EU-AI-Gesetz erhält 16-monatige Verlängerung: Aufschub, kein Freifahrtschein

Regulierte Unternehmen, die auf die Einhaltung der KI-Compliance bis August 2026 hinarbeiten, haben gerade 16 Monate mehr Zeit bekommen – und das Gefühl, jetzt durchzuatmen und das Tempo zu drosseln, ist genau die falsche Reaktion. Das Europäische Parlament hat am 16. Juni 2026 Änderungen zum EU AI Act verabschiedet und die Compliance-Frist für eigenständige Hochrisiko-KI-Systeme gemäß Anhang III vom 2. August 2026 auf den 2. Dezember 2027 verschoben. Das verschafft zwar Luft, aber Morgan Lewis, die globale Anwaltskanzlei, die die Änderungen im Detail analysiert hat, stellt klar: Die Aufsichtsbehörden signalisieren keine Nachsicht für Pausen. Sie geben mehr Zeit, um die Anforderungen korrekt umzusetzen.

Für Unternehmen, die KI-Systeme in Bereichen wie Bildung, Beschäftigung, Kreditvergabe, kritische Infrastrukturen oder Strafverfolgung einsetzen – also in den explizit von Anhang III abgedeckten Sektoren – verschiebt die verlängerte Frist lediglich den Zeitplan, ohne auch nur eine einzige zugrunde liegende Verpflichtung zu streichen. Eine weitere Änderung verschiebt die Frist für als Sicherheitskomponente eingebettete KI in Produkten, die unter die EU-Harmonisierungsrichtlinien fallen, vom 2. August 2027 auf den 2. August 2028. Und eine neue Regelung verbietet KI-basierte Nudifier-Anwendungen vollständig – mit Wirkung zum 2. Dezember 2026, eine Frist, die nicht verschoben wurde.

Die Änderungen zeigen insgesamt eine europäische Regulierungshaltung, die Realismus bei der Umsetzung zulässt, aber an der Zielsetzung festhält. Die Kernanforderungen des EU AI Act – Risikomanagement, Transparenz, menschliche Aufsicht, Data Governance und Rechenschaftspflicht – bleiben bestehen. Unternehmen, die die Fristverlängerung als Grund sehen, Compliance-Maßnahmen aufzuschieben, werden im Dezember 2027 genauso schlecht vorbereitet sein wie im August 2026 – nur mit weniger Zeit, bevor die nächste Durchsetzungswelle beginnt.

Der Kiteworks 2026 Data Security and Compliance Risk: Annual Forecast Report zeigt, dass KI-Governance und EU-Compliance zu den wichtigsten strategischen Prioritäten für Security- und Compliance-Teams in Unternehmen zählen. Die Änderungen machen die Governance-Debatte dringlicher, nicht weniger relevant – denn das Zeitfenster, um die richtige Infrastruktur zu schaffen, ist jetzt offen.

Wichtige Erkenntnisse

1. Die Frist für Anhang III wurde um 16 Monate verschoben, nicht dauerhaft.

Eigenständige Hochrisiko-KI-Systeme müssen nun bis zum 2. Dezember 2027 konform sein. Die zugrunde liegenden Risiko- und Governance-Pflichten des EU AI Act bleiben unverändert – nur der Zeitplan hat sich geändert, nicht die Anforderungen.

2. Das Verbot von Nudifier-Anwendungen wurde nicht verschoben.

KI-Anwendungen, die nicht einvernehmliche intime Bilder generieren, sind ab dem 2. Dezember 2026 verboten. Unternehmen mit KI-basierten Content-Generierungsplattformen oder Bildverarbeitungssystemen müssen ihre Risiken sofort bewerten.

3. Die Aufsichtsbehörden erwarten aktive Governance, kein Aufschieben von Papierarbeit.

Morgan Lewis betont, dass die EU-Aufsichtsbehörden ihre Durchsetzungsabsicht ab dem Inkrafttreten der neuen Fristen deutlich gemacht haben. Die Verlängerung ist Zeit zur Umsetzung, nicht zum Verschieben.

