Der EU AI Act (Verordnung (EU) 2024/1689) ist das erste umfassende KI-Regulierungsregime weltweit. Er klassifiziert KI-Systeme nach Risiko in vier Klassen: unannehmbares Risiko (verboten), hohes Risiko (strenge Pflichten), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (freiwillig).
Der Act gilt extraterritorial: Er erfasst nicht nur Anbieter mit Sitz in der EU, sondern auch solche ausserhalb, wenn ihre Systeme in der EU genutzt werden.
Für Unternehmen ergeben sich konkrete Handlungspflichten:
Zeitplan. Der Act ist seit August 2024 in Kraft. Verbote galten ab Februar 2025. Hochrisiko-Pflichten gelten ab 2. August 2026 (vorbehaltlich Verschiebung durch Digital Omnibus on AI).
Rollen. Provider entwickeln und vertreiben KI-Systeme. Deployer setzen sie ein. In SAP-Landschaften ist SAP typischerweise Provider, der SAP-Kunde Deployer.
Sanktionen. Bis 35 Millionen Euro oder 7 Prozent des Jahresumsatzes bei Verstössen gegen verbotene Praktiken.
KI-Inventar und Risikoklassifizierung. Alle KI-Systeme erfassen und nach Annex III klassifizieren.
Deployer-Pflichten nach Artikel 26 erfüllen. Nutzung nach Anleitung, menschliche Aufsicht, Log-Aufbewahrung mindestens 6 Monate, Incident-Reporting.
Transparenzpflichten nach Artikel 50 sofort umsetzen. Diese gelten ab 2. August 2026 unabhängig von allen Verschiebungsdiskussionen.
Klassifizierungsunsicherheit. Die EU-Kommission hat die Klassifizierungs-Guidance nicht fristgerecht geliefert. 40 Prozent der Enterprise-KI-Systeme sind nicht eindeutig klassifizierbar.
Vorlaufzeiten. Konformitätsbewertungen dauern 3-6 Monate. Wer jetzt noch kein Inventar hat, steht im Herbst 2026 unter Zeitdruck.
Dual-Track-Planung. Track A: Basis-Compliance bis August 2026 (Transparenzpflichten, Inventar). Track B: Hochrisiko-Readiness bis Dezember 2027.
Konservative Klassifizierung bei Zweifelsfällen. Bis die Guidance der Kommission vorliegt, im Zweifel als Hochrisiko klassifizieren.
Der EU AI Act ist das erste verbindliche KI-Regulierungsregime weltweit. Er klassifiziert nach Risiko, adressiert Provider und Deployer getrennt und gilt extraterritorial. Hochrisiko-Pflichten greifen ab 2. August 2026, Transparenzpflichten nach Artikel 50 sind von Verschiebungen ausgenommen.