Worum es geht: Der EU AI Act ist keine Zukunftsmusik mehr – ab August 2026 greifen zentrale Pflichten. Wer KI-Systeme in sensiblen Bereichen einsetzt (HR, Kreditvergabe, Gesundheit, kritische Infrastruktur), muss heute klassifizieren, dokumentieren und technische Schutzmaßnahmen aufbauen. Diese Episode zeigt den pragmatischen Weg – ohne Panik, ohne Marketing-Versprechen.
Was Sie in dieser Episode erwartet
Warum „wir machen doch nur ChatGPT“ ein gefährlicher Irrtum ist
Hochrisiko nach Artikel 6 – die Einordnung für den Mittelstand
Reale Bußgeldrisiken: bis zu 35 Mio. € oder 7 % vom Jahresumsatz
On-Premise vs. Cloud: Warum Datenhoheit zum Compliance-Faktor wird
Der 5-Schritte-Plan: vom Audit zur dokumentierten Governance
Die drei Kernaussagen dieser Folge
1. Compliance beginnt mit der Klassifizierung – nicht mit der Technik
Viele Unternehmen investieren in LLMs, Vektordatenbanken und Agent-Frameworks, bevor überhaupt geklärt ist, welche Use-Cases unter den EU AI Act fallen. Der richtige Startpunkt ist eine saubere Inventarisierung aller KI-Systeme (auch Shadow-IT) und die Einordnung in die vier Risikokategorien des AI Acts. Erst danach ergibt technische Architektur Sinn.
2. Bußgelder sind real – und die Nachweispflicht liegt beim Unternehmen
Die Sanktionsrahmen des EU AI Act sind härter als die der DSGVO: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes. Entscheidend ist: Die Beweislast für Compliance liegt beim Betreiber. Ohne Risikomanagement, technische Dokumentation und Monitoring-Prozesse gibt es keinen „guten Glauben“.
3. On-Premise ist kein Nice-to-have, sondern ein Strategie-Hebel
Sobald personenbezogene Daten, Geschäftsgeheimnisse oder regulierte Branchendaten ins Spiel kommen, wird die Frage „wo läuft das Modell?“ zur Kernfrage. Lokales LLM-Hosting (z.B. mit Llama, Qwen oder Mistral auf eigener Hardware) ist heute reif für den produktiven Einsatz und löst viele Compliance-Fragen auf einen Schlag.
Die 5 Schritte zur EU-AI-Act-Readiness
Inventarisieren: Alle KI-Systeme erfassen – inklusive SaaS-Tools mit KI-Features (CRM, HR-Tools, Support-Bots).
Klassifizieren: Jeden Use-Case in die Kategorien Minimal / Begrenzt / Hoch / Untersagt einordnen.
Lücken analysieren: Pro Hochrisiko-System prüfen, welche Pflichten (Risikomanagement, Daten-Governance, technische Dokumentation, Human Oversight) noch offen sind.
Infrastruktur anpassen: Sensible Use-Cases auf datensouveräne Architektur migrieren (On-Premise, Private Cloud, VerdaGate als Secure AI Gateway).
Dokumentation verstetigen: Governance-Prozesse etablieren, die den laufenden Betrieb und Modell-Updates abdecken – nicht nur Einmal-Dokumente.
Unsicher, wo Ihr Unternehmen steht?
Wir führen eine 30-minütige Ersteinschätzung durch – kostenfrei, strukturiert, ohne Verkaufsdruck. Sie bekommen eine klare Einordnung Ihrer Use-Cases und wissen, wo Handlungsbedarf besteht.
Daniel Gnann
Gründer VerdaGen.ai · KI-Strategie & EU-AI-Act-Compliance für den Mittelstand. Seit 2020 im produktiven KI-Einsatz, Fokus auf datensouveräne Architekturen.