4. Für KI-Systeme als Sicherheitskomponente gibt es eine 12-monatige Verlängerung, keine 16.

KI, die als Sicherheitskomponente in Produkten mit EU-Harmonisierungsrichtlinien eingebettet ist, hat nun eine Frist vom 2. August 2028 statt 2. August 2027 – ein abweichender Zeitplan, den Unternehmen in Fertigung, Medizintechnik und Industrie eventuell falsch verfolgen.

5. Das 16-monatige Zeitfenster ist der richtige Moment, um eine Governance-Infrastruktur für KI-Daten aufzubauen.

Unternehmen, die diese Zeit nutzen, um eine durch Richtlinien abgesicherte Content-Governance zu etablieren, werden zum Stichtag im Dezember 2027 auditbereit sein – und nicht hektisch nach fehlender Dokumentation suchen.

Welche Data Compliance Standards sind relevant?

Jetzt lesen

Was die Änderungen am EU AI Act tatsächlich verändert haben

Der EU AI Act, der im August 2024 in Kraft getreten ist, führt Compliance-Pflichten in gestaffelten Wellen ein. Die am 16. Juni 2026 vom Europäischen Parlament verabschiedeten Änderungen betreffen zwei spezifische Kategorien von Hochrisiko-KI-Systemen und führen ein neues Verbot ein.

Die wichtigste Änderung betrifft eigenständige Hochrisiko-KI-Systeme gemäß Anhang III des Gesetzes. Anhang III listet acht Hochrisikokategorien auf: biometrische Identifikation, Management kritischer Infrastrukturen, Bildung und berufliche Weiterbildung, Beschäftigung und Personalmanagement, Zugang zu essenziellen privaten und öffentlichen Diensten (einschließlich Kreditvergabe), Strafverfolgung, Migration und Asyl sowie Rechtspflege. Jedes KI-System in diesen Kategorien, das als eigenständiges Produkt eingesetzt wird – und nicht als Komponente eines anderen Produkts – muss nun bis zum 2. Dezember 2027 konform sein, statt wie ursprünglich geplant bis zum 2. August 2026. Die 16-monatige Verlängerung spiegelt das Feedback der Branche wider, dass der ursprüngliche Zeitplan für komplexe Governance-Anforderungen nicht realistisch war.

Die zweite Änderung betrifft KI-Systeme, die als Sicherheitskomponenten in Produkten eingesetzt werden, die unter die EU-Produkt-Harmonisierungsrichtlinien fallen – etwa Medizinprodukte, Maschinen oder Industrieanlagen, bei denen KI sicherheitskritische Funktionen unterstützt. Diese Systeme hatten bereits einen längeren Compliance-Zeitraum (ursprünglich 2. August 2027) und müssen nun bis zum 2. August 2028 konform sein. Unternehmen in Fertigung, Medizintechnik oder Industrie mit KI-basierten Sicherheitsfunktionen sollten ihre Compliance-Roadmaps entsprechend anpassen.

Das dritte Element ist ein neues Verbot von KI-basierten Nudifier-Anwendungen – also Software, die realistische, nicht einvernehmliche intime Bilder generiert. Dieses Verbot gilt ab dem 2. Dezember 2026 und tritt damit vor den verlängerten Fristen für Hochrisiko-Systeme in Kraft. Unternehmen mit Content-Generierungsplattformen, KI-Anwendungen für Endkunden oder Bildverarbeitungssystemen, die missbraucht werden könnten, müssen ihre Risiken jetzt bewerten – nicht später.

