Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > EU AI Act: Frist am 2. August 2026 in sechs Wochen – Die meisten Unternehmen sind nicht vorbereitet.

EU AI Act: Frist am 2. August 2026 in sechs Wochen – Die meisten Unternehmen sind nicht vorbereitet.

von Marc ten Eikelder updated Juni 23, 2026 Regulatorische Compliance
Lesezeit: 17 Minuten

In sechs Wochen treten die EU AI Act Compliance-Pflichten für Hochrisiko-KI-Systeme in Kraft. Die Artikel 9 bis 17 sowie Artikel 26 des EU AI Act, die für Betreiber von Annex-III-Hochrisiko-KI-Systemen gelten, werden ab dem 2. August 2026 verbindlich. Das Strafmaß ist hoch: bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für die meisten mittelständischen und großen Unternehmen ist das keine Bagatelle.

Eine politische Einigung der EU-Gesetzgeber vom 7. Mai 2026 signalisierte die Bereitschaft, bestimmte Umsetzungsfristen zu überarbeiten. Einige Unternehmen deuten dieses Signal als Freibrief, ihre Compliance-Programme zu pausieren. Diese Interpretation ist rechtlich riskant. Stand Juni 2026 ist die Einigung vom 7. Mai noch nicht in Gesetzesform gegossen. Der 2. August bleibt das maßgebliche Datum. Unternehmen, die auf eine gesetzliche Anpassung warten, riskieren, ohne die erforderlichen Kontrollen, Dokumentationen oder Governance-Infrastruktur in die Frist zu laufen.

Die Compliance-Lücke ist real und messbar. Nur 37 % der Unternehmen verfügen laut einer Studie von Juni 2026 über KI-Governance-Richtlinien. Gleichzeitig nutzen über 80 % der Mitarbeitenden nicht genehmigte KI-Tools – ein Muster, das Sicherheitsforscher als Schatten-IT bezeichnen. Diese Kombination – breite KI-Nutzung ohne Governance – ist genau das Szenario, für das die Betreiberpflichten des EU AI Act geschaffen wurden. Gleichzeitig entsteht dadurch ein Risiko im Kontext neuer US-Bundesstaatengesetze.

Für Unternehmen in Recht, Finanzen, Life Sciences, Personalwesen und anderen Sektoren, in denen Annex-III-KI-Systeme aktiv genutzt werden, sind die nächsten sechs Wochen keine Wartezeit, sondern ein Endspurt. Dieser Beitrag zeigt, was das Gesetz verlangt, wo die meisten Unternehmen Defizite haben und wie Sie die Lücke bis zum 2. August schließen.

Wichtige Erkenntnisse

1. Der 2. August 2026 bleibt die verbindliche Frist

Die politische Einigung der EU vom 7. Mai 2026 zu geänderten Fristen ist nicht in Kraft – für Betreiber von Annex-III-Hochrisiko-KI-Systemen bleibt der 2. August maßgeblich, mit einem Strafrahmen bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes.

2. Shadow AI ist ein aktuelles Datenleck, kein zukünftiges Risiko

Über 80 % der Mitarbeitenden nutzen nicht genehmigte KI-Tools, und juristische Arbeit macht 22,3 % der sensiblen Daten aus, die über diese Kanäle abfließen – mit gleichzeitiger EU AI Act- und Datenschutzverstoß-Exponierung.

3. Der Colorado AI Act ist bereits in Kraft

Colorado war der erste US-Bundesstaat, der ab dem 1. Juni 2026 verbindliche Betreiberpflichten für Hochrisiko-KI eingeführt hat – Compliance-Programme mit EU-Fokus, die US-Bundesstaaten ignorieren, sind nur halb vollständig.

4. Menschliche Kontrolle und Protokollierung erfordern technische Infrastruktur, nicht nur Richtlinien

Artikel 26 verlangt operative menschliche Kontrollmechanismen und automatische Ereignisprotokollierung mit angemessener Granularität – bloße Richtlinien und dokumentierte Absicht reichen nicht aus.

5. Shadow-AI-Vorfälle verursachen durchschnittlich 670.000 US-Dollar zusätzliche Kosten pro Datenschutzverstoß

Der finanzielle Grund, Shadow-AI-Kanäle zu schließen, ist klar: 670.000 US-Dollar durchschnittliche Zusatzkosten pro Vorfall und 247 Tage durchschnittliche Erkennungszeit machen KI-Governance zu einem Thema des finanziellen Risikomanagements.

Welche Data Compliance Standards sind relevant?

Jetzt lesen

Was der EU AI Act von Betreibern tatsächlich verlangt

Der EU AI Act unterscheidet zwischen Anbietern (Unternehmen, die KI-Systeme entwickeln oder auf den Markt bringen) und Betreibern (Unternehmen, die KI-Systeme beruflich nutzen). Die meisten Unternehmen zählen zur Betreiber-Kategorie. Die Pflichten für Betreiber von Annex-III-Hochrisiko-KI-Systemen sind umfangreich und operativ konkret.

