Wir schreiben Januar 2026. Der erste Staub um das Inkrafttreten der EU-KI-Verordnung (EU AI Act) hat sich gelegt. Die Verbote für inakzeptable Risiken sind seit fast einem Jahr wirksam, und die Regeln für General Purpose AI (GPAI) sind seit August 2025 in Kraft. Doch für die meisten Unternehmen beginnt jetzt die kritischste Phase. Im August 2026 endet die 24-monatige Übergangsfrist für Hochrisiko-KI-Systeme gemäss Anhang III. Das bedeutet: In knapp sieben Monaten müssen Systeme in Bereichen wie HR, kritische Infrastruktur oder Kreditwürdigkeitsprüfung vollständig konform sein. Wer jetzt noch in der Analysephase steckt, riskiert, den Marktzugang zu verlieren.
Das Wichtigste in Kürze
- Die Frist für Hochrisiko-KI-Systeme nach Anhang III läuft im August 2026 ab.
- Ein robustes Risikomanagementsystem (RMS) muss jetzt operativ und dokumentiert sein.
- Daten-Governance ist kein IT-Thema mehr, sondern eine zentrale Compliance-Anforderung für Trainings-, Validierungs- und Testdaten.
- Die technische Dokumentation muss vor dem Inverkehrbringen vollständig erstellt sein, nicht erst bei einer Prüfung.
Operative Herausforderungen
Die Uhr tickt unaufhörlich. Während sich viele GRC-Verantwortliche im Jahr 2025 primär auf die Identifikation und Inventarisierung ihrer KI-Landschaft konzentriert haben, verlangt das Jahr 2026 den harten Übergang in die operative Umsetzung. Es reicht nicht mehr aus, zu wissen, welche Systeme als hochriskant eingestuft werden. Der Fokus liegt nun auf der Nachweisbarkeit der Compliance.
Eine der grössten Hürden in der Praxis zeigt sich derzeit beim Qualitätsmanagementsystem (QMS). Der AI Act verlangt nicht nur ein isoliertes QMS für die KI, sondern idealerweise die Integration in bestehende Strukturen wie ISO 9001 oder ISO 42001. Viele Unternehmen stellen jetzt fest, dass ihre bestehenden Prozesse für Softwareentwicklung nicht die Granularität aufweisen, die der Gesetzgeber für KI-Systeme fordert. Insbesondere die Dokumentation des gesamten Lebenszyklus – von der ersten Designentscheidung bis zur Post-Market-Monitoring-Strategie – offenbart in Audits häufig Lücken.
Ein weiterer kritischer Punkt ist die Daten-Governance. Für Hochrisiko-KI-Systeme, die Modelle trainieren, schreibt die Verordnung strenge Kriterien an die Datenqualität vor. Datensätze müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Dies ist in der Praxis eine massive Herausforderung, da historische Daten oft nicht unter diesen Gesichtspunkten gesammelt wurden. GRC-Teams müssen jetzt eng mit Data Scientists zusammenarbeiten, um Bias-Analysen durchzuführen und Lücken in der Datenherkunft zu schliessen. Fehlt der Nachweis über die Qualität der Trainingsdaten, ist die Konformität des gesamten Systems gefährdet.
Zudem darf der menschliche Faktor nicht unterschätzt werden. Die Anforderung an die menschliche Aufsicht (Human Oversight) verlangt, dass die Personen, die KI-Systeme überwachen, auch die nötige Kompetenz dazu besitzen. Das bedeutet, dass Schulungsmassnahmen jetzt anlaufen müssen. Es genügt nicht, einen Mitarbeiter pro forma als Aufsicht zu benennen; er muss in der Lage sein, Fehlfunktionen zu erkennen und das System im Zweifelsfall zu stoppen („Kill Switch“).
Die kommenden Monate werden von einem hohen Druck auf die internen Ressorts geprägt sein. Legal, IT-Security und Compliance müssen ihre Silos endgültig aufbrechen. Ein integrierter GRC-Ansatz, der KI-Risiken nicht als isoliertes technisches Problem, sondern als unternehmensweites Governance-Thema behandelt, ist der einzige Weg, um die Deadline im August 2026 ohne operative Störungen zu meistern.
FAQ
Wann genau endet die Übergangsfrist für Hochrisiko-KI-Systeme?
Für die meisten Hochrisiko-KI-Systeme, die unter Anhang III der Verordnung fallen (z. B. Systeme in Bildung, Beschäftigung, kritische Infrastruktur), endet die Übergangsfrist am 2. August 2026. Ab diesem Datum müssen alle Anforderungen erfüllt sein.
Was passiert, wenn ein Unternehmen die Frist verpasst?
Systeme, die nicht konform sind, dürfen ab dem Stichtag nicht mehr in den Verkehr gebracht oder in Betrieb genommen werden. Zudem drohen empfindliche Bussgelder, die je nach Verstoss bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen können.
Müssen alle KI-Systeme zertifiziert werden?
Nein. Viele Hochrisiko-KI-Systeme unterliegen einer internen Konformitätsbewertung. Nur für bestimmte Systeme, insbesondere solche, die Biometrie nutzen, ist zwingend eine Prüfung durch eine benannte Stelle (Notified Body) erforderlich.
Share
Table of Contents
Related posts
Unterschiedliche Datenschutzwerte zwischen der Europäischen Union und den Vereinigten Staaten
DSGVO und die Sicht der EU auf den Datenschutz Mit der Verabschiedung der EU-Datenschutz-Grundverordnung (DSGVO) hat der Schutz personenbezogener Daten für Institutionen, die in der Europäischen Union (EU) und darüber hinaus tätig sind, an Bedeutung gewonnen. Globale Technologieunternehmen wie Meta Platforms Inc. (Meta), Google und Microsoft sind in dieser Hinsicht verstärkter Prüfung ausgesetzt. Meta und<a href="https://zazoon.com/de/unterschiedliche-datenschutzwerte/">Continue reading <span class="sr-only">"Unterschiedliche Datenschutzwerte zwischen der Europäischen Union und den Vereinigten Staaten"</span></a>
EU Cyber Resilience Act (CRA): Neue Ära für Governance, Risk & Compliance in der Cybersicherheit
Der Cyber Resilience Act revolutioniert GRC und Cybersicherheit In einer zunehmend digitalen Welt sind Cyberangriffe längst nicht mehr die Ausnahme, sondern die Regel. Mit dem EU Cyber Resilience Act (CRA) setzt die Europäische Union einen neuen globalen Standard für die Sicherheit von digitalen Produkten und Software. Unternehmen stehen damit vor der Herausforderung, Cybersicherheit tief in<a href="https://zazoon.com/de/eu-cyber-resilience-act-cra-neue-aera-fuer-governance-risk-compliance-in-der-cybersicherheit/">Continue reading <span class="sr-only">"EU Cyber Resilience Act (CRA): Neue Ära für Governance, Risk & Compliance in der Cybersicherheit"</span></a>