DSGVO-Compliance-Teams, die den EU AI Act verfolgen, erkennen die Überschneidungen: Viele Datenschutzpflichten, die unter der DSGVO gelten, betreffen auch die von Hochrisiko-KI-Systemen gemäß Anhang III verarbeiteten personenbezogenen Daten. Die Änderungen ändern daran nichts – sie verlängern lediglich die Frist für Unternehmen, die noch keine Infrastruktur dafür aufgebaut haben. Verpflichtungen zur Datenminimierung und Zweckbindung, die die DSGVO bereits für die Verarbeitung personenbezogener Daten vorschreibt, gelten gleichermaßen für Trainings- und Betriebsdaten von KI-Systemen nach Anhang III. Die DSGVO-Datenverarbeitungspraxis ist damit der natürliche Ausgangspunkt für die Data Governance nach dem EU AI Act.

Warum die Verlängerung nicht das bedeutet, was viele Unternehmen denken

Wenn eine Frist verschoben wird, liegt es nahe, dies als stillschweigende Erlaubnis zu sehen, die damit verbundenen Aufgaben hintanzustellen. Die Analyse von Morgan Lewis adressiert diesen Reflex ausdrücklich: Die Aufsichtsbehörden haben angekündigt, ab dem Inkrafttreten der neuen Fristen konsequent durchzugreifen, und erste Durchsetzungsmaßnahmen sind bereits in angrenzenden Regulierungsbereichen sichtbar. Die NIS2-Compliance-Durchsetzung in EU-Mitgliedstaaten, DORA-Anforderungen im Finanzsektor und DSGVO-Durchsetzungsmaßnahmen der letzten 18 Monate zeigen deutlich, dass die europäische Regulierungslandschaft Fristen strikt einhält und Unternehmen sanktioniert, die sie als Planungsrahmen statt als verbindliche Endpunkte betrachten.

Es gibt auch einen praktischen Grund, jetzt zu handeln. Die für den EU AI Act erforderliche Governance-Infrastruktur – Risikomanagementsysteme, Datenqualitäts-Frameworks, Mechanismen für menschliche Aufsicht, Audit-Trails und Transparenzdokumentation – braucht Zeit für den korrekten Aufbau. Unternehmen, die erst 12 Monate vor der Frist mit der Umsetzung beginnen, stellen regelmäßig fest, dass die ersten sechs Monate unerwartete Komplexität offenbaren: nicht inventarisierte Legacy-KI-Systeme, Datenpipelines ohne Governance-Instrumentierung, KI-Komponenten von Drittanbietern, die die Transparenzanforderungen des Gesetzes nicht erfüllen. Eine formale Risikobewertung, die jetzt durchgeführt wird – mit einer Zuordnung aller KI-Systeme zu den Kategorien des Anhangs III – verschafft Compliance-Teams die priorisierte Übersicht, die sie für die Umsetzung innerhalb der 16 Monate benötigen.

Der EU Data Act und verwandte europäische Datenregulierungen schaffen eine weitere Komplexität: Governance-Pflichten existieren nicht isoliert. Ein Unternehmen, das KI-Governance für die EU AI Act-Compliance aufbaut, muss auch sicherstellen, dass seine KI-Datenflüsse Data Sovereignty-Anforderungen, grenzüberschreitende Übertragungsbeschränkungen nach DSGVO und sektorspezifische Vorgaben je nach Mitgliedstaat einhalten. Eine Governance-Infrastruktur, die all dies gleichzeitig abdeckt, ist ein substantielles technisches und organisatorisches Vorhaben. 16 Monate vor der Frist zu starten ist deutlich besser als erst vier Monate davor.

Was der EU AI Act tatsächlich verlangt

Die Anforderungen des EU AI Act für Hochrisiko-KI-Systeme nach Anhang III sind detailliert und dokumentationsintensiv. Die Kernpflichten umfassen mehrere miteinander verbundene Bereiche.