Artikel 26 verlangt von Betreibern die Umsetzung menschlicher Kontrollmechanismen, die Nutzung von KI-Systemen gemäß den Anweisungen des Anbieters, die Überwachung des Systembetriebs und die Meldung schwerwiegender Vorfälle an die zuständige Marktüberwachungsbehörde. Das sind keine bloßen Zielvorgaben, sondern durchsetzbare Anforderungen mit Nachweispflicht.

Die Artikel 9 bis 17 ergänzen weitere Anforderungen, die direkt beeinflussen, wie Unternehmen Data Governance für KI-Systeme umsetzen. Artikel 10 verlangt angemessene Data-Governance-Praktiken, einschließlich Datenqualitätskriterien, Datenaufbereitungsprozesse und Maßnahmen gegen potenzielle Verzerrungen. Das ist besonders relevant für KI-Systeme in den Bereichen Recruiting, Kreditvergabe, Bildung, Strafverfolgung und Zugang zu essenziellen Dienstleistungen – allesamt in Annex III aufgeführt.

Transparenzpflichten nach Artikel 13 verlangen, dass Hochrisiko-KI-Systeme so gestaltet sind, dass Betreiber die Ergebnisse interpretieren können, und dass die Informationen in einer Form bereitgestellt werden, die eine informierte Nutzung ermöglicht. Die Protokollierungspflicht nach Artikel 12 verlangt die automatische Aufzeichnung von Ereignissen über die gesamte Lebensdauer des Systems, mit einer dem Systemzweck angemessenen Granularität. Wenn Ihr Unternehmen kein vollständiges Audit-Log darüber vorlegen kann, wie ein Annex-III-KI-System eine folgenschwere Entscheidung getroffen hat, sind Sie nicht konform.

Die Strafstruktur zeigt, wie ernst die EU-Regulierungsbehörden diese Anforderungen nehmen. Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes für Nichteinhaltung der Betreiberpflichten – das entspricht den Strafen bei schwerwiegenden DSGVO-Compliance-Verstößen. Unternehmen, die bereits die DSGVO umgesetzt haben, erkennen das Muster: Wer anfangs zu wenig in Compliance-Infrastruktur investiert, zahlt später überproportional hohe Nachbesserungskosten.

Annex III verstehen: Welche KI-Systeme sind tatsächlich betroffen?

Annex III des EU AI Act listet acht Kategorien von Hochrisiko-KI-Systemen auf. Zu wissen, welche Kategorien für das eigene Unternehmen relevant sind, ist der Ausgangspunkt jedes Compliance-Programms – und viele Unternehmen werden feststellen, dass ihr Annex-III-Risiko größer ist als angenommen.

Die acht Kategorien sind: biometrische Identifikations- und Kategorisierungssysteme; KI-Systeme im kritischen Infrastrukturmanagement (Energie, Wasser, Transport, digitale Infrastruktur); KI-Systeme in Bildung und beruflicher Ausbildung (Zulassung, Bewertung, Prüfungsaufsicht, Lernstandserhebung); KI-Systeme im Personalwesen und Mitarbeiterverwaltung (Recruiting, Kandidatenscreening, Leistungsbewertung, Aufgabenverteilung); KI-Systeme zur Bestimmung des Zugangs zu essenziellen privaten oder öffentlichen Dienstleistungen und Leistungen (Kreditwürdigkeit, Versicherungsrisikobewertung, Priorisierung von Notrufdispositionen); KI in der Strafverfolgung (Risikobewertung, Kriminalitätsanalyse, Beweisbewertung); KI für Migration, Asyl und Grenzkontrolle; sowie KI-Systeme in der Justizverwaltung und demokratischen Prozessen (Rechercheunterstützung für Gerichte, Tools zur Wahlintegrität).

Für die meisten mittelständischen und großen Unternehmen sind die Bereiche Personal und Finanzdienstleistungen die häufigsten Berührungspunkte mit Annex III. KI-gestütztes Lebenslauf-Screening, automatisierte Interviewplanung mit Kandidatenranking, Performance-Management-Systeme mit algorithmischer Bewertung und Kreditwürdigkeitsmodelle fallen alle darunter. Rechts-, HR- und Finanzteams, die KI-gestützte Workflow-Tools ohne formale KI-Data-Governance nutzen, sollten dies als dringende Bestandsaufnahme betrachten.

Bildungs- und Gesundheitssektor haben zusätzliche Aspekte zu beachten. KI-Systeme in der medizinischen Bildgebung, klinischen Entscheidungsunterstützung, Therapieempfehlung und Patientenrisikostratifizierung können je nach Anwendung und Einfluss auf klinische Entscheidungen als Hochrisiko-KI gemäß Annex III gelten. Institutionen in diesen Bereichen sollten ihre Annex-III-Bewertung mit juristischer Beratung durchführen, die sowohl die Definitionen des EU AI Act als auch die branchenspezifischen Compliance-Anforderungen kennt.

