Dokumentation. Erstellen Sie die technische Dokumentation nach Anhang IV fuer jedes Hochrisikosystem. Implementieren Sie strukturierte Protokollierung (Artikel 12), falls noch nicht vorhanden. Beginnen Sie mit der Entwicklung der Oberflaeche und des Workflows fuer menschliche Aufsicht (Artikel 14).

Monat 4 (Juni 2026): Implementierung menschlicher Aufsicht. Vervollstaendigen Sie die Pruef-Oberflaeche, schulen Sie die Pruefer, etablieren Sie den Workflow. Beginnen Sie die interne Konformitaetsbewertung. Identifizieren Sie Luecken und beheben Sie sie.

Monat 5 (Juli 2026): Abschluss der Konformitaetsbewertung. Stellen Sie die EU-Konformitaetserklaerung aus. Registrieren Sie Hochrisikosysteme in der EU-Datenbank. Etablieren Sie den Marktueberwachungsprozess nach dem Inverkehrbringen. Dokumentieren Sie alles.

2. August 2026: Volle Bestimmungen in Kraft. Ihre Systeme sind konform, registriert und ueberwacht — oder sie sind es nicht, und Sie operieren unter Verstoss.

Das Qualitaetsmanagementsystem

Artikel 17 verlangt von Anbietern von Hochrisiko-KI-Systemen die Implementierung eines Qualitaetsmanagementsystems. Diese Anforderung wird in Countdown-Artikeln oft uebersehen, weil sie generisch klingt. Ist sie nicht.

Das Qualitaetsmanagementsystem muss umfassen: Richtlinien und Verfahren zur Umsetzung der Anforderungen der KI-Verordnung, Techniken und Verfahren fuer Design, Designkontrolle und Designverifizierung des Hochrisiko-KI-Systems, Techniken und Verfahren fuer seine Entwicklung, Qualitaetskontrolle und Qualitaetssicherung, Pruef-, Test- und Validierungsverfahren vor, waehrend und nach der Entwicklung des Systems sowie Datenverwaltungsverfahren.

Fuer ein KMU muss das Qualitaetsmanagementsystem nicht ISO-9001-zertifiziert sein. Es muss dokumentiert, implementiert und gepflegt sein. Ein praktisches Qualitaetsmanagementsystem fuer eine KMU-KI-Einfuehrung ist ein 10-15-seitiges Dokument, das spezifiziert: Wer ist wofuer verantwortlich, wie werden Aenderungen am System kontrolliert, wie wird das System vor Updates getestet, wie werden Vorfaelle nach dem Inverkehrbringen gemeldet und untersucht, und wie wird die Dokumentation aktuell gehalten.

Das Dokument dauert etwa eine Woche in der Erstellung. Es muss vor dem 2. August existieren. Es muss nach dem 2. August befolgt werden. Die Luecke zwischen dem Vorhandensein des Dokuments und dem Befolgen des Dokuments ist die Luecke, auf die Durchsetzungsmassnahmen zielen.

Der Sanktionsrahmen

Artikel 99 definiert die Sanktionen bei Nichteinhaltung:

  • Verstoesse gegen verbotene KI-Praktiken (Artikel 5): bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
  • Verstoesse gegen Hochrisiko-Anforderungen (Artikel 8-15): bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes.
  • Falsche Angaben gegenueber Regulierungsbehoerden: bis zu 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes.

Fuer KMU sieht die Verordnung verhaeltnismaessige Sanktionen vor — Bussgelder werden relativ zur Unternehmensgroesse und Schwere des Verstosses berechnet. Aber “verhaeltnismaessig” ist nicht “vernachlaessigbar”. Ein 3-%-Umsatz-Bussgeld fuer ein Unternehmen mit 10 Millionen Euro Jahresumsatz sind 300.000 Euro. Fuer viele KMU ist das existenzbedrohend.

Die Verordnung sieht auch nichtfinanzielle Durchsetzung vor: Anordnungen zur Zurueckziehung von KI-Systemen vom Markt, Anordnungen zur Aenderung von KI-Systemen und oeffentliche Erklaerungen, die nicht konforme Unternehmen und ihre Systeme identifizieren.

Die Position

Fuenf Monate sind genug Zeit fuer Compliance. Fuenf Monate sind nicht genug Zeit, um zu prokrastinieren, eine Arbeitsgruppe zu bilden, ein Beratungsmandat zu vergeben und dann Compliance herzustellen.

Die Verordnung ist spezifisch. Die Anforderungen sind aufzaehlbar. Die Konformitaetsbewertung ist intern. Die Registrierung ist elektronisch. Nichts davon erfordert eine Armee von Anwaelten oder ein sechsstelliges Beratungsbudget.

Was es erfordert, ist eine Entscheidung: Wir werden bis zum 2. August konform sein. Diese Entscheidung, heute getroffen, gibt Ihnen fuenf Monate strukturierter Arbeit. Diese Entscheidung, im Juni getroffen, gibt Ihnen fuenf Wochen Panik.

Die KI-Verordnung der EU ist nicht mehrdeutig in dem, was sie verlangt. Sie ist nur mehrdeutig in der Frage, ob Sie sie ernst nehmen, bevor die Frist kommt.

Fuenf Monate. Der Countdown laeuft.

Geschrieben von
Bertrand
Kreativtechnologe

Ein Serienunternehmer mit einem Doktortitel in KI und fünfundzwanzig Jahren Erfahrung im Aufbau von Systemen in ganz Europa. Er schreibt Code so, wie er surft: Muster lesen, Flow finden, Schwieriges einfach aussehen lassen.

← Alle Notizen