Die Konformitätsbewertung verlangt von Unternehmen eine systematische Prüfung, ob ihr KI-System die Anforderungen des Gesetzes an Transparenz, Genauigkeit, Robustheit und Cybersicherheit erfüllt. Für die meisten Hochrisikosysteme umfasst dies sowohl interne Prüfungen als auch potenzielle externe Audits. Risikomanagementsysteme müssen eingerichtet, gepflegt und während des gesamten Lebenszyklus des Systems aktualisiert werden – es handelt sich nicht um eine einmalige Prüfung, sondern um einen fortlaufenden Governance-Prozess, der Risiken während der Weiterentwicklung des KI-Systems und bei Veränderungen der Bedrohungslage nachverfolgt.

Data Governance-Praktiken müssen Trainings-, Validierungs- und Testdaten abdecken, die zur Entwicklung des KI-Systems verwendet werden. Unternehmen nach Anhang III müssen dokumentieren, dass ihre Trainingsdaten relevant, repräsentativ und frei von Fehlern sind, die zu diskriminierenden Ergebnissen führen könnten. Die Klassifizierung der Trainingsdatensätze – die Kennzeichnung nach Sensitivitätsstufe und Verwendungszweck – bildet die Nachweisgrundlage, die Auditoren prüfen, wenn sie die Data Governance auf Einhaltung der Qualitätskriterien des Gesetzes untersuchen. Mechanismen für menschliche Aufsicht müssen sicherstellen, dass Menschen in die Ergebnisse des KI-Systems eingreifen, sie übersteuern oder stoppen können – für autonome KI-Systeme bedeutet dies direkte technische Anforderungen an die Architektur, da menschliche Aufsicht praktisch möglich sein muss, nicht nur theoretisch.

Technische Dokumentation und Protokollierung erfordern, dass Unternehmen umfassende Aufzeichnungen über Design, Entwicklung, Tests, Leistung und Betriebshistorie des Systems führen. Diese Unterlagen müssen aufbewahrt und den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt werden.

KI Data Governance-Frameworks, die diese Anforderungen erfüllen, haben eine gemeinsame Grundlage: Sie behandeln alle Daten, die in ein KI-System ein- oder aus diesem herausfließen, als Governance-pflichtig. Kiteworks Compliant AI liefert die Policy Enforcement-Schicht, die diese Anforderungen umsetzbar macht – Content-Governance, die filtert, protokolliert und steuert, welche Daten in einen KI-Workflow gelangen, mit einem manipulationssicheren Audit-Trail, der die Dokumentationsanforderungen des Gesetzes erfüllt. Das CISO Dashboard bietet Compliance-Teams Echtzeit-Transparenz über alle KI-vermittelten Datenzugriffe und liefert damit die Evidenzschicht für kontinuierliches regulatorisches Monitoring statt punktueller Audit-Vorbereitung.

Datenschutzanforderungen nach Anhang III betreffen insbesondere personenbezogene Daten: Jedes KI-System, das personenbezogene Daten für Kreditvergabe, Personalentscheidungen oder Strafverfolgung verarbeitet, muss nachweisen, dass seine Datenverarbeitung sowohl mit der DSGVO als auch mit den Vorgaben des EU AI Act konform ist. DSGVO-Compliance und AI Act-Compliance sind keine parallelen, sondern überlappende Anforderungen, die auf derselben Governance-Infrastruktur aufbauen. Wer sie getrennt aufbaut, arbeitet doppelt.

Die Data Sovereignty-Dimension

Für europäische Unternehmen und multinationale Organisationen mit EU-Geschäft ist die Einhaltung des EU AI Act Teil eines umfassenderen Data Sovereignty Compliance-Rahmens. Hochrisiko-KI-Systeme, die personenbezogene Daten von EU-Bürgern verarbeiten, unterliegen Beschränkungen bezüglich Speicherort, Übertragung in Drittländer und Zugriffsrechten. Diese Vorgaben finden sich in der DSGVO, in nationalen Datenschutzgesetzen und in branchenspezifischen Regelungen – sie bestimmen die Architektur jedes konformen KI-Systems.