Artikel 10 Data Governance: die operativ anspruchsvollste Anforderung

Von den Anforderungen der Artikel 9 bis 17 ist Artikel 10 oft am schwersten umzusetzen. Er verlangt, dass Trainings-, Validierungs- und Testdatensätze Qualitätskriterien für den Systemzweck erfüllen, angemessenen Data-Governance-Praktiken unterliegen, auf mögliche Verzerrungen geprüft werden und vollständig sowie statistisch geeignet für den jeweiligen Use Case sind.

Für Unternehmen, die ihre KI-Systeme nicht selbst entwickelt haben – was auf die meisten Betreiber zutrifft – ist die Erfüllung von Artikel 10 teilweise eine Frage der Lieferantensorgfalt und Dokumentation, nicht der direkten Kontrolle über das Modelltraining. Betreiber sollten technische Dokumentation vom KI-Anbieter einfordern, die die Anforderungen von Artikel 10 abdeckt, und diese mit eigener Dokumentation ergänzen: Wie wurde das System konfiguriert, welche Daten werden eingespeist, welche Bias-Bewertungen wurden im eigenen Einsatzkontext durchgeführt?

Artikel 10 ist zudem fortlaufend zu erfüllen: Es handelt sich nicht um eine einmalige Zertifizierung. KI-Systeme entwickeln sich weiter, Anbieter spielen Modellupdates ein, Unternehmen ändern ihre Nutzung – die Data-Governance-Dokumentation muss stets den aktuellen Stand widerspiegeln. Die Anwendung des Datenminimierungsprinzips auf die KI-Eingabedaten ist ein praktischer erster Schritt – je weniger Daten eingespeist werden, desto geringer sind Bias- und Datenexpositionsrisiken.

Das Shadow-AI-Problem erschwert die Compliance

Das größte strukturelle Hindernis für die EU AI Act Compliance der meisten Unternehmen ist Shadow AI: Mitarbeitende nutzen nicht genehmigte, unkontrollierte KI-Tools, ohne auf offizielle KI-Strategien zu warten. Forschungsergebnisse von Juni 2026 verdeutlichen das Ausmaß: Über 80 % der Mitarbeitenden nutzen nicht genehmigte KI-Tools. Nur 37 % der Unternehmen haben KI-Governance-Richtlinien. Diese Lücke – 80 % Nutzung bei 37 % Governance – ist das regulatorische Risiko.

Die mit Shadow AI verbundenen Datenabflussmuster sind konkret und alarmierend. Quellcode macht 30 % der Inhalte aus, die Mitarbeitende in nicht genehmigte KI-Tools einfügen. Juristische Arbeit 22,3 %. M&A-Daten 12,6 %. Das sind keine geringfügigen Kategorien. Juristische Arbeit ist genau die Art sensibler Inhalte, die die Data-Governance-Anforderungen des EU AI Act schützen sollen – und genau hier beginnen Gerichte, den KI-Einsatz zu prüfen. Datenklassifizierung ist die grundlegende Kontrolle, mit der Unternehmen festlegen, welche Inhalte niemals über nicht genehmigte KI-Kanäle laufen dürfen.

WilmerHale berichtete im Februar 2026, dass Gerichte beginnen, Anwälte für KI-Halluzinationen in Schriftsätzen verantwortlich zu machen. Wenn Anwälte nicht genehmigte KI-Tools für Schriftsätze nutzen und diese gefälschte Zitate enthalten, ist die Folge nicht nur berufliche Blamage. Es drohen Sanktionen, Haftungsrisiken und verstärkte gerichtliche Aufmerksamkeit für die KI-Governance der Kanzlei. Die Schnittmenge aus Shadow AI, juristischer Arbeit und regulatorischer Prüfung macht KI-Governance zu einem institutionellen Risiko, nicht nur zu einem IT-Thema.

Auch finanziell ist das Schließen von Shadow-AI-Kanälen eindeutig: Unternehmen mit KI-bezogenen Datenschutzverstößen tragen im Schnitt 670.000 US-Dollar Zusatzkosten. Die durchschnittliche Erkennungszeit für Shadow-AI-Vorfälle liegt bei 247 Tagen. Beide Zahlen führen zum gleichen Schluss: Shadow AI ist kein theoretisches Governance-Problem, sondern ein Kostenfaktor, der in den nächsten acht Monaten für untätige Unternehmen real wird.

Das Schließen von Shadow-AI-Kanälen erfordert Transparenz darüber, welche KI-Tools Mitarbeitende tatsächlich nutzen, Kontrollen, die sensible Daten durch genehmigte Systeme leiten, und eine Kiteworks Secure File Sharing-Infrastruktur, die Mitarbeitenden eine steuerbare Alternative bietet, die sie tatsächlich verwenden. Ist die genehmigte Option unbequem und die nicht genehmigte reibungslos, werden Mitarbeitende weiterhin die nicht genehmigte wählen – unabhängig von der Policy.

