Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende KI-Regulierung weltweit. Er gilt seit dem 1. August 2024 und wird schrittweise angewendet. Der Geltungsbereich ist extraterritorial: Der Act gilt für alle Anbieter, die KI-Systeme auf dem EU-Markt in Verkehr bringen oder in Betrieb nehmen, unabhängig davon, wo diese Anbieter ihren Sitz haben. Er gilt auch für Deployer (Nutzer von KI-Systemen), die ihren Sitz in der EU haben.
Der EU AI Act folgt einem risikobasierten Ansatz. KI-Systeme werden in vier Klassen eingeteilt:
Unannehmbares Risiko. KI-Systeme, die grundlegende Rechte gefährden, sind verboten. Beispiele: Social Scoring durch Behörden, Echtzeit-Biometrie im öffentlichen Raum (mit engen Ausnahmen), manipulative Systeme, die unbewusste Schwächen ausnutzen. Verbote gelten seit dem 2. Februar 2025.
Hohes Risiko (Annex III). KI-Systeme in bestimmten Hochrisiko-Bereichen: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration, Justiz. Diese Systeme unterliegen strengen Anforderungen: technische Dokumentation, Risikomanagementsystem, Datenverwaltung, Transparenz, menschliche Aufsicht, Genauigkeit und Robustheit. Anbieter müssen eine Konformitätsbewertung durchführen und das System in der EU-Datenbank registrieren. Deployer haben eigene Pflichten nach Artikel 26.
Begrenztes Risiko. Transparenzpflichten nach Artikel 50. KI-Systeme, die direkt mit Menschen interagieren (Chatbots, Deepfakes, generierte Texte), müssen das kenntlich machen. Diese Pflichten gelten ab dem 2. August 2026.
Minimales Risiko. Keine spezifischen Anforderungen. Freiwillige Verhaltenskodizes werden von der Kommission gefördert.
Der EU AI Act tritt in Etappen in Kraft:
1. August 2024: Inkrafttreten. 2. Februar 2025: Verbote gelten. 2. August 2025: Anforderungen für General-Purpose-AI-Modelle (GPAI) gelten. 2. August 2026: Hochrisiko-Anforderungen nach Annex III und Transparenzpflichten nach Artikel 50 gelten. 2. August 2027: Anforderungen für KI-Systeme in Produkten nach Annex I.
Sanktionen. Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für Verstösse gegen Verbote. Bis zu 15 Millionen Euro oder 3 Prozent für andere Verstösse. Bis zu 7,5 Millionen Euro oder 1,5 Prozent für das Erteilen falscher Informationen.
SAP als GPAI-Provider. SAP hat die ISO-42001-Zertifizierung erreicht und positioniert sich als konformer KI-Anbieter. SAP-Produkte wie Joule basieren auf Large Language Models und fallen potenziell unter die GPAI-Anforderungen nach Artikel 51 ff. EU AI Act. SAP als Provider trägt die Pflichten nach Artikel 16 (Hochrisiko-Systeme) und Artikel 53 (GPAI-Modelle). SAP-Kunden als Deployer tragen die Pflichten nach Artikel 26.
KI-Inventar als Pflichtgrundlage. Ohne Inventar keine Compliance. Alle KI-Systeme, die das Unternehmen einsetzt oder betreibt, werden erfasst und nach den Risikoklassen des EU AI Act klassifiziert. Das Inventar bildet die Grundlage für alle weiteren Compliance-Massnahmen.
Deployer-Pflichten nach Artikel 26. Deployer von Hochrisiko-KI-Systemen müssen: das System gemäss der Gebrauchsanweisung des Anbieters einsetzen, menschliche Aufsicht durch qualifizierte Personen sicherstellen, Logs für mindestens sechs Monate aufbewahren, Grundrechte-Folgenabschätzung (FRIA) für bestimmte Kontexte durchführen, schwerwiegende Vorfälle melden. Deployer können diese Pflichten nicht an den Provider delegieren.
Transparenzpflichten nach Artikel 50. Ab dem 2. August 2026 müssen Deployer von KI-Systemen, die direkt mit Menschen interagieren, dies kenntlich machen. Das betrifft Chatbots, KI-Assistenten und Systeme, die Texte, Bilder oder andere Inhalte generieren. Joule im Kundenkontakt: Transparenzpflicht. Joule in der internen Nutzung durch Mitarbeitende: abhängig vom Kontext.
Klassifizierungslücke. Die Kommission hat eine Leitlinie zur Auslegung von Artikel 6 (Klassifizierung Hochrisiko-Systeme) versprochen. Die Frist war der 2. Februar 2026. Die Leitlinie ist nicht erschienen. Unternehmen müssen ohne offizielle Auslegungshilfe klassifizieren. Die Unsicherheit betrifft insbesondere Systeme in der Grauzone zwischen begrenztem Risiko und Hochrisiko.
Vorlaufzeiten für Konformitätsbewertungen. Eine vollständige Konformitätsbewertung für ein Hochrisiko-KI-System dauert, je nach System und Organisation, drei bis sechs Monate. Wer bis August 2026 konform sein will, muss heute beginnen. Wer heute noch kein KI-Inventar hat, hat keine Grundlage für eine Konformitätsbewertung.
Digital Omnibus on AI. Im März 2026 hat die EU-Kommission einen Vorschlag zur Verschiebung der Hochrisiko-Fristen eingebracht. Der Trilog läuft. Selbst wenn die Verschiebung kommt: Die Transparenzpflichten nach Artikel 50 sind explizit ausgenommen und gelten zum 2. August 2026. Und die Vorlaufzeiten für Konformitätsbewertungen verkürzen sich durch eine Verschiebung nicht.
Dual-Track-Planung. Track A: Transparenzpflichten und Inventarisierung bis August 2026, unabhängig vom Digital Omnibus. Track B: Konformitätsbewertungen und Hochrisiko-Compliance mit dem ursprünglichen Ziel August 2026, vorbereitet für eine Verschiebung auf Dezember 2027. Die Tracks laufen parallel. Track B wird nicht pausiert, auch wenn der Digital Omnibus kommt.
Konservative Klassifizierung bei Zweifeln. Wer unsicher ist, ob ein System unter Hochrisiko fällt, klassifiziert es vorläufig als Hochrisiko und setzt die Anforderungen um. Eine spätere Reklassifikation auf begrenztes Risiko ist einfacher als eine nachträgliche Konformitätsbewertung unter Zeitdruck.
Provider-Dokumentation aktiv einfordern. SAP als Provider ist nach Artikel 13 verpflichtet, Deployern die nötigen Informationen zur Verfügung zu stellen, um die Deployer-Pflichten zu erfüllen. Diese Dokumentation sollte aktiv eingefordert und im Rahmen des Vertragsmanagements verankert werden.
Der EU AI Act macht SAP-Kunden zu Deployern mit Pflichten nach Artikel 26. Transparenzpflichten ab August 2026, Dual-Track-Planung für Hochrisiko-Readiness, konservative Klassifizierung bis die Guidance vorliegt.