Unternehmen, die US-basierte Cloud-Anbieter für KI-Verarbeitung nutzen, stehen seit Jahren vor diesem Zielkonflikt. Der EU AI Act fügt eine weitere Ebene hinzu: Selbst wenn ein Datentransfer DSGVO-konform ist, muss das KI-System selbst die Anforderungen des Anhangs III erfüllen, einschließlich technischer Dokumentation und Protokollierung, auf die EU-Aufsichtsbehörden zugreifen können. Wenn die technische Dokumentation beim Cloud-Anbieter liegt und der Zugriff für EU-Regulierer eingeschränkt ist, steht die Konformität des Systems infrage. Kundenseitig kontrollierte Verschlüsselungsschlüssel sind die architektonische Kontrolle, die Cloud-Anbietern den Zugriff auf regulierte Daten verwehrt – so kann keine erzwungene Offenlegung durch den Cloud-Anbieter die Trainings- oder Betriebsdaten eines EU-KI-Systems kompromittieren.

Data Residency-Vorgaben erschweren Cloud-KI-Deployments zusätzlich. Einige Mitgliedstaaten verlangen, dass sensible personenbezogene Daten ausschließlich auf Servern im Land gespeichert werden – unabhängig von EU-weiten Übertragungsregelungen. KI-Systeme, die solche Daten verarbeiten, benötigen Architekturen, die diese Vorgaben einhalten, ohne die Governance-Transparenz zu verlieren, die der EU AI Act verlangt.

Das Kiteworks Private Data Network adressiert diese Anforderungen direkt und bietet eine kontrollierte Umgebung, die Data Residency- und Data Sovereignty-Konfigurationen ebenso unterstützt wie die für die EU AI Act-Compliance erforderliche Content-Governance. Die von der Plattform generierten Audit-Logs erfüllen sowohl die Rechenschaftspflicht der DSGVO als auch die Protokollierungspflichten des EU AI Act – und schaffen so eine einheitliche Governance-Dokumentation, die regulatorische Prüfungen für beide Rahmenwerke gleichzeitig unterstützt.

Die Verlängerung sinnvoll nutzen

Die jetzt verfügbaren 16 Monate bis zur Frist für Anhang III reichen aus, um ein belastbares KI-Governance-Programm aufzubauen – wenn jetzt begonnen wird. Die sinnvolle Reihenfolge: Zunächst eine vollständige KI-Systeminventur, um alle Systeme mit Bezug zu Anhang III zu identifizieren; dann Risikoklassifizierung jedes Systems nach den Hochrisikokriterien des Gesetzes; Durchführung von DPIA-Analysen für Systeme, die personenbezogene Daten verarbeiten; Aufbau der technischen Governance-Infrastruktur für Datenqualität, Audit-Logging und menschliche Aufsicht; und Abschluss der Konformitätsbewertung vor der Frist, nicht erst zum Stichtag. Unternehmen, die zusätzlich HIPAA– oder CMMC 2.0-Compliance erfüllen müssen, sollten ihre EU AI Act-Governance-Infrastruktur von Anfang an so gestalten, dass sie auf diese Rahmenwerke erweiterbar ist – die Anforderungen an Audit-Logging, Zugriffskontrolle und Datenklassifizierung überschneiden sich erheblich.

Compliant AI-Frameworks von Kiteworks bieten die Infrastrukturebene für diese Aufgaben. Kiteworks Compliant AI erzwingt Content-Policies an der Schnittstelle zwischen Daten und KI und stellt sicher, dass KI-Systeme in verifizierten, konformen Datenkontexten arbeiten. Und das Kiteworks Private Data Network liefert die umfassende Logging- und Zugriffskontroll-Infrastruktur, die der EU AI Act verlangt.

Der Kiteworks 2026 Data Security and Compliance Risk: Annual Forecast Report zeigt: Unternehmen, die frühzeitig in KI-Governance-Infrastruktur investieren – statt Compliance als Sprint auf die Frist zu behandeln – berichten von höherem Vertrauen in ihre KI-Deployments und geringerer regulatorischer Exponierung. Nutzen Sie die Verlängerung als das, was sie ist: Zeit zum Aufbau. Wer sie klug nutzt, ist im Dezember 2027 auditbereit. Wer sie als Pause versteht, steht am Ende genau dort, wo er nicht sein wollte.