Der Colorado AI Act schafft parallele US-Exponierung

Die EU AI Act Compliance war nicht die einzige Frist, die Unternehmen im ersten Halbjahr 2026 beschäftigte. Der Colorado Artificial Intelligence Act trat am 1. Juni 2026 in Kraft und macht Colorado zum ersten US-Bundesstaat mit verbindlichen Betreiberpflichten für Hochrisiko-KI-Systeme. Für Unternehmen, die bereits an der EU AI Act-Readiness arbeiten, entsteht damit eine parallele Compliance-Schiene mit ähnlichen Konzepten, aber abweichender Umsetzung.

Das Gesetz in Colorado verpflichtet Betreiber von Hochrisiko-KI-Systemen zu einer Sorgfaltspflicht, um Verbraucher vor algorithmischer Diskriminierung zu schützen. Es verlangt Bias-Impact-Assessments vor dem Einsatz und regelmäßige Neubewertung. Es schreibt Transparenzhinweise an Verbraucher vor, wenn Hochrisiko-KI für sie relevante Entscheidungen beeinflusst. Und es verlangt Governance-Dokumentation als Nachweis der Erfüllung dieser Pflichten.

Die konzeptionelle Überschneidung mit dem EU AI Act ist groß. Beide Regime verlangen Dokumentation der KI-Systeme, Risikobewertungen, menschliche Kontrolle und Transparenz gegenüber Betroffenen. Wer für das eine Regime Compliance-Infrastruktur aufbaut, kann diese weitgehend für das andere nutzen. Die gleichen Data-Governance-Frameworks, Protokollierungspraktiken und Kontrollmechanismen sind übertragbar.

Für Unternehmen mit US-Geschäft bedeutet das: KI-Governance ist kein rein europäisches Thema mehr. Colorado wird nicht der letzte Bundesstaat mit Betreiberpflichten für Hochrisiko-KI sein. Ein Compliance-Programm, das die EU AI Act-Anforderungen als Mindeststandard nimmt und auf Erweiterbarkeit für US-Datenschutzgesetze auslegt, ist nachhaltiger als zwei getrennte Programme.

Die Schnittstelle des EU AI Act mit bestehenden Compliance-Frameworks

Für Unternehmen, die bereits DSGVO, HIPAA, NIS2 oder DORA umsetzen, ist der EU AI Act kein völlig neues Compliance-Feld. Er erweitert bestehende Pflichten, in die viele Unternehmen bereits investiert haben. Zu wissen, wo bestehende Compliance-Infrastruktur mit den Anforderungen des EU AI Act überlappt, beschleunigt die Schließung von Lücken und verhindert Doppelarbeit.

EU AI Act und DSGVO

Die Beziehung zwischen dem EU AI Act und der DSGVO-Compliance ist die wichtigste Überschneidung für europäische Unternehmen. Beide Regulierungen regeln den Umgang mit personenbezogenen Daten, verlangen Verhältnismäßigkeit bei der Datenverarbeitung und fordern die Dokumentation der Verarbeitungstätigkeiten. Der Data Protection Impact Assessment (DPIA)-Prozess der DSGVO für Hochrisiko-Verarbeitungen ist konzeptionell mit den Risikobewertungen nach Artikel 9 des EU AI Act vergleichbar. Unternehmen mit etablierten DPIA-Prozessen können diese Methodik auf KI-System-Risikobewertungen übertragen.

Artikel 22 der DSGVO – der automatisierte Entscheidungen regelt und Betroffenen Rechte bei ausschließlich automatisierten Entscheidungen einräumt – ist direkt relevant für Annex-III-KI-Systeme mit folgenreichen Ergebnissen. Unternehmen, die Infrastruktur für Artikel-22-Compliance aufgebaut haben, einschließlich menschlicher Überprüfungsprozesse und Workflows für Betroffenenrechte, sind bei den Anforderungen aus Artikel 26 des EU AI Act im Vorteil. Die Dokumentationsformate unterscheiden sich, aber die operativen Kontrollen sind weitgehend identisch.

Die zentrale Lücke zwischen DSGVO- und EU AI Act-Compliance liegt bei technischer Protokollierung und Bias-Bewertung. Die DSGVO verlangt keine automatische, granulare Ereignisprotokollierung wie Artikel 12, und sie schreibt auch keine spezifischen Data-Governance-Qualitätskriterien wie Artikel 10 vor. Hier sind zusätzliche Investitionen für die EU AI Act Compliance notwendig.

EU AI Act und NIS2

NIS2-Compliance verpflichtet Betreiber wesentlicher Dienste und wichtige Einrichtungen zu Cybersecurity-Risikomanagement und Vorfallmeldung. Beide Pflichten sind eng mit den Anforderungen des EU AI Act verknüpft. Die NIS2-Vorgabe, angemessene technische und organisatorische Maßnahmen zum Management von Cyberrisiken zu implementieren, gilt auch für KI-Systeme, die sensible Daten verarbeiten oder kritische Dienste beeinflussen.

