Der EU AI Act, formell Verordnung (EU) 2024/1689, trat am 1. August 2024 in Kraft. Er ist der weltweit erste horizontale Rechtsrahmen, der KI-Systeme nach Risikoklassen reguliert. Die Verordnung unterscheidet vier Klassen: unannehmbares Risiko (verboten), hohes Risiko (strenge Pflichten), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (freiwillige Selbstverpflichtung).
Zwei Rollen prägen die Regulatorik. Der Provider im Sinne von Artikel 3 (3) ist derjenige, der ein KI-System entwickelt oder entwickeln lässt und unter eigenem Namen in Verkehr bringt. Der Deployer nach Artikel 3 (4) ist derjenige, der ein KI-System unter eigener Verantwortung im Rahmen einer beruflichen Tätigkeit einsetzt. In SAP-Landschaften ist SAP in der Regel Provider, der SAP-Kunde ist Deployer.
Die Deployer-Pflichten stehen in Artikel 26. Sie umfassen die Nutzung nach Anleitung, menschliche Aufsicht, Monitoring, Incident-Reporting, Log-Aufbewahrung und Information betroffener Personen. Annex III listet die Hochrisiko-Kategorien, darunter Beschäftigung, Kreditwürdigkeit und kritische Infrastruktur.
Für Unternehmen mit SAP-Landschaft verschiebt der AI Act die Verantwortung für den praktischen Einsatz regulierter KI in die eigene Organisation. SAP hat nach eigener Angabe die ISO-42001-Zertifizierung erreicht und tritt öffentlich als Provider auf, der seinen Artikel-16-Pflichten nachkommt (Quelle: SAP Responsible AI Page, Stand Q1 2026).
Damit wandern die Pflichten nach Artikel 26 explizit zum Kunden. Konkret betrifft das jedes SAP-Modul, in dem KI-gestützte Entscheidungen mit Auswirkung auf Beschäftigte, Kunden oder Geschäftsprozesse getroffen werden. Drei Beispiele:
Der zeitliche Druck ist real. Ab 2. August 2026 greifen die Hochrisiko-Pflichten nach aktuellem Rechtsstand. Der Digital Omnibus on AI könnte das verschieben, doch die Transparenzpflichten nach Artikel 50 sind laut AI Act Service Desk FAQ Q1 2026 von einer Verschiebung explizit ausgenommen.
Eine Deployer-Compliance-Architektur in SAP-Landschaften stützt sich auf vier Pfeiler:
AI-System-Inventar. Jedes KI-gestützte Feature in der SAP-Landschaft wird erfasst, klassifiziert und dem Risikoregime zugeordnet.
Konformitätsbewertung für Hochrisiko-Systeme. Nach Artikel 43 ist für Hochrisiko-KI eine Bewertung durch den Provider oder durch eine notifizierte Stelle nötig.
Monitoring und Log-Regime. Artikel 26 (6) fordert die Aufbewahrung der automatisch generierten Logs über mindestens sechs Monate.
Menschliche Aufsicht und Incident Reporting. Artikel 26 (2) und Artikel 73 verlangen nachweisbare Oversight-Strukturen und Meldewege bei schwerwiegenden Vorfällen.
Klassifizierungsunsicherheit. Die EU-Kommission hat ihre eigene Deadline für die Klassifizierungs-Guidance nach Artikel 6 vom 2. Februar 2026 nicht eingehalten (Quelle: Plesner Rechtsanwälte, 6. April 2026). Eine appliedAI-Studie aus 2024 ergab: 18 Prozent eindeutig hochrisikobehaftet, 42 Prozent eindeutig niedrigrisikobehaftet, 40 Prozent nicht eindeutig einzuordnen.
Vorlaufzeit für Konformitätsbewertungen. Eine Konformitätsbewertung nach Artikel 43 dauert erfahrungsgemäß drei bis sechs Monate (Quelle: Advisori DE, 28. Februar 2026).
Bußgeldrahmen. Bei Verstößen gegen Hochrisiko-Pflichten sieht Artikel 99 Bußgelder bis 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes vor.
Nationale Aufsicht Deutschland. Das BSI übernimmt die Rolle der nationalen Marktüberwachungsbehörde und wird ab August 2026 prüfen.
Phase 1, Inventarisierung (Monat 1 bis 2). Erfassung aller KI-Komponenten über alle SAP-Module hinweg.
Phase 2, Risikoklassifizierung (Monat 2 bis 3). Jedes System wird gegen Annex III geprüft. Bei Zweifelsfällen wird konservativ klassifiziert.
Phase 3, Lückenanalyse und Remediation (Monat 3 bis 5). Gegenüberstellung der Artikel-26-Pflichten mit den vorhandenen Prozessen.
Phase 4, Nachweisaufbau und Audit-Vorbereitung (Monat 5 bis 6). Erstellung der Dokumentation für den Prüfungsfall gegenüber dem BSI.
Der EU AI Act macht SAP-Kunden zu Deployern im Sinne von Artikel 26. SAP positioniert sich mit der ISO-42001-Zertifizierung klar auf der Provider-Seite. Ab 2. August 2026 greifen die Hochrisiko-Pflichten. Der Handlungsdruck ist operativ, nicht theoretisch. Konformitätsbewertungen dauern drei bis sechs Monate, das BSI wird als nationale Aufsicht ab August prüfen, Bußgelder liegen im Prozentbereich des Konzernumsatzes.