Act, Sanktionen

EU AI Act: Sanktionen und Transparenzpflichten ab 2. August

Veröffentlicht: 17.07.2026 um 06:42 Uhr, Redaktion boerse-global.de

Neues BSI-Framework A5 soll standardisierte KI-Prüfungen ermöglichen und Unternehmen bei der EU-AI-Act-Compliance unterstützen.

BSI veröffentlicht KI-Prüfarchitektur A5 für EU AI Act
Eine stilisierte Darstellung eines leuchtenden neuronalen Netzes hinter einem Bildschirm mit EU-Farben, das KI-Regulierung symbolisiert. Illustration mit AI erstellt übermittelt durch boerse-global.de

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Community Draft für eine neue Prüfarchitektur vorgelegt. Das Framework namens AI Audit and Assurance Assessment Architecture (A5) soll eine standardisierte Prüfung von KI-Systemen ermöglichen. Unternehmen sollen damit die Vorgaben des EU AI Acts erfüllen können. Feedback zum Entwurf ist bis zum 31. August 2026 möglich.

Modularer Aufbau für die KI-Überwachung

Die Architektur ist modular aufgebaut. Sie umfasst einen Kriterienkatalog und eine spezifische Prüfmethodik. Inhaltlich orientiert sich das Framework an etablierten Standards wie dem Cloud Computing Compliance Controls Catalogue (C5) und dem ISAE 3000.

Die Prüfung konzentriert sich auf zentrale Bereiche: Robustheit der Systeme, Erklärbarkeit, Umgang mit Bias und allgemeine Cybersecurity. Über das Format OSCAL ist die Architektur maschinenlesbar gestaltet. Das soll die Integration in technische Umgebungen erlehtern.

Parallel treibt die Organisation Codema die Standardisierung voran. Am 15. Juli 2026 wurden die Technical Committees TC23 und TC24 angekündigt. Sie widmen sich der kontinuierlichen Bewertung von KI-Systemen über deren gesamten Lebenszyklus. TC23 fokussiert auf technische Leistung und Zuverlässigkeit, TC24 auf die Integration in Geschäftsprozesse – mit Schwerpunkt auf menschlicher Aufsicht und Prüfbarkeit.

Große Lücken in der betrieblichen Governance

Trotz der Standardisierung zeigen aktuelle Studien erhebliche Defizite in der Praxis. Laut einer McKinsey-Untersuchung von 2026 verfügen nur 30 Prozent der Unternehmen über eine fortgeschrittene KI-Governance. Eine Studie von SAP und Oxford Economics untermauert das: Deutsche Unternehmen investieren im Schnitt 35 Millionen Euro in KI – aber nur vier Prozent der Befragten fühlen sich ausreichend auf den Einsatz von KI-Agenten vorbereitet.

Anzeige

Angesichts der komplexen Anforderungen der neuen EU-Gesetzgebung stehen viele IT-Abteilungen vor großen Herausforderungen bei der Umsetzung. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle Fristen, Pflichten und Risikoklassen des EU AI Acts. EU AI Act in 5 Schritten verstehen: Jetzt kostenlosen Ratgeber sichern

Besonders kritisch: Die Hälfte der Unternehmen verzichtet bei KI-Agenten auf direkte menschliche Aufsicht. Nur 30 Prozent haben strukturierte Verzeichnisse dieser Agenten. Das Problem der Schatten-KI – also der unkontrollierten Nutzung von KI-Tools – bleibt weit verbreitet.

Stichtage und Sanktionen unter dem EU AI Act

Der 2. August 2026 ist ein entscheidender Stichtag für die europäische KI-Compliance. Ab dann treten Sanktionen und Transparenzpflichten nach Artikel 50 des EU AI Acts in Kraft. Betroffen sind unter anderem die Kennzeichnungspflicht für KI-Chatbots, Deepfakes und KI-generierte Inhalte. Anbieter generativer KI müssen entsprechende Inhalte maschinenlesbar markieren.

Für Hochrisiko-Systeme gelten gestaffelte Übergangsfristen. Eigenständige Systeme müssen die Anforderungen bis Dezember 2027 erfüllen. KI-Komponenten in bereits regulierten Produkten haben Zeit bis August 2028. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.

Anzeige

Wer die weitreichenden Dokumentationspflichten der KI-Verordnung ignoriert, riskiert empfindliche Strafen durch die Aufsichtsbehörden. Erfahren Sie in diesem kostenlosen Report, welche Systeme konkret als Hochrisiko gelten und welche rechtlichen Pflichten Unternehmer jetzt kennen müssen. Kostenlosen Umsetzungsleitfaden zur KI-Verordnung herunterladen

Sektorspezifische Anforderungen verschärfen sich

In regulierten Branchen wie dem Finanzwesen oder Gesundheitssektor werden die Kontrollpflichten zusätzlich strenger. Eine Orientierungshilfe der BaFin vom Dezember 2025 konkretisiert bereits die Anforderungen an das Drei-Linien-Modell (3LoD) beim KI-Einsatz. Experten weisen auf strukturelle Lücken hin – besonders bei kleineren Instituten, etwa wenn personelle Identitäten zwischen der ersten und zweiten Kontrolllinie auftreten.

Auch im Krankenhausumfeld fordern Fachleute verbindliche Verfahren zur Überwachung von KI-Lösungen. Empfohlen werden externe KI-Beauftragte und interdisziplinäre Gremien für regelmäßige Risikobewertungen im Einklang mit NIS 2.0 und dem AI Act.

Die Notwendigkeit strenger Prüfungen wird durch aktuelle Sicherheitsvorfälle unterstrichen. Eine kritische Schwachstelle in KI-Coding-Tools (CVE-2026-61447) mit hohem Risikowert sowie neue Angriffsszenarien wie die MemGhost-Methode zeigen die Verwundbarkeit der Technologie. Zwischen März und Mai 2026 wurde zudem eine massive Zunahme von Manipulationsversuchen durch Prompt-Injection beobachtet.

Vor diesem Hintergrund schlug Demis Hassabis von Google DeepMind am 15. Juli 2026 die Gründung einer unabhängigen Standardisierungsorganisation für leistungsstarke KI-Modelle vor. Ein solches Gremium könnte sicherstellen, dass neue Modelle vor ihrer Veröffentlichung umfassend auf Risiken getestet werden. Gespräche mit internationalen Regierungen sollen bis Ende 2026 beginnen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wirtschaft | 69784631 |