Die Meldepflichten bei NIS2 – schwerwiegende Vorfälle müssen innerhalb von 24 Stunden (Erstmeldung) und 72 Stunden (Vollmeldung) an die zuständigen Behörden gemeldet werden – entsprechen den Anforderungen aus Artikel 26 des EU AI Act zur Meldung schwerwiegender Vorfälle bei Annex-III-KI-Systemen. Unternehmen mit etablierten Meldeprozessen für NIS2 können diese auf KI-spezifische Vorfallkategorien ausweiten. Ein dokumentierter Incident-Response-Plan, der KI-Systemausfälle und Missbrauch explizit abdeckt, ist Voraussetzung für die Erfüllung der Meldepflichten beider Regime.

Der praktische Integrationspunkt ist das Risikoregister. Unternehmen mit ausgereiften NIS2-Risikoregistern sollten Annex-III-KI-Systeme als eigene Risikokategorie aufnehmen, die spezifischen Risiken dokumentieren und bestehende NIS2-Kontrollen den EU AI Act-Pflichten zuordnen. Lücken zeigen sich meist bei Protokollierungsgranularität, Bias-Dokumentation und KI-spezifischen Kontroll-Workflows.

EU AI Act und DORA

Finanzdienstleister, die an der DORA-Compliance arbeiten, haben besonders strenge Anforderungen an das ICT-Risikomanagement. DORAs Vorgaben zu ICT-Asset-Inventaren, Risikobewertungen, Drittanbieter-Management und Vorfallmeldung schaffen eine Compliance-Infrastruktur, die sich gut auf die Betreiberpflichten des EU AI Act übertragen lässt.

Die Anforderungen an Drittanbieter sind besonders relevant. Finanzinstitute unter DORA müssen Sorgfaltspflichten gegenüber ICT-Anbietern, einschließlich KI-Tool-Anbietern, erfüllen und vertragliche Schutzmechanismen für Zugriff, Auditierbarkeit und Exit-Rechte sicherstellen. Dieses Due-Diligence-Framework unterstützt direkt die Dokumentationspflichten aus Artikel 10 und die Protokollierungspflichten aus Artikel 12 des EU AI Act. Der DORA-Due-Diligence-Prozess bietet Unternehmen eine strukturierte Möglichkeit, die technische Dokumentation der Anbieter einzufordern, wie sie der EU AI Act verlangt.

EU AI Act und HIPAA

Gesundheitsorganisationen mit HIPAA-Compliance haben Data-Governance- und Audit-Anforderungen, die mit mehreren Pflichten des EU AI Act übereinstimmen. Der Audit-Control-Standard von HIPAA (45 CFR § 164.312(b)) verlangt, dass Unternehmen technische und organisatorische Mechanismen einrichten, um Aktivitäten in Systemen mit elektronischen Gesundheitsdaten aufzuzeichnen und zu prüfen. Diese Pflicht, auf KI-Systeme mit PHI ausgeweitet, deckt einen Großteil der Protokollierungsanforderungen aus Artikel 12 ab.

Die Risikoanalysepflicht von HIPAA (45 CFR § 164.308(a)(1)) – die genaue und umfassende Bewertung potenzieller Risiken und Schwachstellen für die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI – bietet eine Methodik, die sich auf die Risikomanagement-Anforderungen aus Artikel 9 des EU AI Act übertragen lässt. Gesundheitsorganisationen, die bereits umfassende HIPAA-Risikoanalysen für KI-gestützte Tools durchgeführt haben, können diese auf den EU AI Act ausweiten.

Die besondere Lücke für den Gesundheitssektor ist die Bias-Bewertung. HIPAA verlangt keine Bias-Evaluierung klinischer KI-Tools. Die Data-Governance-Anforderungen aus Artikel 10 des EU AI Act gelten jedoch direkt für KI-Systeme im Gesundheitswesen, die als Hochrisiko gemäß Annex III eingestuft werden. Gesundheitsorganisationen müssen daher Bias-Assessment-Methoden in ihre bestehenden Compliance-Frameworks integrieren.

Technische Infrastruktur für Compliance aufbauen

Regulatorische Anforderungen werden letztlich durch technische Kontrollen umgesetzt. Die Betreiberpflichten des EU AI Act gemäß Artikel 26 lassen sich nicht allein durch Richtliniendokumente erfüllen. Es braucht Infrastruktur: Protokollierungssysteme, die KI-Entscheidungsereignisse mit angemessener Granularität erfassen, Data-Governance-Kontrollen, die Qualitäts- und Bias-Standards durchsetzen, menschliche Kontrollmechanismen, die in Workflows eingebettet sind, sowie Meldeprozesse, die schwerwiegende Vorfälle fristgerecht an die Behörden melden können.