Erfahren Sie mehr über den Aufbau einer EU AI Act-Compliance-Infrastruktur vor der Frist im Dezember 2027 und vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Die Frist am 2. Dezember 2027 gilt für eigenständige Hochrisiko-KI-Systeme in den acht Kategorien des Anhangs III des EU AI Act: biometrische Identifikation, Management kritischer Infrastrukturen, Bildung und berufliche Weiterbildung, Beschäftigung und Personalmanagement, Zugang zu essenziellen Diensten (einschließlich Kreditvergabe), Strafverfolgung, Migration und Asyl sowie Rechtspflege. „Eigenständig“ bedeutet, dass diese Systeme unabhängig eingesetzt werden – im Gegensatz zu KI, die als Sicherheitskomponente in Produkten mit EU-Harmonisierungsrichtlinien eingebettet ist. Für diese gilt die separate Frist am 2. August 2028. Wenn Ihr Unternehmen KI-Systeme in diesen Kategorien für EU-Märkte oder EU-Bürger einsetzt, sind Sie betroffen. KI Data Governance ist Voraussetzung für die erforderliche Konformitätsbewertung. DSGVO-Compliance kann zusätzlich gelten, wenn personenbezogene Daten verarbeitet werden. Unternehmen mit KI-Systemen, die Gesundheitsdaten oder sensible personenbezogene Daten betreffen, sollten ihre Anhang-III-Exponierung von Anfang an zusammen mit DSGVO- und branchenspezifischen Datenschutzpflichten abbilden.

Nein. Die Änderungen betreffen nur die Compliance-Zeitpläne, nicht die inhaltlichen Anforderungen, die Unternehmen nach Anhang III erfüllen müssen. Risikomanagementsysteme, Data Governance-Praktiken, Mechanismen für menschliche Aufsicht, technische Dokumentation und Protokollierung bleiben wie ursprünglich festgelegt bestehen. Morgan Lewis betont, dass die Aufsichtsbehörden ab Inkrafttreten der neuen Fristen konsequent durchgreifen werden – Unternehmen sollten den 2. Dezember 2027 als verbindlichen Endpunkt und nicht als Planungsrahmen betrachten. Im Kiteworks 2026 Data Security and Compliance Risk: Annual Forecast Report finden Sie Analysen, wie europäische Zeitpläne die Investitionsentscheidungen in KI-Governance beeinflussen. Data Sovereignty Compliance ist eine parallele Pflicht für personenbezogene Daten von EU-Bürgern, unabhängig davon, welche Frist für Ihre KI-Systeme gilt. Unternehmen sollten auch prüfen, ob ihre KI-Lieferkette – also Anbieter und Drittanbieter von Modellen – die gleichen Governance-Standards erfüllt wie das eigene Unternehmen, da die Verpflichtung zum Risikomanagement auch für die KI-Lieferkette gilt.

Für KI-Systeme, die personenbezogene Daten verarbeiten – was auf die meisten Anhang-III-Systeme zutrifft, da Kreditvergabe, Personalentscheidungen, Strafverfolgung und ähnliche Funktionen zwangsläufig personenbezogene Daten betreffen – sind EU AI Act-Compliance und DSGVO-Compliance überlappende, nicht parallele Pflichten. Die Data Governance-Anforderungen des Gesetzes (Qualität der Trainingsdaten, Repräsentativität, Fehlerkorrektur) gelten für Daten, die die DSGVO als personenbezogen definiert. Das bedeutet, dass die gleichen Datenverarbeitungspraktiken beiden Rahmenwerken gleichzeitig genügen müssen. Datenminimierung, Zweckbindung und Betroffenenrechte nach DSGVO schränken auch die Nutzung von Trainings- und Betriebsdaten für KI ein. Eine einheitliche Governance-Architektur, die beide Rahmenwerke abdeckt, ist effizienter zu bauen und leichter zu auditieren als zwei getrennte Compliance-Programme. Kiteworks Compliant AI unterstützt diesen Ansatz, indem Policy Enforcement und Logging an der Schnittstelle zwischen Daten und KI greifen.

Die wichtigste Maßnahme in den ersten 90 Tagen ist die KI-Systeminventur: Identifizieren Sie alle KI-Systeme in Ihrem Unternehmen, die unter die Kategorien des Anhangs III fallen, dokumentieren Sie die verarbeiteten Daten und prüfen Sie, ob sie als eigenständig oder als Sicherheitskomponente gelten. Viele Unternehmen stellen dabei fest, dass sie mehr relevante KI-Systeme haben als gedacht, weil KI-Funktionen in Einkaufs-, HR- oder Kundenservice-Tools ohne formale Klassifizierung integriert wurden. Nach Abschluss der Inventur bestimmt die Risikoklassifizierung den Umfang der erforderlichen Compliance-Maßnahmen für jedes System. Unternehmen sollten auch ihre aktuellen Logging- und Audit-Trail-Fähigkeiten mit den Anforderungen des EU AI Act abgleichen, da hier oft der größte technische Umsetzungsbedarf sichtbar wird. DPIA-Pflichten können auch für neue KI-Deployments während der Verlängerungsphase gelten. Die Integration von KI-System-Logs in eine SIEM-Plattform von Anfang an – statt Logging nur als Audit-Artefakt zu betrachten – verschafft Compliance-Teams die kontinuierliche Transparenz, die das laufende Monitoring nach dem Gesetz verlangt.

Teilweise. DSGVO-Compliance-Infrastruktur – Datenmapping, Datenschutz-Richtlinien, Mechanismen für Betroffenenrechte und Prozesse für Meldungen von Datenschutzverstößen – bietet eine Grundlage, auf der die EU AI Act-Compliance aufbaut. Das Gesetz bringt jedoch Anforderungen mit, für die es in der DSGVO kein direktes Pendant gibt: Konformitätsbewertung für KI-spezifische technische Eigenschaften, Risikomanagementsysteme für den gesamten KI-Lebenszyklus und menschliche Aufsicht, die architektonisch und nicht nur durch Richtlinien abgebildet sein muss. Compliant AI-Infrastruktur schließt die Lücke zwischen dem, was DSGVO-Compliance bereits bietet, und dem, was der EU AI Act zusätzlich verlangt. Die praktische Empfehlung: Nutzen Sie das DSGVO-Datenmapping als Ausgangspunkt für Ihre EU AI Act-Systeminventur, planen Sie aber gezielte Investitionen in zusätzliche Infrastruktur, um KI-spezifische Pflichten zu erfüllen. Wer bestehende DSGVO-Compliance als ausreichend für den EU AI Act betrachtet, riskiert beim Audit eine Lücke. Data Governance-Fähigkeiten, die die DSGVO nur implizit verlangt – wie granulare Audit-Logs für KI-Datenzugriffe, Klassifizierung von Trainingsdaten nach Sensitivität und durch Richtlinien abgesicherte Zugriffssteuerung an der Modellgrenze – sind explizite Anforderungen des EU AI Act und müssen als eigene Infrastruktur aufgebaut werden.

Weitere Ressourcen

  • Blogbeitrag
    Zero‑Trust-Strategien für bezahlbaren KI-Datenschutz
  • Blogbeitrag
    Wie 77 % der Unternehmen bei der KI-Datensicherheit scheitern
  • eBook
    KI-Governance-Lücke: Warum 91 % kleiner Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blogbeitrag
    Es gibt kein „–dangerously-skip-permissions“ für Ihre Daten
  • Blogbeitrag
    Die Aufsichtsbehörden fragen nicht mehr, ob Sie eine KI-Richtlinie haben. Sie wollen den Nachweis, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks