2. August 2026. An diesem Tag beginnt die EU AI Act-Durchsetzung für Hochrisiko-AI-Systeme. Bußgelder: €35 Millionen oder 7 % des weltweiten Jahresumsatzes. Je nachdem, was höher ist. Verbotene AI-Praktiken sind bereits seit Februar 2025 untersagt. Wissen Sie überhaupt, welche Ihrer AI-Systeme hochriskant sind? Die meisten Organisationen nicht. Das ist Compliance-Blindheit — und es ist das teuerste Risiko, das Sie ignorieren.
Sie haben kein Inventar Ihrer AI-Systeme. Biometrische Zugangskontrollen, Screening-Tools für die Personalauswahl, Bonitätsbewertungsmodelle, AI für kritische Infrastruktur — jedes davon macht Sie zu Hochrisiko unter EU AI Act Artikel 6. Und Sie haben es nicht geprüft.
Fünf Dokumentationsanforderungen sind jetzt Gesetz: technische Dokumentation, Konformitätsbewertungen, Verfahren zur menschlichen Aufsicht, Daten-Governance-Aufzeichnungen und Vorfallmeldungsprotokolle. Niemand in Ihrer Organisation ist für eines davon zuständig.
Die Rechtsabteilung sagt, es ist ein Tech-Problem. Tech sagt, es ist ein Rechts-Problem. Unterdessen beginnt die EU AI Act-Durchsetzung am 2. August 2026, und Sie haben noch keine einzige verantwortliche Person benannt.
Ihre AI-Vendoren behaupten Compliance. Sie können es nicht überprüfen. Unter dem EU AI Act bestehen Deployer-Pflichten unabhängig von Provider-Pflichten. Sie haften für das, was Sie einsetzen — unabhängig davon, was Ihr Vendor Ihnen sagt.
EU AI Act Compliance-Beratung, die in Wochen von der Bewertung zur Audit-Bereitschaft führt, nicht in Quartalen. Das gleiche Framework, das ich für Aegis AI gebaut habe — eine zweckgebaute Compliance-Engine für EU AI Act und DSGVO. Praktische Governance, die sich in Ihre bestehenden Prozesse integriert, keine Aktenordner-Übungen.
Vollständiges Inventar jedes AI-Systems — interne Builds, Vendor-Tools, eingebettete Modelle. Jedes unter EU AI Act Artikel 6 klassifizieren: Hochrisiko (biometrische Systeme, Einstellungs-AI, Bonitätsbewertung, AI für kritische Infrastruktur), begrenztes Risiko oder minimales Risiko. Sie erhalten Klarheit in 2 Wochen.
Priorisierter Aktionsplan, der jedes Hochrisiko-System seinen 5 Dokumentationsanforderungen zuordnet: technische Dokumentation, Konformitätsbewertung, menschliche Aufsicht, Daten-Governance und Vorfallmeldung. Jede Anforderung erhält einen Verantwortlichen und eine Frist.
Dokumentation aufbauen, Monitoring konfigurieren, Teams schulen. Konformitätsbewertungen für jedes Hochrisiko-System. Verfahren zur menschlichen Aufsicht, die in der Praxis funktionieren. Daten-Governance, die sowohl EU AI Act als auch DSGVO erfüllt.
Governance-Framework verankert: Richtlinien, Prozesse, Rollen, kontinuierliches Monitoring. Ihre Organisation kann jedem Auditor, Regulierer oder Vorstandsmitglied auf Anfrage Compliance nachweisen.
Ausgerichtet an ISO 42001 AI Management System-Standards und EU-Datensouveränitätsanforderungen. GOVERN behandelt EU AI Act-Compliance als Engineering-Problem, nicht als juristische Checklisten-Übung. Jedes Deliverable ist direkt einer regulatorischen Pflicht unter Artikel-6-Hochrisiko-Klassifizierung zugeordnet. Mohammed hat Aegis AI gebaut — eine vollständige Compliance-Engine für EU AI Act-Risikoklassifizierung, Pflichtextraktion und Audit-bereite Berichterstattung — mit genau dieser Methodik.
Sie AI im EU-Markt einsetzen oder EU-Bürgern dienen. Sie haben mehrere AI-Systeme und kein zentrales Inventar. Ihr Vorstand fragt nach EU AI Act-Compliance und niemand hat Antworten. Sie nutzen AI in der Personalauswahl, Bonitätsbewertung, Biometrie oder kritischer Infrastruktur — jedes davon löst Hochrisiko-Klassifizierung aus. Sie wollen Audit-bereite Compliance vor dem 2. August 2026, keine theoretischen Frameworks, die verstauben.
Ja. Der EU AI Act hat extraterritoriale Reichweite. Wenn die Ergebnisse Ihres AI-Systems jemanden in der EU betreffen — selbst wenn Ihr Unternehmen in New York, Singapur oder Dubai seinen Sitz hat — fallen Sie unter seine Zuständigkeit. Dasselbe extraterritoriale Prinzip wie die DSGVO. Mohammed Cherifi, EU AI Act Compliance-Berater mit Sitz in Paris, berät Organisationen in Europa, Nordamerika und Asien-Pazifik zur Erfüllung dieser grenzüberschreitenden Pflichten.
Die Hochrisiko-Klassifizierung unter EU AI Act Artikel 6 hängt davon ab, was Ihre AI tut, nicht wie sie funktioniert. Biometrische Identifikationssysteme, AI in Einstellungsentscheidungen, Bonitätsbewertungsmodelle, AI in der Bildung, Gesundheitsdiagnostik und Management kritischer Infrastruktur — alles Hochrisiko. Der Test ist der Anwendungsfall, nicht die Technologie. Mohammed führt systematische AI-Inventarisierungen durch, um genau zu identifizieren, welche Ihrer Systeme eine Konformitätsbewertung erfordern und welche leichtere Governance erhalten.
Drei Daten sind wichtig. 2. Februar 2025: verbotene AI-Praktiken sind bereits untersagt (Social Scoring, biometrische Echtzeit-Überwachung mit begrenzten Ausnahmen). 2. August 2025: Pflichten für allgemeine AI-Modelle gelten. 2. August 2026: Hochrisiko-System-Anforderungen voll durchsetzbar. Sie haben Monate, nicht Jahre. Jetzt beginnen gibt Ihnen Zeit für Inventarisierung, Klassifizierung und Dokumentation. Im Juni 2026 beginnen bedeutet hektisches Notfall-Scrambling und Lücken.
Nein. Der EU AI Act trennt Provider-Pflichten von Deployer-Pflichten. Ihr Vendor muss sicherstellen, dass sein System technische Standards erfüllt. Sie müssen korrekte Nutzung, menschliche Aufsicht, Monitoring und Vorfallmeldung sicherstellen. Wenn die Einstellungs-AI Ihres Vendors diskriminiert und Sie sie ohne Aufsichtsverfahren eingesetzt haben, haften Sie. Mohammed hilft Deployern, ihre spezifischen Pflichten unabhängig von Vendor-Behauptungen zu kartieren.
Drei Stufen. Bis zu €35 Millionen oder 7 % des weltweiten Jahresumsatzes für verbotene AI-Praktiken. Bis zu €15 Millionen oder 3 % für Hochrisiko-Systemverstöße. Bis zu €7,5 Millionen oder 1,5 % für falsche Angaben gegenüber Behörden. Die Verordnung verwendet jeweils den höheren Betrag. Für KMU werden Bußgelder verhältnismäßig reduziert, bleiben aber erheblich. Diese Strafen sind so konzipiert, dass Nichteinhaltung teurer ist als Einhaltung.
Zwei Variablen: wie viele AI-Systeme Sie betreiben und ob Sie bestehende Governance haben. Organisationen mit ISO 42001 oder ähnlichen Frameworks erreichen typischerweise in 3-4 Monaten Audit-Bereitschaft. Organisationen, die bei null beginnen, brauchen 6-9 Monate. Die größten Zeitfresser sind AI-System-Inventarisierung (die meisten Unternehmen unterschätzen um 40-60 %), Konformitätsbewertungen für jedes Hochrisiko-System und der Aufbau von Verfahren zur menschlichen Aufsicht, die in der Praxis funktionieren. Hyperion Consulting schließt den Assessment Sprint in 2 Wochen ab.
ISO 42001 ist der internationale Standard für AI Management Systeme. Er deckt Risikomanagement, Governance und verantwortungsvolle AI-Entwicklung ab. Während er freiwillig ist und der EU AI Act Gesetz ist, haben Organisationen mit ISO 42001-Zertifizierung 60-70 % der Governance-Infrastruktur bereits vorhanden. Das GOVERN Framework ist an ISO 42001 ausgerichtet, sodass Sie parallel zur regulatorischen Compliance eine Zertifizierung anstreben können — zwei Ergebnisse aus einer Investition.
Wenn Ihre AI-Modelle mit Daten von EU-Bürgern trainiert werden, aber auf US- oder chinesischer Cloud-Infrastruktur gehostet werden, stehen Sie vor überlappender regulatorischer Exposition unter EU AI Act und DSGVO. Sovereign AI Deployment — On-Premise, EU-gehostete Cloud oder Hybrid-Architekturen — reduziert dieses Risiko. Mohammed evaluiert Sovereign-AI-Optionen, die Daten und AI-Verarbeitung innerhalb jurisdiktionaler Grenzen halten, ohne Inferenz-Geschwindigkeit oder Kosteneffizienz zu opfern.
47 Anforderungen, zugeordnet zu EU AI Act-Artikeln. Dieselbe Checkliste, die Mohammed mit Enterprise-Kunden nutzt, um von null Inventar zu Audit-bereiter Compliance vor dem 2. August 2026 zu gelangen.
Entdecken Sie weitere Services, die dieses Angebot ergänzen
Lassen Sie uns besprechen, wie dieser Service Ihre spezifischen Herausforderungen adressiert und echte Ergebnisse liefert.