Zero trust architecture-Prinzipien gelten direkt für KI-Governance. Wie zero trust vorsieht, dass keinem Netzwerkteilnehmer standardmäßig vertraut wird und jeder Zugriff kontinuierlich verifiziert wird, verlangt KI-Governance, dass kein KI-Zugriff auf sensible Daten unbeobachtet bleibt und alle KI-generierten Outputs mit Einfluss auf folgenschwere Entscheidungen nachvollziehbar sind. Das Prinzip ist identisch: kontinuierlich verifizieren, alles protokollieren, davon ausgehen, dass jeder unbeobachtete Kanal irgendwann ausgenutzt wird. Zero-trust-Prinzipien kombiniert mit ABAC-Kontrollen, die den KI-Zugriff auf Daten nach Nutzerrolle und Inhaltssensitivität beschränken, schaffen die mehrschichtige Verteidigung, die Artikel 26 verlangt.

Für Unternehmen, die sensible Datenströme durch KI-Systeme leiten, bietet Secure MFT-Infrastruktur einen steuerbaren Kanal für KI-bezogene Datenbewegungen. Wenn KI-Systeme Trainingsdaten empfangen, Inferenzdaten austauschen oder Ergebnisse an nachgelagerte Systeme liefern, sollten diese Transfers über überwachte, protokollierte und richtliniengesteuerte Kanäle laufen – nicht über Ad-hoc-Integrationen, die Governance-Kontrollen umgehen.

Die Verbindung zu angrenzenden Regulierungen ist hier entscheidend. Unternehmen mit NIS2-Compliance-Pflichten haben bereits Melde- und Risikomanagementpflichten, die stark mit den Anforderungen des EU AI Act überlappen. Finanzdienstleister mit DORA-Compliance verfügen über ICT-Risikomanagement-Frameworks, die sich auf KI-Risiken ausweiten lassen. Gesundheitsorganisationen mit HIPAA-Compliance haben Data-Governance- und Audit-Pflichten, die mit Artikel 10 und 12 übereinstimmen. Auf bestehender Compliance-Infrastruktur aufzubauen, ist schneller als bei null zu beginnen.

Kiteworks‘ KI-Governance– und Compliant-AI-Funktionen adressieren die Data-Governance-Pflicht aus Artikel 10 direkt und bieten einen steuerbaren Kanal für KI, die sensible Daten verarbeitet. Kiteworks verfügt über FedRAMP-Compliance (Moderate Level), CMMC-Level-2-Zertifizierung und unterstützt HIPAA-, NIS2- und DORA-Compliance-Anforderungen. Die Infrastruktur, die die strengen FedRAMP-Kontrollen erfüllt, unterstützt auch die Protokollierungs-, Data-Governance- und Kontrollpflichten des EU AI Act – unabhängig geprüft, nicht nur selbst attestiert. Das CISO-Dashboard bietet Security- und Compliance-Teams Echtzeit-Transparenz darüber, auf welche Daten KI-Systeme im Unternehmen zugreifen, sodass anomale KI-Aktivitäten erkannt werden, bevor sie meldepflichtig werden.

Sechs Wochen: Eine praktische Readiness-Checkliste

Sechs Wochen reichen aus, um wesentliche Fortschritte bei der Compliance zu erzielen – vorausgesetzt, die Prioritäten stimmen. Die folgende Reihenfolge spiegelt wider, worauf Prüfer am 2. August achten werden.

  1. Erstellen Sie zunächst ein Inventar Ihrer Annex-III-KI-Systeme. Sie können nur steuern, was Sie identifiziert haben. Annex III umfasst KI-Systeme für biometrische Identifikation, kritische Infrastrukturen, Bildung, Personalwesen, essenzielle Dienste, Strafverfolgung, Migration und Justizverwaltung. Setzen Sie KI in einem dieser Bereiche ein, sind die Systeme betroffen.

  2. Prüfen Sie als Nächstes Ihre Data-Governance-Kontrollen für diese Systeme. Artikel 10 verlangt angemessene Data-Governance-Praktiken. Dokumentieren Sie Ihre Trainingsdatenquellen, Qualitätskriterien und Ihre Bias-Assessment-Methodik. Können Sie diese Dokumentation nicht vorlegen, ist das Ihre dringendste Lücke.

  3. Bewerten Sie Ihre Protokollierungs- und Auditierbarkeit. Artikel 12 verlangt automatische Ereignisprotokollierung mit angemessener Granularität. Ziehen Sie heute ein Beispiel-Audit-Log aus einem Ihrer Annex-III-Systeme. Können Sie kein vollständiges, mit Zeitstempel versehenes Protokoll darüber liefern, wie das System eine folgenschwere Entscheidung getroffen hat, muss Ihre Protokollierungsinfrastruktur sofort überarbeitet werden.

  4. Dokumentieren Sie Ihre Mechanismen zur menschlichen Kontrolle. Artikel 26 verlangt, dass menschliche Kontrolle praktisch umgesetzt wird, nicht nur in Richtlinien beschrieben. Legen Sie die konkreten Workflow-Schritte dar, in denen Menschen KI-Ergebnisse vor folgenreichen Entscheidungen prüfen.

  5. Schließen Sie Ihre Shadow-AI-Kanäle. Das ist sowohl eine Compliance-Anforderung als auch ein Gebot der Datensicherheit. Identifizieren Sie, welche nicht genehmigten KI-Tools Mitarbeitende für sensible Daten nutzen, blockieren Sie den Zugriff auf Netzwerkebene und bieten Sie eine steuerbare Alternative über KI-Governance-Infrastruktur, die Mitarbeitende für legitime KI-gestützte Arbeit nutzen können.

  6. Mappen Sie Ihr bestehendes Compliance-Framework auf die Lücken des EU AI Act. Haben Sie bereits Programme für DSGVO, NIS2, DORA oder HIPAA, ordnen Sie deren Kontrollen den Anforderungen des EU AI Act zu. Die Überschneidungen sind groß, und die Lücken – meist Protokollierungsgranularität, Bias-Dokumentation und KI-spezifische Kontroll-Workflows – lassen sich leichter schließen, wenn Sie bestehende Infrastruktur erweitern statt neu aufbauen.

  7. Beziehen Sie Ihre KI-Anbieter für technische Dokumentation ein. Artikel 10 verlangt technische Dokumentation der Anbieter zu Trainingsdaten-Governance, Bias-Assessment-Methodik und Qualitätskriterien. Können Ihre KI-Anbieter diese Dokumentation nicht liefern, ist das eine Lücke im Lieferantenrisikomanagement, die Sie vor dem 2. August schließen müssen – entweder durch Einholung der Unterlagen oder durch Austausch der Systeme.

Erfahren Sie mehr über die EU AI Act Compliance und wie Sie die Governance-Infrastruktur Ihres Unternehmens bis zum 2. August aufbauen: Vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Der 2. August 2026 ist der Tag, an dem die Artikel 9 bis 17 sowie Artikel 26 des EU AI Act für Betreiber von Annex-III-Hochrisiko-KI-Systemen verbindlich werden. Artikel 26 regelt die Betreiberpflichten direkt: Er verlangt menschliche Kontrolle, die Einhaltung der Anbieteranweisungen, operative Überwachung und Vorfallmeldung an die Marktüberwachungsbehörden. Die Artikel 9 bis 17 umfassen das Konformitäts-Framework, darunter Risikomanagement (Artikel 9), Data Governance (Artikel 10), technische Dokumentation (Artikel 11), Protokollierung und Logging (Artikel 12), Transparenz (Artikel 13), Gestaltung der menschlichen Kontrolle (Artikel 14) sowie Genauigkeit und Robustheit (Artikel 15). Betreiber, die bis zum 2. August keine operative Compliance mit diesen Anforderungen aufgebaut haben, drohen Strafen bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes. Für EU AI Act Compliance-Planungen gilt: Die politische Einigung der EU vom 7. Mai 2026 zu geänderten Fristen ändert daran nichts – sie ist Stand Juni 2026 nicht Gesetz, der 2. August bleibt maßgeblich. Unternehmen können ihre Readiness an den Glossarbegriffen des EU AI Act („Betreiber“, „Hochrisiko-KI-System“, „Annex III“) prüfen, um festzustellen, welche Pflichten für ihre Use Cases gelten.

Möglicherweise – aber „möglicherweise“ ist keine Compliance-Strategie. Stand Juni 2026 ist die Einigung vom 7. Mai eine politische Absicht, aber kein Gesetz. Der 2. August bleibt das maßgebliche Durchsetzungsdatum. Unternehmen, die ihre Compliance-Programme in Erwartung einer Fristverschiebung pausieren, gehen die Wette ein, dass der Gesetzgebungsprozess schneller ist als die Aufsichtsbehörden. Diese Wette hat einen bekannten Nachteil: volles Strafrisiko, falls die Frist nicht rechtzeitig verschoben wird. Die sicherere Strategie ist, die Compliance-Vorbereitung fortzusetzen, als wäre der 2. August fix, und die Gesetzgebung zu beobachten. Die Arbeit, die Sie für die EU AI Act Compliance und Data Governance leisten, ist nicht verloren, wenn sich die Frist verschiebt – sie wird zu früher Compliance statt zu Last-Minute-Compliance. Unternehmen mit bestehenden DSGVO-Compliance-Programmen werden feststellen, dass viele Dokumentations- und Prozessstrukturen direkt auf die EU AI Act Readiness übertragbar sind.

Shadow AI schafft EU AI Act Compliance-Risiken auf zwei Ebenen: Erstens kann die Nutzung nicht genehmigter KI-Tools durch Mitarbeitende zur Verarbeitung personenbezogener oder anderer sensibler Daten selbst als Einsatz eines Hochrisiko-KI-Systems ohne die von Artikel 26 geforderten Governance-Kontrollen gelten. Zweitens untergraben Shadow-AI-Kanäle die Data-Governance-Infrastruktur, die Artikel 10 und 12 verlangen. Fließen sensible Daten durch unkontrollierte KI-Tools, kann ein Unternehmen weder seine Datenqualitätspraktiken glaubhaft dokumentieren noch vollständige Audit-Logs zu KI-Entscheidungen vorlegen. Studien von Juni 2026 zeigen, dass juristische Arbeit 22,3 % der Shadow-AI-Datenlecks ausmacht. Das Schatten-IT-Problem erhöht zudem die Kosten bei Datenschutzverstößen: Unternehmen mit Shadow-AI-Vorfällen tragen im Schnitt 670.000 US-Dollar Zusatzkosten und haben eine durchschnittliche Erkennungszeit von 247 Tagen. Das Schließen von Shadow-AI-Kanälen ist Voraussetzung für glaubhafte EU AI Act Compliance – kein optionales Sicherheits-Upgrade. Ein zero trust KI-Datenschutz-Framework gibt Unternehmen eine strukturierte Methode, um zu steuern, welche KI-Tools Mitarbeitende nutzen dürfen und welche Daten sie verarbeiten dürfen.

Der Colorado Artificial Intelligence Act, gültig ab 1. Juni 2026, verpflichtet Betreiber von Hochrisiko-KI-Systemen zu drei Hauptpflichten: einer Sorgfaltspflicht zum Schutz der Verbraucher vor algorithmischer Diskriminierung, Bias-Impact-Assessments vor dem Einsatz und regelmäßigen Neubewertungen sowie Transparenzhinweisen an Verbraucher, wenn Hochrisiko-KI für sie relevante Entscheidungen beeinflusst. Es ist das erste US-Bundesstaatengesetz mit expliziten Betreiberpflichten in dieser Kategorie. Die konzeptionelle Überschneidung mit den Betreiberpflichten des EU AI Act ist groß: Beide Gesetze verlangen Risikobewertungsdokumentation, Transparenz gegenüber Betroffenen und laufende menschliche Kontrolle von KI-Entscheidungen. Unternehmen, die KI-Governance-Infrastruktur für den EU AI Act aufbauen – inklusive dokumentierter Risikobewertungen, Bias-Bewertungsprozesse und Audit-Trails – können diese Infrastruktur mit geringem Anpassungsaufwand für Colorado nutzen. In Kombination mit DSGVO-Compliance-Frameworks entsteht eine länderübergreifende Basis. Unternehmen mit Kunden in mehreren US-Bundesstaaten sollten zudem die Entwicklung weiterer KI-spezifischer Betreiberpflichten in anderen Staaten beobachten.

Sechs Wochen sind ein enges, aber machbares Zeitfenster, wenn die wichtigsten Lücken zuerst adressiert werden. Die Reihenfolge, die am schnellsten die meiste Compliance-Abdeckung bringt: (1) Inventarisieren Sie alle Annex-III-KI-Systeme, inklusive Shadow-AI-Deployments, die Sie durch Netzwerkmonitoring identifizieren – Sie können nur steuern, was Sie kennen. (2) Prüfen Sie Ihre Audit-Log-Infrastruktur für jedes relevante System; Artikel 12 verlangt automatische Ereignisprotokollierung, und wenn Sie kein vollständiges, mit Zeitstempel versehenes Protokoll zu KI-Entscheidungen liefern können, ist das Ihre dringendste Baustelle. (3) Dokumentieren Sie Ihre Data-Governance-Kontrollen für Artikel 10, inklusive schriftlicher Dokumentation zu Datenqualitätskriterien, Bias-Assessment-Methodik und Datenaufbereitungsprozessen. (4) Mappen Sie menschliche Kontrollmechanismen auf konkrete Workflow-Schritte, in denen KI-Ergebnisse folgenschwere Entscheidungen beeinflussen – Richtlinien allein reichen nicht, Artikel 26 verlangt operative Kontrollmechanismen. (5) Schließen Sie Shadow-AI-Kanäle, indem Sie nicht genehmigte Tools auf Netzwerkebene blockieren und steuerbare Alternativen über Kiteworks Secure File Sharing und KI-Governance-Infrastruktur bereitstellen, die Mitarbeitende tatsächlich nutzen. Unternehmen mit bestehenden NIS2-Compliance– oder DORA-Compliance-Programmen sollten deren Risikomanagement-Anforderungen auf die Pflichten des EU AI Act mappen – die Überschneidungen sind groß und beschleunigen die Schließung von Lücken. Die Anwendung von Security-Risikomanagement-Disziplinen auf Annex-III-KI-Systeme – Risikostufen zuweisen, Kontrollen dokumentieren, regelmäßige Neubewertungen planen – gibt Compliance-Teams die strukturierte Methodik, die Prüfer erwarten.

Weitere Ressourcen

  • Blogbeitrag
    Zero‑Trust-Strategien für kosteneffizienten KI-Datenschutz
  • Blogbeitrag
    Wie 77 % der Unternehmen bei der KI-Datensicherheit scheitern
  • eBook
    KI-Governance-Lücke: Warum 91 % der kleinen Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blogbeitrag
    Es gibt kein „–dangerously-skip-permissions“ für Ihre Daten
  • Blogbeitrag
    Regulierungsbehörden fragen nicht mehr, ob Sie eine KI-Policy haben. Sie wollen den Nachweis, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks