Verordnung (EU) 2024/1689 über künstliche Intelligenz (AI Act): Wie OpenKBS die Compliance für Unternehmen sicherstellt

Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates (AI Act) ist das weltweit erste Gesetz zur Regulierung von Systemen der künstlichen Intelligenz. Die Verordnung trat am 1. August 2024 in Kraft und wird stufenweise angewendet, wobei die vollständige Anwendung ab dem 2. August 2026 gilt.

Als EU-Verordnung gilt der AI Act unmittelbar in allen Mitgliedstaaten der Europäischen Union, einschließlich Deutschland, ohne dass eine nationale Umsetzung erforderlich ist.

Die Verpflichtung zur KI-Kompetenz gemäß Art. 4 der Verordnung gilt seit dem 2. Februar 2025. Organisationen, die KI-Systeme einsetzen, sind bereits verpflichtet, ein ausreichendes Maß an KI-Kompetenz bei ihren Mitarbeitern sicherzustellen.

Integriertes Compliance-Audit in OpenKBS Studio

OpenKBS Studio enthält einen integrierten AI Act Compliance Skill, der das Projekt automatisch auditiert und einen strukturierten Compliance-Bericht erstellt. Der Skill analysiert, welche KI-Modelle verwendet werden, klassifiziert sie nach Risikokategorien gemäß Anhang III, überprüft das Vorhandensein von Mechanismen für menschliche Aufsicht, Nachverfolgbarkeit und Transparenzmaßnahmen und erstellt einen dokumentierten Bericht, der zur Vorlage bei Regulierungsbehörden oder für interne Audits bereit ist. Der Prozess wird mit einer einzigen Anweisung an den KI-Agenten gestartet und erfordert keine zusätzliche Konfiguration.

Stufenweise Anwendung

DatumWas in Kraft tritt
1. August 2024Die Verordnung tritt in Kraft
2. Februar 2025Verbotene KI-Praktiken (Art. 5) und Verpflichtung zur KI-Kompetenz (Art. 4)
2. August 2025Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck (GPAI)
2. August 2026Vollständige Anwendung: Hochrisiko-KI-Systeme, Konformitätsbewertung, Sanktionen
2. August 2027Hochrisikosysteme gemäß Anhang I (produktintegrierte Hochrisiko-KI: Medizinprodukte, Maschinen, Spielzeug)

Verpflichtung zur KI-Kompetenz (Art. 4)

Art. 4 der Verordnung (EU) 2024/1689 verpflichtet Anbieter und Betreiber von KI-Systemen, Maßnahmen zu ergreifen, die ein ausreichendes Maß an KI-Kompetenz ihres Personals und der Personen, die in ihrem Auftrag mit KI-Systemen arbeiten, sicherstellen.

Wen es betrifft

Die Verpflichtung umfasst:

  • Mitarbeiter, die KI-Werkzeuge in ihrer täglichen Arbeit verwenden;
  • Führungskräfte, die Entscheidungen auf Grundlage von KI-Ergebnissen treffen;
  • Teams für die Auswahl von Lieferanten und Technologien;
  • Auftragnehmer und ausgelagertes Personal, das KI im Namen der Organisation betreibt;
  • Leitungsorgane mit Aufsichtsfunktionen über KI-Systeme.

Was gefordert wird

Die Verordnung schreibt kein konkretes Format, keine Dauer und kein Schulungsprogramm vor. Der Standard ist Angemessenheit in Bezug auf die Rolle, unter Berücksichtigung der technischen Kenntnisse, Erfahrung, Ausbildung und des Kontexts der Nutzung des KI-Systems.

Allgemeine (generische) Schulungen, die nicht auf die konkreten, in der Organisation eingesetzten KI-Systeme eingehen, gelten als unzureichend. Die Schulung muss abdecken:

  • die Fähigkeiten und Grenzen der konkreten KI-Systeme;
  • die mit ihrer Nutzung verbundenen Risiken;
  • die kritische Bewertung von KI-Ergebnissen;
  • ethische Erwägungen, einschließlich Vorurteile und Fairness;
  • Verfahren zur Meldung von Vorfällen.

Wie die Compliance nachgewiesen wird

Organisationen müssen vorhalten:

  • eine Richtlinie für die zulässige Nutzung von KI (AI Acceptable Use Policy);
  • eine Richtlinie zur KI-Kompetenz (Schulungsstruktur, Verantwortlichkeiten, Aktualisierungszyklus);
  • Aufzeichnungen über durchgeführte Schulungen mit Datum, Teilnehmern und Inhalten;
  • Ergebnisse von Bewertungen, die Verständnis belegen (nicht nur Teilnahme);
  • ein Protokoll der Programmaktualisierungen.

Sanktionen

Der AI Act sieht keine direkte Geldbuße auf EU-Ebene für die Nichterfüllung der Verpflichtungen nach Art. 4 vor. Die drei Bußgeldstufen des Art. 99 gelten für andere Verstöße: bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken (Art. 5), bis zu 15 Mio. EUR oder 3 % für Pflichten der Betreiber (Art. 26), bis zu 7,5 Mio. EUR oder 1 % für falsche Angaben. Die Mitgliedstaaten können eigene Sanktionen für Verstöße gegen Art. 4 festlegen.

Verbotene KI-Praktiken (Art. 5)

Seit dem 2. Februar 2025 sind acht Kategorien von KI-Praktiken verboten:

  1. Manipulative KI-Techniken, die Schaden verursachen;
  2. Ausnutzung von Schwachstellen (Alter, Behinderung, sozioökonomische Lage);
  3. Soziale Bewertung (Social Scoring);
  4. Vorhersage des individuellen Risikos der Begehung von Straftaten;
  5. Ungezieltes Sammeln von Gesichtsbildern aus dem Internet oder von Videoüberwachung;
  6. Emotionserkennung am Arbeitsplatz und im Bildungsbereich;
  7. Biometrische Kategorisierung nach geschützten Merkmalen;
  8. Biometrische Echtzeit-Identifizierung in öffentlichen Räumen (mit begrenzten Ausnahmen für die Strafverfolgung).

Punkt 6 ist unmittelbar anwendbar für jede Organisation, die KI im Personalmanagement einsetzt.

Hochrisiko-KI-Systeme (Anhang III)

Anhang III der Verordnung definiert acht Bereiche, in denen KI-Systeme als hochriskant eingestuft werden:

BereichBeispiele
BiometrieBiometrische Fernidentifizierung, Emotionserkennung
Kritische InfrastrukturSteuerung von Energienetzen, Verkehr, Wasserversorgung
BildungZulassung, Benotung, Gruppenzuweisung
Beschäftigung und PersonalverwaltungBewerberauswahl, CV-Screening, Leistungsbeurteilung, Beförderungs- oder Kündigungsentscheidungen
Zugang zu grundlegenden DienstleistungenKreditscoring, Versicherung, Sozialhilfe
StrafverfolgungBewertung von Beweismitteln, prädiktive Polizeiarbeit
Migration und GrenzkontrolleBewertung von Visumanträgen, Grenzüberwachung
JustizRechtsanalyse, prädiktive Instrumente für Gerichtsentscheidungen

Pflichten für Betreiber von Hochrisikosystemen (Art. 26)

Organisationen, die Hochrisiko-KI-Systeme einsetzen, sind verpflichtet:

  • die Systeme gemäß den Anweisungen des Anbieters zu verwenden;
  • eine menschliche Aufsicht durch kompetente Personen sicherzustellen;
  • zu gewährleisten, dass die Eingabedaten geeignet und repräsentativ sind;
  • den Betrieb des Systems zu überwachen und schwerwiegende Vorfälle zu melden;
  • die automatisch generierten Protokolle mindestens 6 Monate aufzubewahren;
  • die Arbeitnehmervertreter und betroffenen Arbeitnehmer vor der Einführung zu informieren;
  • bei Systemen im Bereich Beschäftigung — Bewerber darüber zu informieren, dass KI am Auswahlverfahren beteiligt ist.

Wie OpenKBS die Anforderungen des AI Act adressiert

Nachverfolgbarkeit von KI-Operationen (Art. 12, Art. 26)

OpenKBS betreibt die gesamte KI-Infrastruktur seiner Enterprise-Kunden auf der Plattform, einschließlich eines einheitlichen KI-Proxys für den Zugriff auf mehrere KI-Modelle (OpenAI, Anthropic, Google).

Jeder Aufruf eines KI-Modells durchläuft den Proxy, der Folgendes protokolliert:

  • welches KI-Modell verwendet wurde und welche Version;
  • den Zeitstempel der Anfrage;
  • die Anzahl der Eingabe- und Ausgabe-Token;
  • die Projektkennung.

Diese Daten werden in der Infrastruktur des Kunden gespeichert und stehen für Audits zur Verfügung. Sie adressieren die Anforderungen an die Nachverfolgbarkeit der Ergebnisse (Art. 12) und die Aufbewahrung von Protokollen (Art. 26, Abs. 6).

Menschliche Aufsicht by Design (Art. 14, Art. 26)

Die Architektur von OpenKBS ist so konzipiert, dass KI-Ergebnisse nicht automatisch ohne menschliches Eingreifen ausgeführt werden. Für Enterprise-Kunden:

  • KI-Systeme arbeiten innerhalb einer verwalteten Umgebung mit kontrolliertem Zugang;
  • für kritische Entscheidungen (HR, Finanzen, Betrieb) wird ein Genehmigungsworkflow angewendet — die KI generiert eine Empfehlung, eine autorisierte Person bestätigt oder lehnt sie ab;
  • jede neue Version der Lösung durchläuft einen strukturierten Sicherheitsüberprüfungsprozess vor der Einführung in die Produktionsumgebung.

Transparenz und Kennzeichnung von KI-Inhalten (Art. 50)

OpenKBS stellt Enterprise-Kunden Mittel zur Kennzeichnung von KI-generierten Inhalten bereit:

  • Herkunftsmetadaten — jede KI-Antwort kann Informationen über das Modell, die Version und das Erstellungsdatum enthalten;
  • Offenlegungskomponente (AI Disclosure) — bereit zur Integration in Kundenanwendungen, die Endnutzer darüber informiert, dass sie mit KI interagieren oder dass der Inhalt von KI generiert wurde.

KI-Kompetenz (Art. 4)

OpenKBS stellt Enterprise-Kunden Dokumentation und Beratung bereit zu:

  • den Fähigkeiten und Grenzen der über die Plattform verfügbaren KI-Modelle;
  • den Risiken bei verschiedenen Nutzungskategorien;
  • Best Practices für die kritische Bewertung von KI-Ergebnissen;
  • Verfahren zur Meldung von Vorfällen.

Diese Dokumentation kann als Grundlage für das interne KI-Kompetenzprogramm der Organisation dienen.

Compliance-Bericht (Art. 11, Art. 26)

OpenKBS stellt Enterprise-Kunden einen spezialisierten Skill zur automatisierten Erstellung von AI Act Compliance-Berichten bereit. Der Skill wird im OpenKBS Studio mit einem Klick aus dem Bereich Skills installiert und durch eine Anweisung an den KI-Agenten aktiviert (z. B. "AI Act Compliance-Bericht erstellen"). Der Agent erfasst Daten aus den KI-Proxy-Protokollen, analysiert den Projektcode und erstellt einen strukturierten Bericht mit folgendem Inhalt:

Inventarisierung der KI-Systeme:

  • vollständige Liste der im Projekt verwendeten KI-Modelle (z. B. Claude Sonnet 4.6, GPT-4.1, Gemini 2.5 Flash);
  • Modellversionen und Anbieter;
  • Anzahl der Aufrufe pro Modell für einen gewählten Zeitraum;
  • Gesamtverbrauch an Eingabe- und Ausgabe-Token.

Risikoklassifizierung:

  • automatische Bewertung der Risikokategorie gemäß Anhang III (Hochrisiko, begrenzt, minimal);
  • Identifizierung von Bereichen, die in den Geltungsbereich der Hochrisikosysteme fallen (Beschäftigung, Finanzen, Bildung);
  • Empfehlungen für zusätzliche Maßnahmen bei Hochrisiko-KI.

Status der Compliance-Maßnahmen:

  • Vorhandensein des AI Act Compliance Skills im Projekt;
  • Status der Mechanismen für menschliche Aufsicht (Genehmigungsworkflow);
  • Vorhandensein und Vollständigkeit der Nachverfolgbarkeitsprotokolle;
  • Status der AI Disclosure-Komponente;
  • Vorhandensein einer AI Acceptable Use Policy und einer KI-Kompetenzrichtlinie.

Generiertes Artefakt: Der Bericht wird als strukturiertes Dokument (PDF/JSON) erstellt, das Regulierungsbehörden, internen Prüfungsausschüssen vorgelegt oder als Compliance-Artefakt archiviert werden kann. Die periodische Erstellung (z. B. vierteljährlich) gewährleistet eine dokumentierte Geschichte der KI-Nutzung in der Organisation.

Verbotene Praktiken und AI Act Compliance Skill

OpenKBS integriert in Enterprise-Projekte einen spezialisierten Compliance-Skill — einen Satz von Regeln, die der KI-Agent automatisch lädt. Diese Regeln umfassen:

Verbotene Operationen:

  • Emotionserkennung im Kontext von Beschäftigung oder Bildung;
  • soziale Bewertung natürlicher Personen;
  • biometrische Kategorisierung nach geschützten Merkmalen;
  • manipulative Techniken, die Schwachstellen ausnutzen.

Pflichtverfahren:

  • Protokollierung jeder KI-Entscheidung mit Eingabedaten, Ausgabedaten, Modell und Zeitstempel;
  • bei Entscheidungen in den Bereichen Beschäftigung, Finanzen, Bildung — Unterbrechung und Anforderung einer Bestätigung durch eine autorisierte Person;
  • Hinzufügen von Metadaten zur KI-Herkunft bei generierten Inhalten;
  • Erstellung einer Risikobewertung bei der Einführung neuer KI-Funktionalitäten.

Konsolidierung der KI-Lieferkette

Eine Organisation, die KI-Modelle von mehreren Anbietern (OpenAI, Anthropic, Google) nutzt, muss die Compliance für jeden einzeln verwalten — unterschiedliche Nutzungsbedingungen, unterschiedliche Datenrichtlinien, unterschiedliche Transparenzniveaus.

OpenKBS konsolidiert den Zugang zu mehreren KI-Modellen über einen einheitlichen Proxy, der in der EU-Infrastruktur der Plattform betrieben wird. Der Kunde interagiert mit einem Anbieter (OpenKBS), der die Integration mit den KI-Anbietern verwaltet.

Dies reduziert:

  • die Anzahl der Anbieter, die einer separaten Bewertung bedürfen;
  • die Komplexität der Verwaltung unterschiedlicher Datenrichtlinien;
  • den Verwaltungsaufwand bei der Dokumentation der KI-Lieferkette.

Infrastruktursicherheit

Der AI Act funktioniert nicht isoliert — Organisationen, die in den Geltungsbereich der Richtlinie (EU) 2022/2555 (NIS2) fallen, müssen die Einhaltung beider Rechtsakte gleichzeitig sicherstellen. OpenKBS adressiert beide Rahmenwerke durch:

  • Separates AWS-Konto für jeden Enterprise-Kunden — vollständige Isolation und Übertragungsmöglichkeit;
  • EU Data Residency — die Daten werden in der AWS-Region eu-central-1 (Frankfurt, Deutschland) betrieben;
  • Serverless-Architektur — reduzierte Angriffsfläche, automatische Sicherheitsupdates;
  • Verschlüsselung — TLS 1.2+ bei der Übertragung, AES-256 im Ruhezustand;
  • Audit-Protokoll — Nachverfolgung aller administrativen Aktionen.

Eine ausführliche Beschreibung der NIS2-Abdeckung finden Sie in der Veröffentlichung zur Richtlinie (EU) 2022/2555.

Zusammenfassung: Abdeckung der wichtigsten Anforderungen

Anforderung nach AI ActWie OpenKBS sie adressiert
KI-Kompetenz (Art. 4)Dokumentation, Beratung und Materialien für das KI-Kompetenzprogramm
Verbotene Praktiken (Art. 5)AI Act Compliance Skill mit integrierten Verboten
Nachverfolgbarkeit (Art. 12)KI-Proxy-Protokolle: Modell, Version, Zeitstempel, Projekt
Menschliche Aufsicht (Art. 14, 26)Genehmigungsworkflow für Hochrisiko-Entscheidungen
Transparenz (Art. 50)AI Disclosure-Komponente und Herkunftsmetadaten
Protokollierung (Art. 26, Abs. 6)Automatische Speicherung von Protokollen in der Kundeninfrastruktur
Technische Dokumentation (Art. 11)Automatisierter Compliance-Bericht pro Projekt
Information der Arbeitnehmer (Art. 26, Abs. 7)Beratung zu Benachrichtigungsverfahren
Lieferketten-ManagementKonsolidierter KI-Proxy — ein Anbieter statt vieler
NIS2 + AI Act gemeinsamEinheitliche Infrastruktur, die beide Rechtsakte abdeckt

Nächster Schritt

Wenn Ihre Organisation KI-Systeme einsetzt und die Einhaltung der Verordnung (EU) 2024/1689 sicherstellen muss, kontaktieren Sie uns für eine Beratung zu:

  • Bewertung der aktuellen KI-Nutzung anhand der Anforderungen der Verordnung;
  • Klassifizierung der KI-Systeme nach Risikokategorien;
  • Implementierung des AI Act Compliance Skills in der verwalteten Umgebung;
  • Erstellung eines Compliance-Berichts für Regulierungsbehörden oder interne Audits;
  • Programm zur KI-Kompetenz der Mitarbeiter.

Die beschriebenen Dienstleistungen zur AI Act Compliance — Compliance Skill, KI-Nutzungsaudit, Human Oversight Workflow und Compliance-Bericht — sind Teil des Enterprise-Plans von OpenKBS.

Diese Veröffentlichung dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Fragen zur Anwendung der Verordnung (EU) 2024/1689 wenden Sie sich an einen qualifizierten Rechtsberater.

Book a Strategy Call
KI-VerordnungAI ActKI-KompetenzHochrisiko-KIComplianceAWSEnterpriseOpenKBS